Auditoria de Redes y Base de Datos Escalante La Portilla Márquez
AUDITORIA DE RED La globalización, la competencia y los avances tecnológicos están aumentando la importancia de las redes corporativas en todos los sectores empresariales. Las empresas con mayor visión deberían estar preparadas para una creciente dependencia de sus redes y, en consecuencia, para un crecimiento de red exponencial. Además, La infraestructura de las Tecnologías de la Información y de las Comunicaciones (TIC) se ha convertido en un activo empresarial estratégico y la red constituye su núcleo.
CONCEPTO Una Auditoria de Redes es, en esencia, una serie de mecanismos mediante los cuales se pone a prueba una red informática, evaluando su desempeño y seguridad, a fin de lograr una utilización más eficiente y segura de la información. El primer paso para iniciar una gestión responsable de la seguridad es identificar la estructura física (hardware, topología) y lógica (software, aplicaciones) del sistema (sea un equipo, red, intranet, extranet), y hacerle una Análisis de Vulnerabilidad, para saber en qué grado de exposición nos encontramos;
CONCEPTO Así, hecha esta "radiografía" de la red, se procede a localizar sus falencias más críticas, para proponer una Estrategia de Saneamiento de los mismos; un Plan de Contención ante posibles incidentes; y un Seguimiento Contínuo del desempeño del sistema de ahora en más.
Auditoria De La Red Física Garantiza: • Áreas de equipo de comunicación con control de acceso. • Protección y tendido adecuado de cables y líneas de comunicación para evitar accesos físicos. • Control de utilización de equipos de prueba de comunicaciones para monitorizar la red y el tráfico en ella. • Prioridad de recuperación del sistema. • Control de las líneas telefónicas.
Comprobando: • El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado. • La seguridad física del equipo de comunicaciones sea adecuada. • Se tomen medidas para separar las actividades de los electricistas y de cableado de líneas telefónicas. • Las líneas de comunicación estén fuera de la vista. • Se dé un código a cada línea, en vez de una descripción física de la misma. • Haya procedimientos de protección de los cables y las bocas de conexión para evitar pinchazos a la red.
• Existan revisiones periódicas de la red buscando pinchazos a la misma. • El equipo de prueba de comunicaciones ha de tener unos propósitos y funciones específicas. • Existan alternativas de respaldo de las comunicaciones. • Con respecto a las líneas telefónicas: No debe darse el número como público y tenerlas configuradas con retro-llamada, código de conexión o interruptores.
Auditoria De La Red Lógica Manejar: • Se deben dar contraseñas de acceso. • Controlar los errores. • Garantizar que en una transmisión, ésta solo sea recibida por el destinatario. Para esto, regularmente se cambia la ruta de acceso de la información a la red. • Registrar las actividades de los usuarios en la red. • Encriptar la información pertinente. • Evitar la importación y exportación de datos.
Comprobar: • • • •
Inhabilitar el software o hardware con acceso libre. Generar estadísticas de las tasas de errores y transmisión. Crear protocolos con detección de errores. Los mensajes lógicos de transmisión han de llevar origen, fecha, hora y receptor. • El software de comunicación, ha de tener procedimientos correctivos y de control ante mensajes duplicados, fuera de orden, perdidos o retrasados. • Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde una terminal debidamente autorizada. • Se debe hacer un análisis del riesgo de aplicaciones en los procesos.
• Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión entre diferentes organizaciones. • Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión entre diferentes organizaciones. • Asegurar que los datos que viajan por Internet vayan cifrados. • Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad asociado para impedir el acceso de equipos foráneos a la red. • Deben existir políticas que prohíban la instalación de programas o equipos personales en la red.
• Los accesos a servidores remotos han de estar inhabilitados. • La propia empresa generará propios ataques para probar solidez de la red y encontrar posibles fallos en cada una de las siguientes facetas: • Servidores = Desde dentro del servidor y de la red interna. – – – –
Servidores web. Intranet = Desde dentro. Firewall = Desde dentro. Accesos del exterior y/o Internet.
ETAPAS A IMPLEMENTAR EN LA AUDITORÍA DE REDES Análisis de Vulnerabilidad Éste es sin duda el punto más crítico de toda la Auditoría, ya que de él dependerá directamente el curso de acción a tomar en todas las siguientes etapas y el éxito de éste. Nuestro equipo cuenta con la tecnología y la capicidad necesaria para elaborar detallados reportes sobre el grado de vulnerabilidad del sistema, a través de análisis remotos y locales.
Estrategia de Saneamiento Identificadas las "brechas" en la red, se procede a "parchearlas", bien sea actualizando el software afectado, reconfigurándolo de una mejor manera o removiéndolo para remplazarlo por otro que consideremos más seguro y de mejor desempeño. En este sentido, 7 Espejos no posee ningún acuerdo con ninguna compañía de software, y probablemente le ofrecerá soluciones GNU, de alta performance y muy bajo costo.
Las bases de datos, los servidores internos de correo, las comunicaciones sin cifrar, las estaciones de trabajo... todo los puntos críticos deben reducir el riesgo. En los casos más extremos, la misma infraestructura física de la red deberá ser replanteada, reorganizando y reconfigurando los switches y routers de la misma.
Plan de Contención La red ha sido replanteada, el software ha sido reconfigurado (o rediseñado) y el riesgo ha sido reducido; aún así, constamente se están reportando nuevos fallos de seguridad y la posibilidad de intrusión siempre está latente. Un disco rígido puede fallar, una base de datos puede corromporse o una estación de trabajo puede ser infectada por un virus in the wild (virus bien reciente de rápida propagación); para ello hay que elaborar un "Plan B", que prevea un incidente aún después de tomadas las medidas de seguridad, y que dé respuesta a posibles eventualidades.
Seguimiento Contínuo Como señana Bruce Schneier, reconocido especialista de esta área, «la seguridad no es un producto, es un proceso». Como dijimos, constamente surgen nuevos fallos de seguridad, nuevos virus, nuevas "herramientas" (exploits) que facilitan la intrusión en sistemas, como así también nuevas y más efectivas tecnologías para solucionar estos y otros problemas; por todo ello, la actitud ante la seguridad de debe ser activa, procurando estar "al corriente" de lo que esté sucediendo en la materia, para ir cubriendo las nuevas brechas que vayan surgiendo y -cuando menos- para hacerle el trabajo más difícil a nuestros atacantes.
HERRAMIENTAS DE AUDITORIA DE REDES • • • • • • • • • • • •
OpenBSD: El sistema operativo preventivamente seguro. TCP Wrappers: Un mecanismo de control de acceso y registro clásico basado en IP. pwdump3: Permite recuperar las hashes de passwords de Windows localmente o a través de la red aunque syskey no esté habilitado. LibNet: Una API (toolkit) de alto nivel permitiendo al programador de aplicaciones construir e inyectar paquetes de red. IpTraf: Software para el monitoreo de redes de IP. Fping: Un programa para el escaneo con ping en paralelo. Bastille: Un script de fortalecimiento de seguridad Para Linux, Max Os X, y HP-UX. Winfingerprint: Un escáner de enumeración de Hosts/Redes para Win32. TCPTraceroute: Una implementación de traceroute que utiliza paquetes de TCP. Shadow Security Scanner: Una herramienta de evaluación de seguridad nolibre. pf: El filtro de paquetes innovador de OpenBSD. LIDS: Un sistema de detección/defensa de intrusiones para el kernel Linux.
HERRAMIENTAS DE AUDITORIA DE REDES • • • • • • • • •
etherape: Un monitor de red gráfico para Unix basado en etherman. dig: Una útil herramienta de consulta de DNS que viene de la mano con Bind. Crack / Cracklib: El clásico cracker de passwords locales de Alec Muffett. cheops / cheops-ng: Nos provee de una interfaz simple a muchas utilidades de red, mapea redes locales o remotas e identifica los sistemas operativos de las máquinas. zone alarm: El firewall personal para Windows. Ofrecen una versión gratuita limitada. Visual Route: Obtiene información de traceroute/whois y la grafica sobre un mapa del mundo. The Coroner's Toolkit (TCT): Una colección de herramientas orientadas tanto a la recolección como al análisis de información forenese en un sistema Unix. tcpreplay: una herramienta para reproducir {replay} archivos guardados con tcpdump o con snoop a velocidades arbitrarias. snoop: También es un sniffer de redes que viene con Solaris.
Auditoria de Base de datos El objeto fundamental de la auditoria es obtener información de las operaciones que cada usuario realiza sobre los objetos de una base de datos.
Auditoria de Base de datos Aspectos a Evaluar • Administración de la Base de Datos • Mantenimiento • Prevención y Detección de Errores • Medio Ambiente • Recuperación • Soporte del Proveedor • Seguridad • Documentación
Niveles de Auditoria: • Niveles de Auditoria: – Agregada. – Censal. – Muestral.
– Detallada. – Cambios • De contenido. • De estructura. – Accesos. • Operaciones de acceso a contenido. • Resultados de las operaciones de acceso.
– Otros. • Copias de seguridad y recuperaciones. • Reconstrucción de un estado de los datos.
Agregada: • Estadísticas sobre el número de operaciones realizadas sobre un objeto de Base de Datos, por cada usuario. Como cualquier estadística, su medida puede hacerse con técnicas censales muestrales. – Censal: El gestor toma datos de todas las operaciones que recibe, según el gestor, esto se ejecutará en paralelo a las operaciones auditadas. – Muestral: Periódicamente se toman una muestra de datos .
Detallada: • Incluye todas las operaciones realizadas sobre cada objeto. – Cambios. • El contenido de los datos. Debe contener la imagen de los datos anteriores y posteriores a la operación del cambio. • La estructura de los objetos que componen la aplicación.
– Accesos. Limitada a las operaciones de acceso al contenido de los datos y tiene dos niveles de detalle: • Operación (sentencia SQL que se ejecutó) y • Resultado (los datos que se vieron en la sentencia SQL ejecutada).
Otros tipos: • Copias de Seguridad. • Reconstrucción de estados.
Principales SGBD Situación al 2005
Principales SGBD
Oracle
Oracle
Oracle Oracle soporta tres tipos generales de Auditoria: • Por sentencia. • Por Privilegios o Autorizaciones. • Objetos de un sistema.
Oracle • Auditoria de sentencias: – – –
El objeto auditado es una sentencia SQL específica, independientemente del esquema. Por cada operación auditada, este gestor produce un registro en AUD$. Las sentencias auditables son, por ejemplo: • INDEX (Create, alter, drop.). • NOT EXISTS (Todas las sentencias SQL que fallan al no existir el objeto referenciado). • PROCEDURE (Create function, create pakage, …) • PUBLIC SYNONYM (Create, drop.). • ROLE (Create, alter, drop.). • ROLL BACK (Create, alter drop) • SESSION (logons). • SYSNONYM (Create, drop.). • SYSTEM AUDIT (“Audit” sentencia SQL ·Nodudit Sentencia SQL). • SYSTEM GRANT (Grant privilegio o role, revoke). • TABLE (Create, drop, truncate, alter, delete…). • TRIGGER (Create, alter, drop). • USER (Create, alter, drop.). • VEN (Create, drop.). • EXECUTE.
Oracle •
Auditoria de privilegios o autorizaciones: – El objeto auditado es la realización de las acciones correspondientes a determinados privilegios del sistema. – Algunos de esos privilegios son ALTER DATABASE, AUDIT SYSTEM, ALTER SYSTEM, CREATE DATABASE LINK, CREATE ROLE, CREATE/ALTER/DROP ANY ROLE, CREATE/ALTER /BACKUP/DELETE/DROP/INSERT/LOCK/UPDATE/SELECT ANY TABLE, y muchos más.
•
Auditoria de objetos de un Schema. – Se aplica sobre un particular objeto de un esquema, por ejemplo Audit Select on Scott.emp. – Se parece a la auditoria por sentencia SQL, pero en este caso, se especifica un esquema y un objeto, es decir, una tabla, una vista y una función, etc. – Número de registros auditados puede ser muy numeroso. Conviene limitar por usuario o por objeto. – Se puede limitar por sesión (“by Session”), o generar un registro cada vez que se produzca un hecho a auditar (“by Access”).
Controlar los intentos de conexión fallidos
Controlar los intentos de conexión fallidos
Como implementar una Auditoria de BD •
Definir el Alcance de la auditoria: – Esta auditoria comprende solamente al área de cetro de computo de la municipalidad de mariscal nieto, con respecto al cumplimiento del proceso "De Gestión administración de la Base de Datos " de la de manera que abarca la explotación, mantenimiento, diseño carga, post implementación.
Como implementar una Auditoria de BD •Definir el Objetivo
“Verificar la responsabilidad de la administración del entorno de la base de datos” (administrador de la base de datos)
Como implementar una Auditoria de BD checklist 1. 2. 3. 4. 5. 6. 7.
Los datos son cargados correctamente en la interfaz grafica Existe personal restringido que tenga acceso a la BD ¿Existen procedimientos formales para la operación del SGBD? ¿Se verifican con frecuencia la validez de los inventarios de los archivos magnéticos? ¿Se tiene un responsable del SGBD? ¿Se ha investigado si ese tiempo de respuesta satisface a los usuarios?
INFORME DE AUDITORIA •
Identificación del informe Auditoria de Base de Datos. 2. Identificación del Cliente El área de Informática 3. Identificación de la Entidad Auditada Municipalidad Provincial de Moquegua. 4. Hallazgos La gerencia de Base de datos no tiene un plan que permite modificar en forma oportuna el plan a largo plazo de tecnología, teniendo en cuenta los posibles cambios tecnológicos y el incremento de la base de datos. …….
INFORME DE AUDITORIA 5. Conclusiones: El Departamento de centro de cómputo presenta deficiencias sobre todo en el debido cumplimiento de Normas de seguridad de datos y administración de la Base de Datos. …..
6. Recomendaciones Capacitar al personal al manejo de la BD.