AUDITORÍA DE SISTEMAS

COMISION Nro 6:

Diaz Chonta Job Jr.

Guerrero Alfaro Marco

Diaz Cuba Harley

Garcia Arias Mariano

Saavedra Valles Oskar

CONTROLES PREVENTIVOS, CORRECTIVOS Y DETECTIVOS

CONTROLES PREVENTIVOS

CONTROL DE ACCESO A LA INFORMACIÓN

SQL Injection

SQL INJECTION

Una inyección SQL sucede cuando se inserta o inyecta un código SQL invasor dentro de otro código SQL para alterar su funcionamiento normal y hacer que se ejecute maliciosamente el código invasor en la base de datos

HERRAMIENTAS O SW DE PREVENCIÓN

Las herramientas son capaces de filtrar las sentencias y proteger las bases de datos de ataques de tipo SQL injection.

CASO DE APLICACIÓNEn este caso tenemos un ejemplo de un login simple de usuario = m y de clave = m

Donde sí colocamos los parámetros correctos nos saldrá el mensaje de aceptación al sistema

Caso contrario nos pedirá que intentemos de nuevo.

Ahora aplicando el SQL injection e insertando cualquier usuario

Nos mostrara lo siguiente accediendo al sistema

¿CÓMO PREVENIRLO?

Una de las maneras es por medio de una función propia en php

Así aplicando lo mismo

El resultado sera otro

IPS (INTRUSION PREVENTION SYSTEM)

SISTEMA DE PREVENCIÓN DE INTRUSIONES

IPS Un Sistema de Prevención de Intrusos (IPS) es un dispositivo que

ejerce el control de acceso en una red informática para proteger a los sistemas computacionales de ataques y abusos.

Un IPS funciona por medio de módulos, donde se alerta al administrador ante la detección de un posible intruso (usuario que activó algún Sensor)

Un IPS establece políticas de seguridad para proteger el equipo o la red de un ataque; se podría decir que un IPS protege al equipo proactivamente y un IDS lo protege reactivamente.

Los IPS se categorizan en la forma que detectan el tráfico malicioso:

• Detección Basada en Firmas• Detección Basada en Políticas• Detección Basada en Anomalías• Detección HoneyPot (Jarra de Miel)

CASO: IMPLEMENTACIÓN DE CHECK POINT IPS-1™.

FUNCIONALIDADES DEL IP S-1

IPS Hybrid Detection Engine™ Aplica múltiples técnicas de detección y análisis para prevenir los ataques a nivel de red y a nivel de aplicaciones.El IPS-1 Hybrid Detection Engine™ ofrece detección y prevención activas en la red perimetral.

  IPS DynamicShieldingArchitecture™

Ejecuta funciones preventivas para proteger la red interna 

IPS ConfidenceIndexing™Ofrece flexibilidad con la particular capacidad de dirigir y ajustar la aplicación del sistema de prevención.

ARQUITECTURA DEL IPS-1

Sensores del IPS-1 (IPS-1 Sensors) Servidor de administración del IPS-1

(IPS-1 Management Server): Tablero de administración del IPS-1

ARQUITECTURA DEL IP S-1

CARACTERISTICAS:

PREVENCIÓN DE ATAQUES CON PRECISIÓN Y DETALLE

Los sistemas IPS-1 detienen amenazas como la de los gusanos Code Red, MS Blaster, Nimda y SQL Slammer.

Detienen ataques que incluyen la inyección SQL, la falsificación de comandos, en tiempo real.

El IPS-1 aplica múltiples técnicas de detección y análisis que incluyen: firmas de vulnerabilidad, firmas de ataques, detección de anomalías, análisis de protocolos,

¿CÓMO?

El primer paso es configurar el IPS en “learning mode” (aprendizaje), cada vez que el ISP detecta nuevo comportamiento el administrador deberá configurarlo “decirle si es normal o no”.

El momento en que el IPS aprendió todo el comportamiento de la Red se configura el “blocking mode”, ahí el IPS detiene todo el trafico que no esta en su perfil que aprendió.

PREVENCIÓN Y BLOQUEO DE ATAQUES

MÉTODO AVANZADO DE ANÁLISIS FORENSE Y DE GENERACIÓN DE INFORMES

Mediante el Management Dashboard del IPS-1, se obtienen:

Vistas gráficas en tiempo real de todos los sensores La capacidad de ir a niveles más profundos Agrupación de eventos y datos de alerta para identificar

de manera eficaz las fuentes de los ataques y su alcance.

Los datos de alerta se pueden organizar fácilmente en grupos comunes, los cuales se pueden personalizar según los criterios configurables por el usuario.Las alertas se pueden agrupar de acuerdo con cualquier campo tal como IP de fuente, tipo de ataque y vulnerabilidad del objetivo.

BENEFICIOS DEL IPS-1

Protege los sistemas de TI contra ataques conocidos y desconocidos

Proporciona un bloqueo inmediato y confiable del tráfico indeseado de la red

Ayuda a las investigaciones forenses para identificar de manera eficaz las fuentes del ataque y su alcance

Simplifica la implementación y administración del IPS

El IPS-1 reconoce de manera automática los puntos vulnerables y los protege dinámicamente frente a ataques inevitables.

CONTROLES DETECTIVOS

INVENTARIOS FÍSICOSCONTROL DETECTIVO

Las empresas dedicadas a la compra y venta de mercancías, por ser ésta su principal función y la que dará origen a todas las restantes operaciones, necesitarán de una constante información resumida y analizada sobre sus inventarios, lo cual obliga a la apertura de una serie de cuentas principales y auxiliares relacionadas con esos controles. Entres estas cuentas podemos nombrar las siguientes:

Inventario (inicial) Compras Devoluciones en compra Gastos de compras Ventas Devoluciones en ventas Mercancías en tránsito Mercancías en consignación Inventario (final)

Recordemos que en una empresa consolida es muy posible que se este usando ya un sistema que soporte el proceso de inventario.Se constatará la información tanto física como lógica.

Entonces en una organización orientada en TICS donde se hace uso de sistemas computarizados tendremos que realizar el conteo de todos el hardware que se utilice en la organización.

CONTROLES CORRECTIVOS

CONTROL EN EL PLAN DE OPERACIONESUTILIZACIÓN DE BACKUPS

RESOLUCIÓN DIRECTORAL 01-2010-IN-0801

CASO PRACTICO :

CREACION DE JOBS EN SQL 2008

SISTEMA DE SEGUIMIENTO DE ERRORES

DEFINICIÓN:

Un sistema de seguimiento de errores es una aplicación informática diseñada para ayudar a asegurar la calidad de software y asistir a los programadores y otras personas involucradas en el desarrollo y uso de sistemas informáticos en el seguimiento de los defectos de software.

COMPONENTES

Uno de los componentes principales de un sistema de seguimiento de errores es: la base de datos donde se almacenan los hechos e historia de un fallo de software.

Los hechos pueden ser : - Una descripción detallada del fallo. - La severidad del evento. - Forma de reproducirlo y los programadores que

intervienen en su solución así como información relacionada al proceso de administración de la corrección del fallo como puede ser personal asignado, fecha probable de remedio y código que corrige el problema.

CLASIFICACIÓN DE ERRORES

Bloqueador: inhibe la continuidad de desarrollo o pruebas del programa

Mayor: pérdida mayor de funcionalidad, como menús inoperantes, datos de salida extremadamente incorrectos, o dificultades que inhiben parcial o totalmente el uso del programa.

Normal: Una parte menor del componente no es funcional. Menor: Una pérdida menor de funcionalidad, o un problema

al cual se le puede dar la vuelta Trivial: Un problema cosmético, como puede ser una falta de

ortografía o un texto desalineado. Mejora: Solicitud de una nueva característica o

funcionalidad.

HERRAMIENTAS QUE PERMITEN HACER UN CONTROL DE ERRORES:

Bugzilla — http://www.bugzilla.org/ RequestTracker (RT) —

http://www.bestpractical.com/rt/ Trac — http://trac.edgewall.com/ Roundup — http://roundup.sourceforge.net/ Mantis — http://www.mantisbt.org/ Scarab — http://scarab.tigris.org/ Debian Bug Tracking System (DBTS) —

http://www.chiark.greenend.org.uk/~ian/debbugs/

USO Un sistema local de reporte de errores (local bug tracker, LBT) es generalmente un programa utilizado por un equipo de profesionales de soporte (a veces un help desk) para mantener registro de incidentes reportados a los desarrolladores de software. El uso de un LBT permite a los profesionales de soporte llevar registro de los incidentes en su "propio lenguaje" y no en el "lenguaje de los desarrolladores".