1

Gestión de Proyectos de Auditoría de Seguridad

Rafael.Ausejo@dvc.es

Consultor de Seguridad

18 de julio de 2003

2

Índice

– Detección de necesidades

– Introducción a las Auditorías de Seguridad

– Dimensionamiento de la Auditoría

– La metodología OSSTMM

– El informe de Auditoría

– Para qué sirve la auditoría

3

Detección de necesidades

Cuando ACME dice:¡Quiero una auditoría de seguridad!

¿Necesita Certificación?• Auditoría de Cuentas

• Certificación ISO 9000-900X

¿Necesita normativas?• Adecuación legal LOPD / LSSI-CE

• Buenas Prácticas (ISO-IEC 17799)

4

Detección de necesidades

¿Necesita Seguridad?…

• Protección contra intrusiones (IDS, IPS, etc.)

• Protección contra virus, troyanos, malware...

• Securización de sistemas internos (Hardening)

Asumimos que realmente necesita una Auditoría de Seguridad…

5

Auditoría de Seguridad

Auditoría de Sistemas de Información

• Interna (Caja Blanca)

• Realizada en las instalaciones de ACME

• Se parte de un esquema de red

• Información proporcionada por el cliente

Test de Intrusión

• Externa (Caja Negra)

• Realizada de forma remota

• Se parte de un rango de IPs o de un dominio DNS

• Información desconocida

Introducción a las Auditorías de Seguridad

Tipos de Auditorías

6

Auditoría de Seguridad

Auditoría de Sistemas de Información

• Interna (Caja Blanca)

• Realizada en las instalaciones del cliente

• Se parte de un esquema de red

• Información proporcionada por el cliente

Al final se convierte en Análisis remoto

• No es posible conectar un portátil

• No se puede acceder al CPD

• No existe esquema de red

• El cliente no sabe o no proporciona la información

Introducción a las Auditorías de Seguridad

Peligros de una Auditoría Interna

7

Auditoría de Seguridad

Test de Intrusión

• Externa (Caja Negra)

• Realizado de forma remota

• Se parte de un rango de IPs o de un dominio DNS

• Información desconocida

Introducción a las Auditorías de Seguridad

Peligros de un Test de Intrusión

Al final se convierte en Intrusión interna

• Oye, necesito que te pases por ACME

• Ya que estás aquí, échame una mano con el firewall

• Inclúyeme el pasword cracking

• Revísame los IDSs

• Necesito un hardening de las máquinas

• ¡Tienes dos semanas!

8

Introducción a las Auditorías de Seguridad

Hay más posibilidades

• Análisis de Vulnerabiliades

• Test de Intrusión

• Auditoría de Seguridad

• Comprobación de la Seguridad

• Hacking ético

tiempo

coste Análisis de Vulnerabilidades

Comprobación de Seguridad

Hacking ético

Penetration Testing

Auditoría de Seguridad

Fuente: OSSTMM

9

Auditoría de Seguridad Internet: fase I OSSTMM

Auditoría de Seguridad Internet

• Externa (Caja Negra)• Realizada de forma remota• Se parte de un rango de IPs o de un dominio DNS• Información desconocida• Cobertura: detección remota de vulnerabilidades• Se realiza en dos-tres semanas• Se sigue la metodología OSSTMM

Introducción a las Auditorías de Seguridad

Solución:

10

Dimensionamiento de la Auditoría

El tiempo es dinero• Con la cobertura propuesta se calcula el

tiempo y recursos necesarios para realizarla

• Con el tiempo y los recursos necesarios se

calcula el presupuesto de la auditoría

El dinero es tiempo• Con el presupuesto inicial se calculan el

tiempo y los recursos asignados

• Con el tiempo y los recursos es posible llegar

hasta determinada cobertura en la

metodología OSSTMM.

11

Dimensionamiento de la Auditoría

Gestión del Proyecto

12

Batería de preguntas

• ¿Cuántos son los dispositivos a Auditar?

Ej: 100 dispositivos físicos con 150 IPs en la misma clase C

• ¿Cuál es la cobertura necesaria?

Ej: Determinación y análisis de vulnerabilidades de cada uno

• ¿Cuál es el tiempo necesario?

Ej: Tres semanas

Dimensionamiento de la Auditoría

SE DETERMINA EL TIEMPO NECESARIO

Y EL NÚMERO DE RECURSOS

13

ACME: Seguimiento de la Auditoría de Seguridad

Día Fecha Descripción de tareas (Consultor 1)Descripción de tareas

(Jefe de Proyecto)Horas

C1Horas

JPHoras

TotalesLunes 16 de junio de 2003 Recopilación de información y reunión inicial Recopilación, Project y reunión 8 8 16Martes 17 de junio de 2003 Búsqueda de información pública Documentación inicial 8 8 16Miércoles 18 de junio de 2003 Búsqueda DNSs, traceroutes, AS Numbers, etc. 8 0 8Jueves 19 de junio de 2003 Exploración de red y escaneo "bulk" (nmap) 8 0 8Viernes 20 de junio de 2003 Exploración de red y escaneo "bulk" (nmap) Seguimiento del proyecto 8 2 10Sábado 21 de junio de 2003Domingo 22 de junio de 2003

Total Semana 40 18 58Lunes 23 de junio de 2003 Análisis de Datos Análisis de Datos 8 8 16Martes 24 de junio de 2003 Determinación de SSOO y puertos TCP/UDP Documentación 8 8 16Miércoles 25 de junio de 2003 Determinación de SSOO y puertos TCP/UDP 8 0 8Jueves 26 de junio de 2003 Comprobación manual de sistemas y servicios 8 0 8Viernes 27 de junio de 2003 Comprobación manual de sistemas y servicios Seguimiento del proyecto 8 2 10Sábado 28 de junio de 2003Domingo 29 de junio de 2003

Total Semana 40 18 58Lunes 30 de junio de 2003 Mapa de Red Análisis de Datos 8 8 16Martes 1 de julio de 2003 Análisis de vulnerabilidades "bulk" (nessus) Documentación 8 8 16Miércoles 2 de julio de 2003 Análisis de vulnerabilidades "bulk" (nessus) 8 0 8Jueves 3 de julio de 2003 Comprobación manual de vulnerabilidades 8 0 8Viernes 4 de julio de 2003 Eliminación de falsos positivos Análisis de Datos 8 4 12Sábado 5 de julio de 2003Domingo 6 de julio de 2003

Total Semana 40 20 60Lunes 7 de julio de 2003 Documentación Documentación 8 8 16Martes 8 de julio de 2003 Documentación Documentación 8 8 16Miércoles 9 de julio de 2003 Reunión final y Entrega Reunión 8 8 16

Total Semana 24 24 48Total Auditoría 144 80 224 28 días

Dimensionamiento de la Auditoría

14

Problemática

Las tareas de gestión de proyecto consumen tiempo

Los escaneos consumen tiempo y ocupan un portátil

Lo que no esté analizado en el informe no existe

El Jefe de Proyecto debe ser real, no virtual, aunque esté al 33% en MS Project

Deben asignarse equiposm portátile y fomentar la simultaneidad de tareas

Documentar todo lo que se haga y poner una fecha de congelación de escaneos

Dimensionamiento de la Auditoría

15

Metodología OSSTMM

The Security Testing Professional and the OSSTMM“Open Source Security Testing Methodology Manual”

La metodología OSSTMM

16

La metodología OSSTMM

17

Internet

PC PC PC

UsuarioRemoto

Web, FTP

DNSInterno

Anti VirusCVP

Relay deCorreo

DNS externo

Segmento deRed Interna

SegmentoDMZ

Red deSeguridad

Router deacceso

Segmentoexterno

Servidorde Correo

Servidor deficheros

Bases deDatos

Cortafuegos

Diagrama de Red

La metodología OSSTMM

18

La metodología OSSTMM

Auditoría de Seguridad Internet

– Exploración de red

– Escaneo de puertos

– Identificación de Servicios

– Identificación de Sistemas

– Búsqueda y Verificación de Vulnerabilidades

– Comprobación de Aplicaciones Internet

19

La metodología OSSTMM

Análisis de la red

Se realiza un análisis preliminar, con el fin de delimitar específicamente el ámbito de actuación y localizar las máquinas que se van a auditar.

Objetivo

Resultados

Nombres de Dominio

Nombres de Servidores

Direcciones IP

Mapa de Red

Información administrativa del Proveedor de Servicios

Propietarios y administradores de las máquinas

Posibles limitaciones en las pruebas de la auditoría

20

Escaneo de puertos

El escaneo de puertos es una prueba de los puertos TCP y UDP en la capa de transporte, así como servicios de red encapsulados en ellos. Se utiliza para enumerar puertos abiertos que permitirán utilizar servicios que logren atravesar el cortafuegos y acceder a la red interna.

Objetivo

Resultados

Puertos abiertos, cerrados y filtrados

Direcciones IP de sistemas activos

Lista de túneles descubiertos y encapsulación de protocolos

Lista de protocolos de enrutamiento soportados descubiertos.

Servicios activos

Mapa de red

La metodología OSSTMM

21

Detección Remota de Sistemas Operativos

Se realiza una prueba activa de la respuesta a determinadas solicitudes de conexión que puedan identificar unívocamente al Sistema Operativo remoto utilizado y el nivel de versión..

Objetivo

Resultados

Tipo de máquina

Tipo de Sistema Operativo

Nivel de parches y Service Packs

La metodología OSSTMM

22

Prueba de Servicios

Se examinan de forma activa las aplicaciones que están escuchando en los puertos abiertos. En ciertos casos, existe más de una aplicación tras un servicio, escuchando, además, en distintos puertos.

Objetivo

Resultados

Tipos de Servicio Activo

Tipos de Aplicación y nivel de versión

Mapa de Red

La metodología OSSTMM

23

Análisis de Vulnerabilidades

Se realizará la búsqueda de vulnerabilidades usando herramientas automáticas para determinar agujeros de seguridad en aplicaciones y en versiones de parches. Se realizará un análisis básico de vulnerabilidades de los distintos sistemas, mediante procedimientos automáticos y manuales

Objetivo

Resultados

Lista de vulnerabilidades del sistema

Tipos de aplicación o servicio por vulnerabilidad

Descripción de cada vulnerabilidad y forma de explotarla

Recomendaciones de niveles de parche de sistemas y

aplicaciones que corrigen la vulnerabilidad

La metodología OSSTMM

24

El informe de Auditoría

Análisis de Vulnerabilidades

Resultados

Lista de vulnerabilidades del sistema

Tipos de aplicación o servicio por vulnerabilidad

Descripción de cada vulnerabilidad y forma de explotarla

Recomendaciones de niveles de parche de sistemas y

aplicaciones que corrigen la vulnerabilidad

25

• AuditorAuditoríía, adecuación y definición de la Política, Normativas y a, adecuación y definición de la Política, Normativas y

Procedimientos de Seguridad, según estándar (ISO17799 / UNE 71501)Procedimientos de Seguridad, según estándar (ISO17799 / UNE 71501)

1 Política de Seguridad1 Política de Seguridad

2 Organización de la Seguridad2 Organización de la Seguridad

3 Organización y Control de Activos3 Organización y Control de Activos

4 Seguridad Ligada al Personal4 Seguridad Ligada al Personal

5 Seguridad Física y del Entorno5 Seguridad Física y del Entorno

6 Comunicaciones y Gestión de Explotación6 Comunicaciones y Gestión de Explotación

7 Control de Acceso al Sistema7 Control de Acceso al Sistema

8 Desarrollo y Mantenimiento8 Desarrollo y Mantenimiento

9 Plan de Continuidad y Mantenimiento9 Plan de Continuidad y Mantenimiento

10 Conformidad Legal y a la Política de Seguridad10 Conformidad Legal y a la Política de Seguridad

ISO/IEC/UNE 717799-1:2002ISO/IEC/UNE 717799-1:2002

Establece el marco normativo de “obligado cumplimento”, para Establece el marco normativo de “obligado cumplimento”, para

todos los ámbitos de la seguridad: seguridad lógica, física, del todos los ámbitos de la seguridad: seguridad lógica, física, del

personal, cumplimiento legal, etc.personal, cumplimiento legal, etc.

Para qué sirve la auditoría

26

Conclusiones

27

DAVINCI Consulting Tecnológico, s.a.u.

Parque Empresarial Alvento.

Vía de los Poblados, 1 Edificio A 6ª planta

28033 Madrid

Tlf: 902 464 546 Fax: 91 561 3175

htttp://www.dvc.es

Gracias

PPTs disponibles en ww.ausejo.net