AUDITORÍA Y CONSULTORÍA TEMA 8 AUDITORÍA DE REDES

Anexo 16ac Técnicas de Auditoría Para Obtener Evidencia –
Colegio Universitario de Cartago Ai032021 Auditoría Interna Auditoría Interna












AUDITORÍA Y CONSULTORÍA



TEMA 8



Auditoría de redes











Juan Carlos Alfaro López

Profesor-Tutor del Centro Asociado de Tudela

Profesor intercampus de la asignatura

http://lasultimasaguilasnegras.blogspot.com.es/


Tabla de contenido

II.4 Auditoría de redes 3

II.4.1. Terminología de redes según el modelo OSI 3

II.4.2.Vulnerabilidades en redes de comunicaciones 4

II.4.3. Protocolos y tipologías de red 5

II.4.4. Acercamiento a redes TCP/IP 5

II.4.5. Auditar a la Organización (Responsable Comunicaciones) 6

II.4.6. Auditar la Red Física 7

II.4.7. Auditar la Red Lógica 7


II.4 Auditoría de redes


II.4.1. Terminología de redes según el modelo OSI

Consta de siete niveles. Cada uno se comunica con el inferior y con el superior mediante una serie de servicios (protocolos) preestablecidos. El nivel inferior (físico) se encarga de la interface con el cable mientras que el superior se encarga de la interface con la aplicación final. Niveles:

  1. Físico: transformar paquetes información en señales físicas que son transmisibles

  2. Enlace: Divide la información en paquetes (tramas) transmisibles

  3. Red: Establece la/s ruta/s a seguir por la información entre emisor y receptor

  4. Transporte: Comprobación de la integridad de la información (no hay pérdidas ni corrupciones)

  5. Sesión: Establece y cierra la sesión de comunicaciones (segura / no segura ; protocolos..)

  6. Presentación: decisión sobre el formato de los datos a presentar a la aplicación ( o que ésta presenta)

  7. Aplicación (enlace de la aplicación –mediante el API- con el sistema de comunicaciones


Cada capa se despreocupa de lo que hacen las otras y sólo habla (además de con su superior e inferior) con la otra capa de igual nivel en el receptor. Los principales protocolos de comunicaciones de redes actuales se diferencian básicamente en variaciones de los tres primeros niveles (aunque también en el cuarto –transporte-) y expandiendo o contrayendo las atribuciones de la capa de aplicación:


AUDITORÍA Y CONSULTORÍA TEMA 8 AUDITORÍA DE REDES


AUDITORÍA Y CONSULTORÍA TEMA 8 AUDITORÍA DE REDES


II.4.2.Vulnerabilidades en redes de comunicaciones

Por causas propias de la tecnología


Por causas dolosas (humanas intencionadas)


La única solución casi inexpugnable para las dolosas es el cifrado (fuerte) de las comunicaciones pero por desgracia muchas veces es débil o, en el caso de las LAN, ausente ya que se supone que existe un control de acceso físico a la red.


Dentro de las LAN la principal amenaza es la indagación (escucha) que suele plantearse sólo en los tramos de cableado de planta (cobre), mientras que los cableados troncales y de ruta (ópticos) suelen estar libres de esta amenaza. Para controlar esta amenaza:


Vulnerabilidades del transporte:




II.4.3. Protocolos y tipologías de red

Ethernet (LAN): medio físico es cable cobre y se basa en que todos los recetores están escuchando a la vez, por lo que el emisor sólo tiene que escuchar el medio y, cuando está libre, lanzar su mensaje sin preocuparte del nivel red


Token-ring (IBM)mejora el rendimiento ante tráfico intenso en una LAN


Para WAN está X-25, donde existen varios nodos intermedios que comprueban que el paquete haya llegado bien y, si no, piden renvío. Sigue muy bien los 4 primeros niveles OSI


Frame-Relay es lo mismo que X-25, pero la comprobación de errores sólo se hace en destino, agilizando el proceso. ATM es similar a Frame-Relay pero para conmutación de alta velocidad


SNA (IBM). Tremendamente jerarquizado y suele utilizarse en comunicaciones host – terminal de grandes ordenadores (IBM o compatibles)


Netbios. Respuesta de Microsoft a SNE pero para pequeñas LAN. Es bastante ágil.


IPX. Protocolo de Novell para LAN. Ágil, pero en desuso.


TCP/IP. El rey de los protocolos de comunicaciones actuales



II.4.4. Acercamiento a redes TCP/IP

Nomenclatura:

AUDITORÍA Y CONSULTORÍA TEMA 8 AUDITORÍA DE REDES


Figuras de protección:


Políticas de protección:


Controles básicos de seguridad:



II.4.5. Auditar a la Organización (Responsable Comunicaciones)

Comprobar responsabilidad en la empresa en:


Objetivos de control de la Auditoría:


Lista de controles:



II.4.6. Auditar la Red Física

No hay que olvidar revisar las instalaciones físicas del edificio, ni tampoco los controles de los accesos físicos desde el exterior de forma autorizada (p.e. correo interno web). Es también muy importante comprobar en qué condiciones se podría funcionar a nivel de comunicaciones si ocurre un desastre y si hay previsto un plan de recuperación de las mismas que marque prioridades y orden.


Objetivos de control de la Auditoría:


Lista de controles:



II.4.7. Auditar la Red Lógica

Es tanto o más importante que auditar la red física (y produce la mayor parte de los gaps)


Objetivos de control de la Auditoría:


Lista de controles:






Tags: auditoría y, ii.4 auditoría, auditoría, redes, consultoría