Auditoria de Redes

Protocolo de
Redes II
2
CARRERAS PROFESIONALES CIBERTEC

PROTOCOLO DE REDES II 3
ndice
Presentacin 5
Red de contenidos 6
Unidad de aprendizaje 1
SEMANA 1 : Principios de Auditora 7
SEMANA 2 : Auditora en la Tecnologa Informtica 21
SEMANA 3 : Estndares de Auditora 35
SEMANA 4 : Estrategias de Auditora 47
SEMANA 5 : Metodologa de Auditora 61
SEMANA 6 : Auditora Perimetral 69
SEMANA 7 : Examen Parcial Teora
SEMANA 8 : Auditora de Redes Informticas 87
SEMANA 9 : Auditora de Servidores 101
SEMANA 10 : Auditora Avanzada de Sistemas Operativos 119
SEMANA 11 : Auditora de Aplicaciones en Redes Informticas 137
SEMANA 12 : Auditora de Aplicaciones Web 149
SEMANA 13 : Auditora de Equipos de Respaldo en Redes Informticas 159
SEMANA 14 : Herramientas Especializadas 169
SEMANA 15 : Exposicin Grupal Caso Prctico 183
SEMANA 16 Exposicin Grupal Caso Prctico 189
SEMANA 17 : Examen Final Teora
CIBERTEC CARRERAS PROFESIONALES

4

Presentacin
Protocolo de Redes II, pertenece al rea de Tecnologa y se dicta en la carrera

de Redes y Comunicaciones de la institucin. El curso brinda un conjunto de
polticas, normas y procedimientos que permite a los alumnos identificar y
reportar las reas de alto riesgo de la empresa auditada.
El manual para el curso ha sido diseado bajo la modalidad de unidades de

aprendizaje, las que se desarrollan durante semanas determinadas. En cada una
de ellas, hallar los logros, que debe alcanzar al final de la unidad; el tema
tratado, el cual ser ampliamente desarrollado; y los contenidos, que debe
desarrollar, es decir, los subtemas. Por ltimo, encontrar las actividades que
deber desarrollar en cada sesin, que le permitirn reforzar lo aprendido en la
clase.
El curso es eminentemente terico. En primer lugar, se inicia con el

reconocimiento de las caractersticas de la Auditora en las Tecnologas de la
Informacin. Contina con las normas tcnicas internacionales y certificacin de
los profesionales interventores. Luego, se desarrollan los procedimientos a ser
aplicados en los diferentes tipos de auditora, as como las herramientas
especializadas a ser utilizadas en una Auditora. Por ltimo, se concluye con la
planificacin, ejecucin y reportes de la Auditora.

6
RED DE CONTENIDOS
PROTOCOLO
DE REDES II
utiliza
conjunto
usa
METODOS
PROGRAMAS
que inspeccionan
como
EVIDENCIAS
para
para
SALVAGUARDAR
los
WIRESHARK NMAP NESSUS DUMPSEC

los
RECURSOS
INFORMATICO
ACTIVOS
RECURSOS

unidad de
aprendizaje
1
semana
PRINCIPIOS DE AUDITORA
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al trmino de la unidad, los alumnos, identificaran los distintos tipos de auditora

as como que caractersticas debe cumplir el auditor.
Al trmino de la unidad, los alumnos, trabajando individualmente, realizaran el

anlisis del riesgo en una organizacin usando un caso propuesto por el profesor.
TEMARIO
Introduccin
Tipos
Anlisis del riesgo
Seguridad
Caractersticas del auditor
Beneficios
ACTIVIDADES PROPUESTAS
Los alumnos mediante un ejemplo analizan lo que significa una auditora.

8
1. INTRODUCCIN
Las tareas que se desarrollan dentro de una auditora deben de ser cuantificables
ya que en esto se basa su xito, para ello se requiere de aplicar metodologas que
internacionalmente son aceptadas en lo referente a las auditoras de redes y
sistemas. De igual forma es necesario conocer los conceptos que se aplicaran
durante una auditora de seguridad informtica.
Inicialmente, la auditora se limit a las verificaciones de los registros contables,

dedicndose a observar si los mismos eran exactos.
Por lo tanto esta era la forma primaria: Confrontar lo escrito con las pruebas de lo
acontecido y las respectivas referencias de los registros.
Con el tiempo, el campo de accin de la auditora ha continuado extendindose;

no obstante son muchos los que todava la juzgan como portadora exclusiva de
aquel objeto remoto, o sea, observar la veracidad y exactitud de los registros.
En forma sencilla y clara, escribe Holmes:
"... la auditora es el examen de las demostraciones y registros administrativos. El

auditor observa la exactitud, integridad y autenticidad de tales demostraciones,
registros y documentos."
Tomando en cuenta los criterios anteriores podemos decir que la auditora es la

actividad por la cual se verifica la correccin contable de las cifras de los estados
financieros; es la revisin misma de los registros y fuentes de contabilidad para
determinar la racionabilidad de las cifras que muestran los estados financieros
emanados de ellos.
El objetivo de la Auditora consiste en apoyar a los miembros de la empresa en el

desempeo de sus actividades. Para ello la Auditora les proporciona anlisis,
evaluaciones, recomendaciones, asesora e informacin concerniente a las
actividades revisadas.
Los miembros de la organizacin a quien la Auditora apoya, incluye al Directorio y

las Gerencias.
2. TIPOS
a) De acuerdo a quienes realizan el examen:
1- Externa
2- Interna
3- Gubernamental
Es gubernamental, cuando la practican auditores de la Contralora General de

la Republica, o auditores internos del sector pblico o firmas privadas que
realizan auditoras en el Estado con el permiso de la Contralora.

b) De acuerdo al rea examinada o a examinar:
1- Financiera
2- Operacional o de Desempeo
3- Integral
4- Especial
5- Ambiental
6- Informtica
7- De Recursos Humanos
8- De Cumplimiento
9- De Seguimiento
10- Etc.
Auditora Financiera, es un examen a los estados financieros que tiene por

objeto determinar si los estados financieros auditados presentan
razonablemente la situacin financiera de la empresa, de acuerdo a los
Principios de Contabilidad Generalmente Aceptados (PCGA). El auditor
financiero verifica si los estados financieros presentados por la gerencia se
corresponden con los datos encontrados por l.
Se entiende por estados financieros, los cuatro estados financieros bsicos

que se elaboran en las empresas: Balance General, Estado de Resultados,
Estado de Flujo del Efectivo y Estado del Capital Contable o Patrimonio Neto.
Auditora Operacional o de Desempeo es un examen objetivo, sistemtico

y profesional de evidencias, llevado a cabo con el propsito de hacer una
evaluacin independiente sobre el desempeo de una entidad, programa o
actividad, orientada a mejorar la efectividad, eficiencia y economa en el uso
de los recursos humanos y materiales para facilitar la toma de decisiones.
Auditora Especial, es el examen objetivo, profesional e independiente, que

se realiza especficamente en un rea determinada de la entidad, ya sea sta
financiera o administrativa, con el fin de verificar informacin suministrada o
evaluar el desempeo. Ejemplo: Auditora de Caja, Auditora de Inversiones,
Auditora de Activos Fijos, examen a cheques emitidos durante una semana,
etc.
Auditora Integral: es un examen total a la empresa, es decir, que se

evalan los estados financieros y el desempeo o gestin de la
administracin.
Auditora Ambiental: es un examen a las medidas sobre el medio ambiente

contenidas en las leyes del pas y si se estn cumpliendo adecuadamente.
Auditora de Gestin Ambiental: examen que se le hace a las entidades

responsables de hacer cumplir las leyes, normas y regulaciones relacionadas
con el medio ambiente. Se lleva a cabo cuando se cree que la entidad rectora
o responsable de hacer cumplir las leyes ambientales, no lo est haciendo
adecuadamente.
Auditora Informtica: examen que se practica a los recursos

computarizados de una empresa, comprendiendo: capacidad del personal
que los maneja, distribucin de los equipos, estructura del departamento de
informtica y utilizacin de los mismos.

10
Auditora de Recursos Humanos: examen que se hace al rea de personal,

para evaluar su eficiencia y eficacia en el manejo del personal y los controles
que se ejercen con los expedientes, asistencia y puntualidad, nminas de
pago, polticas de atencin social y promociones, etc.
Auditora de Cumplimiento: se hace con el propsito de verificar si se

estn cumpliendo las metas y orientaciones de la gerencia y si se cumplen
las leyes, las normas y los reglamentos aplicables a la entidad.
Auditora de Seguimiento: se hace con el propsito de verificar si se estn

cumpliendo las medidas y recomendaciones dejadas por la auditora anterior.
3. ANALISIS DEL RIESGO

3.1. Valor de la Informacin
El principal bien de las empresas es la informacin y por tanto es le

principal bien a proteger en la medida que su perdida afecte a la empresa
u organizacin.
La clasificacin de la informacin define el diseo del sistema de

seguridad ya que permite ordenar las prioridades de los bienes a proteger,
y por tanto el nivel de inversin sobre cada parte del sistema.
Kurtz y Vines describen el tipo de informacin para las empresas de la

siguiente manera:
Pblica Cualquier informacin no incluida en las categoras de
sensible, privada y confidencial, y cuya obtencin o divulgacin no
afecta a la organizacin.
Sensible Informacin que requiere un mayor nivel de clasificacin
que el normal. Relacionado con la Confidencialidad.
Privada Informacin que es considerada de una persona natural y
para uso de la compaa solamente. Por ejemplo, encuestas, base de
datos de clientes, etc.
Confidencial Informacin muy sensible y de uso interno nicamente.
Por ejemplo, campanas comerciales, base de datos de clientes, etc.

Fig. 1. Prdidas ocasionadas por actividades ilegales a empresas en USA en el ao

20071.
Para organizaciones gubernamentales la informacin es clasificada de la

siguiente manera:
No clasificada No tiene ninguna referencia clasificatoria y su uso o
divulgacin no afecta a la organizacin.
Sensitiva pero no clasificada Informacin considerada como secreto
menor. Por ejemplo: encuestas.
1
Fuente CSI/FBI

12
Confidencial Informacin cuya divulgacin podra causar dao a la

seguridad nacional.
Secreta Informacin cuya divulgacin o alteracin podra causar
daos severos a la seguridad nacional.
Top Secret Informacin cuya divulgacin o alteracin podra causar
daos excepcionales a la seguridad nacional.
3.2. Criterios de Clasificacin
Existen numerosas maneras de clasificar a la informacin. Cada cual ms

compleja que la otra. Para efectos prcticos, el valor de la informacin se
puede clasificar de la siguiente manera:
Valor - Utilizado mayormente en el sector privado.
Antigedad - El valor de la informacin decrece con el tiempo.
Vida til - La informacin puede llegar a ser obsoleta debido a nueva
informacin, cambios en la compaa, etc.
Asociacin Personal - Informacin asociada con individuos especficos
o informacin manejada por la ley privada.
3.3. Amenazas, Vulnerabilidades y Riesgos
La informacin y otros componentes del sistema estn siempre bajo la

amenaza de ser atacados por agentes tanto externos como internos
quienes tratarn de aprovecharse de las vulnerabilidades del sistema y
por ello siempre existir un nivel de riesgo. El nivel de riesgo mide el
grado de seguridad de una organizacin basado en las vulnerabilidades,
el valor de la informacin y la probabilidad de ser atacados (amenazas) al
momento de efectuar el anlisis.
Fig. 2. Riesgo
Este factor define el nivel de fortaleza y debilidad de cada uno de los

componentes de todo el sistema y se representa de la siguiente manera:
R = VI x V x A

R = Riesgo
V = Vulnerabilidad Debilidad o ausencia de fortaleza en un bien.
A = Amenaza Evento que podra causar daos a la organizacin, las
cuales trata de explotar alguna vulnerabilidad.
VI = Valor de la Informacin
Las amenazas y vulnerabilidades definen el nivel de riesgo de una

organizacin tambin conocido como factor de riesgo. La informacin
tiene un valor que se incrementa por la calidad de la informacin, o
decrece por el valor contable del bien.
Si no existen vulnerabilidades, no existe el riesgo. Las amenazas siempre

existen, pero si no pueden ser efectivas, entonces su accin puede ser
descartada.
Fig. 3. Ataque registrados en Zone-H2
Las vulnerabilidades se anulan efectuando:

Aplicacin de parches
Ejecucin de checklist y workarounds: anulacin de servicios,
establecimiento de polticas de administracin en los sistemas, etc.
Definicin y aplicacin de procedimientos, entrenamientos, etc.
2
Fuente: http://www.zone-h.org

14
4. SEGURIDAD
Caractersticas de un sistema seguro:
Integridad La informacin slo puede ser modificada por quien est
autorizado.
Confidencialidad La informacin slo debe ser legible para los autorizados.
Disponibilidad La informacin debe estar disponible cuando se necesita.
Irrefutabilidad (No-Rechazo o No repudio) Que no se pueda negar la
autora de la informacin.
Utilizar un enfoque dividido por etapas:

Aumenta la deteccin de riesgo de un agresor.
Reduce la posibilidad de xito de un agresor.
Fig. 4. Seguridad Multicapa
4.1. Estndares de Seguridad
Los estndares de seguridad definen los requerimientos,

procedimientos, instructivos, normas, planteamientos, etc. para que un
sistema se pueda considerar seguro acorde con los patrones y
estndares internacionales.
Existen varios estndares de seguridad:

ISO3 7498-2
ISO/IEC4 17799 (ISO/IEC 27002)
TCSEC
ISO 15408
OCTAVE
3
ISO Organizacin Internacional de Estandarizacin
4
IEC Comisin Electrotcnica Internacional

En el Per se tiene la Norma Tcnica Peruana NTP-ISO/IEC 17799

2007 EDI - Cdigo de Buenas Prcticas para la Gestin de la Seguridad
de la Informacin.
Una organizacin que adopte la Norma Tcnica Peruana ISO 17799

2007 tiene mayores ventajas frente a los que no la adopten:
Mayor seguridad en la organizacin.
Planeacin y manejo de la seguridad ms efectivos.
Alianzas comerciales y e-commerce ms seguras.
Mayor confianza en el cliente.
Auditoras de seguridad ms precisas y confiables.
Menor responsabilidad civil
5. CARACTERISTICAS DEL AUDITOR
En forma complementaria a la formacin profesional, terica y/o prctica, el

equipo auditor demanda de otro tipo de cualidades que son determinantes en su
trabajo, referidas a recursos personales producto de su desenvolvimiento y dones
intrnsecos a su carcter.
La expresin de estos atributos puede variar de acuerdo con el modo de ser y el

deber ser de cada caso en particular, sin embargo es conveniente que, quien se
d a la tarea de cumplir con el papel de auditor, sea poseedor de las siguientes
caractersticas:
Actitud positiva.
Estabilidad emocional.
Objetividad.
Sentido institucional.
Saber escuchar.
Creatividad.
Respeto a las ideas de los dems.
Mente analtica.
Conciencia de los valores propios y de su entorno.
Capacidad de negociacin.
Imaginacin.
Claridad de expresin verbal y escrita.
Capacidad de observacin.
Iniciativa.
Discrecin.
Facilidad para trabajar en grupo.
Comportamiento tico.
Perfil del Auditor:

Comprender los conceptos de riesgo de auditora, riesgo de deteccin
Entender los riesgos del negocio y riesgos operativos.
Aprender sobre las normas internacionales de auditora.

16
Formarse en administracin, contadura y finanzas.

Contar con conocimiento sobre la metodologa para llevar a cabo una
auditora.
Dominio de los objetivos de control para la informacin y la tecnologa
relacionada.
Los auditores ms efectivos, se esfuerzan por acercarse a la red desde dos

perspectivas:
Ellos piensan como los atacantes (hackers, crackers), de tal manera que
puedan proteger a los sistemas de la organizacin de la actividad ilcita.
Ellos piensan como empleados y administradores para considerar como
cualquier medida de seguridad propuesta puede afectar la habilidad para que
un negocio pueda funcionar apropiadamente.
5.1. Actividades del Auditor
Un auditor en conseguir un alto nivel de seguridad efectiva se ocupa en

dos actividades especficas:
La primera actividad es ayudar al administrador de la red a determinar

el acatamiento de las polticas de seguridad. Una red bien
administrada tiene una lista de procedimientos y polticas. Uno de los
mas comunes problemas para el administrador de la red o de
seguridad es que muchas veces implementa una poltica sonada pero
solo para mantener a los usuarios derrotados. Muchas veces los
empleados inconscientemente evitan el cumplimiento; sin embargo, en
otras, ellos lo hacen deliberadamente.
La segunda actividad especifica para un auditor es el anlisis del
riesgo. A continuacin una lista de las tareas de anlisis de riesgo
generales:
o Determinar la naturaleza del negocio que se est auditando.
o Verificar la existencia de una poltica de seguridad escrita.
o Evaluar la administracin existente y control de la arquitectura.
o Conducir una auditora de seguridad (tambin llamado un
anlisis de riesgo)
o Identificar y dar prioridad a los sistemas en riesgo, incluyendo
base de datos, servidores http, ruteadores, base de datos de
cuentas de usuario, etc.
o Escribir y entregar un reporte detallado de sus descubrimientos.
5.2. Rol del Auditor
Como un auditor, se debe estar aproximando a la red desde al menos dos

roles:
Administrador de Seguridad.
Consultor, actuando como un curioso, pero pensando como un
atacante.
5.2.1. Rol de Administrador de Seguridad
Como Administrador de Seguridad, se conoce como est

configurada la red y se desea probarla por posibles debilidades.
En este sentido, se acta como un atacante informado porque se

est buscando sistemas que ya se conocen. Otro trmino para

esta perspectiva es la administracin de la auditora. Este rol de
auditora puede requerir que se prueben los sistemas desde
despus del firewall, como se muestra en la figura N 5.
Esta perspectiva permite revisar la red por posibles acechos

basados en empleados. Tales auditoras se enfocan ms en hosts
y servidores individuales, en vez del firewall.
Fig. 5. Auditando la red despus del Firewall
Sin embargo, algunas veces un administrador de seguridad

tambin conducir el test desde detrs del firewall como se
muestra en la figura N 6.
Fig. 6. Auditando la red detrs del Firewall
En esencia, el administrador de seguridad probar el firewall para

ver si este puede ser penetrado, y entonces se mover hacia los
hosts que controlan la red. Esta perspectiva requiere que entienda
como auditar los logs del firewall. Esto tambin requiere que se
conozca algunos problemas de configuracin tpicas del firewall.
5.2.2. Rol de Consultor
Como consultor, se puede conducir muchas de las actividades

como un administrador de seguridad. Similar al administrador de
seguridad que conduce las pruebas desde ambos lados del
firewall. Como Auditor, sin embargo, generalmente se tiene la
ventaja y la responsabilidad de operar desde dos perspectivas:
que podra ser un atacante, o ser un auditor informado.

18
El auditor operando como un atacante tiene (al inicio) un pequeo

o ningn conocimiento de la topologa de la red, servidores,
protocolos, u operaciones. Como este tipo de auditor, su tarea es
descubrir, penetrar, y demostrar cmo se podra controlar la red.
Este tipo de auditor es muchas veces llamado: Ethical Hacker o
White Hat Hacker.
El segundo tipo de auditor opera como un miembro de la

organizacin. Si opera desde esta perspectiva, primero se rene
con el administrador de la red y otros empleados importantes,
como los asistentes y administradores de sistemas de otros
departamentos. Puede adicionalmente reunirse con muchos
empleados. Entonces se conduce un anlisis in-situ, aprendiendo
todos los recursos de red y mtodos. Cuando opera de este modo,
usted es un tercero que evala la seguridad existente en la red.
Muchas veces, un auditor combinar ambas perspectivas para

proporcionar una minuciosa auditora.
6. BENEFICIOS
Facilita una ayuda primordial a la direccin al evaluar de forma relativamente

independiente los sistemas de organizacin y de administracin.
Facilita una evaluacin global y objetiva de los problemas de la empresa, que
generalmente suelen ser interpretados de una manera parcial por los
departamentos afectados.
Pone a disposicin de la direccin un profundo conocimiento de las
operaciones de la empresa, proporcionado por el trabajo de verificacin de los
datos contables y financieros.
Contribuye eficazmente a evitar las actividades rutinarias y la inercia
burocrtica que generalmente se desarrollan en las grandes empresas.
Favorece la proteccin de los intereses y bienes de la empresa frente a
terceros.

Autoevaluacin
Por qu es importante auditar?
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
Qu caractersticas importantes debe tener un auditor?
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
Cundo se debe auditar?
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................

20
Resumen
La auditora es muy importante pues permite verificar los procesos tanto a nivel de
hardware como de software.
Un auditor debe ser un experto en la materia para poder dar una opinin con
conocimiento de causa.
Si desea saber ms acerca de estos temas, puede consultar las siguientes

pginas.
www.zone-h.org
En esta pgina, hallar publicacin de ataques a pginas Web.

unidad de
aprendizaje
1
semana
AUDITORA EN LA TECNOLOGA INFORMTICA

Al trmino de la unidad, los alumnos, trabajando individualmente, realizaran un

anlisis forense as como el manejo de incidentes.
Al trmino de la unidad, los alumnos, analizar los riesgos de los distintos

componentes que integran la red mediante la Auditora de TI.
TEMARIO
Introduccin
Rol de auditor en la implementacin de polticas
Certificacin
Auditora a las Tecnologas de la Informacin
Mediante un caso propuesto por el profesor analizar las caractersticas de este tipo de
auditora.

22
1. INTRODUCCIN
La evaluacin del riesgo es la habilidad para localizar los recursos y determinar la

probabilidad de ataque. Algunas referencias y profesionales se refieren a la
auditora de evaluacin del riesgo como un anlisis de brecha, porque un
anlisis de riesgo muchas veces muestra la brecha entre lo que las polticas de
seguridad indican y lo que actualmente est ocurriendo.
Pasos a seguir:
Verificar las polticas de seguridad escritas.
Analizar, categorizar y priorizar los recursos.
Considerar lo que al negocio concierne.
Evaluar el permetro existente y la seguridad interna.
Usar la arquitectura de administracin y control existente.
2. ROL DEL AUDITOR EN LA IMPLEMENTACIN DE

POLTICAS
2.1. EL AUDITOR EN LA CREACIN DE POLTICAS
El auditor debe verificar todas y cada una de las polticas de seguridad

existentes y opinar sobre su efectividad y si deben ser mejoradas o
reemplazadas por unas ms seguras.
Sin embargo, el procedimiento de creacin de las nuevas polticas a

agregar o modificaciones de estas (mantenimiento) debe incluir como paso
intermedio la revisin del auditor de seguridad. Aqu en este punto, el
Auditor, forma parte activa empleando sus dos perfiles mencionados en
detalle, como Auditor y como Atacante (agresor), siempre evaluando el
impacto en la implementacin de dichas polticas en comparacin con la
disminucin del riesgo y probabilidad de prdidas.
As mismo, el paso final de la creacin de polticas debe ser obtener la

conformidad del Auditor.
2.2. ROL DEL AUDITOR EN RELACIN CON EL ACATAMIENTO DE

POLTICAS
El cumplimiento de las polticas debe ser estrictamente revisado por el

auditor, quien debe exigir su cumplimiento, pues de esto depende toda la
seguridad de la organizacin. Se dice que la organizacin es tan segura
como el punto ms dbil de su sistema de seguridad. En este sentido el
auditor debe tener siempre una posicin dura para lograr el objetivo seguro,
y debe procurarse de que no existan excepciones a dicha polticas, pues
son de carcter general. Siempre buscando tcnicamente la flexibilidad que
permita la funcionalidad del negocio y sin disminucin de la eficiencia en
dichos procesos.

Para que esta revisin se real y efectiva, deben:

Estar programadas en el tiempo, con antelacin y deben formar parte
rutinaria de las labores de seguridad.
Poseer procedimientos de revisin y listas de chequeo (checklist), que
permitan no olvidar ningn detalle o paso de auditora.
El incumplimiento de alguna poltica debe obligar a iniciar un
mecanismo de bloqueo de las modificaciones o la operacin de algn
servicio hasta ser aplicada la poltica obviada.
2.3. ROL DEL AUDITOR EN RELACIN CON EL MANEJO DE

INCIDENTES
En este punto, el auditor debe analizar los registros (logs) que evidencien y
permitan descubrir las fallas de seguridad y encontrar las soluciones a
stas para evitar se sucedan en el tiempo.
Durante este proceso ser necesario establecer ciertas acciones:

Anlisis forense.
Manejo de incidentes.
1) Anlisis forense
Cuando se analizan incidentes que ya ocurrieron vulnerando la

seguridad de la organizacin, es decir, despus de ocurrido el
hecho, se denomina una anlisis forense, haciendo analoga con el
anlisis luego de ocurrida una defuncin y donde se analiza y busca
las causas, los medios y finalmente el cmo sucedi el hecho?
Para ello, se utilizan herramientas para filtrar los eventos y registros
(logs) de accesos, firewall, IDS y de las aplicaciones y un slido
conocimiento del funcionamiento de los sistemas para leer y
descifrar los parmetros de ataque y el mtodo empleado durante el
evento en cuestin.
2) Manejo de incidentes
Proteger y continuar?
Cul estrategia debe seguir su organizacin para manejar un

incidente?
Esto dictar el nivel de registros necesarios a mantener para cumplir

la estrategia (RFC 2196)
La proteccin y conservacin de la funcionalidad de las
estaciones.
Retornar a la operacin normal tan pronto como sea posible.
Activamente interferir con los intentos de intrusin.
Iniciar inmediatamente una evaluacin de daos y recuperacin.
Usar si:
Los activos no estn bien protegidos.
La penetracin sostenida puede resultar en un riesgo financiero.

24
La posibilidad o voluntad para perseguir y demandar no est

presente.
La comunidad de usuarios es desconocida.
Usuarios ingenuos y sus trabajos vulnerables.
El sitio es vulnerable a acciones legales por parte de los usuarios
si sus recursos son menoscabados.
Persecucin y Demanda judicial?
Permitir a los intrusos continuar sus actividades hasta que el sitio

pueda identificarlos. Esto es recomendado por Agencias Legales
para el cumplimiento de la ley.
Usar si:
Los activos estn bien protegidos.
Se dispone de backups.
La evaluacin de este riesgo tiene menos peso que el riesgo de
futuras penetraciones.
Se trata de un ataque concentrado y frecuente.
El sitio posee una atraccin natural para los intrusos, ejemplo:
universidad, banco, etc.
El sitio est deseoso de invertir dinero y asumir el riesgo para
atrapar al individuo.
El acceso del intruso est bien controlado.
Se dispone de herramientas de monitoreo bien desarrolladas.
Se tiene un equipo de soporte tcnico muy competente.
La administracin est ansiosa por demandar.
Los administradores del sistema conocen en general qu
evidencia ayudar en la persecucin.
Existe un contacto establecido con las Agencia Legales.
El sitio est involucrado con el equipo Legal.
3. CERTIFICACIN
El nivel de certificacin internacional de auditora debe incluir a los mejores y ms
aceptados estndares en el mundo. Estos permiten un reconocimiento del
esfuerzo de implementacin de dichas recomendaciones fruto de muchos
profesionales expertos quienes han sumado esfuerzos y aportado al conocimiento
mundial diseando estas normas que permitan realizar auditoras de seguridad de
gran calidad.
3.1. ISACA y CISA
ISACA Information Systems Audit and Control Association
La marca de la excelencia para un programa de certificacin profesional

est en el valor y reconocimiento que se concede al individuo que la
obtiene. Desde 1978, el programa de Certified Information Systems
Auditor (CISA), patrocinado por Information Systems Audit and Control
Association (ISACA), ha sido aceptado a nivel mundial como la norma
entre los profesionales de auditora, control y seguridad de SI.

Los conocimientos y prcticas tcnicas que CISA promueve y evala son

las piezas bsicas del triunfo en el campo profesional. Poseer la
designacin CISA demuestra el nivel de competencia y constituye la pauta
para medir la profesionalidad. Con una creciente demanda de profesionales
que posean conocimientos y experiencia en auditora, control y seguridad
de SI, la certificacin CISA se ha convertido en el programa de certificacin
preferido por individuos y organizaciones en todo el mundo. La certificacin
CISA es sinnima de dedicacin al servicio con distincin tanto de la
organizacin como de la industria de auditora, control y seguridad de SI.
Adems, ofrece un nmero de beneficios tanto a nivel profesional como
personal.
CISA Certified Information Systems Auditor
Las habilidades y prcticas tcnicas que CISA promueve y evala son los
piezas bsicas del xito en el campo profesional.
Poseer la designacin de CISA demuestra el nivel de competencia y

constituye la pauta para medir la profesionalidad. Con una demanda
creciente de profesionales que posean conocimientos y experiencia en
auditora, control y seguridad de Sistemas de Informacin, la certificacin
CISA se han convertido en el programa preferido de certificacin por
individuos y organizaciones de todo el mundo.
Aunque la certificacin puede no ser obligatoria en este tiempo, un nmero

creciente de organizaciones est recomendando que los empleados se
certifiquen. Para ayudar a asegurar xito en el mercado global, es vital
seleccionar un programa de la certificacin basado en prcticas tcnicas
universales aceptadas. CISA entrega tal programa. CISA es reconocido por
todo el mundo, por todas las industrias, pues es la designacin preferida
para profesionales de auditora, del control y de la seguridad.
Requisitos:
1) Aprobar exitosamente el examen CISA
La examinacin est abierta a todos los individuos que tienen inters

en el campo de la Auditora, Control y Seguridad de Sistemas de
Informacin. En base a las numerosas tareas ejecutadas por los
profesionales de la Auditora, Control y Seguridad en Sistemas de
Informacin, la Asociacin relacion y clasific los temas en cinco
dominios que contienen el trabajo profesional de la Auditora,
Seguridad y Control de Sistemas de Informacin. Estos dominios
fueron clasificados segn su grado de importancia para fines de
examinacin. A continuacin se presenta una breve descripcin de
cada dominio y aproximadamente el % de preguntas de cada rea.
Dominio 1:
El proceso de auditora de los sistemas de la informacin (10%)
Dominio 2:
Gobernabilidad de las Tecnologas de la Informacin (15%)
Dominio 3:

26
Gestin del ciclo de vida de los sistemas y la infraestructura (16%)

Dominio 4:
Entrega y soporte de los servicios de Tecnologa de la Informacin
(14%)
Dominio 5:
Proteccin de los activos de informacin (31%)
Dominio 6:
Continuidad de negocios y recuperacin de desastres (16%)
2) Experiencia como Auditor de Sistemas de Informacin
Un mnimo de cinco aos de experiencia en Auditora de Sistemas de

Informacin, Control o Seguridad es requerido para la certificacin.
Existen algunos items que pueden sustituir aos de experiencia, como
se menciona a continuacin:
Un mximo de 1 ao de experiencia en sistemas de informacin 1

ao en auditora financiera u operativa pueden sustituir 1 ao de
experiencia en auditora, seguridad o control en sistemas de
informacin.
Asimismo, 60 120 horas de Universidad (equivalente a estudios de

Postgrado) pueden sustituir 1 2 aos, respectivamente de
experiencia en Auditora, Seguridad y Control en Sistemas de
Informacin, y 2 aos como Acadmico en la Universidad en temas
relacionados (ejm, ciencias de la computacin, auditora de sistemas
de informacin) pueden sustituir 1 ao de experiencia en Auditora,
Seguridad y Control en Sistemas de Informacin.
La experiencia debe ser obtenida dentro de los 10 aos precedentes a

la fecha de aplicacin de la certificacin o dentro de los cinco aos
desde la fecha de pasada la certificacin.
3) Cdigo de tica Profesional
La Asociacin en Control y Auditora de Sistemas de Informacin,

aplica un Cdigo de tica Profesional para guiar a los profesionales
miembros de la Asociacin en su conducta como personas y
profesionales. As los auditores certificados CISA deben:
Apoyar el establecimiento y el cumplimiento de las normas,

procedimientos y controles apropiados para los sistemas de
informacin.
Cumplir con las Normas de Auditora para Sistemas de
Informacin tal y como fueron adoptadas por la Information
Systems Audit and Control Foundation.
Actuar segn los intereses de sus empleados, accionistas, clientes
y el pblico en general, en forma diligente, leal y honesta, y no
participar intencionalmente en actividades ilcitas o incorrectas.
Mantener la confidencialidad de la informacin obtenida en el
transcurso de sus deberes. La informacin no ser utilizada en
beneficio propio ni divulgada a terceros no legitimados.

Llevar a cabo sus obligaciones de forma independiente y objetiva,

y evitar aquellas actividades que comprometan o parezcan
comprometer su independencia.
Mantener la competencia en los campos interrelacionados de la
Auditora y Sistemas de Informacin mediante la participacin en
actividades de capacitacin profesional.
Ejercer sumo cuidado al obtener y documentar material suficiente
sobre el cual se fundamentan las conclusiones y
recomendaciones.
Informar a las partes involucradas sobre el resultado del trabajo
de auditora que se llev a cabo.
Apoyar la educacin de la gerencia, de los clientes y del pblico
en general para mejorar la comprensin de la auditora y los
sistemas de informacin.
Mantener altos estndares de conducta y de carcter tanto en las
actividades profesionales como en las privadas.
4) Poltica de Educacin Continua
Los objetivos del Programa de Educacin Continua son:
Mantener la competencia individual como requisito para actualizar

los conocimientos y destrezas en las reas de la Auditora de
Sistemas de Informacin, Administracin, Contabilidad y Areas de
Negocios relacionadas a industrias especficas (ej, finanzas,
seguros, leyes, etc)
Proveer un medio para diferenciarse entre los Auditores

Certificados CISA y quienes an no alcanzan los requisitos para
continuar con su certificacin
Proveer un mecanismo para Monitorear la Mantencin de

Profesionales en Auditora de Sistemas de Informacin, Control y
Seguridad, y
Ayudar a la Administracin Ejecutiva a desarrollar Auditoras de

Seguridad y Control de Sistemas de Informacin, proporcionando
sensatez y criterio para seleccionar personal
La mantencin de la cuota anual y un mnimo de 20 horas de

Educacin Continua son requeridos anualmente. En adicin, un
mnimo de 120 horas de educacin durante un perodo de 3 aos
es requerido.
4. AUDITORA A LAS TECNOLOGICAS DE LA INFORMACIN

En la auditora de seguridad informtica se debe tomar en cuenta la medicin de
los riesgos que presentan los diversos componentes que integran la red o sistema
que se estn auditando, de forma que se obtenga un diagnstico completo.
En un mundo cada vez ms aceleradamente globalizado, competitivo e

interconectado, las empresas se han visto obligadas a adaptarse a este

28
desafiante entorno y a realizar inversiones en Tecnologa Informtica y

Comunicaciones de una manera jams vista antes. Reflejados en un ascendente
crecimiento empresarial con la finalidad de concretar importantes proyectos y, por
ende, de cambios organizacionales y tecnolgicos que debern ser enfrentados y
liderados por profesionales competentes y actualizados en la Gestin de
Tecnologa Informtica y de Comunicaciones.
Se plantean los nuevos tiempos en el rea de la Tecnologa Informtica, en la cual

la excelencia en el uso y la gestin de sta ha demostrado ser un importante
factor generador de ventajas competitivas para las organizaciones.
La convergencia de la computadora, las comunicaciones, redes y la electrnica de

consumo generan el comercio electrnico.
Para tener xito debemos:

Mejorara los procesos
Manejar tecnologa de informacin
Manejar personal
Visin y estrategias
La auditora de tecnologa informtica es el conjunto de procedimientos y tcnicas

para evaluar total o parcialmente los recursos tecnolgicos de la empresa con la
finalidad de proteger los activos y recursos garantizar el desarrollo eficiente de
sus actividades de acuerdo con sus objetivos con el fin de obtener la eficacia
requerida en la empresa.
El manejo de la tecnologa de informacin (TI) es el trmino empleado para

describir cmo las personas encargadas de dirigir una entidad tomarn en cuenta
este concepto en la supervisin, inspeccin, control y direccin de la misma. La
manera como se aplique la TI dentro de la entidad tendr un impacto enorme en
el alcance su visin, su misin o sus metas estratgicas.
La Tecnologa de la Informacin influye en la Administracin de la empresa,

generando ventajas sobre su competencia. La Auditora, debe evolucionar para
cumplir su objetivo, pero tambin la Auditora debe usar la TI para lograr sus
propsitos.
La Auditora, cualquiera sea sta, puede ser apoyada con la Tecnologa de la

Informacin.

Fig. 1 Evolucin del enfoque de auditora
Se debe diferenciar la Auditora segn su objeto:

La que utiliza herramientas informticas para apoyar el trabajo, no cambia el
nombre de la Auditora.
Las Tcnicas de Auditora Asistidas por Computador (TAAC) o su sigla en

ingls (CAAT), son herramientas bsicas para el Auditor de Estados
Financieros.
Consiste en usar Software para realizar pruebas sustantivas o pruebas de

cumplimiento, lo que incidir en mejorar la eficacia y la eficiencia de la
Auditora de Estados Financieros, u otra de distinto objeto.
Las tareas que se realizan, entre otras, son:

Seleccionar muestras de Auditora, basada en tcnicas estadsticas, al
azar y/o cumpliendo un criterio determinado por el auditor.
Realizar pruebas de sumas y clculos matemticos, actuando
directamente en los archivos que sirvieron de base para generar los
Estados Financieros, validando los saldos.
Calcular indicadores o razones, comparando sus resultados con perodos
anteriores, con la competencia y/o con la industria, permitiendo realizar
pruebas analticas.
Ordenar los datos de acuerdo a algn criterio determinado, para realizar
clculos especficos sobre estimaciones, validando las provisiones
realizadas.
Generar Balances de Comprobacin y Saldos, Estados Financieros, u
otros informes, a partir de los datos que sirvieron de base a los auditados.
Generar cartas de circularizacin, para confirmar saldos deudores o
acreedores, en forma automtica, a partir de los datos almacenados.
Verificar lmites de crditos, plazos de crditos otorgados como recibidos,
datos ilgicos (existencias negativas por ejemplo), y cualquier otra
prueba que permita validar saldos.
Realizar diagramas de flujo, crear grficos de lneas, barras u otros, o
cualquier otro antecedente que ayude a mejorar el trabajo de Auditora.

30
Llevar los papeles de trabajo en lnea, para generarlos en forma

automtica, facilitando su acceso a los distintos niveles de supervisin.
Tiene por objeto evaluar el sistema de control interno informtico y la
informacin computarizada, para emitir una opinin independiente sobre
la validez tcnica del sistema de control vigente y la confiabilidad de la
informacin producida por el sistema, la auditora en ningn momento
implica el diseo implantacin y ejecucin de controles, su funcin es
eminentemente evaluativa y asesora.
El objeto de la Auditora es la TI. En este caso, puede recibir el nombre de:

Auditora Informtica,
Auditora Computacional,
Auditora de Sistemas de Informacin,
Auditora a las Tecnologas de la Informacin.
4.1. PROBLEMAS DE LA AUDITORA DE TI
La falta de documentacin.
Escasez de personal idneo.
Falta de apoyo de la alta gerencia por falta de conocimiento.
Tcnicas y herramientas inadecuadas.
Falta de capacitacin.
El control es visto como un obstculo.
4.2. OBJETIVO DE LA AUDITORA DE TI
Fig. 2 Auditora Proactiva
Determinar la relacin de los servicios informativos con las polticas,

objetivos, metas y normas de la empresa.
Evaluar la gestin de la informtica y la tecnologa por la calidad de los
servicios prestados.
Evaluar la planificacin direccin y organizacin del rea informtica.
Evaluar la efectiva utilizacin de los recursos informticos.
Evaluar la eficiencia en el mantenimiento de los aplicativos.

Evaluar que exista una adecuada documentacin y estndares.

Evaluar que exista una funcin de control tcnico.
Evaluar que exista un adecuado control de calidad.
Proporcionar a la Alta Gerencia una seguridad razonable de las
aplicaciones en produccin, desarrollo de los sistemas de informacin,
los equipos de cmputo y datos estn siendo usados adecuadamente,
operan de acuerdo a los estndares de seguridad y confiabilidad
establecidos, para evitar prdidas y usos indebidos.
Prever situaciones de riesgos sugerir a la gerencia los controles
pertinentes para evitar tales situaciones.
Comprobar la seguridad y confiabilidad de la informacin.
Participar en el desarrollo de los sistemas de informacin o en su
compra a fin de verificar la incorporacin diseo de los controles
necesarios para garantizar su operatividad en forma confiable
eficiente y segura.
4.3. FUNCIONES DE LA AUDITORA DE TI
Fig. 3 Misin de la Auditora de TI
Evaluar si los recursos tecnolgicos se utilizan en forma eficiente y en

concordancia con los requerimientos del negocio.
Verificar que en TI se cumpla con las polticas corporativas y con las
regulaciones y normas.
Evaluar la informacin de la organizacin (Integridad,
Confidencialidad, Disponibilidad y Completitud).
Evaluar la fortaleza de los controles preventivos, detectivos y
correctivos en TI.
Verificar las copias de seguridad de los activos de TI (tangibles e
intangibles).

32
Evaluar si las vulnerabilidades ms conocidas en Internet son

adecuadamente mitigadas en la organizacin.
Participar activamente en el ciclo de vida del desarrollo de sistemas.
Evaluar los planes de recuperacin de desastres y continuidad del
negocio.
Evaluar la seguridad fsica y lgica a los activos de TI.
Verificar la seguridad y suficiencia de los controles en la infraestructura
de red y en las telecomunicaciones.
Evaluar el proceso de adquisiciones de recursos de TI.
Participar en auditoras integrales y facilitar la integracin de la
auditora de TI con otras especialidades de la auditora.

Autoevaluacin
Indica 3 caractersticas de una auditora TI
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
Por qu es importante una auditora en TI?
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
Qu problemas puede encontrar en una auditora TI?
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................

34
Resumen
En la auditora de seguridad informtica se debe tomar en cuenta la medicin de

los riesgos que presentan los diversos componentes que integran la red o sistema
que se estn auditando.
La auditora de tecnologa informtica es el conjunto de procedimientos y tcnicas

para evaluar total o parcialmente los recursos tecnolgicos de la empresa con la
finalidad de proteger los activos y recursos garantizar el desarrollo eficiente de sus
actividades.

unidad de
aprendizaje
1
semana
ESTNDARES DE AUDITORA
Al trmino de la unidad, los alumnos, aplicarn el marco de referencia CobiT que

les permitir comprender como se vinculan las metas del negocio con las metas de
TI.
TEMARIO
Introduccin
Marco referencial CobiT
CobiT y otros estndares
Mediante un ejemplo analizar un caso aplicando las normas CobiT.

36
1. INTRODUCCIN
Hoy en da, uno de los aspectos ms importantes (y crticos a la vez) para el
xito y la supervivencia de cualquier organizacin, es la gestin efectiva de la
informacin as como de las tecnologas relacionadas con ella (tecnologas de la
informacin - TI). En esta sociedad informatizada, donde la informacin viaja a
travs del ciberespacio sin ninguna restriccin de tiempo, distancia y velocidad;
esta importancia y crtica calidad surge de los siguientes aspectos:
Aumento de la dependencia de la informacin, as como de los sistemas que
proporcionan dicha informacin.
Aumento de la vulnerabilidad, as como un amplio espectro de amenazas
(como las amenazas del ciberespacio y la lucha por la informacin).
Escala y coste de las inversiones actuales y futuras en informacin y
tecnologas de la informacin.
Potencial de las tecnologas para realizar cambios importantes en las
organizaciones y en las prcticas de negocio, creando nuevas
oportunidades y reduciendo costes.
Para muchas organizaciones, la informacin y las tecnologas que las soportan

representan su medio o recurso ms valioso (de hecho, muchas organizaciones
reconocen los beneficios potenciales que la tecnologa puede aportar). Adems,
en los cada vez ms cambiantes y competitivos entornos de negocio que existen
en la actualidad, la gestin ha aumentado las expectativas con respecto a las
funciones de liberizacin de las tecnologas de la informacin. Verdaderamente,
la informacin y los sistemas de informacin estn adentrndose a lo largo y
ancho de las organizaciones (desde la plataforma del usuario hasta las redes de
rea local y ancha, los sistemas cliente/servidor y los grandes mainframes o
supercomputadores). As, la gestin requiere de un aumento de la calidad,
funcionalidad y facilidad de uso; disminuyendo a la vez los periodos de entrega; y
mejorando continuamente los niveles de servicio (con la exigencia de que esto
se lleve a cabo con costes ms bajos).
Las organizaciones deben cumplir con los requerimientos de calidad, de informes

fiduciarios y de seguridad, tanto para su informacin, como para sus activos. La
administracin deber obtener un balance adecuado en el empleo de sus
recursos disponibles, los cuales incluyen: personal, instalaciones, tecnologa,
sistemas de aplicacin y datos. Para cumplir con esta responsabilidad, as como
para alcanzar sus expectativas, la administracin deber establecer un sistema
adecuado de control interno. Por lo tanto, este sistema o marco referencial
deber existir para proporcionar soporte a los procesos de negocio y debe ser
preciso en la forma en la que cada actividad individual de control satisface los
requerimientos de informacin y puede impactar a los recursos de TI. Este
impacto en los recursos de TI es enfatizado en el Marco Referencial de CobiT5
conjuntamente a los requerimientos de informacin del negocio que deben ser
alcanzados: efectividad, eficiencia, confidencialidad, integridad, disponibilidad,
cumplimiento y confiabilidad. El control, que incluye polticas, estructuras,
prcticas y procedimientos organizacionales, es responsabilidad de la
administracin.
De esta forma, la gestin de la informacin necesita tener una apreciacin y un

entendimiento bsico de los riesgos y restricciones de las tecnologas de la
informacin, en orden de proporcionar directrices efectivas as como los
controles adecuados, es decir, la realizacin de un proceso de revisin y
5
CobiT Control Objetives for Information and related Technology

verificacin de la informacin y de las tecnologas que las soportan. Todo este

procedimiento es lo que se conoce como auditora que, al estar aplicada sobre el
uso y manejo de la informacin y de sus tecnologas, ser una Auditora
Informtica. The COBIT Framework es un conjunto de objetivos de control que
ayudan (dando unas pautas de actuacin) en la realizacin de una Auditora
Informtica.
2. MARCO REFERENCIAL COBIT6

La misin de CobiT es "investigar, desarrollar, publicar y promocionar un
conjunto de objetivos de control generalmente aceptados para las tecnologas de
la informacin que sean autorizados (dados por alguien con autoridad),
actualizados, e internacionales para el uso del da a da de los gestores de
negocios (tambin directivos) y auditores." Gestores, auditores, y usuarios se
benefician del desarrollo de CobiT porque les ayuda a entender sus Sistemas de
Informacin (o tecnologas de la informacin) y decidir el nivel de seguridad y
control que es necesario para proteger los activos de sus compaas mediante el
desarrollo de un modelo de administracin de las tecnologas de la informacin.
PARA QU SIRVE EL COBIT?
Independientemente de la realidad tecnolgica de cada caso concreto, CobiT

determina, con el respaldo de las principales normas tcnicas internacionales, un
conjunto de mejores prcticas para la seguridad, la calidad, la eficacia y la
eficiencia en TI que son necesarias para alinear TI con el negocio, identificar
riesgos, entregar valor al negocio, gestionar recursos y medir el desempeo, el
cumplimiento de metas y el nivel de madurez de los procesos de la organizacin.
Fig. 1 Principio Bsico CobiT
Proporciona a gerentes, interventores, y usuarios TI con un juego de medidas

generalmente aceptadas, indicadores, procesos y las mejores prcticas para
ayudar a ellos en el maximizar las ventajas sacadas por el empleo de tecnologa
de informacin y desarrollo de la gobernacin apropiada TI y el control en una
empresa.
6
Roberto Sobrino Snchez

38
Proporciona ventajas a gerentes, usuarios, e interventores TI. Los gerentes se

benefician de CobiT porque esto provee de ellos de una fundacin sobre cual TI
las decisiones relacionadas e inversiones pueden estar basadas. La toma de
decisiones es ms eficaz porque CobiT ayuda la direccin en la definicin de un
plan de TI estratgico, la definicin de la arquitectura de la informacin, la
adquisicin del hardware necesario TI y el software para ejecutar una estrategia
TI, la aseguracin del servicio continuo, y la supervisin del funcionamiento del
sistema TI. TI usuarios se benefician de CobiT debido al aseguramiento
proporcionado a ellos si los usos que ayudan en la reunin, el tratamiento, y el
reportaje de informacin cumplen con CobiT ya que esto implica mandos y la
seguridad es en el lugar para gobernar los procesos. CobiT beneficia a
interventores porque esto les ayuda a identificar cuestiones de control de TI
dentro de la infraestructura TI de una empresa. Esto tambin les ayuda a
corroborar sus conclusiones de auditora.
2.1. Productos COBIT
El paquete completo de COBIT consiste de 6 publicaciones:

Resumen Ejecutivo (Executive Sumary), el cual consiste en una
sntesis ejecutiva que proporciona a la alta gerencia entendimiento y
conciencia sobre los conceptos clave y principios del COBIT.
Marco Referencial (Framework), el cual proporciona a la alta
gerencia un entendimiento ms detallado de los conceptos clave y
principios del COBIT, e identifica los cuatro dominios de COBIT
describiendo en detalle, adems, los 34 objetivos de control de alto
nivel e identificando los requerimientos de negocio para la
informacin y los recursos de las Tecnologas de la Informacin que
son impactados en forma primaria por cada objetivo de control;
Objetivos de Control (Control Objetives), los cuales contienen
declaraciones de los resultados deseados o propsitos a ser
alcanzados mediante la implementacin de los objetivos de control
detallados y especficos a travs de los 34 procesos de las
Tecnologas de la Informacin.
Guas de Auditora (Audit Guidelines), las cuales contienen los
pasos de auditora correspondientes a cada uno de los 34 objetivos
de control de TI de alto nivel para proporcionar asistencia a los
auditores de sistemas en la revisin de los procesos de TI con
respecto a los objetivos detallados de control recomendados para
proporcionar a la gerencia certeza o unas recomendaciones para
mejorar.
Herramientas de Implementacin (Implementation Tool Set), el
cual proporciona las lecciones aprendidas por organizaciones que
han aplicado CobiT rpida y exitosamente en sus ambientes de
trabajo. Este conjunto de herramientas de implementacin incluye la
Sntesis Ejecutiva, proporcionando a la alta gerencia conciencia y
entendimiento del CobiT. Tambin incluye una gua de
implementacin con dos tiles herramientas: Diagnstico de la
Conciencia de la Gerencia y el Diagnstico de Control de TI, para
proporcionar asistencia en el anlisis del ambiente de control en TI
de una organizacin. Tambin se incluyen varios casos de estudio
que detallan como organizaciones en todo el mundo han
implementado CobiT exitosamente. Adicionalmente, se incluyen
respuestas a las 25 preguntas ms frecuentes acerca del CobiT, as

como varias presentaciones para distintos niveles jerrquicos y

audiencias dentro de las organizaciones.
Por ltimo, se incluye un completo CD-ROM en el cual se puede
encontrar toda la informacin detallada en los manuales descritos
anteriormente.
2.2. Estructura
Los 34 procesos propuestos se concretan en los objetivos de control

detallados a continuacin. Un Control se define como "las normas,
estndares, procedimientos, usos y costumbres y las estructuras
organizativas, diseadas para proporcionar garanta razonable de que los
objetivos empresariales se alcanzaran y que los eventos no deseados se
prevern o se detectaran, y corregirn". La estructura indica cuales son
los siete criterios de informacin ms usados.
A continuacin se muestran las definiciones de trabajo de CobiT:
Efectividad - Se refiere a que la informacin relevante sea pertinente

para el proceso del negocio, as como a que su entrega sea
oportuna, correcta, consistente y de manera utilizable.
Eficiencia - Se refiere a la provisin de informacin a travs de la
utilizacin ptima (ms productiva y econmica) de recursos.
Confidencialidad - Se refiere a la proteccin de informacin
sensible contra divulgacin no autorizada.
Integridad - Se refiere a la precisin y suficiencia de la informacin,
as como a su validez de acuerdo con los valores y expectativas del
negocio.
Disponibilidad - Se refiere a la disponibilidad de la informacin
cuando sta es requerida por el proceso de negocio ahora y en el
futuro. Tambin se refiere a la salvaguarda de los recursos
necesarios y capacidades asociadas.
Cumplimiento - Se refiere al cumplimiento de aquellas leyes,
regulaciones y acuerdos contractuales a los que el proceso de
negocios est sujeto, por ejemplo, criterios de negocio impuestos
externamente.
Confiabilidad de la informacin - Se refiere a la provisin de
informacin apropiada para la administracin con el fin de operar la
entidad y para ejercer sus responsabilidades de reportes financieros
y de cumplimiento.
Los recursos de TI identificados en CobiT pueden identificarse/definirse

como se muestra a continuacin:
Las aplicaciones incluyen tanto sistemas de usuario automatizados
como procedimientos manuales que procesan informacin.
La informacin son los datos en todas sus formas de entrada,
procesados y generados por los sistemas de informacin, en
cualquier forma en que son utilizados por el negocio.

40
La infraestructura es la tecnologa y las instalaciones (hardware,

sistemas operativos, sistemas de administracin de base de datos,
redes, multimedia, etc., as como el sitio donde se encuentran y el
ambiente que los soporta) que permiten el procesamiento de las
aplicaciones.
Las personas son el personal requerido para planear, organizar,
adquirir, implementar, entregar, soportar, monitorear y evaluar los
sistemas y los servicios de informacin. Estas pueden ser internas,
por outsourcing o contratadas, de acuerdo a como se requieran.
Fig. 2 CobiT 4.0

Fig. 3 Cubo CobiT
Para gobernar efectivamente TI, es importante determinar las actividades

y los riesgos que requieren ser administrados. stos se pueden resumir
como sigue:
Planear y Organizar (PO) Este dominio cubre las estrategias y las
tcticas, y tiene que ver con identificar la manera en que TI pueda
contribuir de la mejor manera al logro de los objetivos del negocio.
Adems, la realizacin de la visin estratgica requiere ser planeada,
comunicada y administrada desde diferentes perspectivas.
Finalmente, se debe implementar una estructura organizacional y
una estructura tecnolgica apropiada. Este dominio cubre los
siguientes cuestionamientos tpicos de la gerencia:
o Estn alineadas las estrategias de TI y del negocio?
o La empresa est alcanzando un uso ptimo de sus recursos?
o Entienden todas las personas dentro de la organizacin los
objetivos de TI?
o Se entienden y administran los riesgos de TI?
o Es apropiada la calidad de los sistemas de TI para las
necesidades del negocio?
Adquirir e Implementar (AI) Para llevar a cabo la estrategia de TI,
las soluciones de TI necesitan ser identificadas, desarrolladas o
adquiridas as como la implementacin e integracin en los procesos
del negocio. Adems, el cambio y el mantenimiento de los sistemas
existentes est cubierto por este dominio para garantizar que las
soluciones sigan satisfaciendo los objetivos del negocio. Este dominio,
por lo general, cubre los siguientes cuestionamientos de la gerencia:

42
o Los nuevos proyectos generan soluciones que satisfagan las

necesidades del negocio?
o Los nuevos proyectos son entregados a tiempo y dentro del
presupuesto?
o Trabajarn adecuadamente los nuevos sistemas una vez sean
implementados?
o Los cambios afectarn las operaciones actuales del negocio?
Entregar y dar Soporte (DS) Este dominio cubre la entrega en s de
los servicios requeridos, lo que incluye la prestacin del servicio, la
administracin de la seguridad y de la continuidad, el soporte del
servicio a los usuarios, la administracin de los datos y de las
instalaciones operacionales. Por lo general aclara las siguientes
preguntas de la gerencia:
o Se estn entregando los servicios de TI de acuerdo con las
prioridades del negocio?
o Estn optimizados los costos de TI?
o Es capaz la fuerza de trabajo de utilizar los sistemas de TI de
manera productiva y segura?
o Estn implantadas de forma adecuada la confidencialidad, la
integridad y la disponibilidad?
Monitorear y Evaluar (ME) Todos los procesos de TI deben
evaluarse de forma regular en el tiempo en cuanto a su calidad y
cumplimiento de los requerimientos de control. Este dominio abarca la
administracin del desempeo, el monitoreo del control interno, el
cumplimiento regulatorio y la aplicacin del gobierno. Por lo general
abarca las siguientes preguntas de la gerencia:
o Se mide el desempeo de TI para detectar los problemas antes
de que sea demasiado tarde?
o La Gerencia garantiza que los controles internos son efectivos y
eficientes?
o Puede vincularse el desempeo de lo que TI ha realizado con las
metas del negocio?
o Se miden y reportan los riesgos, el control, el cumplimiento y el
desempeo?
3. COBIT Y OTROS ESTNDARES

COBIT & ISO/IEC 17799:2005
COBIT fue diseada y usada por la comunidad TI y tiene aceptacin

internacional, el estndar ISO/IEC 17799:2005 (The Code of Practice for
Information Security Management) es la mejor herramienta para administrar una
solucin segura, los 2 estndares no compiten entre si, mas bien se
complementan.

COBIT & Sarbanes Oxley
Las compaas pblicas que estn conformes con el estndar Sarbanes-Oxley

Act of 2002 y/o Committee of Sponsoring Organizations of the Treadway
Commission (COSO)
El control interno, la estructura integrada, escogen cual de los controles se van a

implementar para una conexin segura.
El control interno es un proceso - establecido por la junta directiva de una
entidad, la gerencia, y el otro personal
COBIT te acerca al control mirando la informacin - informacin financiera no

justa que es necesario apoyar requisitos del negocio y el asociado los recursos y
los procesos.
Los 2 estndares tienen diversas aplicaciones COSO es til para la gerencia en

grande, mientras que COBIT es til para la gerencia, los usuarios, y los
interventores. COBIT se centra especficamente en el control. Debido a estas
diferencias, los interventores no deben contar con una relacin una por entre los
cinco componentes del control de COSO y los cuatro dominios del objetivo de
COBIT.
FISCAM Federal Information System Controls Audit Manual
Es un Manual de Auditora y Control de Sistemas de Informacin Federal,

diseado inicialmente por el Gobierno de Estados Unidos para auditar sus
sistemas a travs de sus Estados y que luego fue adoptado por entidades no
gubernamentales y posteriormente por Organizaciones Internacionales.
Describe los elementos de un alcance total de la auditora de la informacin

desde el cual un auditor puede seleccionar elementos que soporten los objetivos
del trabajo.

44
Autoevaluacin
Qu significa COBIT?
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
Qu parmetros evala COBIT?

....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
Qu es una certificacin?
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
Cules son las caractersticas de ISACA?

....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
En qu consiste la certificacin CISA?
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................

Resumen
Son un conjunto de reglas prcticas para el manejo de informacin.

Informacin concisa e importante diseado especficamente para ejecutivos y
administradores.
CISA es el estndar global aceptado entre profesionales interventores, del control
y de la seguridad de los sistemas de informacin.
ISACA asociacin que controlan y revisan los trabajos en sistemas informticos
que llegaban a ser cada vez ms crticos en las operaciones de la organizacin.

46

unidad de
aprendizaje
1
semana
ESTRATEGIAS DE AUDITORA
Al trmino de la unidad, los alumnos, trabajando individualmente, planificarn

estrategias bsicas de auditora aplicando listas de verificacin as como el uso
algunas herramientas para determinar la existencia de vulnerabilidades.
TEMARIO
Estrategias Bsicas de Auditora y Valorizacin

Proceso de Auditora
Mediante un ejemplo analizar un caso aplicando las normas COBIT.

48
1. ESTRATEGIAS BSICAS DE AUDITORA
Cuando se analizan las estrategias bsicas de auditora se requiere entender los

lineamientos bsicos de seguridad que se derivan de los estndares asumidos
por la organizacin; adicionalmente se analizar el concepto de Seguridad
Basada en el Tiempo, conocida por sus siglas en ingles TBS y se enumeraran
las herramientas ms conocidas de Auditora para Sistemas. Finalmente se
desarrollara el tema de las Listas de chequeo en Auditora (Checklist).
1.1. Lineamientos Bsicos
Las lneas de base (Base Lines) salen directamente de los estndares y

son un grupo especifico de requerimientos de seguridad que todos los
sistemas de la organizacin deben cumplir o exceder.
Estas representan una lnea fruto de la aceptacin de un estndar sobre

la cual deben de mantenerse todas las polticas de seguridad y nunca
por debajo de ella.
1.2. Seguridad Basada en el Tiempo
Conocida como TBS (Time Based Security) es definida por su autor

como una inspeccin no-tcnica de la realidades tcnicas de los ms
profundos fundamentos de una sociedad interconectada por redes. Este
anlisis es diseado para un amplia audiencia con diferentes niveles de
conocimientos, experiencia y necesidades de negocio.
El autor: Winn Schwartau, en vez de presentar las soluciones, realiza un

alto nivel de diagnostico del problema, as como el uso de ecuaciones
fciles de usar para determinar cmo esto afecta a su organizacin.
P>E
E=D+R
Se explica la importancia de utilizar un plan de seguridad que emplee
Seguridad Basada en el Tiempo. Y con simples ecuaciones contrasta la
importancia de la Proteccin, Deteccin, y Reaccin (el elemento clave
para una Seguridad Basada en el Tiempo).
P Proteccin medida en el tiempo.

D Deteccin en el tiempo.
R Reaccin en el tiempo.
E Exposicin en el tiempo.
Donde:
P representa el tiempo que dura la proteccin.
Ejemplo:

Cunto tiempo nos protege el ltimo Service Pack o hotfix?

Una semana, un da, un segundo, o un milisegundo
En algunas ocasiones P=0
D representa el tiempo que se requiere para deteccin y reporte

al mecanismo automtico o humano para ejecutar la Reaccin.
Ejemplo:
Deteccin + envo de e-mail, pager, etc.?
R representa el tiempo que se requiere desde la deteccin para

la Reaccin.
Ejemplo:
Traslado de personal hasta un local o ambiente, iniciar las
herramientas necesarias para realizar las modificaciones o acciones
hasta el instante en que se aplicaron?
Al final se requiere que la exposicin sea minima o cero. Para ello deben
aplicarse muchas polticas de seguridad, mtodos e invertir en los
sistemas y herramientas necesarias para una reaccin eficiente.
1.3. Herramientas
Pensando como un Auditor, es necesario aplicar la Seguridad Basada en

el Tiempo (TBS) al mundo real. Tambin se debe analizar las primeras
veinte vulnerabilidades responsables en el ranking de los ataques ms
conocidos (SANS Top-20 Security Risks).
Cmo se puede auditar esto?
Se pueden utilizar muchas herramientas para determinar si los bienes

son vulnerables a la lista de riesgos. Algunas herramientas:
Nessus Escaneador de vulnerabilidades de host basado en red.
Crack, IOpthcrack Ayudan a chequear la fortaleza de las
contraseas.
CIS (Center for Internet Security) Herramientas de escaneo.
SAINT (Security Admnistrators Integrated Network Tool) Basado
en SATAN (www.saintcorporation.com)
SARA (Security Auditors Research Assistant), www.arc.com/sara/
Tripwire Verificador de la integridad de archivos, www.tripwire.com

50
Fig. 1 SANS Top-20 Security Risks
1.4. Lista de Verificacin
Al ver las normas actuales de auditora, la norma ISO 19011 hace

referencia a la Preparacin de documentos de trabajo en la clusula
6.4.3. Lo siguiente es un extracto de esta clusula:
Los miembros del equipo auditor deberan revisar la informacin

pertinente a las tareas asignadas y preparar los documentos de trabajo
que sean necesarios como referencia y registro del desarrollo de la
auditora. Tales documentos de trabajo pueden incluir:
listas de verificacin y planes de muestreo de auditora, y
formularios para registrar informacin, tal como evidencias de apoyo,
hallazgos de auditora y registros de las reuniones.
El uso de listas de verificacin y formularios no debera restringir la

extensin de las actividades de auditora, que pueden cambiarse como
resultado de la informacin recopilada durante la auditora.7
Las listas de verificacin (checklist) para auditora son solo una

herramienta disponible de la caja de herramientas del auditor. Muchas
organizaciones las usarn para asegurar que la auditora al menos
cubrir los requisitos como se definan en el alcance de la auditora.
7
www.iso.org/tc176/ISO9001AuditingPracticesGroup

Son formatos detallados usados para chequear un bien.
El CIS Center for Internet Security (http://www.cisecurity.org) provee

listas de verificacin que puede utilizar.
Fig. 2 CIS Benchmark
El IASE Information Asserance Support Environment

(http://iase.disa.mil/stigs/checklist/index.html) tambin provee listas de
verificacin que puede utilizar.

52
Fig. 3 IASE Benchmark
Ventajas:
La literatura disponible en el mercado resalta lo siguiente con respecto al
uso de listas de verificacin para auditora:
1) Las listas de verificacin si se desarrollan para una auditora
especfica y se usa correctamente:
a. Promueve la planificacin de la auditora.
b. Asegura un enfoque consistente de auditora.
c. Acta como plan de muestreo y controlador de tiempo.
d. Sirve como ayuda a la memoria.
e. Proporciona un archivo para las notas recolectadas durante el
proceso de auditora (notas del campo de auditora)
2) Las listas de verificacin para auditora necesitan ser desarrolladas
para proporcionar asistencia al proceso de auditora.
3) Los auditores necesitan ser entrenados en el uso de las listas de
verificacin particulares y ensearles cmo usarlas para obtener el
mximo de informacin utilizando buenas tcnicas de
cuestionamiento.
4) Las listas de verificacin ayudan a asegurar que la auditora se
realice de manera sistemtica y comprehensiva y se obtenga
evidencia adecuada.
5) Las listas de verificacin deben asistir a un auditor a desempearse
mejor durante el proceso de auditora.

6) Las listas de verificacin pueden proporcionar la estructura y

continuidad que asegure que el alcance de la auditora se ha
seguido.
7) Las listas de verificacin pueden proporcionar un medio de
comunicacin y un lugar para registrar datos para usar como futura
referencia.
8) Una lista de verificacin completa proporciona evidencia objetiva de
que la auditora se desarroll.
9) Una lista de verificacin puede proporcionar un registro de que el
SGC fue examinado.
10) Las listas de verificacin pueden ser utilizadas como informacin
base para planificar futuras auditoras. 11.Las listas de verificacin
pueden proporcionarse al auditado antes de la auditora en sitio.
Desventajas:
En contraste, cuando las listas de verificacin para auditora no estn
disponibles o estn pobremente preparadas surgen los siguientes
aspectos de preocupacin:
1) La lista de verificacin puede ser vista como arma de intimidacin por
el auditado.
2) El enfoque de la lista de verificacin puede ser muy estrecho en
alcance para identificar las reas especficas con problemas.
3) Las listas de verificacin son una herramienta de ayuda para el
auditor, pero puede ser restrictiva si se utiliza como el nico
mecanismo de soporte del auditor.
4) Las listas de verificacin no deben ser un sustituto del plan de
auditora.
5) Una lista de verificacin utilizada por un auditor inexperto pudiera no
ser capaz de comunicar claramente que es lo que el auditor esta
buscando.
6) Las listas de verificacin pobremente preparadas pueden hacer lenta
la auditora debido a duplicaciones y repeticiones.
7) Las listas de verificacin genricas, no reflejan el sistema de gestin
especfico de la organizacin y pudieran no agregar valor e interferir
con la auditora.
8) Las listas de verificacin con un enfoque cerrado minimiza a
preguntas de evaluacin nicas.
Existen ventajas y desventajas en el uso de las listas de verificacin para

auditorias. Depende de muchos factores, incluyendo las necesidades de
los clientes, las restricciones de tiempo y costos, la experiencia del
auditor y los requisitos del esquema del sector. Los auditores deben
evaluar el valor de la lista de verificacin como una ayuda en el proceso
de auditora y considerar su uso como una herramienta funcional.
Ejemplos:
Polticas de Administracin General
Polticas de Uso Aceptable.
Polticas de Sistemas de Copia de Seguridad.
Deberes del Administrador de Seguridad.
Requerimientos de software requeridos.
Respuesta a incidentes.
Parches.

54
Polticas de Sistemas de Copia de Seguridad

Existe una poltica de realizar copias de seguridad?
Existe un registro (log) de la copia de seguridad?
Qu datos estn sujetos de una copia de seguridad?
Cuntos datos son procesador durante la copia de seguridad?
Tipo de copia de seguridad: completo, diferencial, etc.
Cmo la copia de seguridad es programada y verificada?
Cmo el medio de la copia de seguridad es manejada y etiquetada?
Cmo la copia de seguridad es almacenada?
Cunto tiempo el medio de la copia de seguridad es retenida?
En cunto tiempo el medio de la copia de seguridad es rotado y
expirado?
Cmo los datos de la copia de seguridad son recuperados?
Preguntas Informacin Requerida Resultado
Qu? Normas, polticas y procedimientos Conocimiento de la empresa

aplicados a sistemas y controles
claves
Por qu? Objetivos, metas y planificacin Lneas de responsabilidad
estratgica funcional
Cmo? Entrevistas con funcionarios Sistemas en general
Quin? Divisin de funciones y Empresa
responsabilidad
Dnde? Observaciones del medio ambiente Factores internos y externos
Cundo? Fechas y eventos importantes, Situaciones importantes
variacin de tiempo y vida til
2. PROCESO DE AUDITORA
La realizacin de las tareas de cualquier auditora en forma sistemtica y
organizada, significa que toda auditora es, en s misma, un proceso que requiere
del cumplimiento de tres etapas bsicas que son:
Planificacin
Ejecucin
Conclusiones
Cada una de estas etapas constituyen verdaderos procesos en s mismos.
La etapa de planificacin incluye desde la determinacin precisa de los

objetivos y sub-objetivos de la auditora, hasta llegar al programa de trabajo que
es el detalle de los procedimientos o tcnicas seleccionados. Estos debern
permitir reunir evidencia vlida y suficiente, respecto de cada uno de los
objetivos y sub-objetivos predeterminados.
La etapa de ejecucin, como su nombre lo indica, es aquella donde llevamos a

cabo los procedimientos determinados en la planificacin y que se reflejan en los
programas de trabajo.
De la aplicacin de cada procedimiento obtenemos conclusiones respecto del

objetivo vinculado al mismo, en muchos casos resulta necesaria la aplicacin de
ms de un procedimiento por cada objetivo, para poder reunir evidencia

suficiente que permita la obtencin de conclusiones sobre el mismo. Esta ltima

etapa del proceso de auditora se caracteriza fundamentalmente, por la sntesis
de las conclusiones particulares de cada procedimiento aplicado, para llegar a
una o varias conclusiones generales sobre la tarea realizada. Esta etapa termina
con la emisin del correspondiente informe de auditora que adopta distintas
formas segn el tipo de auditora que se trate.
Las tres etapas del proceso de auditora estn estrechamente vinculadas entre s
a tal punto que no hay una clara delimitacin en el tiempo, respecto del comienzo
y fin de cada una. Prueba de ello es que para planificar las tareas a realizar,
habitualmente resulta necesaria la aplicacin de ciertos procedimientos
particulares, al igual que durante la etapa de ejecucin pueden modificarse los
programas de trabajo si los resultados obtenidos de los procedimientos
programados fueran insuficientes o excesivos.
2.1. Estndares
Cual es la unidad de medida, el estndar o la norma con la cual voy a

medir o comparar el sistema de informacin. Este suele ser otro
problema que surge a los auditores de sistemas de informacin, al no
existir un patrn nico aplicable. En trminos generales podemos
mencionar:
1) Normas internas del ente: Algunas organizaciones de cierta
envergadura suelen generar su propio conjunto de normas de
funcionamiento materializadas en manuales de procedimientos,
cursogramas, flujogramas, organigramas, documentacin de
sistemas, etc., lo que resulta ms difcil es que estas normas reflejen
el impacto que la informtica a causado en sus sistemas, e incluyan
pautas especficas sobre el tema. An en los casos en los que
existan, deben mantenerse actualizadas por la velocidad de los
cambios en este tipo de sistemas (actualizaciones en el
equipamiento, en los sistemas operativos, en las aplicaciones y en
las comunicaciones).
2) Normas de organismos de control: Algunos organismos de control ya

han emitido normas especficas referidas a Tecnologa de la
Informacin (TI). En algunos casos es necesario complementarlas
con otras pautas o normas referidas a los otros componentes de un
sistema de informacin distintos de la TI.
3) Estndares emitidos por organizaciones especializadas:

Organizaciones internacionales de profesionales han emitido normas
aplicables a este tipo de auditoras, entre las ms relevantes se
pueden mencionar:
- Informe COSO8 (Committee of Sponsoring Organizations)
elaborado por la Treadway Commission, (EEUU 1.992) referido a
pautas de control interno en general.
- COBIT9 Objetivos de control para la informacin y la tecnologa
relacionada desarrollado por la ISACA Asociacin de Auditora y
Control de Sistemas de Informacin.
8
COOPERS & LYBRAND Los nuevos conceptos de Control Interno (Informe COSO)
traducido por Instituto de Auditores Internos de Espaa (Ediciones Daz de Santos,
Madrid, 1.997)

56
Ambos estndares se complementan abarcando prcticamente

todos los aspectos relevantes de un Sistema de Informacin.
4) Criterio del Auditor: Es el menos recomendable y en general el ms

utilizado, la principal crtica que se le puede hacer como sensor
(mtodo, pauta, estndar o norma que se usa para medir o comparar
con el objeto del control) es la falta de objetividad, ya que es la
opinin del auditor sobre lo que debera ser, y por lo general suele
ser muy discutida, salvo casos de observaciones muy evidentes, o
una muy buena fundamentacin del criterio utilizado.
2.2. Reportes
Los reportes de auditora son el producto final del auditor de TI, este
reporte es utilizado para indicar las observaciones y recomendaciones a
la gerencia, aqu tambin se expone la opinin sobre lo adecuado o lo
inadecuado de los controles o procedimientos revisados durante la
auditora, no existe un formato especfico para exponer un informe de
auditora de TI, pero generalmente tiene la siguiente estructura o
contenido;
Introduccin al reporte, donde se expresara los objetivos de la
auditora, el perodo o alcance cubierto por la misma, y una expresin
general sobre la naturaleza o extensin de los procedimientos de
auditora realizados.
Observaciones detalladas y recomendaciones de auditora.
Respuestas de la gerencia a las observaciones con respecto a las
acciones correctivas.
Conclusin global del auditor expresando una opinin sobre los
controles y procedimientos revisados.
Ejemplo:
9
I.S.A.C.A. (Information Systems Audit & Control Association) C.O.B.I.T. (Control
Objectives for Information and related Technology) libre disponibilidad en www.isaca.org

Informe Final
1. Titulo
Auditoria de Redes.
2. Cliente
El rea de Informtica
3. Entidad Auditada
Nombre de la Empresa.
4. Objetivos
reas controladas para los equipos de comunicaciones, previniendo as accesos
inadecuados
Proteccin y tendido adecuado de cables y lneas de comunicacin, para evitar
accesos fsicos
Revisar las polticas y normas sobre redes y el funcionamiento de la red y la
seguridad de los datos dentro de la Red Lan
5.- Normativa aplicada y excepciones
La especificacin utilizada en esta auditora de redes es la Normativa actual IEEE

802.3 para redes LAN Ethernet 10/100MBps (utilizada por la empresa), adems de la
norma ISO 17799 y Normas de Auditorias Gubernamentales: Normas de Control
Interno para sistemas computarizados10.
6. Alcance
El presente trabajo de auditora de red, comprende el presente periodo 2008 y se ha

realizado en la empresa PROMENESTRAS Tex de acuerdo a las normas y dems
disposiciones aplicables.
7. Conclusiones
El aspecto de redes en la Empresa, la opinin de Auditores S.A. en base de las

normativas aplicadas, es desfavorable.
No existe un conocimiento actualizado del cableado de red; el cableado no se

encuentra protegido y su distribucin e implementacin no es la buena, aunque
funcione la red.
8. Resultados
reas controladas para los equipos de comunicaciones, previniendo as accesos
inadecuados
10
http://www.unmsm.edu.pe/ogp/ARCHIVOS/NORMAS_TECNICAS_DE_CONTROL_INTERNO.htm#n
ormas500

58
Los equipos de comunicaciones (switch, router) no se mantienen en

habitaciones cerradas
La seguridad fsica de los equipos de comunicaciones (switch, router) es
inadecuada.
Cualquier persona tiene acceso ya que se encuentra cerca de un lugar
transitable
Proteccin y tendido adecuado de cables y lneas de comunicacin, para evitar
accesos fsicos.
Los cables de comunicacin de datos, elctricos y de telfono estn juntos y
amarrados por otro cable.
No existen procedimientos para la proteccin de cables y bocas de conexin,
esto dificulta que sean interceptados o conectados por personas no autorizadas
No se realiza revisiones preventivas a la red de comunicaciones.
Revisar las polticas y normas sobre redes y el funcionamiento de la red y la
seguridad de los datos dentro de la Red Lan
No existen polticas y/o normas para regular el uso de la red de dicha empresa.
La red funciona correctamente de acuerdo al tamao de la empresa; esta no
podr soportar un desarrollo de la misma.
No existe una seguridad centralizada de los datos, slo la seguridad brindada
por el sistema operativo instalado en cada equipo.
9. Fecha del Informe
El presente Informe se inici el 1 del mes de Abril del ao 2006 y se concluy el del mes
de Julio del ao 2006.
10. Identificacin y Firma del Auditor

Autoevaluacin
Qu es una lista de verificacin?
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
Cules son las caractersticas de Seguridad Basada en el Tiempo?
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
En qu consiste la certificacin CISA?
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................

60
Resumen
En la planificacin de una auditora es necesario contar con personal idneo que

garantice un trabajo con imparcialidad y total honestidad.

unidad de
aprendizaje
1
semana
METODOLOGA DE AUDITORA
Al trmino de la unidad, los alumnos, conocern la metodologa de una auditora

de red.
TEMARIO
Antecedentes
Estructura
Gestin
Operacin
Seguridad
Amenazas
Normas
Los alumnos mediante un ejemplo planificaran una auditora de red.

62
1. ANTECEDENTES
En la planificacin de una auditora es necesario tomar en cuenta ciertas pautas
y reglas para poder realizar el trabajo con xito:
Tener un ambiente de trabajo independiente, fuera del contacto con los

empleados.
Contar con personal idneo que garantice un trabajo con imparcialidad y total
honestidad.
Nunca suponer sino comprobar con hechos lo que se sospecha, si no se
logra probar con hechos lo que se sospecha dejar esa tarea como pendiente
hasta demostrarlo mas tarde.
1.1. Definicin de mbito y objetivos
Este primer paso consiste en una serie de reuniones o entrevistas con el

peticionario de la auditora o, si se trata de implantar la funcin de
auditora computacional, con la persona u rgano a quien compete ese
elemento estructural.
Como resultado de esas entrevistas se ha de conseguir un documento

inicial de exposicin de objetivos.
Puede ocurrir que la persona entrevistada (el peticionario) indique que se

le haga una propuesta de posibles mbitos de trabajo, en cuyo caso se le
preparar un documento en el que figurarn las alternativas siguientes:
1) Desarrollo de la totalidad de la funcin de auditora en la empresa,

revisando incluso la utilidad para los usuarios finales, por medio de
muestreos, entrevistas o anlisis exhaustivo.
2) Auditora exclusiva del interior del departamento de computacin.
3) Auditora de algn subsistema o aplicacin, como pudiera ser del
parque de computadoras, su adecuacin, utilizacin, eficacia, etc.
4) Auditora de alguna funcin en particular como, por ejemplo, de las
medidas de seguridad y privacidad.
5) Auditora de la metodologa de anlisis y desarrollo de sistemas
computarizados.
Ha de obtenerse un acuerdo formal sobre objetivos y mbito de trabajo,

plasmado en un documento de especificaciones iniciales, firmado y
validado. En cuanto a los objetivos, pueden consistir en:
1) Mejorar costes, plazos o calidad.

2) Aumentar la seguridad o la fiabilidad.
3) Evaluar el funcionamiento de un rgano.
Estos objetivos posibles afectan a:

1) Funciones administrativas: organizacin y personal, planeacin,
anlisis de costes y contabilidad, desarrollo de procedimientos
administrativos, asuntos legales.
2) Funcin de desarrollo de sistemas: desarrollo en s, mantenimiento.
3) Funcin de operacin: operacin en s, control de entrada y salida,
teleproceso, soporte tcnico, etctera.
4) Servicios exteriores: servicios suministrados, servicios recibidos.

5) Soporte a la propia auditora: organizacin, planeacin, formacin.
1.2. Estudio inicial
A partir de la definicin anterior de objetivos y mbito, deber realizarse

un estudio global que permita conocer volmenes y complejidad de las
tareas a realizar.
El trabajo se realiza a partir de entrevistas, cuestionarios y, posiblemente,

muestreos para obtener una idea de la dimensin y complejidad del
mbito de estudio, lo que permitir estimar esfuerzos. Como elementos
fundamentales a considerar, pueden citarse la estructura y volumen de
los elementos a estudiar:
1) Organizacin.
a) rganos.
b) Nmero de clases diferentes de puestos de trabajo.
c) Cantidad de personas por cada clase de puesto.
d) Relaciones entre rganos (jerrquicas y funcionales).
e) Flujos de informacin.
2) Aplicaciones computacionales.
a) Cantidad, tamao y complejidad de los programas.
b) Antigedad.
c) Documentacin.
d) Cantidad y complejidad de archivos.
e) Mtodo de diseo.
3) Entorno operativo.
a) Configuracin de hardware y software bsico.
b) Nmero de centros.
c) Redes de comunicaciones.
d) Distribucin (de datos, aplicaciones, diseo y desarrollo).
4) Metodologa de trabajo.
a) Normas y procedimientos.
b) Documentacin (manuales).
c) Estndares.
d) Planificacin, control y administracin.
A partir de esos parmetros, se ha de obtener una definicin de la

envergadura del trabajo. El informe obtenido en esta etapa ha de
presentarse a validacin por los tcnicos y enlaces de auditora para
determinar si es correcto. Ha de obtenerse, finalmente, un informe
validado sobre los parmetros observados respecto a dimensiones del
trabajo y el esfuerzo a realizar.
1.3. Determinacin de perfiles
A partir de la definicin del punto anterior se podr obtener una lista de

los perfiles tcnicos precisos de las personas que habrn de colaborar en
la realizacin de la auditora. Fundamenta mente se tratar de:
1) Expertos en comunicacin.
2) Expertos en bases de datos.
3) Expertos en configuracin de hardware; adecuacin y medidas de
eficacia y rendimiento.
4) Expertos en organizacin y racionalizacin del trabajo administrativo.

64
5) Tcnicos computacionales en general.

6) Psiclogos.
Del mismo modo se estimarn los recursos materiales necesarios en

cuanto a:
1) Software.
a) Paquetes de auditora.
b) Compiladores.
c) Lenguajes.
d) Monitores.
e) Informes contables.
2) Hardware.
a) Tiempo de computador.
b) Equipos especficos.
1.4. Elaboracin de planes
Se aborda a continuacin la elaboracin de un plan, en que se indicarn:
1) Listas de actividades a realizar, estructuradas segn su secuencia

lgica, as como perfiles de las personas para ejecutarlas, e
inventario de medios necesarios.
2) Esfuerzos estimados para cada actividad por cada recurso preciso.
3) Se debe concretar en ellas la ayuda a recibir en la realizacin de la
auditora en cuanto a:
a) Personal tcnico y administrativo.
b) Software (equipos, tiempo de mquina).
c) Presupuesto inicial.
d) Contenido (aspectos) de los informes finales.
e) Boceto.
El plan se discute con los peticionarios de la auditora hasta obtener un

acuerdo provisional, sobre todo de los cuatro ltimos apartados.
1.5. Elaboracin de programas
Un plan se convierte en programa cuando las actividades pasan de estar

asignadas a recursos tipo (perfiles) a ser asignadas a recursos concretos
(personas u rganos), con fechas de iniciacin y terminacin previstas
para la realizacin. Es posible que de este hecho se derive la necesidad
de realizar ajustes en presupuestos o calendario, debido a
indisponibilidades o incompatibilidades de recursos. Hay que tener
presente que en la elaboracin de planes no se pueden establecer
calendarios, ya que se trabaja con recursos genricos y no concretos.
Como resultado de esta etapa se obtendr: el programa, el calendario en
firme y el presupuesto en firme.
Una vez ms hay que realizar una reunin con los peticionarios, o
enviarles los tres puntos, para obtener un acuerdo escrito, o un contrato.
1.6. Realizacin de las actividades
A partir de la definicin en firme, se puede comenzar la realizacin de la

auditora, teniendo en cuenta que puede abordarse:

1) Por temas o funciones. Por ejemplo, realizando en

primer lugar todos los trabajos relacionados con seguridad; en
segundo lugar, todos los relacionados con estructura, etc.
2) Por rganos auditados. Por ejemplo, se hace el
estudio completo de la seccin X y luego de la seccin Y, etc.
En el primer caso la realizacin de las actividades conlleva ms tiempo,

pero se obtiene un trabajo de ms calidad. Si se opta por escoger la
segunda alternativa se ahorra tiempo, las actividades se pueden realizar
ms rpidamente, pero se obtiene un trabajo de menos calidad.
1.7. Elaboracin del informe final
En cada fase del trabajo se entregan borradores de los informes, a las

personas implicadas, ya que puede haber existido algn error de
apreciacin, que en la crtica y validacin del borrador, debera
detectarse. Tambin pueden ponerse de manifiesto aspectos oscuros,
temas tratados incompleta o errneamente, o bien, asuntos no tratados.
Es decir, a medida que se realizan los estudios de rganos, funciones o
temas, se entregan borradores para su crtica y validacin. Con los
informes validados se elabora el informe final, que se entrega al
peticionario. O sea, que a partir de una sistematizacin de estos informes
parciales, se obtiene el informe final cuyo contenido consistir en:
1) Presentacin.
2) Definicin de mbitos y objetivos. .
3) Enumeracin de temas, rganos, aplicaciones, etc., considerados.
4) Anlisis.
a) Situacin prevista.
b) Situacin real.
c) Tendencias.
d) Puntos dbiles y amenazas que suponen.
e) Puntos fuertes y oportunidades.
5) Recomendaciones.
a) Descripcin.
b) Plan de implantacin.
c) Beneficios.
d) Plan de seguimiento y control.
Ocasionalmente, se puede determinar que las personas que han

realizado la auditora intervendrn en el futuro para seguir el
cumplimiento de los planes de accin recomendados en aspectos
definidos previamente.
2. REGLAS BSICAS EN LA REALIZACIN DE UNA

AUDITORA
Se indican en este apartado una serie de principios bsicos a tener en cuenta en
la realizacin de una auditora de cara a lograr una mayor efectividad en el
trabajo por parte del auditor computacional.
1. Fomentar la cooperacin de los elementos auditados. Normalmente se suele

adoptar una actitud defensiva ante el auditor, ya que se piensa que ste

66
busca culpables. Para evitar esa situacin, o incluso que se llegue a un

boicot ms o menos abierto, es preciso convencer a todos los implicados de
que el auditor slo busca mejoras y soluciones.
2. Contar con el apoyo de la direccin, ya que se debern realizar entrevistas y
solicitar documentacin y posiblemente trabajos de los elementos auditados.
3. Cuidar aspectos protocolarios; explicar al jefe de una unidad qu es lo que
se desea obtener en una entrevista con un subordinado suyo; establecer
una diferencia clara entre los jefes y los empleados.
4. Realizar una presentacin o entrevista inicial en que se explique el objetivo,
su justificacin y se aclaren dudas.
5. Solicitar con la antelacin precisa la informacin inicial a obtener. Es decir,
solicitar la informacin precisa antes de comenzar los trabajos (manuales de
normas, etc.).
6. No adelantar resultados parciales sobre un rea o funcin determinadas; las
visiones o anlisis parciales pueden causar impresiones falsas y adems ser
errneas.
7. Comentar con los interesados los resultados obtenidos antes de
presentarlos a niveles superiores.
Evidentemente, en caso de que se investiguen posibles fraudes o irregularidades

maliciosas, la estrategia es distinta, debiendo cuidar que se realicen y preparen
los trabajos pertinentes con el mayor sigilo posible.
1) No emitir juicios que no estn slidamente basados.

2) El auditor observa, juzga, recomienda. Al ser un personaje independiente de
la funcin o elemento auditado, no es responsable, ni realizador, ni usuario.

Autoevaluacin
Por qu es importante la planificacin en una auditora?
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
Planificar significa cumplir con normas?
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................

68
Para recordar
En la planificacin de una auditora es necesario contar con personal idneo que

garantice un trabajo con imparcialidad y total honestidad.
Verificacin de la informacin revisin de los planes de seguridad que la empresa

emplea, poner a prueba dicho sistema.
Proyectar el trabajo en tiempos y planes lgicos, para poder realizar un trabajo de

calidad y que permita orientar a los usuarios en forma correcta.

pginas.

unidad de
aprendizaje
2
semana
AUDITORA PERIMETRAL
Al trmino de la unidad, los alumnos, trabajando individualmente, planificaran y

aplicarn una auditoria de router y firewall.
TEMARIO
Antecedentes
Auditora de red y permetro
Instalar un censor y comprobar su funcionamiento.

70
1. ANTECEDENTES
Este tipo de estudio permite determinar la seguridad de la frontera entre la red
externa (Internet, VPN, redes remotas) y las redes internas de su
organizacin. Gracias a un anlisis exhaustivo de los servicios externos de su
organizacin el equipo de auditores determinar la seguridad de los sistemas de
su empresa y le ayudar a mantener protegida la informacin de su organizacin
evitando un impacto negativo para la imagen y economa de la misma.
2. AUDITORA DE RED Y PERMETRO

Una de las visiones errneas de muchos encargados de seguridad de redes y
sistemas es suponer que la seguridad se compra en una caja de firewall o en
una herramienta de seguridad, esta nocin coloca en riesgo toda la
infraestructura de informacin ya que asumen que los componentes de
seguridad (firewall, vpn, etc.) no requiere de revisin de seguridad ya que son
componentes seguros.
La misma evolucin de la red en nmero de nodos y en servicios puede generar

un desgaste en los esquemas de seguridad, ya que la regla de simplificar las
cosas puede llevar a contradicciones en la aplicacin de seguridad perimetral.
Los errores pueden ir desde cortocircuitar un firewall en sus reglas o incluir

sistemas de Intranet en segmentos de las DMZ. Este tipo de errores puede llevar
al fracaso toda la infraestructura de seguridad, de igual forma los VPN deben
evaluarse para detectar si estos estn cumpliendo con las polticas trazadas o
no, sin utilidad.
Todo componente de la infraestructura de seguridad es auditable cien por ciento,

ya que puede llegarse a presentar problemas de seguridad no solo por la
configuracin y administracin, como ya lo mencionamos, sino por la misma
tecnologa.
La seguridad Perimetral proporcionada por los Firewall, tambin es auditable de

forma prctica las pruebas de penetracin necesarias a los servicios de Internet
a travs de herramientas de uso comn en las pruebas de penetracin.
El Web Hacking es una de las actividades que ms impacto negativo puede

tener sobre la credibilidad y confianza que los clientes o usuarios pueden tener
sobre la seriedad de una organizacin, es por esto que se debe realizar un
especial anlisis de seguridad sobre este tipo de servicios.
Configuracin de los sistemas utilizados en su arquitectura perimetral: Routers,

Firewalls y IDSs.
Caractersticas:
Arquitectura de red perimetral.
Listado de aplicaciones y servicios que se transcurren por su red perimetral
ltimo informe de auditora, si existe.

Fig. 1 Red Perimetral
2.1. Auditora de Routers
Router
Es el primer dispositivo del permetro de red que es alcanzado por las

comunicaciones que provienen del exterior, de all su importancia en la
seguridad y sus niveles de control denominados ACLs (Access Control
Lists).
El router es el dispositivo que interconecta las redes Internas o DMZ hacia

redes externas y representa el primer dispositivo con capacidades de
controles de seguridad de acceso que debe ser reforzado para bloquear
ataques conocidos. Representa la primera barrera respecto a redes de
proveedores de acceso y a visitantes de redes pblicas.
El router es un dispositivo que trabaja en la capa 3 del modelo OSI (Red)

pues entiende de direcciones IP y capa 4 (Transporte) en algunos casos
puede especificrsele puertos de transporte. Es por ello que aqu se
implementan las primeras reglas denominadas Listas de Acceso.
Definicin y funciones
Un router, es un dispositivo que permite interconectar redes o subredes

diferentes, especialmente usado para redes WAN. Sirve para
interconectar una o ms redes LAN de alta velocidad 10 Mbps / 100 Mbps
/ 1 Gbps mediante un enlace de baja velocidad a 28 Kbps, 2 Mbps, etc.
Para esta interconexin se emplean diversos protocolos de Enlace de
Datos, medios de enlace y tipos de enrutamiento.
Las funciones de un router son:

Interconectar redes LAN, a distancias grandes enlaces WAN.
Comunicar datos utilizando diferentes tecnologas y protocolos de
enlace de datos.

72
Tomar decisiones con respecto alcalino que deben tomar los paquetes
de datos (enrutamiento).
Fig. 2 Routers interconectado dos redes LAN
Arquitectura y componentes
La estructura de un router, responde a componentes externos e internos,

los cuales se describen a continuacin:
1) Arquitectura externa de un router: En general, un router posee
puertos de consola y auxiliar, terminales virtuales y estaciones de
administracin (NMS).
Fig. 3 Arquitectura externa de un router
Seguridad fsica: Se debe prestar atencin a las conexiones

fuera de banda (Out-Of-Band) como: puerto de consola y puerto
auxiliar.

Seguridad lgica: Analizar las conexiones en banda (medios de

conexin a travs del mismo enlace para los datos) (In-Band)
como: Terminales virtuales con sesiones telnet, ssh o NMS
(Network Management System) usando SNMP y CDP.
2) Arquitectura interna de un router: Internamente se definen:

Las memorias del router:
RAM Memoria temporal voltil.
ROM Memoria que viene de fbrica.
NVRAM Memoria No Voltil donde se graban las
configuraciones.
FLASH Memoria que se utiliza para almacenar una imagen
completa del software IOS (Internetworking Operating
System) del router.
Las interfaces para transmitir datos, que pueden ser interfaces:
ethernet, seriales, etc.
Los puertos externos para configuracin: consola y auxiliar.
Fig. 4 Arquitectura interna de un router
Auditora de los routers
Para la auditora de los routers, se realiza la revisin de una de las ms

aceptadas tcnicas de auditora basada en normas y mejores prcticas
recomendadas por CIS (Center for Internet Security).
Para realizar una auditora a un router, se deben revisar varios aspectos:

Seguridad fsica: Accesos a la consola y puertos fsicos. Puertos de
consola, ambientes protegidos.
Vulnerabilidades: Sistemas operativos dependiendo de la marca y
modelo. (Parches y actualizaciones de seguridad).
Seguridad lgica: Acceso por interfaces a determinados protocolos,
deshabilitar los que no son seguros.
Seguridad de las comunicaciones que pasan a travs del router:
Controles basados en direcciones IP, direcciones MAC, interfaces, etc.
2.1.1. Controles de Acceso

74
Los Controles de Acceso en un router son conocidos como Listas

de Control de Acceso (ACLs Acces List Control).
Los comandos de los routers permiten definir diferentes ACLs

para cada interface. Por ejemplo para definir una interface
especfica para los routers Cisco se utiliza:
R5(config)#ip access-group 45 in
R5(config)#ip access-group 46 out
En el ejemplo se hacen referencia a dos ACLs, una utilizada para

las comunicaciones entrantes in denominada 45 y la otra, para
las comunicaciones salientes out y denominada46. Se deben
definir estos access-group en la configuracin global, y el orden en
que se definen cada uno de los accesos permitidos dicta la
secuencia de verificacin para cada paquete que atraviese el
router.
Por ejemplo, para la ACL denominada 45:
R5(config)#access-list 45 permit 10.21.12.71 log

R5(config)#access-list 45 deny any log
R5(config)#sh access-list
Standard IP access list 45
permit 10.21.12.71 log
deny any log
R5(config)#
Con esta lista de acceso (ACL) 45 se bloquean las

comunicaciones de cualquier direccin IP exceptuando las IPs
privadas 10.21.12.71, 10.21.12.72, 10.21.12.73 y 10.21.12.74.
Para culminar el ejemplo, para la ACL denominada 46 se tiene:
R5(config)#access-list 46 permit 10.21.12.0 0.0.3.255 any

R5(config)#access-list 46 deny ip any any
Este ejemplo muestra claramente que las listas de acceso son

muy especficas y deben ser configuradas de acuerdo a cada red.
2.1.2. Seguridad del router

La seguridad del router se refiere a las reglas de acceso que
tienen que ver con la forma como se configure o modifique su
propia configuracin, y los mtodos y protocolos que se
configuraran en l para acceder a la informacin que ponga riesgo
la seguridad.

Para realizarlo en el router Cisco de nuestro ejemplo:
Requerimiento para encriptar las contraseas,
R5(config)#service password-encryption
Protocolo ICMP:
R5(config)#no ip redirects
R5(config)#no ip unreachables
R5(config)#no ip mask-reply
Interfaces de acceso:
R5(config)#exec-timeout 5 0
R5(config)#password 7 cibertec
Protocolos adicionales:

R5(config)#no service tcp-small-servers
R5(config)#no service udp-small-servers
R5(config)#no ip bootp server
R5(config)#no bootp network
R5(config)#no service config

R5(config)#no ip http server
R5(config)#no cdp run
El protocolo CDP (Cisco Discovery Protocol) es propietario de

Cisco y permite El intercambio de informacin entre routers y
equipos Cisco para entregar esta informacin a una consola de
administracin NMS (Network Management Server) como tambin
a otros software de Cisco, que inclusive permite cambiar
parmetros mediante este protocolo.
2.1.3. Identificacin de vulnerabilidades
El proceso de identificacin de vulnerabilidades est basado en

las caractersticas propias de la versin del sistema operativo. En
nuestro ejemplo IOS, stas dependen obviamente de cada
fabricante, marca y modelo de router. Para ello. Debe de
mantenerse actualizadas las versiones de este sistema operativo
y actualizar los parches de seguridad que sean publicados por el
fabricante, siempre previa prueba en ambiente distinto al de
produccin.
La recomendacin ms importante es mantenerse actualizado con

este tipo de informacin, para ello debe por lo menos suscribirse a
un par de listas de correo sobre seguridad donde reemitan
notificaciones de vulnerabilidades encontradas en los productos
que nos conciernen. Esta recomendacin es general para
cualquier equipo de red.

76
www.sans.org
www.securityfocus.com
www.cert.org
Definitivamente, la ltima palabra la tienen las herramientas de

deteccin de vulnerabilidades que son la principal ayuda para el
auditor.
2.1.4. Auditora sobre el router
Para realizar una auditora, se debe emplear una herramienta

reconocida. Para ello, se utiliza la proporcionada por CIS
(http://www.cisecurity.org/bench_cisco.html).
RAT (Router Auditing Tool) Se utiliza para verificar el nivel de

seguridad que tiene un router Cisco.
Fig. 5 Resultados de Auditora de un router usando RAT
Procedimiento:
Verificar la configuracin del router contra las listas de gua
establecidas por CIS Level 1.
Descargar la configuracin del router, y contrastarla con los
parmetros patrones (Benchmark).

Nuevamente, verificar la configuracin del router contra el

estndar de comparacin (Benchmark) por CIS Level 1.
Descargar la configuracin del router, y contrastarla con los
parmetros patrones (Benchmark).
Para cada configuracin se produce:

Una lista de cada regla verificada con un puntaje bien-mal
(pass-fail).
Un puntaje total plano y ponderado.
Una lista de los comandos IOS que corrigen los problemas
identificados.
Documentacin relacionada con RAT:

NSA Router Security Configuration Guide
(http://www.nsa.gov/snac/routers/C4-040R-02.pdf)
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_te
ch_note09186a0080120f48.shtml
http://www.team-cymru.org/ReadingRoom/Documents/
http://ncat.sourceforge.net/

2.1.5. Tcnicas de Auditora
Recomendaciones al auditar un router:

Verificar las versiones y actualizaciones de seguridad
disponibles por parte del fabricante.
Verificar la seguridad fsica, como el acceso a puertos de
consola y auxiliar.
Escanear la configuracin del router con: RAT y CIS.
Escanear los puertos y servicios vulnerables mediante el uso
de otras herramientas como NESSUS o NMAP. Este escaneo
debe realizarse por cada una de sus interfaces, hasta las que
no se encuentren configuradas.
Contrastar la configuracin actual del router con la Gua de
Seguridad para la Configuracin de un Router creada por la
NSA.
2.1.6. Recursos de Auditora
Para auditar un router se pueden emplear muchas herramientas

disponibles, entre las ms populares destacan:
RAT Router Auditing Tool
(http://www.cisecurity.org/bench_cisco.html).
CIS Cisco Router Security Benchmark
(http://www.cisecurity.org/bench_cisco.html)
NMAP Network Mapper
(www.insecure.org)
NESSUS VULNERABILITY SCANNER
(www.nessus.org)

78
2.2. Auditoria de Firewall
Para administrar un Firewall se requiere tener en cuenta tres aspectos:

La configuracin, optimizacin y seguridad del sistema operativo.
La configuracin del Firewall.
La administracin del sistema.
Adicionalmente se debe de conocer la topologa y recomendaciones sobre

la creacin de una DMZ.
Fig. 6 Uso de dos firewall de marcas diferentes
1) Configuracin del sistema operativo

El componente base de un Firewall es el sistema operativo en el que
se encuentra instado, de ello depende que tan robusto puede ser y
lograr sea una real muralla de proteccin.
Para ello debe siempre verificarse las actualizaciones y parches de

seguridad del fabricante del sistema operativo, as como la versin de
este.
Luego deben emplearse las tcnicas de fortalecimiento (Hardening)

del sistema operativo, que son una serie de recomendaciones para
desactivar servicios y aplicaciones que no son seguras y que son
innecesarias pero que vienen con el sistema operativo base. Tambin
dichas recomendaciones permiten incrementar los niveles de
seguridad realizando cambios en las configuraciones de servicios y
aplicaciones. As como la sustitucin de herramientas vulnerables o
inseguras por otras ms seguras.
2) Configuracin del Firewall
El firewall debe configurarse mediante la creacin de reglas que

permitan especificar qu servicios son permitidos pasar a travs de
l. Adicionalmente el firewall posee configuraciones de autenticacin,
registro de eventos remoto (logs), etc.
Requerimientos:
o Prevenir el acceso no autorizado desde la red interna.
o Prevenir el acceso no autorizado de servicios que provienen
desde la red interna.
o Mantener un log de actividades.

o Fcil administracin.
o Proporcionar mecanismos de alarma.
o Soportar SNMP.
o Configurar a nivel de IP, servicio y niveles de usuario.
Polticas:
o Polticas de direcciones IP.
o Definir el ISP (Proveedor de Servicios de Internet).
o Definir los puntos de entrada/salida de la red interna.
o Realizar un anlisis del flujo de paquetes relacionando el
Diagrama Lgico con el Diagrama Fsico.
o Requerimientos de las sucursales remotas.
o Tiene redes externas no confiables? Como enlaces
dedicados con socios o proveedores.
o La red externa tiene acceso a la red interna? Debera
usarse una zona DMZ solo para los accesos necesarios
desde la red externa.
Caractersticas:
o No previene de ataques internos.
o Qu pasa si los crmenes son cometidos por alguien dentro
del Firewall?
o Alguien tiene que administrar el firewall.
o Alguien tiene que asegurar que el firewall est configurado
correctamente.
o Alguien tiene que revisar los registros del firewall.
3) Administracin del sistema

Para administrar un Firewall se requiere:
Una constante actualizacin de conocimientos de seguridad.
Verificacin programada de parches y actualizaciones para el
sistema operativo que utiliza el Firewall.
Verificacin programada de parches y actualizaciones para la
aplicacin Firewall en s mismo.
Un slido conocimiento de los protocolos de comunicaciones que
se utilizan.
Tener y conocer herramientas de:
o Anlisis de protocolos.
o Escaneo de vulnerabilidades.
o Deteccin de Intrusos.
o Deteccin de virus.
o Todas ellas deben mantenerse actualizadas diariamente por
ser componentes crticos.
Configurar el registro de eventos (logs) para una Auditora de
Seguridad.
Disear y utilizar un sistema de control y supervisin de
cambios11.
11
http://csrc.nist.gov/publications/nistpubs/800-41/sp800-41.pdf
http://csrc.nist.gov/publications/drafts/800-41-Rev1/Draft-SP800-41rev1.pdf

80
2.2.1. Evaluacin de las Reglas de Firewall12
Para evaluar las reglas del Firewall se debe hacer un anlisis del
flujo de paquetes relacionado el Diagrama Lgico con el Diagrama
Fsico. Para ello se deben seguir los siguientes pasos:
Hacer un diagrama detallado de la red y sus accesos internos
y externos, notando los servidores y servicios que intervienen
y los protocolos y puertos de transporte mnimos.
Establecer el sentido y recorrido del flujo de informacin, para
cada servicio y establecer las direcciones de los servidores
que intervienen y los protocolos y puertos de transporte
mnimos que emplean.
Verificar la Regla Cero del Firewall.
Evaluar los NATs (Network Address Translation) requeridos:
dinmicos y estticos.
2.2.1.1. Identificacin de errores de configuracin
Existen muchas clases de errores de configuracin.

Para identificarlos se debe revisar la lista de verificacin.
Entre las que destaca la lista de protocolos a ser

bloqueados por considerarse inseguros:
Service Port Type Port Number

DNS Zone Transfers except from external TCP 53
secondary DNS servers
TFTP Daemon UDP 69
Link TCP 87
SUN RPC TCP & UDP 111
BSD UNIX TCP 512 514
LPD TCP 515
UUCPD TCP 540
Open Windows TCP & UDP 2000
NFS TCP & UDP 2049
X Windows TCP & UDP 6000 6255
Small services TCP & UDP 20 and below
FTP TCP 21
SSH TCP 22
Telnet TCP 23
SMTP (except external mail relays) TCP 25
NTP TCP & UDP 37
Finger TCP 79
HTTP (except to external web servers) TCP 80
POP TCP 109 &110
NNTP TCP 119
NTP TCP 123
NetBIOS in Windows NT TCP &UDP 135
NetBIOS in Windows NT UDP 137 & 138
NetBIOS TCP 139
IMAP TCP 143
SNMP TCP &UDP 161 &162
12
http://csrc.nist.gov/groups/SNS/index.html

BGP TCP 179

LDAP TCP &UDP 389
SSL (except to external web servers) TCP 443
NetBIOS in Win2k TCP &UDP 445
Syslog UDP 514
SOCKS TCP 1080
Cisco AUX port TCP 2001
Cisco AUX port (stream) TCP 4001
Lockd (Linux DoS Vulnerability) TCP &UDP 4045
Cisco AUX port (binary) TCP 6001
Common high order HTTP ports TCP 8000, 8080, 8888
2.2.1.2. Identificacin de vulnerabilidades
Qu sucede si el Firewall es vulnerable a un ataque?

El impacto puede daar o alcanzar a todo el sito o a
todos los puntos de la red.
Fig. 7 Firewall con tres interfaces de red
Si se analiza el caso de tener un solo Firewall con tres

interfaces de red que permiten:
Una interface a la red externa.
Una interface a la zona DMZ.
Una interface a la red interna.
El riesgo de tener esta topologa es precisamente de

que una vulnerabilidad en el Firewall podra permitir el
acceso desde la red externa a cualquier punto de la red
tanto la zona DMZ como la red interna.

82
Para disminuir el riesgo, se debe emplear dos Firewalls

de diferentes marcas, uno detrs de otro, creando a su
vez entre ellos la denominada zona DMZ y detrs del
segundo Firewall, la red interna (Fig. 6).
Cada sitio tiene un Firewal de una cierta clase. Puede

ser:
Filtrado de paquetes Permiten aceptar o denegar
a los paquetes en funcin de las direcciones IPs y
puertos de transporte.
De estado (stateful) de flujo Permiten analizar el
estado de las sesiones al nivel de la capa
transporte del modelo OSI.
Se recomienda emplear las siguientes herramientas:

Nessus - http://www.nessus.org/nessus/
ISS (Internet Security Scanner) - http://www.iss.net
Retina Vulnerability Scanner -
http://www.eeye.com/html/products/retina/index.html
Los Firewall son una parte de una defensa dividida por

capas.
2.2.1.3. Flujo de paquetes
El flujo de paquetes requiere un anlisis detallado desde

la estructura fsica, es decir, la topologa de la red hasta
un diagrama detallado del flujo de paquetes que
representa cada una de las reglas del Firewall o
polticas de acceso entrante o saliente a las zonas de la
red.
Las zonas de una organizacin se definen como:

Zona Externa.
Zona DMZ.
Zona Interna.
Zona de Proveedores y Socios.
Fig. 8 Zonas

Ejemplo:
A partir de la Fig. 8 analizaremos el flujo de paquetes de
salida Web de usuario interno a Internet.
HTTP: Protocolo: IP Transporte: TCP Puerto: 80

HTTPS: Protocolo: IP Transporte: TCP Puerto: 443
Fig. 9 Flujo de paquetes
2.2.1.4. Control de cambios
El control de cambios debe ser controlado por el estricto

cumplimiento de un procedimiento que va desde los
requisitos para un requerimiento adicional de servicios
hasta el cambio en s mismo que debe ser
documentado. Se recomienda un backup previo de la
configuracin antes de realizar cualquier modificacin y
registrar la identificacin de quin realiza dicho cambio.
Para realizar el control de cambios se requiere:
Procedimiento para la solicitud de una modificacin
exigiendo la especificacin de los siguiente:
o Direcciones IP o MAC de los equipos que
intervienen en la comunicacin.
o Protocolos empleados.
o Puertos de la capa transporte (TCP/UDP).
o Sentido del flujo de la informacin (para
definir stateful firewall y para definir NATs).
Backup previo e la comunicacin actual.
Registrar la fecha de la modificacin, la definicin
de quin la realiza, y una descripcin de la razn.
Mantener habilitado el registro de eventos de
modificacin de las polticas y reglas del firewall.
2.3. Auditora de VPN
Los ltimos tiempos se ha formado una idea equivocada sobre la

seguridad en las Redes Privadas Virtuales (VPN) dado que mucha gente
piensa que este tipo de redes son impenetrables. Esta es una afirmacin
equivocada ya que en multitud de ocasiones una VPN puede ser el punto
de acceso para un atacante.

84
Con este tipo de auditora se pretende:

Auditar la seguridad del servidor VPN.
Evaluar los sistemas cliente para buscar posibles problemas derivados
de una mala configuracin.
Ayudar al cliente a securizar la infraestructura de la Red Privada
Virtual para construir una configuracin robusta que no suponga una
amenaza para la red interna.
2.4. Beneficios
Contar con un anlisis completo de la situacin actual.

Aumentar la confianza con respecto a terceros.
Aumentar la seguridad de sus servidores crticos, que contienen la
informacin fundamental para su negocio.

Autoevaluacin
Por qu es importante la auditora perimetral?
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
Indique 3 caractersticas de una auditora en routers.
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................

86
Resumen
Este tipo de estudio permite determinar la seguridad de la frontera entre la red

externa (Internet, VPN, redes remotas) y las redes internas de su organizacin
El router cuenta con una conexin para consola y otra auxiliar (ambas para cable
RJ45) y desde luego la conexin de potencia

unidad de
aprendizaje
2
semana
AUDITORA DE REDES INFORMTICAS

Al trmino de la unidad, los alumnos, trabajando individualmente, analizaran

los diferentes parmetros de seguridad establecidos y verificar su
funcionamiento.
TEMARIO
Generalidades
Auditora de Red Interna
Prueba de intrusos
Los alumnos analizaran mediante un ejemplo la seguridad de una red.

88
1. GENERALIDADES
En la actualidad la informacin representa un valor estratgico para la empresa,
y por ello para hacer el mejor uso de ella se debe alcanzar un objetivo triple:
Integridad: la informacin no debe ser alterada ni modificada por personal no
autorizado.
Privacidad: la informacin slo debe ser visible por los usuarios autorizados.
Disponibilidad: la informacin debe estar siempre disponible all donde se
necesite.
Permite realizar una evaluacin detallada de su Arquitectura de Seguridad

mediante un anlisis a nivel tcnico (servidores, networking, firewalls, routers,
etc.) a nivel de procedimientos (procesos de revisiones y actualizaciones,
polticas de accesos, contraseas, adecuacin a la LOPD13, planes de
contingencia, etc.). El informe de Auditora ayudar a evitar riesgos de seguridad
teniendo en cuenta todos los componentes que garanticen la confidencialidad,
Integridad y Disponibilidad de datos.
Fig. 1 Red Interna
1.1. Vulnerabilidades en Redes Informticas
En redes de comunicaciones, pueden producirse bsicamente tres tipos

de incidencias:
Alteracin de bits. Por error en los medios de transmisin, una trama
puede sufrir variacin en parte de su contenido.
Ausencia de tramas. Por error en el medio, o en algn nodo, o por
sobrecarga, alguna trama puede desaparecer en el camino del emisor
al receptor.
13
Ley Orgnica de Proteccin de Datos

Alteracin de secuencia. El orden en el que se envan y se reciben

las tramas no coincide.
Los riesgos de una posible interceptacin a travs de un ataque al medio

de transmisin son:
Indagacin. Un mensaje puede ser ledo por un tercero, obteniendo la
informacin que contenga.
Suplantacin. Un tercero puede introducir un mensaje fraudulento
que el receptor cree proveniente del emisor legtimo.
Modificacin. Un tercero puede alterar el contenido del mensaje.
En las redes internas el mayor peligro es la instalacin de programas

escucha (sniffers).
1.2. Anlisis de la Seguridad Informtica
Se basa en el anlisis y la evaluacin de los sistemas de informacin del

cliente con el fin de determinar cuales son las principales vulnerabilidades
que presentan y aportar las recomendaciones oportunas para protegerlas.
Fig. 2 Escaneo de Red
La duracin de dicho anlisis depende de la cantidad de equipos a auditar

y las facilidades que el usuario brinde, se analizaran las instalaciones del
cliente y se prepararan informes y presentacin de conclusiones.
Las acciones a realizar se basan en:
El anlisis de la red realizado por el Consultor.

90
El anlisis de las configuraciones de los sistemas en explotacin

realizado por la aplicacin determinada.
Previamente al anlisis se debe tener:

Un mapa de la red, cuanto ms detallado mejor.
Un listado con los recursos informticos en el anlisis, o sobre los que
desea centrar el anlisis, y una breve explicacin de los mismos.
2. AUDITORA DE RED INTERNA
2.1. Auditora DMZ
Entendiendo por DMZ la red donde se sitan exclusivamente los

servidores que pueden ser accedidos desde Internet (Web, FTP, Correo,
etc.). Esta DMZ es la que representa un mayor nivel de riesgo, ya que los
servidores que pueden ser accedidos, tambin pueden ser atacados.
Sobre estos servidores se realizar un anlisis exhaustivo para determinar
las posibles vulnerabilidades que presenten.
Caractersticas:
El sistema se ataca14 desde la propia DMZ del cliente sin la proteccin
del "Firewall" externo.
Fig. 3 Reporte de escaneo
14
http://www.nessus.org/nessus/

Fig. 4 Detalle de escaneo
Fig. 5 Detalle de vulnerabilidad

92
Se analizan sistemticamente vulnerabilidades de sistemas operativos

y aplicaciones de mercado. (Ver Fig. 4 y 5)
Se realiza remotamente y on-site.
Resultados:
Informe sobre vulnerabilidades existentes.
Referencia tcnica sobre soluciones.
Evaluacin de las polticas de seguridad.
Recomendaciones de mantenimiento de seguridad.
Fig. 6 Reporte de escaneo
2.2. Auditora LAN
No slo los servidores accesibles desde Internet pueden tener problemas

de seguridad. Tambin pueden tener problemas los servidores internos de
su red informtica. Tambin sobre estos servidores deben de localizarse y
solventarse las posibles vulnerabilidades.

Caractersticas:
Se analizan sistemticamente vulnerabilidades de sistemas operativos
y aplicaciones de mercado explotables por los usuarios internos de la
organizacin.
Se simula la actuacin de un usuario interno que trate de acceder a
datos para los que no est autorizado.
Se realiza en las instalaciones del cliente.
Testeo on-site del cdigo fuente de las aplicaciones propietarias.
El anlisis cubre todos los niveles posibles, desde el topolgico hasta
las aplicaciones.
Resultados:
Informe sobre vulnerabilidades existentes.
Referencia tcnica sobre soluciones.
Evaluacin de las polticas de seguridad.
Recomendaciones de mantenimiento de seguridad.
2.3. Auditoria en IDS
Las organizaciones que implementan procesos para la gestin de

vulnerabilidades, sufren un 90% menos ataques exitosos en comparacin
con aquellas que solo invierten en Firewalls y Sistemas para Deteccin de
Intrusos (IDS).
La finalidad es poner a prueba la efectividad de IDS.
La seguridad de red, en la forma de Firewalls e IDS, entrega niveles

bsicos de proteccin, bloqueando y monitoreando el trfico. Pero sobre
la red se encuentran los sistemas, y con el tiempo estos sistemas
acumulan vulnerabilidades. Es fundamental identificar los agujeros de
seguridad y aplicar las medidas correctivas, antes que sea demasiado
tarde.
3. PRUEBA DE INTRUSOS
El objetivo es detectar el grado de vulnerabilidad de los sistemas del cliente
frente a ataques externos y evaluar su capacidad de deteccin frente a estos
ataques.
Todos estos servicios se realizarn en estrecha colaboracin con el responsable

del cliente, de forma que en todo momento est informado de los pasos que se
estn realizando.
Al final del servicio se emitir un informe con recomendaciones tcnicas.
Dentro del test se realizarn intentos de intrusin sobre cualquier mquina que
pueda ser accesible, bien directamente o a travs de otros equipos. Asimismo se
analizar el nivel de seguridad que presentan las defensas actuales (routers,
firewalls, IDS, etc.).
Durante la realizacin del test, se elaborar una documentacin, la cual ser la

que se presentar al cliente a la finalizacin del servicio.

94
Dentro del Test de Intrusin se pedir incluir una Denegacin del Servicio, con
este denegacin lo que se pretende es dar a conocer la respuesta de los
sistemas y el grado de deteccin ante un ataque de este tipo.
El test de penetracin es una prueba tcnica que se ejecuta en un contexto

delimitado (una IP pblica, un equipo de la red local, lo que sea), en el que se
intenta lograr la intrusin explotando vulnerabilidades, problemas tcnicos y
deficiencias de la configuracin, con la finalidad de evaluar si un sistema es o no
es seguro ante un ataque externo.
Muchas veces se habla de hacking tico, queriendo significar esto que se trata
de ponernos en la piel de un atacante externo que, explotando problemas, desea
acceder a los recursos protegidos. El adjetivo tico hace referencia a que se
realiza bajo demanda del cliente, y sin oscuras intenciones. Por eso mismo sera
ms prudente llamarlo cracking tico, porque segn la filosofa underground15, el
hacker entra sin causar daos ni pretenderlos.
La mejor manera de entender qu es un test de penetracin, es resumiendo
esquemticamente las fases habituales de un anlisis de este tipo:
1) Definir el objetivo. Ejemplo de anlisis: direccin IP de www.openbsb.com
2) Listado de servicios en exposicin (habitualmente, un escaneo de

puertos). Ejemplo: 80/tcp open http.
Fig. 7 Escaneo de puertos
3) Identificacin completa de servicios y versiones. Identificar qu servidor

Web y que versin estn a la escucha del puerto 80.
Nmap, aplicando la opcin de TCP/IP fingerprinting. Ejecutamos:

nmap -T4 -A www.openbsd.org -p 80
15
http://www.hackindex.com/index.php/tag/filosofia-hacker/

Fig. 8 Identificacin del servidor Web
Se identifica lo siguiente:
80/tcp open http Apache httpd 1.3.34 ((Unix) mod_perl/1.27)
Running: Sun Solaris 2.X|7.
OS details: Sun Solaris 2.6 - 7 with tcp_strong_iss=2
4) Anlisis automatizado de vulnerabilidades y deficiencias. Antes de

proceder al anlisis manual, ejecutar un escner de vulnerabilidades
(Nessus) para ver si el servidor Apache descubierto es vulnerable o no.
Fig. 9 Bsqueda de vulnerabilidades
El escner automtico no muestra nada anormal.

96
5) Anlisis manual de vulnerabilidades y deficiencias. Repasar el histrico

de vulnerabilidades y tratar de explotar las deficiencias manualmente. (Ver
Fig. 10)
6) Ejecucin de la intrusin. En caso de que por el Servidor Apache no sea

posible, tratar por el sistema operativo Solaris, o va mdulos de Apache
detectados, como mod_perl/1.27. Cualquier puerta de entrada es vlida.
(Ver Fig. 11)
7) Recoleccin de evidencias. En el caso de que se encuentren vas de

acceso. Hay que guardar todas las pruebas para demostrar despus los
logros del trabajo (capturas de pantalla, logs, etc).
Fig. 10 Vulnerabilidades Apache
8) Informe del test. Documentar todo lo que se ha realizado y qu se ha

logrado, y lo ms importante: consignar las recomendaciones para subsanar
el problema con la mejor optimizacin.
Un trabajo tcnico que no proporciona soluciones ptimas no sirve DE NADA.

Fig. 11 Exploits Apache

98
Autoevaluacin
Por qu es importante auditar la seguridad en redes?
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
Cmo definir los parmetros de seguridad en una red determinada?
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................

Resumen
Permite realizar una evaluacin detallada de su Arquitectura de Seguridad

mediante un anlisis a nivel tcnico (servidores, networking, firewalls, routers, etc.).
Se basa en el anlisis y la evaluacin de los sistemas de informacin del cliente

con el fin de determinar cules son las principales vulnerabilidades que presentan.

pginas.
http://www.microsoft.com/spain/empresas/guia_lopd/home.mspx
Aqu hallar informacin de la normativa Proteccin de Datos de Carcter
Personal.

100

unidad de
aprendizaje
2
semana
AUDITORA DE SERVIDORES
Al trmino de la unidad, los alumnos, trabajando individualmente, analizaran los

diferentes parmetros de seguridad para el fortalecimiento del sistema operativo
(Microsoft Windows, UNIX, FreeBSD y Linux) de los servidores y verificar su
funcionamiento.
TEMARIO
Servidor
Auditoria del Sistema Operativo
Mediante un ejemplo analizar una auditora en el servidor.

102
1. SERVIDOR
La Seguridad de los Sistemas de Informacin se caracteriza por la
Confidencialidad, Integridad y Disponibilidad de los mismos. Para mantener
estos parmetros en sus niveles ptimos es necesario identificar y controlar
cualquier circunstancia que pueda menoscabar el sistema en cualquiera de estos
aspectos.
Las necesidades de seguridad de un sistema de informacin se identifican a

travs de una evaluacin metdica de los riesgos del mismo. Las acciones
encaminadas a lograr el nivel de seguridad deseado pasan por la definicin e
implantacin de las medidas de control necesarias para eliminar o reducir las
posibles consecuencias de la materializacin de los riesgos detectados.
El servidor es el equipo que va a dar servicio al sistema por lo tanto debe ser de
gran capacidad tanto en memoria, en dispositivo de almacenamiento o en arreglo
de discos, y de alta disponibilidad es decir velocidad
Para verificar ello se debe tener informacin tcnica del equipo respecto a los
parmetros antes mencionados:
Verificar el tamao de memoria, tipo y velocidad, comprobar si se tiene
capacidad para expansin, si la tuviera aadir en el informe esa posibilidad.
Verificar la cantidad de espacio en disco duro, si esta en arreglo verificar el
tipo de arreglo, si existe un arreglo en clustering, si tiene un arreglo de alta
disponibilidad.
Si existe un arreglo de alta disponibilidad revisar y verificar los planes de
contingencia previstos ate una falla.
Revisar si los servidores se encuentran en un lugar adecuado, es decir con
sistema de aire acondicionado adecuado, los sistemas de proteccin en
buen funcionamiento UPS, si tienen los sistemas de backup operativos.
Verificar que los servidores tengan los aplicativos adecuados para brindar el
servicio esperado.
Si tiene un programa antivirus actualizado en lnea, si se tiene servidores
DMZ, para verificacin de seguridad.
Poner a prueba el buen funcionamiento del servidor por medio de software
que permite revisar el rendimiento del servidor ante aplicaciones crticas.
Revisar los sistemas de seguridad que estos servidores tienen como la
autenticacin, llaves privadas o pblicas, para dar mayor solidez al sistema.
2. AUDITORA DEL SISTEMA OPERATIVO
2.1. Microsoft Windows
La instalacin predeterminada regularmente no es la mejor configuracin y

esta observacin no es tomada en cuenta por los administradores la
mayor parte de las veces. En esa configuracin, los sistemas Windows
continan arrastrando protocolos inseguros, ya que no se puede hablar de
una migracin sin perder compatibilidad con versiones anteriores.
Se deben evaluar las caractersticas de seguridad que el sistema incluye

en sus plantillas de polticas del sistema as como las de grupo, para esto

se realizar la auditora manual de las polticas y a travs de herramientas

de auditora que el sistema proporciona.
Se describirn distintos puntos interesantes que el registro del sistema

incluye para configurar caractersticas de seguridad, dichos puntos deben
tomarse en cuenta al momento de realizar una auditora de seguridad, ya
que dichas llaves de configuracin del registro afectan directamente la
seguridad del sistema.
Herramientas que ayudan a evaluar la auditora del sistema: accesos al

sistema, privilegios de acceso, polticas de contraseas, entre otras
variables de la auditora del sistema que permiten mantener una
administracin segura del sistema
2.1.1. Servicios mnimos necesarios del sistema operativo
El siguiente listado muestra los servicios mnimos necesarios

para que un equipo funcione en una configuracin de alta
seguridad:
DNS Client
EventLog
IPSec Policy Agent
Logical Disk Manager
Network Connections Manager
Plug & Play
Protected Storage
Remote Procedure Call
Remote Registry Service
RunAs service
Security Accounts Manager
En caso de compartir archivos entre equipos, se necesitaran

adems los siguientes servicios:
Server: Utilizado para compartir los recursos del equipo
Workstation: Utilizado para conectarse a otro equipo que
comparte sus recursos
2.1.2. Proteccin de cuentas
Tener en cuenta las siguientes recomendaciones de seguridad:

Uso de contraseas.
Eliminar o desactivar las cuentas que no se utilicen.
Desactivar cualquier configuracin que muestre informacin
de los usuarios:
o Usar la pantalla de bienvenida.
o Inicio de sesin interactivo: no mostrar el ltimo
nombre de usuario. (Ver Fig. 1)
Uso de protectores de pantalla con contrasea.
Uso de directivas de contraseas. (Ver Fig. 2)
Minimizar los privilegios de los usuarios.
Restringir el uso de software.
Controlar el acceso a los archivos usando Permisos NTFS.
Uso de plantillas de seguridad.

104
Fig. 1 Directivas Opciones de Seguridad
Fig. 2 Directivas de contraseas
2.1.3. Proteccin del sistema operativo
Desactivacin del Windows Scripting Host (WSH).

Visualizacin de todos los archivos.
o Configuracin del Windows Explorer.
o Eliminar el valor NeverShowExt del Registro (regedit).
Activacin de la Auditoria.
Gestin de parches y actualizaciones de seguridad.
o Windows Update.
o Windows Update Services (WUS).
o System Management Server (SMS).
2.1.4. Proteccin de red
Activacin del Firewall.

Desactivar los protocolos innecesarios:
o Deshabilitar NetBIOS sobre TCP/IP.
o Deshabilitar el servicio SMB.

o Restringir la conexin annima.

o Desactivar la funcionalidad UPnP para dispositivos de
red.
o Desactivar el escritorio remoto.
2.1.5. Proteccin contra malware
El malware (malicious software) afecta a todos los usuarios de

informtica por igual, tanto a nivel de usuario como
administrativo. Se trata por tanto de una amenaza que no puede
ser despreciada por ninguno.
Tipos:
Virus.
Gusanos.
Troyanos.
Bombas lgicas.
Cdigo malicioso.
Applets de Java.
JavaScript.
Controles ActiveX
Herramientas contra el malware:

Antivirus.
Firewall.
2.1.6. Proteccin contra el spam

Antispam.
Herramientas de auditora y deteccin de vulnerabilidades:

Help and Support Center HSC (Centro de Ayuda y Soporte
Tcnico)

106
Fig. 3 Centro de Ayuda y Soporte Tcnico
Complemento Configuracin y anlisis de seguridad. Sirve para la

deteccin de vulnerabilidades o violaciones de la directiva de
seguridad de un equipo.
Fig. 4 Complemento Configuracin y anlisis de seguridad de Windows XP

Microsoft Baseline Secutiry Analyzer (MBSA)16
Fig. 5 MBSA
16
http://technet.microsoft.com/es-pe/security/cc184924(en-us).aspx

108
Fig. 6 Reporte de MBSA 192.168.1.30
Nessus

Fig. 7 Reporte de Nessus 192.168.1.30
CIS Windows Benchmark

110
Fig. 8 CIS Windows Benchmark
2.2. UNIX, FreeBSD y Linux
Los sistemas UNIX/Linux son utilizados principalmente como servidores

de servicios a diferencia de los sistemas Windows, sin embargo, los
sistemas Free Software y Open Source basados en UNIX (FreeBSD,
Linux, etc.) han comenzado a ingresar como sistemas operativos de
escritorio.
Este aumento de la presencia de los sistemas UNIX/Linux en los entornos

de trabajo, requiere de actualizar a los Auditores de Sistemas en las
tecnologas que integran los sistemas UNIX/Linux:
Analizar la funcin de cada equipo para una ptima actualizacin.
Realizar prcticas de seguridad a llevar a cabo durante la auditora de
los sistemas de forma independiente del proveedor del sistema
operativo, as como las listas de verificacin sugeridos por estos.
Manejar herramientas Free Software, Open Source y comerciales a fin
de llevar a cabo las auditora en los sistemas.
A fin de afianzar mas la seguridad de los servidores, se instala y
configura una importante cantidad de paquetes de auditora y logs en
el sistema: Control de Trfico (MRTG, IPTRAF, etc.)
Control de uso (Calamaris, estadsticas de red en tiempo real, etc.).

Interpretadores y visores de logs entre otros.
2.2.1. Desinstalacin de programas
Los siguientes programas deben ser desinstalados: GIT,

FINGER, FTP, FWHOIS, NCFTP, RSH, NTALK, TELNET,
GHOSTSCRIPT, GHOSTSCRIPT-FONTS, GROFF-PERL,
MPAGE, PNM2PPA, RHS-PRINTFILTERS, ARPWATCH, BIND-
UTILS, KNFS-CLIENTS, RDATE, RDIST, SCREEN, UCD-
SNMP-UTILS, INDEXHTML, CHKFONTPATH, NIS, XFREE86-
XFS, LPR, NFS-UTILS, PIDENTD, PORTMAPPER, RSH-
SERVER, RUSERS, RUSERS-SERVER, RWALL-SERVER,
RWHO, TALK-SERVER, TFTP, TELNET-SERVER, TFTP-
SERVER, UCD-SNMP, YPSERV, XFREE86-LIBS-LIBPNG,
URW-FONTS.
2.2.2. Actualizaciones
El proceso de actualizacin se realiza para resolver los

siguientes problemas:
Bugs fixes.
Security Advisories.
Mejoramiento de paquetes.
2.2.3. Desinstalacin de servicios
Los siguientes servicios deben ser desinstalados: pump, rnt-st,

eject, mailcap, aprnd, kernel-pcmcia-cs, linusconf, getty_ps,
isapnptools, setserial, kudzu, raidtools, gnupg, redhat-logos,
redhat-release, gd, pciutils, rrnt. (Ver Fig. 9)
2.2.4. Proteccin de cuentas
Manejo de contraseas.
Tiempo de Login mximo del superusuario.
Deshabilitar el acceso por medio de la consola.
Activar acceso por consola slo para el superusuario.
Eliminar cuentas de usuario especiales: admin., lp, sync,
shutdown, halt, news, uucp, operador, games, gopher, ftp.
Eliminar cuentas de grupo especiales: adm, lp, news, uucp,
games, dip, pppusers, popusers, slipusers.
Inmutabilidad de los siguientes archivos:
o /etc/passwd
o /etc/shadow
o /etc/group
o /etc/gshadown
2.2.5. Proteccin del super server xinetd
Cambiar permisos del archivo /etc/xinetd.conf.

Deshabilitar servicios innecesarios.
Inmutabilidad del archivo /etc/xinetd.conf.

112
Fig. 9 Listado de servicios comando ckhconfig
2.2.6. Proteccin del kernel
El kernel debe ser configurado para hacerlo ms resistente a

ataques contra el sistema, en especial aquellos que se efectan
a travs de la red. Para ello se debe tener desactivadas algunas
opciones de respuesta predeterminadas del sistema.
Modificaciones del archivo /etc/sysctl:

net.ipv4.icmp_echo_ignore_all=1
net.ipv4.icmp_echo_ignore_broadcats=1
net.ipv4.conf.all.accept_source_route=0
net.ipv4.tcp_syncookies=1
net.ipv4.conf.all.accept_redirects=0
net.ipv4.ip_allways_dfrag=1
net.ipv4.icmp_ignore_bogus_error_responses=1
net.ipv4.conf.all.rp_filter=1
net.ipv4.conf.all.log_martians=1

Fig. 10 Archivo /etc/sysctl.conf
2.2.7. Proteccin del equipo
TCP_WRAPPERS.
Fig. 11 TCP_WRAPPERS
Firewall

114
Fig. 12 Reglas del Firewall - comando iptables
Herramientas de auditora y deteccin de vulnerabilidades:

Nessus
CIS Windows Benchmark

Fig. 13 CIS Linux Benchmark

116
Autoevaluacin
Qu entiendes por servidor?
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
Para qu auditar un servidor?
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
Qu es una aplicacin critica?
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
Qu entiende por sistema tolerable a fallos?
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................

Para recordar
El servidor es un equipo que en la mayora de casos debe de ser de alta

disponibilidad.
Lo esencial en una auditora de este tipo es de poder optimizar el trabajo dando

mayor disponibilidad.

pginas.

http://www.microsoft.com/technet/security/prodtech/windowsxp/secwinxp/default.m
spx
Aqu hallar informacin del fortalecimiento del SO Windows XP.

http://www.microsoft.com/technet/security/prodtech/Windows2000/win2khg/default.
mspx
En esta pgina, hallar informacin del fortalecimiento del SO Windows 2000.

http://www.microsoft.com/technet/security/prodtech/windowsserver2003/w2003hg/s
gch00.mspx
Aqu hallar informacin de seguridad del SO Windows 2003.
http://technet.microsoft.com/es-es/library/cc264463(en-us).aspx
Aqu hallar la gua de fortalecimiento del SO Windows 2008.
http://technet.microsoft.com/es-es/bb629420.aspx
En esta pgina, hallar la gua de seguridad del SO Windows Vista.
http://www.cisecurity.org/
Aqu hallar herramientas de rendimiento para sistemas operativos, dispositivos
de red y aplicaciones.
http://www.foundstone.com
En esta pgina, hallar servicios y herramientas que le ayudaran a proteger sus
sistemas.
http://www.sans.org/
En esta pgina, hallar informacin de entrenamiento, certificacin e
investigacin en seguridad.
http://www.securityfocus.com
Aqu hallar informacin de seguridad.
http://www.linuxsecurity.org
En esta pgina, hallar noticias de seguridad para Linux y Open Source.

118

unidad de
aprendizaje
2
semana
10
AUDITORA AVANZADA DE SISTEMAS OPERATIVOS


procedimientos de recoleccin de evidencia de un servidor comprometido en un
ataque.
TEMARIO
Introduccin
Auditoria Post Mortem
Herramientas de Recoleccin de Evidencia
Los alumnos mediante un ejemplo analizan lo que significa una auditora forense.

120
1. INTRODUCCIN
Uno de los primeros mtodos ms bsicos enseados en las universidades, es la
ingeniera inversa, que es empleada por los alumnos para copiar el cdigo de
otro programa en lenguaje ensamblador o ara reproducir mejoras.
Este mtodo de anlisis llamado ingeniera inversa, que consiste en volcar el

cdigo de memoria y leerlo para saber qu cmo opera, se ha vuelto una
prctica en las lites de los atacantes, desde dnde se han hallado fallos de
seguridad a muchos sistemas.
Esta misma tcnica fue empleada por los especialistas forenses para reproducir
un gusano, virus o troyano, y hoy se observan a estos profesionales trabajando
diariamente y a gran prisa en las compaas de antivirus.
2. AUDITORA POST-MORTEM
Para realizar el anlisis forense es necesario saber cmo se debe proceder a un
anlisis forense o auditora avanzada en un sistema operativo especifico a travs
de los siguientes pasos:
Buscar modificaciones hechas en los archivos de configuracin y el software
de sistema.
Buscar modificaciones en los datos.
Buscar herramientas y datos dejados por el intruso.
Revisar los archivos de registros.
Buscar seales de algn sniffer.
Verificar otros sistemas en la red.
Verificar sistemas involucrados o afectados en lugares remotos.
2.1. Buscar modificaciones hechas en los archivos de

configuracin y el software de sistema
NOTA: Asegrese que su servidor o equipo a analizar est

desconectado de la red.
Verificar todos los archivos de configuracin y binarios (ejecutables).
Cuando se hace una bsqueda de modificaciones en los archivos de

software, mantenga en mente que cualquier herramienta que estar
usando en el sistema comprometido para verificar la integridad de los
archivos binarios y de configuracin, sin dejar de lado el kernel (sistema
operativo), podran en s mismo estar modificados. Debido a esto, se
recomienda iniciar el sistema desde un kernel de confianza y obtenga una
copia limpia de cualquier herramienta que pretenda usar para analizar la
intrusin.
En los sistemas UNIX/Linux se puede crear un sistema de arranque y

hacerlo que est protegido contra escritura para obtener un kernel
confiable.
Es necesario que se verifique enteramente todos los binarios del sistema

contra el medio de distribucin (sistema original e intacto).

2.1.1. UNIX/Linux
Algunos de los archivos binarios son reemplazados comnmente

por Caballos de Troya17 en los sistemas UNIX/Linux son: Telnet,
in.telnetd, login, su, ftp, ls, ps, netstat, ifconfig, find, du, df, libc,
sync, inetd y syslog.
Tambin verificar cualquier binario:

Que est referenciado en el archivo /etc/inetd.conf
Que sean programas crticos de sistema y de red.
Bibliotecas de objeto compartido.
Cuando se inspeccione los archivos de configuracin en sistemas

UNIX/Linux, puede ser necesario:
Verificar en el archivo /etc/passwd, entradas que no
corresponden.
Verificar si el archivo /etc/inetd.conf ha sido modificado.
Verificar por nuevos archivos SUID y SGID.
Fig. 1 Verificacin de archivos con SUID y SGID
2.1.2. Windows
En los sistemas operativos Windows los Caballos de Troya

introducen comnmente virus de computadora o programas de
administracin remota tales como el Back Orifice18 y NetBus. Se
han descubiertos casos donde el archivo de sistema que maneja
la conectividad del Internet fueron reemplazados con un Caballo
de Troya.
17
http://en.wikipedia.org/wiki/Trojan_horse_(computing)
18
http://www.bo2k.com/whatis.html

122
Cuando se inspeccione los sistemas Windows, puede ser

necesario:
Verificar por membresas de grupos y usuarios extraos.
Verificar por cambios en las entradas del registro que inician
programas en el logon o en servicios.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\KnownDLLs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\KnownDLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
Verificar por recursos compartidos ocultos no autorizados con

el comandos net share o la herramienta Server Manager.
Verificar por procesos que no se identifican usando la
herramienta puliste.exe o el Task Manager.
Se recomienda usar las siguientes herramientas para realizar una

comparacin directa de los binarios y el medio de distribucin original:
md5 (Windows, UNIX y Linux).
Fig. 2 Checksum MD5 - Medio de distribucin original

Fig. 3 Suma de verificacin (checksum)
cmp (UNIX/Linux).
sha1 (UNIX/Linux).
2.2. Buscar modificaciones en los datos
Los datos en los sistemas comprometidos son a menudo modificados por

intrusos. Se recomienda que se verifique la integridad de:
Las pginas web.
Los archivos ftp.
Los archivos de los directorios personales de los usuarios.
Otros archivos de datos del sistema.
2.3. Buscar herramientas y datos dejados por el intruso
Los intrusos instalarn comnmente herramientas hechas a la medida

para monitoreo continuo o para acceder al sistema comprometido.
Las clases de programas dejados por intrusos son:

Sniffers de red.
Un sniffer de red es una utilidad que monitorea y registra la actividad
de red. Los intrusos comnmente los usan para capturas de cuentas
de usuarios y contraseas que son pasadas en forma de texto claro
sobre la red.
Las Fig. 4, 5, 6 y 7 muestran como el programa Wireshark realiza la

captura de paquetes de una sesin telnet
Programas troyanos.
Son programas que aparentar ejecutar una funcin mientras que
ejecutan otra funcin muy diferente (generalmente en background).
Backdoors (puertas traseras).

Son diseados para ocultarse en s mismos dentro del host destino.
El backdoor permite al atacante que lo instale, acceder al sistema sin
autorizacin normal o mediante la explotacin de alguna
vulnerabilidad.
Exploits de vulnerabilidad
Herramientas que permiten explotar vulnerabilidades conocidas y
ganar acceso no autorizado.

124
Fig. 4 Solicitud de ingreso del nombre de usuario
Fig. 5 Primer carcter del nombre de usuario

Fig. 6 Solicitud de ingreso de la contrasea
Fig. 7 Primer carcter de la contrasea

126
Otras herramientas de intrusin.

Algunos de los otros tipos de herramientas que pueden hallarse son
herramientas para:
o Probar sistemas por vulnerabilidades.
o Lanzar pruebas amplias a muchos otros sitios.
o Lanzar ataques de negacin de servicio.
o Usar los recursos de red y de la computadora
Salidas de las herramientas de intrusin.

Pueden hallarse archivos de registro de cualquier cantidad de
herramientas de intrusin. Estos archivos de registro pueden
contener informacin acerca de otros sitios involucrados,
vulnerabilidades de los equipos comprometidos, y vulnerabilidades
en otros sitios.
Cuando se busca herramientas de intrusin en un sistema

comprometido:
o Buscar archivos ASCII no esperados en el directorio /dev en
sistemas UNIX-Linux.
o Buscar cuidadosamente por archivos y directorios ocultos.
o Buscar por archivos o directorios con nombres extraos. En
sistemas Windows buscar archivos y directorios que hagan juego
con nombres de archivos de sistema: EXPLORER.EXE,
UMGR32.EXE, etc.
2.4. Revisar los archivos de registro
Revisar los archivos de registro ayudarn a conseguir una mejor idea de

cmo el equipo fue comprometido, que sucedi durante la intrusin, y qu
hosts remotos accedieron al equipo victimado.
Cuando revise cualquier archivo de registro del equipo comprometido,

considere que los registros podran haber sido modificados por el intruso.
En sistema UNIX/Linux, puede necesitar buscar el archivo /etc/syslog.conf

para hallar dnde es que el syslog est registrando los mensajes. A
continuacin una lista de algunos de los archivos de registro ms
comunes: messages, xferlog, utmp, wtmp, secure.
Los sistemas Windows generalmente registran todo a uno o tres registros

para eventos, los cuales son vistos a travs de la herramienta Event
Viewer.
2.5. Buscar seales de algn sniffer
Cuando se produce una violacin a un sistema, los intrusos

potencialmente podran instalar un programa de monitoreo de red, para
capturar informacin de cuenta de usuarios y contraseas.
El primer paso para determinar si un sniffer est instalado en el sistema,

es ver si cualquier proceso ejecutndose tiene alguna de las interfases de
red en modo promiscuo.

En sistemas Windows, los programas de administracin remota son los

ms usados.
PromiScan
www.securityfriday.com
PromiscDetect
http://ntsecurity.nu/downloads/promiscdetect.exe
En sistemas UNIX/Linux se pueden usar las siguientes herramientas para

detectar si hay instalado un sniffer:
cpm (Check Promiscuous Mode) UNIX/Linux.
ftp://coast.cs.purdue.edu/pub/tools/unix/sysutils/cpm/
ifstatus UNIX/Linux
ftp://coast.cs.purdue.edu/pub/tools/unix/sysutils/ifstatus/
chkrootkit UNIX/Linux
http://www.chkrootkit.org/
Fig. 8 Verifica los binarios ps y ls, y adicionalmente si las interfases estn en modo
promiscuo
2.6. Verificar otros sistemas en la red
Se recomienda que se verifique todos los sistemas, no slo aquellos que

ha identificado como sistemas comprometidos. En la verificacin incluye
cualquier sistema asociado con el sistema comprometido, ya sea a travs
de servicios basados en redes compartidas (NIS o NFS) o a travs de
cualquier mtodo de confianza.
Se recomienda utilizar las listas de verificacin de CERT:

http://www.cert.org/tech_tips/intruder_detection_checklist.html
http://www.cert.org/tech_tips/win_intruder_detection_checklist.html
2.7. Verificar sistemas involucrados o afectados en lugares

remotos
Mientras se inspeccionan los archivos de registro, los archivos de salida

de los intrusos, y cualquier otro creado o modificado durante el momento
de la intrusin, se debe buscar informacin que gue a sospechar de otro
sitio que pueda estar relacionado con la violacin. A menudo se
encuentran otros sitios enlazados a una violacin, que a su vez han sido
vctimas previamente. Por lo tanto, es importante hallar estos otros sitios
victimados y notificarlos tan pronto como sea posible.

128
3. HERAMIENTAS DE RECOLECCIN DE EVIDENCIA

Todo anlisis forense, debe tener sus herramientas de anlisis a la mano, y debe
conocerlas y saber usarlas para interactuar mediante ellas en diversos casos de
anlisis.
Herramientas recomendadas por CHIHT (Clearing House for Incident Handling

Tools19)
netstat
Muestra estadsticas del protocolo y conexiones TCP/IP actuales.
Fig. 9 Comando netstat
EventCombMT
Herramienta GUI que busca registros de eventos en mltiples
DCs/Servidores.
http://www.microsoft.com/downloads/details.aspx?familyid=7AF2E69C-
91F3-4E63-8629-B999ADDE0B9E&displaylang=en
19
http://chiht.dfn-cert.de/

Fig. 10 GUI EventCombMT
Pasco v1.0
Herramienta de anlisis forense de lectura de la actividad del software
Internet Explorer.
http://www.foundstone.com/us/resources-free-tools.asp
http://www.foundstone.com/us/pdf/wp_index_dat.pdf
Fig. 11 Presentacin del archivo index.dat
Ubicacin de los archivos index.dat para Windows XP (versin en ingles):

o \Documents and Settings\<username>\Local Settings\Temporary Internet
Files\Content.IE5\
o \Documents and Settings\<username>\Cookies\

130
o \Document and Settings\<username>\Local Settings\History\History.IE5\
Ubicacin de los archivos index.dat para Windows XP (versin en espaol:

o C:\Documents and Settings\<username>\Configuracin local\Archivos
temporales de Internet\Content.IE5\
o C:\Documents and Settings\<username>\Cookies
o C:\Documents and Settings\<username>\Configuracin local\Historial
Galleta v1.0
Examina los archivos cookie, con el propsito de encontrar informacin
relevante como evidencia para alguna investigacin criminal.
Fig. 12 Ejecucin del comando galleta.exe
Fig. 13 Presentacin de archivo cookie
Forensic Toolkit v2.0

Contiene herramientas de lnea de comando para analizar las propiedades
de los archivos:
o Afind Lista archivos por su ltimo tiempo de acceso, sin modificar
dicho tiempo.
o Hfind Explorar el disco buscando archivos ocultos.

Fig. 14 Comando Hfind.exe
o Sfind Explora el disco buscando archivos data streams ocultos y lista

el tiempo de acceso
Los data stream ocultos permiten al intruso ocultar programas, cdigo,

virus, sin que un antivirus o buscador convencional los halle, de tal
forma que es una tpica estrategia para los intrusos.
Fig. 15 Archivo Data:ADS oculto

132
Fig. 16 Comando SFind.exe
o Hunt Muestra informacin de un equipo va sesiones NULL.
Fig. 17 Comando Hunt.exe

o FileStat Permite volcar todo un archivo y sus atributos de seguridad.

Fig. 18 Comando File Stat.exe
Dumpreq
Programa que vuelca el registro, haciendo ms fcil ver los cambios hechos
recientemente por software instalado o modificado.
http://www.systemtools.com/free.htm
Se debe instalar desde el archivo comprimido dumpreg.zip.

134
Fig. 19 Comando DumpReg.exe
Dumpsec
Vuelca los permisos (DACLs) y configuracin de auditora para el sistema de
archivo, registro, impresoras y recursos compartidos, as como los hoyos de
seguridad.
Se debe instalar en el sistema con el programa systemtools.exe

comprimido en el archivo dumpacl.zip
Fig. 20 Comando DumpSec

Autoevaluacin
Por qu es importante auditar un S.O.?

..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
Cmo se audita un S.O. Windows? Explique.
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................

136
Para recordar
La auditora de sistemas es una rama especializada de la auditora que promueve

y aplica conceptos de auditora en el rea de sistemas de informacin.
La instalacin por default regularmente no es la mejor configuracin y esta

observacin no es tomada en cuenta por los administradores la mayor parte de las
veces.
http://www.cert.org.mx/incidentes/guia_win.dsc
En esta pgina, hallar los pasos a seguir para saber si haz sido vctima de una
intrusin.
http://www.seguridad.unam.mx/vulnerabilidadesDB/
Aqu hallar informacin de una amplia variedad de vulnerabilidades.
http://www.kb.cert.org/vuls
En esta pgina, hallar informacin de una amplia variedad de vulnerabilidades.
http://www.us-cert.gov/nav/t01/
Aqu hallar documentos tiles para administradores de sistema y usuarios
tcnicos.
Aqu hallar herramientas para administradores de sistema.

unidad de
aprendizaje
2
semana
11
AUDITORA DE APLICACIONES EN REDES

INFORMTICAS

diferentes parmetros de seguridad de las Bases de Datos que se ejecutan en los
servidores y verificar su funcionamiento.
TEMARIO
Introduccin.
Auditora de Base de Datos
Los alumnos mediante un ejemplo analizan lo que significa una auditora de Base de
Datos.

138
1. INTRODUCCION
La Explotacin Informtica se ocupa de producir resultados informticos de todo
tipo: listados impresos, archivos soportados magnticamente, rdenes
automatizadas para lanzar o modificar procesos industriales, etc. La explotacin
informtica se puede considerar como una fabrica con ciertas peculiaridades que
la distinguen de las reales. Para realizar la Explotacin Informtica se dispone de
una materia prima, los datos, que son necesarios transformar, y que se someten
previamente a controles de integridad y calidad. La transformacin se realiza por
medio del Proceso Informtico, el cual est gobernado por programas. Obtenido
el producto final, los resultados son sometidos a varios controles de calidad y,
finalmente, son distribuidos al cliente, al usuario.
Auditar Explotacin Informtica consiste en auditar las secciones que la

componen y sus interrelaciones. La Explotacin Informtica se divide en tres
grandes reas: Planificacin, Produccin y Soporte Tcnico, en la que cada cual
tiene varios grupos.
1.1. PLANIFICACION DE APLICACIONES

Se auditarn las normas de entrega de Aplicaciones por parte de
Desarrollo, verificando su cumplimiento y su calidad de interlocutor nico.
Debern realizarse muestreos selectivos de la Documentacin de las
Aplicaciones explotadas. Se inquirir sobre la anticipacin de contactos
con Desarrollo para la planificacin a medio y largo plazo.
1.2. CONTROL Y SEGUIMIENTO

Se analizar cmo se prepara, se lanza y se sigue la produccin diaria.
Bsicamente, la explotacin Informtica ejecuta procesos por cadenas o
lotes sucesivos (Batch), o en tiempo real (Tiempo Real). Mientras que las
Aplicaciones de Teleproceso estn permanentemente activas y la funcin
de Explotacin se limita a vigilar y recuperar incidencias, el trabajo Batch
absorbe una buena parte de los efectivos de Explotacin. En muchos
Centros de Proceso de Datos, ste rgano recibe el nombre de Centro de
Control de Batch. Este grupo determina el xito de la explotacin, en
cuanto que es uno de los factores ms importantes en el mantenimiento
de la produccin.
Es fundamental para el auditor conocer los productos de software bsico

que han sido facturados aparte de la propia computadora. Esto, por
razones econmicas y por razones de comprobacin de que la
computadora podra funcionar sin el producto adquirido por el cliente. En
cuanto al Software desarrollado por el personal informtico de la
empresa, el auditor debe verificar que ste no agreda ni condiciona al
Sistema. Igualmente, debe considerar el esfuerzo realizado en trminos
de costes, por si hubiera alternativas ms econmicas.

1.3. OPTIMIZACION DE LOS SISTEMAS

Tcnica de Sistemas debe realizar acciones permanentes de
optimizacin como consecuencia de la realizacin de tunnings
preprogramados o especficos. El auditor verificar que las acciones de
optimizacin fueron efectivas y no comprometieron la Operatividad de los
Sistemas ni el plan crtico de produccin diaria de Explotacin.
Por ejemplo: cuando se instala una Aplicacin, normalmente est vaca,

no tiene nada cargado adentro. Lo que puede suceder es que, a medida
que se va cargando, la Aplicacin se va poniendo cada vez ms lenta;
porque todas las referencias a tablas es cada vez ms grande, la
informacin que est moviendo es cada vez mayor, entonces la
Aplicacin se tiende a poner lenta. Lo que se tiene que hacer es un
anlisis de performance, para luego optimizarla, mejorar el rendimiento
de dicha Aplicacin.
2. AUDITORA DE BASE DE DATOS

Como es bien sabido, la informacin es uno de los activos ms importantes de
una organizacin. Dicha informacin frecuentemente se encuentra almacenada
en sistemas conocidos como Sistemas Manejadores de Bases de Datos
(DBMS). Dada su importancia en las organizaciones, los DBMS deben
proporcionar informacin veraz y exacta de los datos que ellos almacenan, por lo
que es vital mantener un estricto control de las actividades que se llevan a cabo
en estos sistemas.
La Auditoria de Base de Datos es el proceso que permite medir, asegurar,

demostrar, monitorear y registrar los accesos a la informacin almacenada en las
bases de datos incluyendo la capacidad de determinar:
Quin accede a los datos
Cundo se accedi a los datos
Desde qu tipo de dispositivo/aplicacin
Desde que ubicacin en la Red
Cul fue la sentencia SQL ejecutada
Cul fue el efecto del acceso a la base de datos
Es uno de los procesos fundamentales para apoyar la responsabilidad delegada

a TI por la organizacin frente a las regulaciones y su entorno de negocios o
actividad.
Con la auditora de BD se busca:

Monitorear y registrar el uso de los datos por los usuarios autorizados o no
Mantener trazas de uso y del acceso a bases de datos
Permitir investigaciones forenses
General alertas en tiempo real
Se deben tomar en cuenta los elementos que deben ser auditados, desde la
concepcin y objetivo, hasta la implementacin del sistema, tomando en cuenta
las mejores prcticas de seguridad que deben llevarse a cabo durante la
auditora, sin importar el proveedor del DBMS.

140
As mismo, se deben definir listas de verificacin cubriendo los puntos ms

importantes en una auditora de Bases de Datos, independientemente del
Manejador de Bases de Datos.
La mayora de las nuevas regulaciones internacionales estn relacionadas con

los datos de las organizaciones, estn o no relacionadas directamente con la
confidencialidad
Sarbanes-Oxley Act - SOX (Controles internos y responsabilizacin por

estados financieros)
SOX 404 y 302 requieren la certificacin de los controles internos y la
responsabilizacin por la veracidad de los estados financieros de las
organizaciones.
o Toda la informacin financiera de la organizacin reside en bases de
datos y deben existir controles relacionados con el acceso a las
mismas.
o Se debe poder demostrar la integridad de la informacin almacenada
en las bases de datos
Gramm Leach Bliley (Confidencialidad informacin)

Establece estrictas normas para la proteccin y divulgacin de informacin
privada de los clientes de las instituciones financieras.
o La informacin de los clientes es almacenada en bases de datos.
PCI (Informacin confidencial tarjetas de crdito)

o Implementar esquemas automticos de trazas de auditora para
capturar la informacin de todas las personas que tienen acceso a la
informacin.
o Tener trazas de auditora que no puedan ser alteradas.
o Mantener los logs de auditora por un tiempo mnimo de 3 meses
o Verificar diariamente los logs de todos los sistemas
HIPPA (Confidencialidad informacin)

El objetivo central de HIPPA es preservar la privacidad y la
confidencialidad de la informacin. Las organizaciones deben poder:
HIPPA permite que cualquier persona solicite a un proveedor la historia de

las personas que han tenido acceso a su informacin privada y
confidencial
o Tener registros de los accesos a los datos
o Tener mecanismos de alerta de accesos indebidos a informacin
almacenada en los sistemas
FDA-21CFR11 (Actividad en las bases de datos)

La regulacin FDA-CFR11 requiere el establecimiento de controles sobre
el manejo de informacin electrnica incluyendo:
o Mantener trazas de auditora sobre los accesos de creacin,
modificacin o eliminacin de registros
o Registrar la informacin de quien hace los cambios, que se modifica y
cuando se hacen los cambios

2.1. Objetivos Generales de la Auditora de Base de Datos
Disponer de mecanismos que permitan tener trazas de auditora

completas y automticas relacionadas con el acceso a las bases de
datos incluyendo la capacidad de generar alertas con el objetivo de:
Apoyar el cumplimiento regulatorio
Mitigar los riesgos asociados con el manejo inadecuado de los
datos
Satisfacer los requerimientos de los auditores
Evitar acciones criminales
Evitar multas por incumplimiento
2.2. Aspectos Claves
No se debe comprometer el desempeo de las bases de datos.

o Soportar diferentes esquemas de auditora.
o Se debe tomar en cuenta el tamao de las bases de datos a
auditar y los posibles SLA establecidos.
Segregacin de funciones.
o El sistema de auditora de base de datos no puede ser
administrado por los DBA del rea de IT.
Proveer valor a la operacin del negocio.
o Informacin para auditora y seguridad.
o Informacin para apoyar la toma de decisiones de la
organizacin.
o Informacin para mejorar el desempeo de la organizacin.
Auditora completa y extensiva
o Cubrir gran cantidad de manejadores de bases de datos
o Estandarizar los reportes y reglas de auditora
2.3. Caractersticas principales de un sistema de Auditora de

Base de Datos
Sistema Confiable e integral

o Se deben poder garantizar esquemas de auditora contina
todos los 365 das del ao.
El volumen de la informacin relacionada con las trazas
de auditora puede ser muchas veces ms grande que el
tamao de la base de datos a auditar.
Se debe poder controlar el acceso y la modificacin a las
trazas almacenadas.
Se debe poder proteger la informacin almacenada en las
traza de auditora.
o Se debe poder auditar el acceso a la base de datos desde
todas las posibles capas de acceso.

142
Aplicacin / Front End
Servidor de Aplicaciones / Web Muchos

Server puntos de
acceso
Manejador de Base de
Datos
Sistema Operativo
Fig. 1 Capas de acceso a la informacin
Capaz de consolidar las trazas de auditora

Las trazas de auditora deben tener:
o Quin realiz la operacin?
o Desde donde se realiz la operacin?
Direccin IP / Host o Aplicacin.
o Cundo se realiz la operacin?
o Qu se hizo durante la operacin?
Informacin antes y despus.
o Por qu se hizo la operacin?
Contexto sobre el que se realiza la operacin.

Oracle MS SQL MySQL
BD BD BD
Sistema Unificado de Auditora, Monitoreo y Reportes
Fig. 2 Trazas
Reglas de auditora basadas en necesidades especficas:

o Las trazas de auditora pueden llagar a tener tamaos
inmanejables (cientos de terabytes de informacin)
o Cada proceso de auditora requiere su propia definicin de
reglas de auditora se deben utilizar:
Qu mtodo de auditora?
Qu Servidor / Manejador?
Bases de Datos / Tablas?
Qu usuarios?
Objetos
Horas
Acciones
Qu acciones tomar?
o Tipos de eventos a auditar
Eventos tipo DDL (Data Definition Lenguaje): asociados
con la creacin de usuarios, roles, tablas etc.
Eventos tipo DML (Data Manipulation Lenguaje): insert,
update, delete
Eventos tipo Select: consultas de informacin
Recompilaciones de Scripts
Auditora de los usuarios con privilegios de acceso
No se debe afectar el desempeo de las bases de datos

Uno de las principales preocupaciones relacionada con la
auditora de base de datos es su impacto en el desempeo de las
aplicaciones
o Impacto en el tiempo de respuesta de las aplicaciones

144
o Impacto sobre la utilizacin de los manejadores de base de

datos
o Impacto sobre el espacio en los servidores
Capaz de generar notificaciones en tiempo real

Para lograr esquemas ms efectivos de auditora es necesario
poder generar notificaciones en tiempo real
o Email.
o Sistemas de monitoreo central.
Capacidad para retener trazas por largos perodo de tiempo

Como el nmero de las trazas puede ser muy grande se necesitan
esquemas de archivos y preservacin:
o Compresin de la informacin.
o Movimiento a cintas.
o Rutinas de eliminacin.
Flexibilidad para crear reportes

Es necesario crear reportes que permitan:
o Cumplir con los objetivos de los auditores.
o Cumplir con los objetivos de las otras involucradas en el
proceso.
o Consolidar informacin.
o Preparar reportes estadsticos.
o Generar reportes que apoyen la toma de decisin corporativa.
o Generar reportes que aporten valor a la actividad de la
organizacin.
o
Administrable y escalable en el tiempo
2.4. Planificacin de la Auditoria de BD
1) Identificar todas las bases de datos de la organizacin.

2) Clasificar los niveles de riesgo de los datos en las bases de
datos.
3) Analizar los permisos de acceso.
4) Analizar los controles existentes de acceso a las bases de datos.
5) Establecer los modelos de auditora de BD a utilizar.
6) Establecer las pruebas a realizar para cada BD, aplicacin y/o
usuario.
Alcance de la Auditora
o Seleccin de tablas a auditar
o Seleccin de usuarios a auditar
o Seleccin de horario a auditar
Tipos de Acciones
o Slo registro de eventos
o Slo generacin de alertas
o Generacin y registro de alertas
Reportes a producir
o Contenido
o Frecuencia

2.5. Ejemplos de Auditora
Eventos DDL
o Registras todos los eventos de tipo DDL
o Enviar una notificacin cada vez que se cree un usuario
o Enviar una notificacin cada vez que se produzca un evento
DDL fuera del horario de oficina
Eventos DML y Select

o Registrar todos los eventos de tipo DML realizados por un
usuario con privilegio
o Registrar todos los eventos de tipo DML que sean realizados
fuera de horario de oficina
o Registrar todos eventos DML o Select realizados sobre la
tabla XXXXX
2.6. Consideraciones Generales
Se deben tomar en cuenta todas las capas de acceso a la

informacin
Se debe tener importante atencin en los accesos de los usuarios
con privilegios de acceso
Se debe tratar de tener informacin contextual para determinar
cmo se cre la violacin al control
Se deben tener reglas de auditora uniformes a travs de todas las
bases de datos y sistema
Se deben segregar las funciones entre los auditores y los usuarios
con privilegios de acceso
Algunas aplicaciones enmascaran la identidad de los usuarios
o Aplicaciones que utilizan un login comn para el acceso a las
bases de datos. Se deben evitar este tipo de configuraciones
o Se debe solicitar la incorporacin de los datos del usuario en
la informacin de acceso a la base de datos
o Se deben utilizar indicadores relacionados como el IP del
usuario

146
Autoevaluacin
Cul es la razn de auditar una aplicacin?
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
Indique 3 caractersticas de este tipo de auditora
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
A que se llama una aplicacin critica?
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................

Para recordar
Debern realizarse muestreos selectivos de la Documentacin de las Aplicaciones

analizadas.
La auditora tcnica de Sistemas debe realizar acciones permanentes de
optimizacin

pginas.
Listado de NTP referentes al software.

http://www.bvindecopi.gob.pe/wcircu/query.exe?cod_user=wwwcircu&key_user=wwwci
rcu&base=02&periodo=1&fmt=01&nreg=20&idioma=all&boolexp=SOFTWARE&trunca
=%24%2F(76%2C77)

148

unidad de
aprendizaje
2
semana
12
AUDITORA DE APLICACIONES WEB

Al trmino de la unidad, los alumnos, trabajando individualmente, aplicarn las

normas de auditora a tomar en cuenta en aplicaciones WEB.
TEMARIO
Introduccin.
Vulnerabilidades.
Ataques a las aplicaciones Web.
Lineamientos de seguridad.
Los alumnos mediante un ejemplo auditaran una aplicacin WEB.

150
1. INTRODUCCIN
En el expansivo mundo del Internet, las aplicaciones Web una necesidad
permanente en las de los necesitados empresarios por tener presencia en la red.
Tambin son una necesidad frecuente de muchos desarrolladores Web, que
preocupados por entender las diversas formas tecnolgicas de la programacin
Web, descuidan los intereses radicados en la seguridad en la seguridad de la
empresa que los contratan, poniendo en riesgo evidente la informacin que
procesan las empresas a travs de sus aplicaciones Web, sean stas pblicas o
privadas (aplicaciones para Internet, extranet e intranet).
Esta realidad extienden los problemas de seguridad, llevando a los auditores a

niveles ms especializados en el mundo de la programacin del Web.
Fig. 1 Desarrollo de WWW
1.1. COMPONENTES DE WEB
Los componentes Web que a continuacin se citan esenciales para la

comprensin de los problemas de seguridad. Entre los ms importantes
se mencionan:
Html
http
Java Script
Activ X
Apples
Coockies
Common Gateway Interface.
https
proxies

1.1.1. HTML (Hyper Text Markup Lenguage)
Lenguaje de marcas inventado por Tim Berners-Lee en 1989.

Todo sitio web utiliza el lenguaje HTML para mostrar texto,
grficos, sonidos y animaciones. La especializacin de las
distintas versiones del mismo est a cargo del World Wide Web
Consortium (W3C www.w3.org). Se puede ver un ejemplo
sencillo ejemplo de cdigo de hipertexto o HTML. En este
ejemplo se observa un escrito en formato HTML si codificar:
<html>
<head>
<title>Pgina de Ejemplo</title>
</head>
<body>
<h1>Titulo principal</h1>
Este es un texto de la pgina de ejemplo.
</body>
</html>
1.1.2. HTTP
Fig. 2 Protocolo HTTP
Es un protocolo de aplicacin para sistemas de informacin,

distribuidos y colaborativos. Es un lenguaje que utilizan los
clientes y servidores Web para comunicarse entre s, lo cual lo
convierte en un protocolo cliente/servidor simple, basado en
texto, que no maneja estados. Esto significa que cada solicitud
que el cliente enva al servidor es independiente de las
solicitudes anteriores.
1.1.3. JavaScript
Se ejecuta en el lado del cliente. Es un lenguaje interpretado de

scripting desarrollado originalmente por Netscape. No permite
acceder a informacin local del cliente, como archivos, ni puede
conectarse a otros equipos.

152
1.1.4. ActiveX
Es una tecnologa desarrollado por Microsoft para distribuir

software a travs de Internet. Igual que los Applets Java, los
controles ActiveX pueden estar embebidos en una pgina web.
Los controles ActiveX se distribuyen en forma binaria.
1.1.5. Applets
Es un lenguaje escrito en el lenguaje de programacin Java que

puede ser incluido en una pgina HTML. Cuando se utiliza
Java-Habilitado para ver una pgina que contiene un applet, el
cdigo del mismo se transfiere al cliente y se ejecuta dentro de
la mquina virtual de Java cliente.
En general los applets no pueden leer o escribir archivos del
cliente y slo pueden hacer conexiones de red al host que envi
applet.
1.1.6. Cookies
Son un mecanismo desarrollado inicialmente por Netscape para

solucionar el problema de la naturaleza sin estados el protocolo
http. Normalmente, cada vez que un browser solicita un recurso
de un servidor web, dicha solicitud es tratada como una
interaccin nueva. Se pierde la secuencia de recursos
solicitados por el cliente. Esto dificulta la creacin de sitios como
carritos de compras que deben recordar las acciones del
usuario sobre un periodo de tiempo extendido.
1.1.7. Common gateway Interface (CGI)
Es uno de los estndares ms antiguos para pasar informacin

desde un web Server a una aplicacin externa y luego devolver
la respuesta de sta al cliente. Esta tecnologa ofreci una de
las primeras formas de generar contenido dinmico en la web.
CGI no es un lenguaje como podra ser PHP o VBScript, sino
que es una serie de interfaces para ser usadas por otros
lenguajes.
1.1.8. HTTPS
Mientras que HTTP es una comunicacin por canal en claro,

vulnerable a Sniffing (por defecto puerto 80/TCP), el HTTPS es
una comunicacin con canal encriptado utilizando SSL.
El HTTPS bien implementado, no permite el robo de informacin

en trnsito. Adems, permite identificar fehacientemente al
servidor y, en algunos casos, al cliente. Puede tener un
overhead importante. El puerto que utiliza este protocolo es el
443/TCP.

1.1.9. PROXIES
Se usan para crear un cache de Web y as poder reducir el

consumo de ancho de banda por consultas repetidas. Tambin
puede ser empleada para filtrar contenidos en la comunicacin.
Adicionalmente se emplea en el control de acceso, haciendo
discrecin ente lo que es dejado pasar y lo que no.
Actan con dos modalidades:

Como servidor para los clientes Web.
Como cliente para los servidores Web.
2. VULNERABILIDADES
La OWASP (Open Web Application Security Project) ha publicado un documento
en PDF de 3 pginas en el que reportan las diez vulnerabilidades Web ms
explotadas. La lista est encabezada por ataques del tipo XSS, y queda algo
as:
1) Cross Site Scripting (XSS): Persistentes, No-persistentes.
La aplicacin Web puede ser usada como un mecanismo para transportar
un ataque al navegador del usuario final. Un ataque exitoso puede
comprometer el token de sesin del usuario final, atacar la maquina local o
enmascarar contenido para engaar al usuario.
2) Injection Flaws: Especialmente SQL Injection.

La aplicacin Web puede pasar parmetros cuando accede a sistemas
externos o al sistema operativo local. Si un agresor puede incrustar
comandos maliciosos en estos parmetros, el sistema externo puede
ejecutar estos comandos por parte de la aplicacin Web.
3) Malicious File Execution: Ataques RFI

Cdigo vulnerable a la inclusin de archivos remoto (RFI) permitiendo a los
atacantes incluir cdigo y datos hostiles, resultando en ataques
devastadores. Los ataques ejecutando archivos maliciosos afectan a PHP,
XML y cualquier framework (marco) que acepta nombres de archivo o
archivos de los usuarios.
4) Insecure Direct Object Reference. Manipulacin de rutas a objetos.

Cucharones y demases.
Un objeto directo de referencia se produce cuando un desarrollador expone
una referencia a un objeto de implementacin interna, tal como un archivo,
directorio, registro de base de datos, o clave, como una URL o desde un
parmetro. Los atacantes pueden manipular esas referencias para acceder
a otros objetos sin autorizacin.
5) Cross Site Request Forgery (CSRF): Forzado de acciones de usuario.

Las aplicaciones pueden involuntariamente fugar informacin acerca de su
configuracin, funcionamiento interno, o violar la privacidad a travs de una
variedad de problemas de aplicacin. Los atacantes utilizan esta debilidad
para robar datos sensibles, o llevar a cabo ataques ms graves.

154
6) Information Leakage and Improper Error Handling. Mala gestin de

mensajes de error.
Condiciones de error que ocurren durante la operacin normal que no son
manejadas adecuadamente. Si un agresor puede causar que ocurran
errores que la aplicacin Web no maneja, ste puede obtener informacin
detallada de sistema, denegar servicios, causar que mecanismos de
seguridad fallen o tumbar el servidor.
7) Broken Authentication and Session Management: Robo de identidades.

Hijackings, etc.
Credenciales de cuenta y seales de sesiones a menudo no estn
debidamente protegidas. Los atacantes comprometen contraseas, llaves, o
tokens de autenticacin para asumir identidades de otros usuarios.
8) Insecure Cryptographic Storage: Almacenamiento inseguro.

Las aplicaciones Web frecuentemente utilizan funciones de criptografa para
proteger informacin y credenciales. Estas funciones y el cdigo que
integran a ellas han sido difciles de codificar adecuadamente, lo cual
frecuentemente redunda en una proteccin dbil.
9) Insecure Communications
Las aplicaciones con frecuencia fallan al cifrar el trfico de red cuando es
necesario proteger las comunicaciones sensibles.
10) Failure to Restrict URL Access: URLS mal ocultadas. Spidering,

bruteforce, etc.
Con frecuencia, una aplicacin slo protege la funcionalidad sensible
previniendo la exposicin de vnculos o URL a usuarios no autorizados. Los
atacantes pueden usar esta debilidad para acceder y realizar operaciones
no autorizadas para el acceso a esas direcciones URL directamente.
3. ATAQUES A LAS APLICACIONES WEB

A continuacin se revisarn los problemas de seguridad ms tpicos empleados
por los intrusos para vulnerar las aplicaciones Web (y los servidores en s
mismos) que se desarrollan hoy en da.
Autenticacin.
Autorizacin.
Ataques a aplicaciones.
Validacin de entradas.
3.1. Autenticacin
Permite identificar quien es el usuario que est ingresando al sistema

Web. Se puede citar cuatro tipos de autenticacin:
Autenticacin bsica20.
HTTP Digest Auth.
HTTP NTLM Auth.
Autenticacin utilizando certificados para los clientes.
20
http://www.faqs.org/rfcs/rfc2617.html

Ejemplo de ataque de autenticacin:

Fuerza Bruta/Diccionario: Obtener usuarios y contraseas en base a
ataques de diccionario y fuerza bruta.
Uso de la herramienta Brutus (http://www.hoobie.net/brutus/).
Medida a auditar (contramedida)

Utilizar poltica de contraseas difciles de obtener mediante estos
mtodos.
Definir mecanismos de desactivacin temporal de la cuenta de
usuario.
3.2. Autorizacin
Permite, luego del autenticado, determinar a qu datos y a qu mdulos

de la aplicacin puede acceder el usuario.
Algunos problemas de seguridad que se pueden encontrar en este

acceso de autorizacin, se detallan a continuacin:
Evaluacin de privilegios en forma horizontal Es cuando se
obtiene privilegios de un usuario que tiene permisos similares a los
nuestros.
Ejemplo, en un sitio de compras, accedemos a la informacin de las

compras realizadas por otra persona.
Evaluacin de privilegios en forma vertical Es cuando se obtiene

privilegios ms altos a los otorgados.
Ejemplo, cuando somos usuarios de un sistema y conseguimos

privilegios de administrador.
Acceso arbitrario a archivos y/o funciones Acceso a archivos que

no deberan ser visibles desde la aplicacin.
Ejemplo, archivos de configuracin, archivos que se encuentran

fuera del rbol de pginas del servidor. Acceso a ejecutar funciones
no permitidas.
3.3. Ataques a aplicaciones
Los ataques en s pueden ser ms variados, por eso se da ms

importancia a los aspectos dbiles, como:
Comentarios en HTML
Hipervnculos.
Direcciones de correo electrnico y usuarios
Campos ocultos.
Scripts que se ejecutan del lado del cliente.
Cookies.
3.4. Validacin de entradas
Las aplicaciones Web utilizan informacin de las solicitudes HTTP para

determinar cmo responder. Un ataque puede modificar cualquier parte
de una solicitud, incluyendo el URL, los headers, los campos de un

156
formulario, las cookies, etc. Esto le puede ayudar a la hora de saltar los
mecanismos de seguridad del sitio.
Algunos aspectos importantes en el proceso de validacin de entrada, se

detallan a continuacin:
Saltar la validacin del lado del cliente.
Modificar los atributos enviados por el servidor.
Explotar buffer overflows.
Canonizacin.
Inyeccin de comandos SQL.
Ejecucin de comandos del sistema.
Mal manejo de errores.
Mal manejo de sesiones.
Cross Site Scripting.
4. LINEAMIENTOS DE SEGURIDAD
Son las prcticas mnimas que un especialista de seguridad debe aplicar a las
reas de desarrollo Web.
OWASP21 (Open Web Application Security Project) es un proyecto internacional

establecido por programadores Web para fomentar el desarrollo de aplicaciones
Web seguras.
Lineamientos recomendados:
Validar la entrada y la salida.
Fallar en forma segura.
Mantener la limpieza.
Utilizar y reutilizar componentes de confianza.
Tan seguro como el eslabn ms dbil.
Seguridad por oscurantismo no trabaja.
Defensa reforzada.
Menor privilegio.
Separacin de privilegios.
21
http://www.owasp.org

Autoevaluacin
Indique los pasos a seguir para auditar una aplicacin WEB

..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
Por qu es importante auditar aplicaciones WEB?
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................

158
Resumen
Todas las aplicaciones y servicios web resultan potencialmente susceptibles a un

conjunto comn de ataques que son independientes de la plataforma y tecnologa
subyacentes.
El anlisis funcional realiza un estudio general de la aplicacin, adquiriendo

una visin global de las funcionalidades que proporciona.

pginas.
http://www.owasp.org/index.php/Top_10_2007
OWASP top 10 2007
http://cwe.mitre.org/documents/vuln-trends/index.html
MITRE Common Weakness Enumeration Vulnerability Trends
https://www2.sans.org/top20/
SANS Top 20 Internet Security Attack Targets
http://www.webappsec.org/projects/statistics/
WASC Web Application Security Statistics Project.
http://www.owasp.org/index.php/OWASP_Guide_Project
OWASP Guide
http://www.oissg.org/issaf
OISSG Information Systems Security Assessment Framework (ISSAF)
http://www.isecom.org/
Institute for Security and Open Methodologies (ISECOM)
http://www.isecom.org/osstmm/
ISECOM Open Source Security Testing Methodology Manual (OSSTMM)
http://www.acunetix.com/vulnerability-scanner/
Informacin y descarga de Acunetix Web Vulnerability Scanner

unidad de
aprendizaje
2
semana
13
AUDITORA DE EQUIPOS DE RESPALDO EN REDES

INFORMTICAS
Al trmino de la unidad, los alumnos, trabajando individualmente, aplicarn las

normas de auditora a tomar en cuenta en los equipos de respaldo.
TEMARIO
Antecedentes
Redes elctricas
Puesta a tierra
Red de datos
UPS
Estabilizador
Visitar y conocer la puesta a tierra de la institucin.

160
1. ANTECEDENTES
La finalidad es analizar los diferentes equipos de respaldo que se tiene en redes
informticas para verificar si cumplen con las especificaciones tcnicas
apropiadas.
En las instalaciones de centros de cmputo es muy importante que todo el

sistema en su conjunto cumpla con normas y especificaciones tcnicas
apropiadas para prevenir desastres informativos o deterioros paulatinos del
hardware o software del sistema.
Para ello se debe contar con planos, de la red elctrica, de la red de datos, y
toda la informacin posible sobre la funcin de cada ambiente para verificar si la
distribucin y cantidad de puntos asignados al sistema han sido correctamente
distribuidos.
Fig. 1 Suministro de Energa
2. REDES ELCTRICAS
Pueden perderse o daarse los datos que hay en memoria, se puede daar el
hardware, interrumpirse las operaciones activas y la informacin podra quedar
temporal o definitivamente inaccesible.
En nuestro medio se han podido identificar siete problemas de energa ms

frecuente:
Fallas de energa.
Transistores y pulsos.
Bajo voltaje.
Ruido electromagntico.

Distorsin.
Alto voltaje.
Variacin de frecuencia.
Existen dispositivos que protegen de estas consecuencias negativas, los cuales

tienen nombres como:
Supresores de picos.
Supresores de transitorios.
Estabilizadores.
Sistemas de alimentacin ininterrumpida (SAI o UPS: UNINTERRRUPTIBLE
POWER SISTEM).
Respecto a las redes elctricas:

Se debe revisar el tablero elctrico, las llaves termomagnticas si cumplen
con las cargas reales de consumo, esto se debe medir a plena carga, dando
un 20% de exceso, revisar los cables de conexin, si cumplen con la
corriente que fluye por ellos a plena carga, verificar sus propiedades de
conduccin.
Revisar el balanceo de carga, es decir verificar que los equipos conectados
en cada fase sean aproximadamente la misma cantidad, para no recargar
una fase y dejar libre otras.
Verificar que las conexiones y los empalmes en todos los puntos de conexin
estn bien hechos, que no existan cables elctricos sulfatados, conexiones
que tienen falsos contactos, conexiones sin puesta a tierra, o modificaciones
elctricas mal hechas o en mal estado.
Verificar que los tomacorrientes sean los apropiados, que en una toma solo
existan puntos de fuerza y no se combinen con otro tipo de seal. Que
cumplan con las normas tcnicas vigentes.
Si no existe un plano elctrico, levantar uno para luego informar lo que se tiene y
lo que debe ser para que el usuario vea las diferencias y ordene las correcciones
respectivas.
Al final del trabajo se deben presentar las recomendaciones para que el usuario
sepa lo que debe hacer al respecto.
Fig. 2 Tablero elctrico
El Sistema de Cableado Elctrico debe tener las siguientes consideraciones:

Normas y Estndares NTP370.304

162
ANSI EIA TIA 608

ANSI TIA EIA 607-A
Las instalaciones elctricas deber cumplir con lo dispuesto en el Cdigo
Nacional de Electricidad y Normas Complementarias.
3. PUESTA A TIERRA
Es el pozo infinito donde ingresan corrientes de falla o transitorios y no tienen
retorno porque van a una masa neutra y son realmente dispersados.
Evita y atena los cambios de las perturbaciones en la alimentacin elctrica o a

los fenmenos elctricos transitorios que se presentan o inducen en los sistemas
interconectados.
Verificar que se tiene puesta a tierra, ubicar el pozo o los pozos de tierra,
para poder medirlo con un terrameter o un telurmetro, no olvidarse que la
resistencia que debe ofrecer el pozo de tierra debe ser <= a 5 ohmios para
que sea un pozo conductor, en algunos casos va a observar que existen
pozos en paralelo para disminuir su resistencia y llegar al objetivo <=5
ohmios.
Verificar que la abrazadera que conecta la varilla al cable conductor este en
buenas condiciones, revisar todos los tomacorrientes conectados al pozo de
tierra estn bien conectados y exista continuidad en todos los puntos,
verificar en el tablero elctrico si llega el cable conductor de tierra, verificar si
es necesario recomendar un mantenimiento al pozo de tierra.
Fig. 3 Terrameter
La Puesta a Tierra debe tener las siguientes consideraciones:

Normas y Estndares NTP370.053
ANSI EIA TIA 608
ANSI TIA EIA 607-A
La puesta a tierra deber cumplir con lo dispuesto en el Cdigo Nacional de
Electricidad y Normas Complementarias.
Recomendar un mantenimiento anual si fuera necesario.

4. RED DE DATOS
Respecto a la red de datos se debe verificar que tecnologa se ha a empleado,
para verificar si cumple con la tecnologa indicada, por ejemplo si es una 100
base T , verificar si funciona correctamente a 100 Mbps, para ello se debe contar
con equipo idneo como el Pentascaner.
Medir los parmetros de certificacin del cableado para estar seguros que esta
dentro de los parmetros de tolerancia determinados segn norma.
Se debe verificar:
Que todos los elementos de conduccin cumplan con los parmetros
determinaos por ejemplo que los conectores y jacks tengan la misma
categora que los cables de datos, que tambin el patch panel tenga la
misma categora.
La distancia mxima al punto mas lejano desde el patch panel a la estacin
sea 90 metros en este ejemplo.
Los cables de datos sigan la ruta mas apropiada de acuerdo a una realidad
determinada, verificar si en las uniones se estn empleando VDI, verificar el
estado de os cables de datos, levantar un plano de red de datos si no lo
hubiera.
Se debe garantizar que exista:

reas de equipo de comunicacin con control de acceso.
Proteccin y tendido adecuado de cables y lneas de comunicacin para
evitar accesos fsicos.
Control de utilizacin de equipos de prueba de comunicaciones para
monitorizar la red y el trfico en ella.
Prioridad de recuperacin del sistema.
Control de las lneas telefnicas.
Fig. 4 Centro de cmputo
Comprobando que:
El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso
limitado.
La seguridad fsica del equipo de comunicaciones sea adecuada.

164
Se tomen medidas para separar las actividades de los electricistas y de

cableado de lneas telefnicas.
Las lneas de comunicacin estn fuera de la vista.
Se d un cdigo a cada lnea, en vez de una descripcin fsica de la misma.
Haya procedimientos de proteccin de los cables y las bocas de conexin
para evitar pinchazos a la red.
Existan revisiones peridicas de la red buscando pinchazos a la misma.
El equipo de prueba de comunicaciones ha de tener unos propsitos y
funciones especficas.
Existan alternativas de respaldo de las comunicaciones.
Con respecto a las lneas telefnicas: No debe darse el nmero como pblico
y tenerlas configuradas con retrollamada, cdigo de conexin o
interruptores.
5. UPS (Uninterruptible Power Supply)22

El UPS suministra electricidad a una PC (estacin o servidor) cuando falla el
fluido elctrico, es energa de seguridad para un sistema de computacin, ya sea
cuando la energa elctrica de la lnea se interrumpe o baja a un nivel de tensin
inaceptable. Los sistemas UPS tambin proveen proteccin contra sobrecarga y
pueden proveer asimismo regulacin de tensin.
Analizar la potencia de consumo de estos equipos

Verificar si estn dentro del rango admisible para las cargas que alimentan.
Verificar el estado de las bateras que poseen y medir su rendimiento a plena
carga, si son o no recargables.
Verificar que la forma de onda que genera este UPS debe ser sinusoidal para
alimentar a los computadores, de no ser as recomendar al usuario el
cambio de estos equipos pues otra forma de onda va a deteriorar a los
equipos.
Comprobar que el tiempo de suministro de energa sin alimentacin elctrica
es la cantidad de horas indicadas.
Recomendar un mantenimiento del UPS si fuera necesario.
Fig. 5 UPS
22
SAI (Sistema de Alimentacin Ininterrumpida)

6. Estabilizador de voltaje
Las cadas y subidas de tensin y los picos tienen un impacto negativo en todo
tipo de aparato electrnico, entre los que se incluyen las computadoras
personales, los monitores, las impresoras y los dems perifricos.
Lo que causa problemas en las computadoras personales son las grandes

oscilaciones en el voltaje. Por ejemplo, una cada por debajo de los 200V y una
subida por encima de los 240V.
El estabilizador de voltaje es un equipo elctrico que protege de las variaciones

de voltaje a los equipos de cmputo.
Verificar el buen funcionamiento de los estabilizadores de todos los equipos.

Verificar que la potencia de consumo este acorde con las cargas que
alimenta.
Que funcione todas las salidas que posee.
Comprobar que su toma de tierra est fsicamente conectada al sistema de
tierra.
Verificar que ante el cambio de tensin de entrada la salida mantenga la
tensin en un valor aproximadamente constante.
Fig. 6 Estabilizador

166
Autoevaluacin
Cul es la funcin de una puesta a tierra?
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
Por qu es importante el UPS en un servidor?
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
Indique 3 caractersticas de una puesta a tierra.
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................

Resumen
Respecto a la red de datos se debe verificar que tecnologa se ha a empleado,

para verificar si cumple con la tecnologa indicada.
En el caso de los equipos de respaldo, verificar el UPS o los UPS que alimentan a
los servidores, analizar la potencia de consumo de estos equipos y verificar si
estn dentro del rango admisible para las cargas que alimentan.

pginas.
http://www.bvindecopi.gob.pe/normas/370.304.pdf
Norma Tcnica Peruana 370.304 Instalaciones Elctricas en Edificios.
Verificacin inicial previa a la puesta en servicio.
http://www.bvindecopi.gob.pe/normas/370.053.pdf
Norma Tcnica Peruana 370.053 Seguridad Elctrica. Eleccin de los
materiales elctricos en las instalaciones interiores para puesta a tierra.
Conductores de proteccin de cobre.
http://www.minem.gob.pe/archivos/dge/publicaciones/tripticos/Seguridad_Electr
ica.pdf
Trptico Seguridad Elctrica.
http://www.aep-peru.org/banco.html
Asociacin Electrotcnica Peruana

168

unidad de
aprendizaje
2
semana
14
HERRAMIENTAS ESPECIALIZADAS
Al trmino de la unidad, los alumnos, conocern las diferentes herramientas

usadas para auditar una red, a nivel de hardware y de software.
TEMARIO
Generalidades
Herramientas on-line
Herramientas de exploracin
Herramientas de enumeracin
Herramientas de rastreo
Herramientas de penetracin
Los alumnos mediante un ejemplo emplearan las herramientas adecuadas para

auditar.

170
1. GENERALIDADES
Para poder realizar una auditora se necesitan diversos tipos de herramientas
que nos van a permitir lograr el objetivo que es la de analizar el funcionamiento
de la red en forma cuantitativa y cualitativa, y compararla con los parmetros
estndar que se tiene para ver cun cerca o lejos se est de lo que debe de ser.
Para realizar un trabajo correcto se debe rodear de informacin adecuada, como

planos, modos de trabajo de la empresa, planes de contingencia de la empresa
si lo tiene, normas estndares que cumplen, reglamento interno de la empresa y
las polticas de seguridad que se tiene al respecto.
2. HERRAMIENTAS ON LINE
Son las herramientas que se tienen para poder analizar la red en tiempo real,
midiendo por ejemplo el trfico de la red, la eficiencia de la red, la velocidad de
transmisin.
Fig. 1 Test de velocidad

Fig. 2 Reporte DNS
3. HERRAMIENTAS DE EXPLORACIN
Se realizan en forma interna dentro del equipo, analizando el comportamiento
del hardware ante situaciones crticas, en algunos casos se verifican:
Los puertos
Las aplicaciones instaladas
La configuracin del sistema
Los programas residentes instalados
La habilitacin de determinadas opciones del sistema operativo en uso.
La distribucin de memoria para un ptimo rendimiento.
El rendimiento y eficiencia de la red en condiciones crticas.

172
Fig. 3 Escaneo de puertos

Fig. 4 Herramienta Wireshark
4. HERRAMIENTAS DE ENUMERACIN
Se encargan en forma paulatina de analizar el entorno de la red, desde la
instalacin elctrica para datos hasta la instalacin de la red de datos a nivel de
hardware, midiendo los consumos de energa y compararlos con los estndares
de medida, niveles de seguridad, interferencias a nivel electromagntico, o nivel
de longitud de onda.
NBTscan es un programa para escaneo de las redes IP para la informacin

de nombres NetBIOS.
Fig. 5 Herramienta nbtscan23
23
http://www.inetcat.net/software/nbtscan.html

174
Fig. 6 Taskmanager - Linux
Fig. 7 Administrador de tareas de Windows

Legion es un programa de escaneo de rangos de direcciones IP que lista los

directorios compartidos.
Fig. 8 Herramienta Legion
5. HERRAMIENTAS DE RASTREO
Encargadas de detectar intrusos o programas escucha que se encargan de
rastrear puertos libres para poder ingresar al sistema.
Fig. 8 Herramienta promiscdetect

176
Permiten verificar si alguien a ingresado al sistema o intenta hacerlo para ello

hace un rastreo de los puertos en uso y de los usuarios permitidos por el
sistema, puede generar un sistema de alertas cuando se detecta al intruso o
cuando se esta extrayendo informacin del sistema.
[root@CentOS log]# cat secure | grep Invalid

Sep 12 06:12:36 centos sshd[13193]: Invalid user niclas from 210.188.216.19
Sep 12 06:12:40 centos sshd[13195]: Invalid user niklas from 210.188.216.19
Sep 12 06:12:44 centos sshd[13197]: Invalid user ola from 210.188.216.19
Sep 12 06:12:49 centos sshd[13199]: Invalid user pub from 210.188.216.19
Sep 12 06:12:54 centos sshd[13201]: Invalid user petra from 210.188.216.19
Sep 12 06:12:58 centos sshd[13203]: Invalid user raf from 210.188.216.19
Sep 12 06:13:03 centos sshd[13205]: Invalid user rikard from 210.188.216.19
Sep 12 06:13:08 centos sshd[13207]: Invalid user roland from 210.188.216.19
Sep 12 06:13:12 centos sshd[13209]: Invalid user viveca from 210.188.216.19
Sep 12 06:13:17 centos sshd[13211]: Invalid user ulla from 210.188.216.19
Sep 12 06:13:21 centos sshd[13213]: Invalid user listen from 210.188.216.19
Sep 12 06:13:26 centos sshd[13215]: Invalid user noaccess from 210.188.216.19
Sep 12 06:13:30 centos sshd[13217]: Invalid user andres from 210.188.216.19
Sep 12 06:13:34 centos sshd[13219]: Invalid user humberto from 210.188.216.19
Sep 12 06:13:39 centos sshd[13221]: Invalid user nuevo from 210.188.216.19
Sep 12 06:13:43 centos sshd[13223]: Invalid user redcom from 210.188.216.19
Sep 12 06:13:48 centos sshd[13225]: Invalid user superservicio from 210.188.216.19
[root@CentOS log]#
Cuadro 1. Intentos de acceso fallidos al equipo
[root@CentOS log]# last

root pts/0 192.168.1.33 Sat Sep 13 09:31 still logged in
root pts/0 200.106.118.152 Fri Sep 12 23:15 - 23:20 (00:04)
root pts/0 200.106.118.152 Fri Sep 12 22:22 - 23:15 (00:52)
root pts/1 192.168.1.75 Fri Sep 12 15:35 - 17:31 (01:56)
root pts/0 192.168.1.11 Fri Sep 12 15:33 - 16:04 (00:31)
root tty1 Fri Sep 12 15:21 still logged in
reboot system boot 2.6.16-2-686 Fri Sep 12 15:20 - 09:52 (18:31)
root tty1 Fri Sep 12 15:17 - down (00:01)
root pts/1 192.168.1.11 Fri Sep 12 14:54 - 15:07 (00:13)
root pts/1 192.168.1.11 Fri Sep 12 14:21 - 14:40 (00:18)
root pts/0 192.168.1.75 Fri Sep 12 14:19 - crash (00:58)
root tty1 Fri Sep 12 08:17 - crash (06:59)
reboot system boot 2.6.16-2-686 Fri Sep 12 08:17 - 08:15 (00:-1)
root pts/0 192.168.1.75 Thu Sep 12 19:37 - 19:40 (00:03)
root pts/0 192.168.1.75 Thu Sep 12 18:48 - 18:58 (00:09)
root tty1 Thu Sep 12 12:49 - down (19:26)
reboot system boot 2.6.16-2-686 Thu Sep 12 12:45 - 08:15 (19:30)
root pts/0 192.168.1.75 Thu Sep 12 08:14 - 09:35 (01:20)
root pts/0 192.168.1.75 Wed Sep 8 08:49 - 08:55 (00:05)
root pts/0 192.168.1.11 Tue Sep 7 14:08 - 17:47 (03:38)
root pts/0 192.168.1.75 Sat Sep 4 11:33 - 12:15 (00:41)
root pts/0 192.168.1.75 Fri Sep 3 12:55 - 13:07 (00:11)
root tty1 Fri Sep 3 09:07 - down (6+03:36)
reboot system boot 2.6.16-2-686 Fri Sep 3 09:03 - 12:43 (6+03:39)
root pts/0 192.168.1.75 Thu Sep 2 11:03 - 13:11 (02:07)
wtmp begins Thu Sep 3 11:03:34 2008

[root@CentOS log]#
Cuadro 2. Listado de ltimos ingresos al equipo

6. HERRAMIENTAS DE PENETRACIN
Permiten probar ataques a los equipos para verificar cuan seguros son sus
sistemas, es decir simulan un ataque para probar el rendimiento del sistema y
verificar con pruebas cuan seguro es o en todo caso las debilidades del mismo,
recomendando por ende las soluciones ms adecuadas para ese caso.
Este tipo de herramientas son de mucha utilidad pues permiten verificar el

rendimiento del sistema en tiempo real. Los mtodos de los principales ataques
conocidos segn sus objetivos son:
Identificar:
o Aplicaciones
o Sistemas operativos
o Sistemas de gestin de base de datos
o Topologa
Explorar:
o Contraseas
o Servicios
Versiones y sus exploits
Adquirir:
o Privilegios
Informacin
Control
Para ello usan, entre otros mtodos de hacking: scanning, footprinting,

enumeration, password guessing, disabling audit., sniffing, buffer overflow,
directory traversal y SQL injection.
Herramientas de auditora y seguridad:

Software Libre o freeware:
o Maltego - http://www.paterva.com/
o SEAT - http://midnightresearch.com/
o RevHosts - http://www.revhosts.org/
o NMap - http://www.nmap.org/
o Nessus & Tenable products - www.tenablesecurity.com/
o Saint Scanner and SaintExploit - www.saintcorporation.com/
o W3AF - http://w3af.sourceforge.net/
o Nikto - http://www.cirt.net/code/nikto.shtml
o Paros Proxy - www.parosproxy.org/index.shtml
o Metasploit - http://www.metasploit.com/
o Inguma - http://inguma.sourceforge.net/
o Milw0rm Resources - http://www.milw0rm.com/
o AirCrack-NG - http://www.aircrack-ng.org/
o AirCrack-PTW - CDC informatik darmstadt
o AiroScript - http://airoscript.aircrack-ng.org/
o BackTrack - http://www.remote-exploit.org/
o NST - http://networksecuritytoolkit.org/
o SWA Assistant - securitystartshere.org
o OVAL Interpreters - http://oval.mitre.org/
o Belarc Advisor - http://www.belarc.com/
o Sussen OVAL - dev.mmgsecurity.com/projects/sussen/
o WinAudit - www.pxserver.com/WinAudit.htm
o SysInternals - http://www.sysinternals.com/
o CIS Scoring Tools and Checklists - http://www.cisecurity.org/

178
o Tiger Security Suite - http://www.nongnu.org/tiger

o Babel Enterprise - http://babel.sourceforge.net/
o Nipper Network Infrastructure Parser - sourceforge.net/projects/nipper
o NCat - http://ncat.sourceforge.net/
o Cain And Abel - http://www.oxid.it/
o OphCrack - http://ophcrack.sourceforge.net/
o FindBugs - http://findbugs.sourceforge.net/
o Pixy - PixyBox WebSite
o Russix - http://www.russix.com/
o THC Utilities - http://freeworld.thc.org/
o SQL Power Injector - www.sqlpowerinjector.com/
o SiVus - http://www.vopsecurity.org/
Software comercial:
o Core Impact - http://www.coresecurity.com/
o LanGuard NSS - http://www.gfi.com/
o Acunetix WVS - http://www.acunetix.com/
o WebInspect - http://www.spidynamics.com/
6.1. SAINTexploit
SAINT tambin conocido como Security Administrators Integrated

Network Tool (Herramienta de Red Integrada a la Seguridad del
Administrador) es la consecuencia del utilitario anterior SATAN.
Es una de las mejores herramientas de penetracin disponibles hoy.

SAINTexploit es casi completamente configurable e incluye una interface
en HTML que la hace fcil de utilizar. Los archivos de instalacin y las
instrucciones estn disponibles en
http://download.saintcorporation.com/products/penetration_testing/saint_e
xploit.html

Fig. 9 SAINTexploit

180
Autoevaluacin
Por qu es importante emplear herramientas para auditar?
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
Cul es la herramienta ms adecuada? En qu momento?
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................

Para recordar
Para poder realizar una auditora se necesitan diversos tipos de herramientas que
nos van a permitir lograr el objetivo que es la de analizar el funcionamiento de la
red en forma cuantitativa y cualitativa.
Las herramientas on-line son las herramientas que se tiene para poder analizar la
red en tiempo real, midiendo por ejemplo el trafico de la red, la eficiencia de la red,
la velocidad de transmisin.
Las herramientas de rastreo son las encargadas de detectar intrusos o programas

escucha que se encargan de rastrear puertos libres para poder ingresar al sistema.

pginas.
http://www.ntsecurity.nu/toolbox/
Aqu hallar herramientas para pruebas de seguridad.
http://www.securityfocus.com/tools
Aqu hallar herramientas multipropsito.

182

unidad de
aprendizaje
2
semana
15
EXPOSICIN GRUPAL - CASO PRCTICO

Al trmino de la unidad, los alumnos, trabajando en grupo, realizaran un caso de

estudio aplicando los conocimientos adquiridos.
TEMARIO
Anlisis y evaluacin de la exposicin grupal del caso de estudio
Los alumnos mediante un caso de estudio propuesto por el profesor implementaran

una auditora.

184
1. CASO PRCTICO
Un caso descrito por el profesor de acuerdo a una determinada realidad
1.1. PLANIFICACION
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
............................................................................................................................
............................................................................................................................
............................................................................................................................
............................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
.................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................

1.2. EJECUCION
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
...................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................

186
1.3. REPORTE
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
...................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................

Autoevaluacin
Qu parmetros tomo en cuenta en la planificacin? Por qu?
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
Qu dificultades encontr en la ejecucin? Por qu?
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
En cuntas partes se divide su informe? Por qu?
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................

188
Para recordar
La planificacin de una determinada auditora depende del tipo y forma del rea a
auditar.
La seleccin del personal que va a participar en la auditora esta en funcin del tipo
de auditora que se quiera realizar.
El informa final debe estar compuesto de toda la literatura y aportes que sea
conveniente, dando aportes para el mejor desempeo de la empresa.
La informacin recopilada durante la auditora debe ser secreta y no ser divulgada

a terceros en ninguna forma.

unidad de
aprendizaje
3
semana
16
EXPOSICIN GRUPAL - CASO PRCTICO

Al trmino de la unidad, los alumnos, trabajando individualmente, realizaran un

caso de estudio aplicando los conocimientos adquiridos.
TEMARIO
Anlisis y evaluacin de la exposicin grupal del caso de estudio
Los alumnos mediante un caso de estudio propuesto por el profesor implementaran

una auditora.

190
2. CASO PRCTICO
Un caso descrito por el profesor de acuerdo a una determinada realidad
2.1. PLANIFICACION
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
............................................................................................................................
............................................................................................................................
............................................................................................................................
............................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
.................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................

2.2. EJECUCION
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
...................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................

192
2.3. REPORTE
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
...................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................

Autoevaluacin
Qu parmetros tomo en cuenta en la planificacin? Por qu?
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
Qu dificultades encontr en la ejecucin? Por qu?
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
En cuntas partes se divide su informe? Por qu?
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................
....................................................................................................................

194
Para recordar
La planificacin de una determinada auditora depende del tipo y forma del rea a
auditar.
La seleccin del personal que va a participar en la auditora esta en funcin del tipo
de auditora que se quiera realizar.
El informa final debe estar compuesto de toda la literatura y aportes que sea
conveniente, dando aportes para el mejor desempeo de la empresa.
La informacin recopilada durante la auditora debe ser secreta y no ser divulgada

a terceros en ninguna forma.

Auditoria de Redes

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Auditoria de Redes

Diunggah oleh

Hak Cipta:

Format Tersedia

Protocolo de

CARRERAS PROFESIONALES CIBERTEC

CIBERTEC CARRERAS PROFESIONALES

CARRERAS PROFESIONALES CIBERTEC

Protocolo de Redes II, pertenece al rea de Tecnologa y se dicta en la carrera

El manual para el curso ha sido diseado bajo la modalidad de unidades de

El curso es eminentemente terico. En primer lugar, se inicia con el

CIBERTEC CARRERAS PROFESIONALES

WIRESHARK NMAP NESSUS DUMPSEC

CARRERAS PROFESIONALES CIBERTEC

Al trmino de la unidad, los alumnos, identificaran los distintos tipos de auditora

Al trmino de la unidad, los alumnos, trabajando individualmente, realizaran el

Los alumnos mediante un ejemplo analizan lo que significa una auditora.

CIBERTEC CARRERAS PROFESIONALES

Inicialmente, la auditora se limit a las verificaciones de los registros contables,

Con el tiempo, el campo de accin de la auditora ha continuado extendindose;

En forma sencilla y clara, escribe Holmes:

"... la auditora es el examen de las demostraciones y registros administrativos. El

Tomando en cuenta los criterios anteriores podemos decir que la auditora es la

El objetivo de la Auditora consiste en apoyar a los miembros de la empresa en el

Los miembros de la organizacin a quien la Auditora apoya, incluye al Directorio y

Es gubernamental, cuando la practican auditores de la Contralora General de

CARRERAS PROFESIONALES CIBERTEC

b) De acuerdo al rea examinada o a examinar:

Auditora Financiera, es un examen a los estados financieros que tiene por

Se entiende por estados financieros, los cuatro estados financieros bsicos

Auditora Operacional o de Desempeo es un examen objetivo, sistemtico

Auditora Especial, es el examen objetivo, profesional e independiente, que

Auditora Integral: es un examen total a la empresa, es decir, que se

Auditora Ambiental: es un examen a las medidas sobre el medio ambiente

Auditora de Gestin Ambiental: examen que se le hace a las entidades

Auditora Informtica: examen que se practica a los recursos

CIBERTEC CARRERAS PROFESIONALES

Auditora de Recursos Humanos: examen que se hace al rea de personal,

Auditora de Cumplimiento: se hace con el propsito de verificar si se

Auditora de Seguimiento: se hace con el propsito de verificar si se estn

3. ANALISIS DEL RIESGO

El principal bien de las empresas es la informacin y por tanto es le

La clasificacin de la informacin define el diseo del sistema de

Kurtz y Vines describen el tipo de informacin para las empresas de la

CARRERAS PROFESIONALES CIBERTEC

Fig. 1. Prdidas ocasionadas por actividades ilegales a empresas en USA en el ao

Para organizaciones gubernamentales la informacin es clasificada de la

CIBERTEC CARRERAS PROFESIONALES

Confidencial Informacin cuya divulgacin podra causar dao a la

3.2. Criterios de Clasificacin

Existen numerosas maneras de clasificar a la informacin. Cada cual ms

3.3. Amenazas, Vulnerabilidades y Riesgos

La informacin y otros componentes del sistema estn siempre bajo la

Este factor define el nivel de fortaleza y debilidad de cada uno de los

CARRERAS PROFESIONALES CIBERTEC

Las amenazas y vulnerabilidades definen el nivel de riesgo de una

Si no existen vulnerabilidades, no existe el riesgo. Las amenazas siempre

Fig. 3. Ataque registrados en Zone-H2

Las vulnerabilidades se anulan efectuando:

CIBERTEC CARRERAS PROFESIONALES

Utilizar un enfoque dividido por etapas:

Fig. 4. Seguridad Multicapa

4.1. Estndares de Seguridad

Los estndares de seguridad definen los requerimientos,

Existen varios estndares de seguridad:

CARRERAS PROFESIONALES CIBERTEC

En el Per se tiene la Norma Tcnica Peruana NTP-ISO/IEC 17799

Una organizacin que adopte la Norma Tcnica Peruana ISO 17799