Auditoria de Redes y

Base de Datos
Escalante
La Portilla
Márquez
 AUDITORIA DE RED
La globalización, la competencia y los avances
tecnológicos están aumentando la importancia
de las redes corporativas en todos los sectores
empresariales. Las empresas con mayor visión
deberían estar preparadas para una creciente
dependencia de sus redes y, en consecuencia,
para un crecimiento de red exponencial.
Además, La infraestructura de las Tecnologías
de la Información y de las Comunicaciones (TIC)
se ha convertido en un activo empresarial
estratégico y la red constituye su núcleo.
 CONCEPTO
Una Auditoria de Redes es, en esencia, una
serie de mecanismos mediante los cuales se
pone a prueba una red informática, evaluando
su desempeño y seguridad, a fin de lograr una
utilización más eficiente y segura de la
información. El primer paso para iniciar una
gestión responsable de la seguridad es
identificar la estructura física (hardware,
topología) y lógica (software, aplicaciones) del
sistema (sea un equipo, red, intranet, extranet),
y hacerle una Análisis de Vulnerabilidad, para
saber en qué grado de exposición nos
encontramos;
 CONCEPTO
Así, hecha esta "radiografía" de la red, se
procede a localizar sus falencias más
críticas, para proponer una Estrategia de
Saneamiento de los mismos; un Plan de
Contención ante posibles incidentes; y un
Seguimiento Contínuo del desempeño del
sistema de ahora en más.
 Auditoria De La Red Física
Garantiza:
• Áreas de equipo de comunicación con control de
acceso.
• Protección y tendido adecuado de cables y
líneas de comunicación para evitar accesos
físicos.
• Control de utilización de equipos de prueba de
comunicaciones para monitorizar la red y el
tráfico en ella.
• Prioridad de recuperación del sistema.
• Control de las líneas telefónicas.
Comprobando:

• El equipo de comunicaciones ha de estar en un lugar

cerrado y con acceso limitado.
• La seguridad física del equipo de comunicaciones sea
adecuada.
• Se tomen medidas para separar las actividades de los
electricistas y de cableado de líneas telefónicas.
• Las líneas de comunicación estén fuera de la vista.
• Se dé un código a cada línea, en vez de una descripción
física de la misma.
• Haya procedimientos de protección de los cables y las
bocas de conexión para evitar pinchazos a la red.
• Existan revisiones periódicas de la red
buscando pinchazos a la misma.
• El equipo de prueba de comunicaciones ha de
tener unos propósitos y funciones específicas.
• Existan alternativas de respaldo de las
comunicaciones.
• Con respecto a las líneas telefónicas: No debe
darse el número como público y tenerlas
configuradas con retro-llamada, código de
conexión o interruptores.
 Auditoria De La Red Lógica
Manejar:
• Se deben dar contraseñas de acceso.
• Controlar los errores.
• Garantizar que en una transmisión, ésta solo
sea recibida por el destinatario. Para esto,
regularmente se cambia la ruta de acceso de la
información a la red.
• Registrar las actividades de los usuarios en la
red.
• Encriptar la información pertinente.
• Evitar la importación y exportación de datos.
Comprobar:

• Inhabilitar el software o hardware con acceso libre.

• Generar estadísticas de las tasas de errores y transmisión.
• Crear protocolos con detección de errores.
• Los mensajes lógicos de transmisión han de llevar origen,
fecha, hora y receptor.
• El software de comunicación, ha de tener procedimientos
correctivos y de control ante mensajes duplicados, fuera
de orden, perdidos o retrasados.
• Los datos sensibles, solo pueden ser impresos en una
impresora especificada y ser vistos desde una terminal
debidamente autorizada.
• Se debe hacer un análisis del riesgo de aplicaciones en los
procesos.
• Se debe hacer un análisis de la conveniencia de cifrar
los canales de transmisión entre diferentes
organizaciones.
• Se debe hacer un análisis de la conveniencia de cifrar
los canales de transmisión entre diferentes
organizaciones.
• Asegurar que los datos que viajan por Internet vayan
cifrados.
• Si en la LAN hay equipos con modem entonces se debe
revisar el control de seguridad asociado para impedir el
acceso de equipos foráneos a la red.
• Deben existir políticas que prohíban la instalación de
programas o equipos personales en la red.
• Los accesos a servidores remotos han de estar
inhabilitados.
• La propia empresa generará propios ataques
para probar solidez de la red y encontrar
posibles fallos en cada una de las siguientes
facetas:
• Servidores = Desde dentro del servidor y de la
red interna.
– Servidores web.
– Intranet = Desde dentro.
– Firewall = Desde dentro.
– Accesos del exterior y/o Internet.
 ETAPAS A IMPLEMENTAR EN
LA AUDITORÍA DE REDES
Análisis de Vulnerabilidad

Éste es sin duda el punto más crítico de toda la

Auditoría, ya que de él dependerá directamente
el curso de acción a tomar en todas las
siguientes etapas y el éxito de éste. Nuestro
equipo cuenta con la tecnología y la capicidad
necesaria para elaborar detallados reportes
sobre el grado de vulnerabilidad del sistema, a
través de análisis remotos y locales.
Estrategia de Saneamiento

Identificadas las "brechas" en la red, se procede

a "parchearlas", bien sea actualizando el
software afectado, reconfigurándolo de una
mejor manera o removiéndolo para remplazarlo
por otro que consideremos más seguro y de
mejor desempeño. En este sentido, 7 Espejos
no posee ningún acuerdo con ninguna
compañía de software, y probablemente le
ofrecerá soluciones GNU, de alta performance y
muy bajo costo.
Las bases de datos, los servidores
internos de correo, las comunicaciones
sin cifrar, las estaciones de trabajo... todo
los puntos críticos deben reducir el riesgo.
En los casos más extremos, la misma
infraestructura física de la red deberá ser
replanteada, reorganizando y
reconfigurando los switches y routers de
la misma.
Plan de Contención

La red ha sido replanteada, el software ha sido

reconfigurado (o rediseñado) y el riesgo ha sido
reducido; aún así, constamente se están
reportando nuevos fallos de seguridad y la
posibilidad de intrusión siempre está latente. Un
disco rígido puede fallar, una base de datos
puede corromporse o una estación de trabajo
puede ser infectada por un virus in the wild
(virus bien reciente de rápida propagación); para
ello hay que elaborar un "Plan B", que prevea un
incidente aún después de tomadas las medidas
de seguridad, y que dé respuesta a posibles
eventualidades.
Seguimiento Contínuo

Como señana Bruce Schneier, reconocido especialista

de esta área, «la seguridad no es un producto, es un
proceso». Como dijimos, constamente surgen nuevos
fallos de seguridad, nuevos virus, nuevas "herramientas"
(exploits) que facilitan la intrusión en sistemas, como así
también nuevas y más efectivas tecnologías para
solucionar estos y otros problemas; por todo ello, la
actitud ante la seguridad de debe ser activa, procurando
estar "al corriente" de lo que esté sucediendo en la
materia, para ir cubriendo las nuevas brechas que vayan
surgiendo y -cuando menos- para hacerle el trabajo más
difícil a nuestros atacantes.
 HERRAMIENTAS DE AUDITORIA
DE REDES
• OpenBSD: El sistema operativo preventivamente seguro.
• TCP Wrappers: Un mecanismo de control de acceso y registro clásico
basado en IP.
• pwdump3: Permite recuperar las hashes de passwords de Windows
localmente o a través de la red aunque syskey no esté habilitado.
• LibNet: Una API (toolkit) de alto nivel permitiendo al programador de
aplicaciones construir e inyectar paquetes de red.
• IpTraf: Software para el monitoreo de redes de IP.
• Fping: Un programa para el escaneo con ping en paralelo.
• Bastille: Un script de fortalecimiento de seguridad Para Linux, Max Os X, y
HP-UX.
• Winfingerprint: Un escáner de enumeración de Hosts/Redes para Win32.
• TCPTraceroute: Una implementación de traceroute que utiliza paquetes de
TCP.
• Shadow Security Scanner: Una herramienta de evaluación de seguridad no-
libre.
• pf: El filtro de paquetes innovador de OpenBSD.
• LIDS: Un sistema de detección/defensa de intrusiones para el kernel Linux.
 HERRAMIENTAS DE AUDITORIA
DE REDES
• etherape: Un monitor de red gráfico para Unix basado en etherman.
• dig: Una útil herramienta de consulta de DNS que viene de la mano con
Bind.
• Crack / Cracklib: El clásico cracker de passwords locales de Alec Muffett.
• cheops / cheops-ng: Nos provee de una interfaz simple a muchas utilidades
de red, mapea redes locales o remotas e identifica los sistemas operativos
de las máquinas.
• zone alarm: El firewall personal para Windows. Ofrecen una versión gratuita
limitada.
• Visual Route: Obtiene información de traceroute/whois y la grafica sobre un
mapa del mundo.
• The Coroner's Toolkit (TCT): Una colección de herramientas orientadas
tanto a la recolección como al análisis de información forenese en un
sistema Unix.
• tcpreplay: una herramienta para reproducir {replay} archivos guardados con
tcpdump o con snoop a velocidades arbitrarias.
• snoop: También es un sniffer de redes que viene con Solaris.
Auditoria de Base de datos
El objeto fundamental de la auditoria
es obtener información de las
operaciones que cada usuario
realiza sobre los objetos de una
base de datos.
 Auditoria de Base de datos
Aspectos a Evaluar
• Administración de la Base de Datos
• Mantenimiento
• Prevención y Detección de Errores
• Medio Ambiente
• Recuperación
• Soporte del Proveedor
• Seguridad
• Documentación
 Niveles de Auditoria:

• Niveles de Auditoria:
– Agregada.
– Censal.
– Muestral.
– Detallada.
– Cambios
• De contenido.
• De estructura.
– Accesos.
• Operaciones de acceso a contenido.
• Resultados de las operaciones de acceso.
– Otros.
• Copias de seguridad y recuperaciones.
• Reconstrucción de un estado de los datos.
Agregada:
• Estadísticas sobre el número de operaciones
realizadas sobre un objeto de Base de Datos,
por cada usuario. Como cualquier estadística,
su medida puede hacerse con técnicas
censales muestrales.
– Censal: El gestor toma datos de todas las
operaciones que recibe, según el gestor, esto se
ejecutará en paralelo a las operaciones auditadas.
– Muestral: Periódicamente se toman una muestra
de datos .
Detallada:
• Incluye todas las operaciones realizadas
sobre cada objeto.
– Cambios.
• El contenido de los datos. Debe contener la imagen
de los datos anteriores y posteriores a la operación
del cambio.
• La estructura de los objetos que componen la
aplicación.

– Accesos. Limitada a las operaciones de acceso al

contenido de los datos y tiene dos niveles de detalle:
• Operación (sentencia SQL que se ejecutó) y
• Resultado (los datos que se vieron en la sentencia
SQL ejecutada).
Otros tipos:
• Copias de Seguridad.
• Reconstrucción de estados.
Principales SGBD
Situación al 2005
Principales SGBD
Oracle
Oracle
Oracle

Oracle soporta tres tipos generales de

Auditoria:
• Por sentencia.
• Por Privilegios o Autorizaciones.
• Objetos de un sistema.
Oracle
• Auditoria de sentencias:
– El objeto auditado es una sentencia SQL específica, independientemente del
esquema.
– Por cada operación auditada, este gestor produce un registro en AUD$.
– Las sentencias auditables son, por ejemplo:
• INDEX (Create, alter, drop.).
• NOT EXISTS (Todas las sentencias SQL que fallan al no existir el objeto
referenciado).
• PROCEDURE (Create function, create pakage, …)
• PUBLIC SYNONYM (Create, drop.).
• ROLE (Create, alter, drop.).
• ROLL BACK (Create, alter drop)
• SESSION (logons).
• SYSNONYM (Create, drop.).
• SYSTEM AUDIT (“Audit” sentencia SQL ·Nodudit Sentencia SQL).
• SYSTEM GRANT (Grant privilegio o role, revoke).
• TABLE (Create, drop, truncate, alter, delete…).
• TRIGGER (Create, alter, drop).
• USER (Create, alter, drop.).
• VEN (Create, drop.).
• EXECUTE.
Oracle
• Auditoria de privilegios o autorizaciones:
– El objeto auditado es la realización de las acciones
correspondientes a determinados privilegios del sistema.
– Algunos de esos privilegios son ALTER DATABASE, AUDIT
SYSTEM, ALTER SYSTEM, CREATE DATABASE LINK,
CREATE ROLE, CREATE/ALTER/DROP ANY ROLE,
CREATE/ALTER
/BACKUP/DELETE/DROP/INSERT/LOCK/UPDATE/SELECT
ANY TABLE, y muchos más.
• Auditoria de objetos de un Schema.
– Se aplica sobre un particular objeto de un esquema, por ejemplo
Audit
Select on Scott.emp.
– Se parece a la auditoria por sentencia SQL, pero en este caso, se
especifica un esquema y un objeto, es decir, una tabla, una vista y
una
función, etc.
– Número de registros auditados puede ser muy numeroso. Conviene
limitar
por usuario o por objeto.
– Se puede limitar por sesión (“by Session”), o generar un registro
cada vez
que se produzca un hecho a auditar (“by Access”).
Controlar los intentos de conexión fallidos
Controlar los intentos de conexión fallidos
 Como implementar una Auditoria
de BD
• Definir el Alcance de la auditoria:
– Esta auditoria comprende solamente al área de cetro de computo de la
municipalidad de mariscal nieto, con respecto al cumplimiento del
proceso "De Gestión administración de la Base de Datos " de la de
manera que abarca la explotación, mantenimiento, diseño carga, post
implementación.
 Como implementar una Auditoria
de BD

•Definir el Objetivo

“Verificar la responsabilidad de la
administración del entorno de la base
de datos” (administrador de la base de
datos)
Como implementar una Auditoria
de BD
checklist
1. Los datos son cargados correctamente en la interfaz grafica
2. Existe personal restringido que tenga acceso a la BD
3. ¿Existen procedimientos formales para la operación del
4. SGBD?
5. ¿Se verifican con frecuencia la validez de los inventarios de los
archivos magnéticos?
6. ¿Se tiene un responsable del SGBD?
7. ¿Se ha investigado si ese tiempo de respuesta satisface a los
usuarios?
 INFORME DE AUDITORIA
• Identificación del informe
Auditoria de Base de Datos.
2. Identificación del Cliente
El área de Informática
3. Identificación de la Entidad Auditada
Municipalidad Provincial de Moquegua.

4. Hallazgos
La gerencia de Base de datos no tiene un plan que
permite modificar en forma oportuna el plan a
largo plazo de tecnología, teniendo en cuenta
los posibles cambios tecnológicos y el incremento
de la base de datos.
…….
 INFORME DE AUDITORIA

5. Conclusiones:
El Departamento de centro de cómputo presenta deficiencias
sobre todo en el debido cumplimiento de Normas de seguridad
de datos y administración de la Base de Datos.
…..
6. Recomendaciones
Capacitar al personal al manejo de la BD.