Desarrollo de un sistema de auditoría de equipos de seguridad de redes
Acceso a Texto completo
Abstract
La presente tesis propone desarrollar un sistema auditor de información que brinde visibilidad
a solicitud del usuario del estado actual de los equipos de seguridad. Esto abarca poder validar
la configuración del directorio activo, así como sus equipos registrados, usuarios y/o grupos;
de igual forma con el firewall de seguridad en el cual se hará una revisión de la configuración
del equipo y de las políticas de seguridad habilitadas.
Mantener un adecuado control de las múltiples configuraciones que se realizan a diario sobres
los equipos de seguridad puede llegar a ser una tarea muy complicada, teniendo en cuenta que
muchas veces diferentes administradores son los que realizan cambios sobre las plataformas
desde su activación inicial. Es por ello que cada cierto tiempo las empresas solicitan auditorías
externas las cuales reportan el estado actual de la configuración de los equipos de seguridad y
el nivel de cumplimiento de las políticas vigentes.
Con el avance de la tecnología se han automatizado muchas tareas y el uso de una computadora
es imprescindible dentro de una empresa, ello conlleva a considerar obligatoriamente la
seguridad aplicada a la información que viaja a través de las redes internas como factor clave.
Hoy en día es común que constantemente surjan nuevas vulnerabilidades en los sistemas y/o
equipos de red, por ello contar con una herramienta que ofrezca visibilidad de lo que realmente
se encuentra configurado en los equipos de seguridad se vuelve una necesidad.
Esta tesis se centra en dar a conocer las posibles brechas de seguridad dentro de la
infraestructura de red de una empresa, las cuales pueden generar un alto costo en caso de ser
vulneradas por un atacante externo o interno. Ello resalta la importancia de un correcto
planeamiento y control al momento de realizar configuraciones en los equipos de seguridad.
Un ejemplo de brecha de seguridad en las diferentes empresas ocurre cuando un administrador
configura una política de prueba brindando acceso al puerto TCP/80 y se olvida de eliminar
dicha política, ello puede conllevar a que algún ataque de tipo Ransomware infecte una
máquina y este a su vez se propague a toda la red interna, generando un bloqueo masivo y
ocasionando un corte parcial o total de las operaciones.
El sistema auditor se conecta al directorio activo y al firewall, vía LDAP y API
respectivamente, por medio de una sola interfaz de usuario y mediante diferentes consultas es
capaz de extraer información relevante (“actionable insights”), la cual se utiliza para tomar
acción rápida ante cualquier evento de seguridad.