Auditorías y análisis de redes e infraestructuras

En entornos empresariales modernos que dependen en gran medida de la tecnología de la información, la auditoría o evaluación de seguridad de la red es un componente vital del mantenimiento y reparación de la red.

Un consultor de seguridad de red a menudo realizará una auditoría como la primera etapa en la prestación de servicios de consultoría a una empresa. Sin embargo, además de estas auditorías de construcción de cimientos, las empresas también deben realizar auditorías o evaluaciones de seguridad de la red de forma regular para garantizar un rendimiento óptimo.

Ya sea que el departamento interno de TI realice la auditoría de seguridad de la red o un consultor de seguridad de la red, esta es una tarea fundamental de la red.

Una empresa tomará muchas decisiones de diseño después de este punto, basándose en un análisis detallado de la información recopilada.

Conoceremos aquí en qué consisten estas auditorías y análisis de redes y cómo deben realizarse.

¿Qué es una auditoría de red?

La auditoría de red son las medidas colectivas que se realizan para analizar, estudiar y recopilar datos sobre una red con el fin de determinar su salud de acuerdo con los requisitos de la red y la organización.

La auditoría de red principalmente proporciona información sobre cuán efectivas son las prácticas y el control de la red, es decir, su cumplimiento de las políticas y regulaciones de red internas y externas.

Esta auditoría funciona a través de un proceso sistemático en el que se analiza una red informática para determinar:

  • Seguridad
  • Implementación de control
  • Disponibilidad
  • Administración
  • Actuación

Se recopilan los datos, se identifican vulnerabilidades y amenazas, y se envía un informe de auditoría formal a los administradores de la red.

En general, lo realiza un auditor del sistema de información, un analista / auditor de redes o cualquier otra persona con experiencia en administración de redes y  seguridad. Utiliza técnicas manuales y automatizadas para recopilar datos y revisar la postura de la red. Revisa:

  • Cada nodo de una red
  • Control de red y procesos de seguridad.
  • Procesos de monitoreo de red
  • Otros datos

Aunque una auditoría de red puede centrarse más en el control y la seguridad de la red, también revisa los procesos y las medidas que aseguran la disponibilidad de la red, el rendimiento y la calidad del servicio.

Alcance

Una cosa que siempre quieres preguntarte antes de comenzar cualquier proyecto es ¿Cuál es el alcance de este proyecto?

Esto ayuda a establecer tus expectativas y las del cliente.

Dicho esto, en la mayoría de las auditorías de red realizadas, el alcance del trabajo generalmente se limita a dispositivos de red como enrutadores , conmutadores , cortafuegos , etc. La auditoría no se extiende a dispositivos finales como Servidores y PC de usuarios, tampoco a Aplicaciones.

¿Por qué y cuándo se necesita una auditoría de red?

Las organizaciones no se despiertan un día y deciden hacer una Auditoría de Red. Por lo general, existe una necesidad que impulsa tal decisión, algunas de las cuales son:

  • Inventario: a medida que las organizaciones y sus demandas crecen, se producen fusiones o los dispositivos pasan de un equipo operativo a otro, también lo hace la Red. Se pueden agregar dispositivos sobre la marcha a la Red y en algún momento, los administradores pueden no saber lo que se está ejecutando en su Red: necesitan una Auditoría de Red.
  • Actualización de la red: como cualquier otra cosa, las redes tienden a caer en el estado operativo en el que los administradores se preocupan por el funcionamiento diario de dichas redes . Para mantenerse al día con las demandas, dichas redes deberán actualizarse de vez en cuando. Antes de actualizar, querrás realizar una Auditoría de red para saber qué está sucediendo realmente en tu red, qué dispositivos todavía son compatibles con el proveedor (software y hardware), qué dispositivos reemplazar, cuáles actualizar y así sucesivamente.
  • Resolución de problemas: un ejemplo de este caso es cuando un cliente no es experto en tecnología e invita a alguien para que le ayude a configurar la red. Antes de poder resolver el problema, primero es necesario saber qué forma su red y realizar una evaluación de red es el camino a seguir.
  • Cumplimiento: Dependiendo del tipo de negocio en el que se encuentre una organización, se les puede exigir que cumplan con ciertos estándares (por ejemplo, PCI DSS). La empresa utilizará una auditoría de red (para prepararse para la auditoría) y auditores externos (para evaluar el cumplimiento de la organización).

¿Cómo realizar una auditoría de red?

Existen tres fases en una auditoría de red:

  1. Planificación
  2. Realizar auditoria
  3. Post-Auditoria

Echemos un vistazo más de cerca a cada etapa.

Planificación de una auditoría de red

Hay un dicho que dice: » La preparación adecuada previene el bajo rendimiento «. Esto no podría ser más cierto al realizar una auditoría de red. Si no realizas esta fase de planificación correctamente, puedes terminar frustrado mientras llevas a cabo el proyecto.

Aquí hay una serie de cosas a considerar durante la fase de Planificación:

  • ¿Tiene el compromiso de todos los interesados? Hay dos grupos principales de partes interesadas: el equipo directivo y el equipo técnico. Incluso si tienes el visto bueno de la Administración, debes asegurarse de que el equipo técnico esté al tanto y dispuesto a trabajar contigo, ya que ellos son los que te brindan el acceso que necesitas.
  • ¿Qué herramienta, si hay alguna, usarás? Hay una subsección dedicada a las herramientas de Auditoría de red más adelante en este artículo.
  • ¿Tienes acceso a los dispositivos? Ya sea que hayas decidido usar una herramienta o no, probablemente necesitarás uno de los siguientes métodos de acceso: SNMP , Telnet y / o SSH . Debes asegurarte de tener las credenciales necesarias (cadenas de comunidad, nombres de usuario, contraseñas) para estos métodos de acceso. Incluso más allá de tener las credenciales, ¿están los dispositivos de red configurados para estos métodos de acceso? Esto es especialmente cierto para SNMP ya que es posible que los dispositivos de red no estén habilitados para SNMP. Este punto en particular ha sido uno de los problemas más difíciles de enfrentar y una forma de superar esto es a través de secuencias de comandos.
  • ¿Qué ordenador utilizarás para realizar la Auditoría de red? ¿Será un ordenador portátil personal?. Si el cliente es el que proporciona el ordenador, ¿tiene la potencia informática necesaria? Debes pensar en esto porque algunas herramientas requieren muchos recursos informáticos.
  • ¿Cuál es el punto de observación? Si utilizaras un Network Protocol Analyzer en la red, ¿dónde conectarás el ordenador que recopilará y analizará el tráfico? ¿Hay un puerto de conmutador disponible y, si lo hay, se puede configurar SPAN / duplicación de puertos en este puerto?

Herramientas de auditoria de red

Echemos un vistazo más profundo a las herramientas que podemos usar para realizar una auditoría de red. La primera pregunta que probablemente quieras hacerte es «¿Necesito una herramienta?».

Si estás realizando una auditoría para una red pequeña (y dependiendo de por qué está realizando la auditoría), puedes decidir no utilizar ninguna herramienta: simplemente conéctate a los dispositivos uno tras otro y obtén la información que necesitas manualmente.

Sin embargo, probablemente sea mejor usar una herramienta de Auditoría de red.

Te sorprenderá de la información que pueden proporcionar estas herramientas, que incluyen:

  • Inventario del dispositivo: nombre del dispositivo, capacidad, interfaces, etc.
  • Diagramas de red: estos dispositivos pueden determinar la conexión entre dispositivos y ahorrarle la molestia de producir diagramas de red .
  • Hitos: algunas de estas herramientas tienen la capacidad de conectarse a los sitios web de los fabricantes de equipos originales (OEM) y recuperar información de hitos, como fin de venta, fin de vida útil, fin de soporte, etc. Estos hitos son bastante importantes porque puede determinar si su dispositivo está obsoleto y cuánto riesgo corre al mantener dichos dispositivos.
  • Mejores prácticas de configuración: por ejemplo, herramientas como Nessus pueden evaluar qué tan segura es la configuración que se ejecuta en sus dispositivos de red y ofrecer mejores prácticas.
  • Informes: La culminación de cualquier Auditoría de red será un informe de alguna forma y estas herramientas pueden generar informes. Ese es el sueño de todo ingeniero: no tener que escribir informes.
Clases

Podemos clasificar las herramientas de Auditoría de red en función de lo que queremos lograr:

  • Inventario de red, diagrama de red, análisis : Solarwinds , Open-AudIT , NetformX son ejemplos en esta categoría. Estas herramientas realizarán un inventario, proporcionarán diagramas de red e incluso generarán informes.
  • Evaluación de seguridad : Nessus y Nipper son herramientas de esta categoría que evaluarán la configuración en tus dispositivos y te darán un informe no solo de los problemas, sino que también mostrarán cómo resolverlos.
  • Evaluación de rendimiento : Wireshark es probablemente el rey en este dominio, aunque existen otras herramientas como los analizadores iperf, ntop y NetFlow.

Una herramienta recomendable para realizar una auditoría de red es Solarwinds porque ofrecen una prueba ilimitada gratuita de 30 días disponible para cualquier persona. Es posible que no necesites comprar el producto completo a menos que hagas muchas auditorías.

Realizar auditoria

Ahora está listo para realizar tu Auditoría de red. El tipo de información que te interesará en esta etapa dependerá de tu objetivo final . Por ejemplo, si estás solucionando un problema, es posible que no te interese la fecha de fin de venta de un dispositivo.

Si estás utilizando una herramienta, realizar una Auditoría de red es tan simple como configurar algunas configuraciones básicas en la herramienta, tales como:

  • Cadenas de comunidad SNMP (v1 o v2c) o nombres de usuario / contraseñas (v3)
  • Telnet / SSH nombres de usuario / contraseñas
  • Habilitar contraseñas
  • Dispositivo semilla / Rango de red: cuando se usa un dispositivo semilla, la herramienta comenzará con este dispositivo y luego saltará a otros dispositivos en la red usando la información recuperada del dispositivo semilla. También puedes configurar un rango de direcciones IP / subred para que la herramienta las pruebe.

Con esta información básica, tu herramienta está lista para trabajar descubriendo dispositivos. Dependiendo del tamaño de la red, tu auditoría puede llevar horas o, en algunos casos, días.

Post-Auditoria

Realizar una auditoría de red está muy bien, pero ¿qué haces con el resultado de tu auditoría ? De eso trata esta fase y dependerá de la razón para realizar la auditoría.

Sin embargo, en términos generales, hay dos cosas que deberías tener al final de una auditoría de red:

  • Informe: debes ser capaz de dar sentido a toda la información que tú o tu herramienta extrajo. Como ya mencioné, algunas de estas herramientas pueden proporcionar informes, pero es probable que debas presentar a la gerencia un informe especial que aborde los problemas desde un punto de vista comercial, no desde un punto de vista técnico.
  • Recomendaciones: Aquí es donde resalta los próximos pasos. Por ejemplo, si descubres dispositivos obsoletos, debes presentar un caso para reemplazar esos dispositivos con modelos más nuevos. Algunas de tus recomendaciones se pueden llevar a cabo como «soluciones rápidas», algo que se puede hacer de inmediato para mejorar la red.

Fases de la auditoría

Los auditores a menudo dividirán la evaluación de seguridad de la red en áreas o componentes. Al dividir la tarea en partes más pequeñas que sean más manejables, los auditores pueden realizar la evaluación de manera más efectiva.

Estos componentes varían mucho de un negocio a otro, pero aquí hay una lista de las áreas más comunes:

  • Recursos externos
  • Seguridad móvil
  • Red de arquitectura
  • Seguridad física
  • Acceso remoto
  • Enrutadores, concentradores y firewalls
  • Equipo de servidor y configuración
  • Ingeniería social
  • Infraestructura virtual
  • Redes privadas virtuales (VPN)
  • Seguridad VoIP
  • Marcación de guerra
  • Seguridad inalámbrica
  • Estaciones de trabajo con Microsoft Windows
  • Estaciones de trabajo que utilizan entornos UNIX

Una vez que los auditores hayan detallado estas áreas de enfoque, someterán a cada una de ellas a una serie de fases de auditoría.

1. Análisis de huella y recopilación de información

Durante esta fase inicial, los auditores hacen un inventario de toda la red, tanto física como virtualmente.

Para los inventarios físicos, los auditores recopilan datos sobre información de hardware y software, como licencias de software. Para los inventarios virtuales, los auditores se dirigen a la información del host, el software, los procesos, los nombres de dominio, los rangos de red IP, etc.

El objetivo de esta etapa es lograr un plan detallado de la red y un perfil de seguridad integral. Esta información sirve de base para las fases restantes de la evaluación.

2. Análisis y evaluación de vulnerabilidades

En esta etapa, los auditores aprovechan el modelo de red y el perfil de seguridad para «atacar» la red desde una postura externa.

El objetivo en esta fase es penetrar aspectos vulnerables del sistema para adquirir datos confidenciales. Este no es un asalto de hackers al estilo de Hollywood, sino más bien el encadenamiento sutil de vulnerabilidades de bajo nivel que permiten a un técnico calificado lograr un acceso de alto nivel.

3. Pruebas y evaluación de penetración

Las pruebas y evaluaciones de penetración son muy parecidas a la Fase 2, excepto que el objetivo es atacar la red internamente en lugar de externamente.

Una vez más, los auditores encadenan vulnerabilidades de bajo nivel para adquirir acceso de alto nivel. Generalmente hay vulnerabilidades más pequeñas desde una perspectiva interna. Los auditores deben desafiar a fondo las defensas internas porque los compromisos de red más severos se originan dentro de la red.

Los ataques internos no siempre son intentos maliciosos de los empleados. A menudo son vulnerabilidades introducidas a través de correos electrónicos y memorias USB .

Por lo tanto, la tarea es examinar todos los puntos de entrada en busca de debilidad y garantizar que un ataque interno no pueda comprometer la integridad, la confidencialidad o la disponibilidad del sistema.

4. Verificación de vulnerabilidad y penetración manual

En la cuarta etapa, los auditores deben investigar cada vulnerabilidad que explotaron con éxito durante las etapas anteriores.

El objetivo aquí es identificar todos los falsos positivos, de modo que el negocio no gaste recursos de manera derrochadora. Además de las vulnerabilidades de verificación manual, la inspección a menudo se extiende a la identificación de equipos y software para que se agoten todas las vías.

5. Análisis de vulnerabilidad

Ahora que los auditores han identificado y verificado las vulnerabilidades, deben realizar un análisis en profundidad de todos los datos reunidos.

El objetivo aquí es identificar causas sistémicas, y luego formular planes para remediar cada causa. Estos planes son la base de las recomendaciones estratégicas que presentan ante los ejecutivos de la empresa.

Una vez que los auditores han completado su evaluación, el departamento de TI o los consultores trabajan junto con los ejecutivos para solucionar esas áreas problemáticas. Una vez que el negocio rectifica las vulnerabilidades, puede dirigir su atención a la actualización o transición de la red.

Auditoría de infraestructura de TI

Una auditoría de TI consiste en evaluar el diseño y la eficacia del control interno del sistema con respecto a los estándares relevantes y las mejores prácticas. Esto incluye, entre otros, diseño, implementación, rendimiento, eficiencia, protocolos de seguridad y gobierno o supervisión de TI.

La instalación de controles es necesaria pero no suficiente para proporcionar la seguridad adecuada. La revisión periódica de la infraestructura y los procesos es obligatoria para garantizar el cumplimiento de estos controles.

Evaluación de infraestuctura de TI

La evaluación de TI ayuda a optimizar los recursos de TI a través de la medición adecuada de sus fortalezas y debilidades y ayuda en el dimensionamiento correcto, protección, utilización efectiva, escalabilidad, estabilidad, seguridad, resistencia, utilización de la tecnología correcta y lograr una mayor eficiencia, rendimiento y tiempo de actividad.

Los servicios de Evaluación de Infraestructura deben adoptar un enfoque estructurado y sistemático para proporcionar soporte de extremo a extremo con una comprensión y alineación adecuadas con los requisitos y expectativas del cliente.

Esta evaluación incluye:

  • Monitorización progresiva y proactiva.
  • Alta disponibilidad con mecanismo preventivo y técnicas
  • Optimización, estandarización y consolidación
  • Visibilidad avanzada y servicio rápido
  • Prestación de servicios escalables, estructurados, cuantitativos y cualitativos.

Servicios de aseguramiento de TI

La garantía es el proceso de llevar la información correcta a las personas adecuadas en el momento adecuado con la Gestión de riesgos de la información, la Gestión de la confianza, la Resiliencia, la Arquitectura adecuada, la seguridad del sistema y la seguridad.

Los servicios de aseguramiento de la información ayudan a los clientes a proteger su información con 5 pilares de seguridad, a saber, integridad, disponibilidad, autenticación, confidencialidad, no repudio.

Los niveles de seguridad e información sobre la tecnología incluyen:

  • Servicios de auditoría interna y externa de infraestructura de TI.
  • Evaluación de infraestructura de TI y servicios de evaluación comparativa.
  • Servicios de certificación de infraestructura de TI.
  • Seguridad de infraestructura de TI y servicios de resiliencia empresarial.
  • Servicios de protección de datos y privacidad de TI.

Las auditorías y análisis de redes y sistemas son fundamentales para garantizar la seguridad y el desempeño de los sistemas informáticos dentro de la empresa, que su uso sea confiable y que garanticen la máxima privacidad.