Desarrollo de un sistema de auditoría de equipos de seguridad de redes

Abstract

La presente tesis propone desarrollar un sistema auditor de información que brinde visibilidad a solicitud del usuario del estado actual de los equipos de seguridad. Esto abarca poder validar la configuración del directorio activo, así como sus equipos registrados, usuarios y/o grupos; de igual forma con el firewall de seguridad en el cual se hará una revisión de la configuración del equipo y de las políticas de seguridad habilitadas. Mantener un adecuado control de las múltiples configuraciones que se realizan a diario sobres los equipos de seguridad puede llegar a ser una tarea muy complicada, teniendo en cuenta que muchas veces diferentes administradores son los que realizan cambios sobre las plataformas desde su activación inicial. Es por ello que cada cierto tiempo las empresas solicitan auditorías externas las cuales reportan el estado actual de la configuración de los equipos de seguridad y el nivel de cumplimiento de las políticas vigentes. Con el avance de la tecnología se han automatizado muchas tareas y el uso de una computadora es imprescindible dentro de una empresa, ello conlleva a considerar obligatoriamente la seguridad aplicada a la información que viaja a través de las redes internas como factor clave. Hoy en día es común que constantemente surjan nuevas vulnerabilidades en los sistemas y/o equipos de red, por ello contar con una herramienta que ofrezca visibilidad de lo que realmente se encuentra configurado en los equipos de seguridad se vuelve una necesidad. Esta tesis se centra en dar a conocer las posibles brechas de seguridad dentro de la infraestructura de red de una empresa, las cuales pueden generar un alto costo en caso de ser vulneradas por un atacante externo o interno. Ello resalta la importancia de un correcto planeamiento y control al momento de realizar configuraciones en los equipos de seguridad. Un ejemplo de brecha de seguridad en las diferentes empresas ocurre cuando un administrador configura una política de prueba brindando acceso al puerto TCP/80 y se olvida de eliminar dicha política, ello puede conllevar a que algún ataque de tipo Ransomware infecte una máquina y este a su vez se propague a toda la red interna, generando un bloqueo masivo y ocasionando un corte parcial o total de las operaciones. El sistema auditor se conecta al directorio activo y al firewall, vía LDAP y API respectivamente, por medio de una sola interfaz de usuario y mediante diferentes consultas es capaz de extraer información relevante (“actionable insights”), la cual se utiliza para tomar acción rápida ante cualquier evento de seguridad.