Módulos I A @ IV A AUDITORÍA DE REDES Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados
Contenido: Módulo I - A Arquitectura de la computadora Evolución de sistemas de computación Procesos y prácticas operaciones Desarrollo de sistemas informáticos Integración de aplicaciones basadas en objetos Plataformas de Bancos de Datos Controles internos Entorno Controles internos - Tecnología Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 2
Contenido: Módulo II - A Introducción a las comunicaciones Modelos: Open Systems Interconnect (OSI) Internet (TCP/IP) Mecanismos de interacción y conexión: Nivel físico Nivel datos Tipo de red: Amplia (Wide Area Network WAN) Local (Local Area Network LAN) Inalámbrica (Wireless Network) Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 3
Contenido: Módulo II A (Continuación) Protocolos de Internet: Internet Protocol (IP) Transmission Control Protocol (TCP) Protocolos de aplicaciones: Domain Name System (DNS & DNS Sec) Telnet File Transfer Protocol (FTP) Hyper Text Transfer Protocol (HTTP) Simple Mail Transfer Protocol (SMTP) Simple Network Management Protocol (SNTP) Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 4
Contenido: Módulo II A (Continuación) Principios básicos de cifrado (Encryption): Sistemas de cifrado Symmetric Key Cryptography Asymmetric Key Cryptography Public Key Infrastructure (PKI) SSL/ TSL IP Sec Sistemas de comercio electrónico E-Commerce Componentes para implantar E-Commerce Características de HTML Common Gateway Interfase (CGI) Issues de seguridad en el E-Commerce Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 5
Contenido: Módulo III A Planificación, implantación y auditoría de redes Planificación de redes: Modelo de Seguridad Capacity Planning Análisis de Riesgos en el entorno virtual (Redes) Implantación de redes: Dispositivos de seguridad Políticas de seguridad Auditoría de redes: Security monitoring Log analysis Vulnerability assessment Risk management Informe(s) de auditoría y su divulgación Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 6
Módulo I - A Introducción a sistemas Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 7
Arquitectura del computador Lógica booleana (Boole) Circuitos integrados (VLSI) Procesador Central (CPU) Procesador Registros Unidad aritmética (ALU) Unidad comunicación (BUS) Tipo de operaciones instrucciones: Transferencia datos Operaciones aritméticas Operaciones lógicas Conversión de datos Control y carga-descarga (Input/Output & Control) Integración de instrucciones al CPU: Hardwired ó ROM/PROM/EPROM Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 8
Arquitectura del computador (Continuación) Dispositivos de almacenamiento interno: Direct Memory Access (DMA) Random Access Memory (RAM) Dynamic & Static Random Access Memory (DRAM/SRAM) Registros y CACHE Dispositivos de almacenamiento externo: Discos magnéticos y discos ópticos Cintas magnéticas Otros dispositivos: móviles (portable) & virtales Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 9
Evolución de los sistemas de computación Sistemas operativos: Intrucciones para efectuar las operaciones y control Almacenadas en el CPU y/o accequibles en almacén Ejecutadas consecutivamente (Arq. von Newman) Evolución: Manual Processing Serial Processing Batch processes Multiprogramming (Shared CPU Time): Buffers and pagination (Virtual memory ) Concurrency control and security measures Dynamic Time-Sharing Multiprocessing and Real-Time Operating Systems Parallel Processing Systems Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 10
Sistemas de computación (Continuación) Funciones de los sistemas operativos: Manejo de procesos: Estructuras de datos y archivos Mantenimiento de estatus Sincronización, priorización (scheduling) y comunicación Administración de almacenamiento y optimización del uso del espacio Implantación y control de medidas de seguridad: Políticas de Acceso y preservación de integridad Códigos y programación Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 11
Sistemas de computación (Manejo de procesos) Bitácoras y control de procesos: Bitácoras de estatus de procesos: (ready/running/suspended) Asignación de recursos y controles: (IRQ/locks) Process Control Block: Process ID & State Access rights Register contents, time alloted, stack address Contents, status, program counter, memory management I/O devices alloted and pending operations, open files, PCB change operation, setup for execution Interrupt(s) enabling/disabling according to process priority Restoration pointers Scheduling algorithms: (FCFS/RR/SRT) Semaphores & Mutual exclusion Deadlock handling and prevention Monitors and messages Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 12
Sistemas de computación (Manejo de almacén) Almacenamiento para respaldar procesos de sistemas: Asignar, optimizar y recuperar espacio Swap procedures Protección de datos almacenados y áreas compartidas Técnicas y procesos: Manejo en lotes Fixed & variable partition allotment Segmentation Paging & Virtual memory File systems: Niveles: Volumen, directorio, archivo, datos Acceder: Buscar bloque, carga bloque, selección datos, récord virtual Guardar: Identificar medio, validar privilegios, verificar disponibilidad, crear bloque (FCB), asignar espacio en buffer, ubicar cursor en bloque Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 13
Sistemas de computación (Manejo de estructuras de datos) File systems management: Mantener controles de acceso y protección de estructuras Optimizar asignación y recuperación de espacio Ejecutar procesos para administrar FCB Traducción de direcciones y métodos de acceso Asegurar integridad de archivos : real time logs, RAID, mirroring Estructuras dirección: Directory Data Structure (Unix) Indirect indexes Address Translation Space allocation: Contiguos/noncontiguos Channing/Indexing Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 14
Sistemas de computación (Manejo de discos) Volumes series of addressable disk sectors (within/outside) Partitions Disk units: Schemes (Hardware related): DOS /NTSF Solaris (UNIX) Boot process Master boot record: Start/End Address for each partition Operating system boot code Offset from beginning of disk volume Number of sectors in partition Type of volume / File system type Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 15
Sistemas de computación (seguridad de sistemas) Procesos integrados para asegurar: Confiabilidad Protección de procesos en ejecución Seguridad Control de concurrencia y serialización Autenticación: UserID & Password Archivo de autenticación (archivo cifrado y escondido hidden) Autorización (Controles): Mandatorios integrados por el sistema operativo (Read/Write/Execute) Discresionales Administrados por el usuario o administrador Consola de administración: Configurar y fiscalizar controles Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 16
Procesos y prácticas de operación Startup & Shutdown System Consoles Facilities for Application Processing File System Management Application Programs Development Security Implementation: User authentication Data & Resources Access Controls Logs & reports of access and security events Roles & Profile management Encryption algorithms and standards System Management and Auditing File Access Permissions: READ, APPEND, WRITE, LOCK, EXECUTE, SAVE Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 17
Desarrollo de sistemas informáticos Information Requirements System Development Approach: SDLC Prototypes Agile Methodologies Analysis Tasks and Deliverables: Planning Data and Data flow modeling Process Specification Systems Design and Implementation: Architecture design Construction and Deployment Security Evaluation Criteria/Models Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 18
Desarrollo de sistemas informáticos (Evaluación de seguridad) Security Evaluation Criteria/Models: Trusted Computer System Evaluation (Orange Book-TCSEC) Information Technology Security Evaluation Criteria (ITSEC) Systems Security Engineering Capability Maturity Model (SSE-CMM) The Common Criteria: Common Criteria for Information Technology Security Evaluation (CC) Common Methodology for Information Technology Security Evaluation (CEM) CCRA National Schemes Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 19
Sistemas basados en objetos (OOS) Contraste entre OOS y sistemas convencionales: Ventajas Desventajas Desarrollo de OOS: Análisis de requerimientos Diseño de OOS: Package Diagrams Class Diagram Designs Desarrollo de OOS: Lenguajes programación para OOS Estándares JAVA Consideraciones de Seguridad implantaciones JAVA Validación Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 20
Plataforma de Bancos de Datos (DBMS) Contraste entre sistemas tradicionales y DBMS Definiciones Ventajas y desventajas ERD model /Relational Model SQL DB Schema & Storage management and optimization Transaction processing & concurrency control Network Implementation in DB Systems Data communication Distributed transaction processing Dabase security and Auditing: Hardware, O/S, Application Servers and Networks Authentication and Authorization DB Auditing Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 21
Controles internos (Entorno) Tipo de controles: Corporate Governance Structure Management Leadership Organization Structure and Reporting Human Resources Policies Performance Evaluation and Budgeting Internal Audits Organizational Culture Laws and Regulations Technology Industry Practices Modelos: COSO: Control Environment, Risk Assessment, Activities & Monitoring SOX: Requirements, Corporate Resposibility, Controls Assessment, SEC additional considerations HIPAA, GLBA: Requirements, Corporate Resposibility, Controls Assessment Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 22
Controles internos (Tecnología) Controles de sistemas e integración controles org. Objetivos controles tecnológicos: Análisis de riesgos en general Riesgos por áreas: acceso, sistemas, redes, aplicaciones Controles financieros: Instalación y configuración de sistemas Ejecución de procesos Validación de datos y flujo de datos Interacción entre sistemas/aplicaciones Clasificación de datos/procesos y periodicidad Financial Reporting Controles administrativos y operacionales Objetivos COSO Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 23
Referencias Min, Young-Woon, Understanding and Auditing IT Systems, Vol.1, USA, 2009 COSO, Enterprise Risk Management Integrated Framework, 2004 COSO, Guidance on Monitoring Internal Control Systems, 2009 Common Criteria, Common Criteria for IT Security Evaluation, General Model, CCMB 2009 Common Criteria, An Introduction, CCMB, 1999 Common Criteria, Common Criteria for IT Security Evaluation, Part 2: Security Functional Components, CCMB 2009 Common Criteria, Common Criteria for IT Security Evaluation, Part 3: Security Assurance Components, CCMB 2009 Department of Defense, Trusted Computer System Evaluation Criteria (Orange Book), 1985 European Community, Information Technology Security Evaluation Criteria (ITSEC), Brussels, 1991 Systems Security Engineering Capability Maturity Model Appraisal Method (SSE- CCM), Carnegie Mellon University, 1999 Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 24
Módulo II - A Introducción a las comunicaciones Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 25
Arquitectura de la Red Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 26
Arquitectura de la red Wide Area Networks (WAN): Distancias mayores y/o dispersión geográfica Integra provedor(es) de servicio (ISP) Permite la presencia pública virtual Extiende el ámbito de compartir recursos y hacer negocios Basado en infraestructura y protocolos TCP/IP Local Area Networks (LAN): Conecta servidores, estaciones y servicios locales Integra medios de conexión: cables o inalámbricos Emplea un NIC (Network Interfase Card) Basado en estándar de Ethernet Utiliza protocolos para la administración del transporte, asegurar comunicación y compartir recursos Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 27
Ilustración de WAN Telefonía & ISP Tomada de CISCO Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 28
Topologías de red Estrella (Star) Anillo (Ring) Lineal (Bus) Otros Figura tomada de: Learn Networking Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 29
Servicios locales (LAN) Figura tomada de EDrawSoft Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 30
Comunicación en la red (Figura tomada de EDrawSoft) Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 31
Conexión en red (LAN-WAN) Figura tomada de EDrawSoft Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 32
Componentes de las Redes Medios: Telefonía: Alámbrica e inalámbrica Public switched telephone network (PSTN) ATM Frame Relay & Ethernet Voice over IP (VOIP) Radio: WiFi & WiMax Satélite Conversión de señales análoga@digital Cablería: Fibra, Coaxial, UTP Carmen R. Cintrón Ferrer -2011, Derechos Reservados
Tecnologías para navegación Navegación dentro y entre redes: Transporte de paquetes y mensajes Conexión entre circuitos Protocolos Ilustración interactiva de Internetworking Elementos para la comunicacón en Red Estándar Ethernet Medios de conexión (cablería) Configuración de la red (pruebas) Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 34
Modelo OSI Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 35
Modelos de comunicación Open Systems Interconnect (OSI) Definición El modelo de Open Systems Interconnection (OSI) especifica cómo debe ocurrir la conexión que permite la comunicación entre computadoras en una red. Carmen R. Cintrón Ferrer -2011, Derechos Reservados
Modelo OSI Conjunto de guías que describe el proceso que permite comunicar dos computadoras a través de una red. Provee estándares para el diseño del HW y SW que garantice su capacidad de interconexión en una red. Estándar de comunicación en el mercado desarrollado por la International Organization for Standards (ISO). Al integrar periferales debe asegurar cuentan con la certificación de que cumplen con ISO. Carmen R. Cintrón Ferrer -2011, Derechos Reservados
Modelo OSI Aplicación Nivel 7 Nivel 6 Nivel 5 Nivel 4 Nivel 3 Nivel 2 Nivel 1 Presentación Sesión Transportación Red Enlace Datos Físico Carmen R. Cintrón Ferrer -2011, Derechos Reservados
Modelo OSI Aplicación Presentación Sesión Transportación Redes Enlace datos Físico Nivel Descripción 7 Respalda interacción a nivel de las aplicaciones 6 Traducción entre formatos y conversión de datos 5 Establece y mantiene enlace de comunicación entre computadoras 4 Asegura que se envíe transmisión sin errores 3 Provee la ruta a direcciones lógicas 2 Prepara paquetes datos para transmisión física 1 Administra el proceso de transmisión físico a través del medio Carmen R. Cintrón Ferrer -2011, Derechos Reservados
Modelo OSI Nivel de Presentación Tipo de Datos Texto Sonido Imágenes Video Estándar ASCII EBCDIC (IBM) HTML MIDI MPEG WAV JPEG GIF TIFF AVI QuickTime Carmen R. Cintrón Ferrer -2011, Derechos Reservados
Modelo OSI Nivel de Sesión Modos de comunicación: Simplex una vía/una dirección Half duplex una vía/ambas direcciones Full duplex - ambas direcciones a la vez Puntos de referencia para retransmisión Carmen R. Cintrón Ferrer -2011, Derechos Reservados
Modelo OSI Nivel de Transportación Segmenta el tráfico en paquetes Establece el número de paquetes por transmisión Envía y recibe mensajes de confirmación Entrega por método de: Connection oriented establece sesión y mantiene la conexión hasta que termina la transmisión Connectionless no establece sesión, remite paquetes a dirección acordada o derivada. No hay confirmación de recibo. Carmen R. Cintrón Ferrer -2011, Derechos Reservados
Modelo OSI Nivel de Redes Determina la dirección lógica: TCP/IP (Internet) IPX/SPX (Novell) Define o determina la ruta a seguir A este nivel operan los Routers Carmen R. Cintrón Ferrer -2011, Derechos Reservados
Telnet SMTP Modelo OSI Aplicación Presentación HTTP FTP Sesión Transportación TCP UDP Redes IP ARP RIP Enlace datos Drivers de las NIC s Físico Carmen R. Cintrón Ferrer -2011, Derechos Reservados
Modelo TCP/IP Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 45
Modelos de comunicación: TCP/IP Desarrollado por ARPANET 1970 s Comprende 5 niveles (layers) Aplicación Transporte Red Datos Físico Aplicaciones típicas que respalda: Telnet FTP SNMP SNTP HTTP Carmen R. Cintrón Ferrer -2011, Derechos Reservados
Modelo TCP/IP niveles Application layer: Application Presentation Session Transport layer Network layer: Network Routing Network addressing Data Link layer Physical layer Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 47
Direccionamiento para comunicación: TCP/IP Clases de direcciones (IPv4): Clase A (127 direcciones de redes) Redes grandes (ie ArpaNet) Provee 16 Millones de direcciones Clase B (16,384 direcciones de redes) Redes para organizaciones Provee 65,000 direcciones Clase C (2Mi direcciones de redes) Redes pequeñas Provee 254 direcciones Clase D Provee direccionamiento para conexión multicast Carmen R. Cintrón Ferrer -2011, Derechos Reservados
Modelos de comunicación: TCP/IP Direccionamiento Cada equipo en la red necesita dirección única Notación decimal con octetos: 1er octeto identifica la red Clase A 2ndo octeto identifica la red Clase B 3er octeto identifica la red Clase C (organización) 4to octeto identifica el equipo particular SubRed (Mask): Permite segmentar la red/clase ie: 255.255.255.0 Carmen R. Cintrón Ferrer -2011, Derechos Reservados
Conexión a Internet- Dirección (URL) Cada organización identificada en Internet necesita un identificador registrado (InterNIC) y un nombre reconocido Cada equipo en la red necesita dirección única: Pre-asignado Asignación dinámica por servidor de DHCP Conversión de nombres @ direcciones: Domain Name Server del ISP Domain Name Server de la red interna Carmen R. Cintrón Ferrer -2011, Derechos Reservados
Protocolos Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 51
WEB & Protocolos Internet Addresses: E-mail Web site URL s Internet Protocol (IP) Protocolos: Reglas y/o estándares compartidos (HW/SW/OS) para permitir compartir y transmitir datos, acceso a servicios Funciones que respaldan: Facilitan la conexión física entre dispositivos (Data layer) ~ Medio Sincronizan la transferencia entre unidades y/o dispositivos físicos Controlan el proceso para evitar, documentar, corregir y/o notificar errores Permiten conexión compatible Promueven flexibilidad, capacidad de integración y de crecimiento Modelo de interconexión OSI y los estándares que genera la ISO viabilizan la comunicación en el Web (An insider s guide to the Internet MIT) Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 52
Tipos de Protocolos TCP/IP Transfer/Internet Protocol File transfer: Mail: (FTP) File Transfer Protocol (TelNet) Terminal Emulation Protocol (SNMP) Simple Network Mail Protocol (POP) Post Office Protocol (IMAP) Internet Message Access Protocol Internet & Web: (HTTP) Hyper Text Transport Protocol y HTTP-NG (HTML) Hyper Text Markup Language (NNTP) Network News Transfer Protocol UseNet Groups Security: (SSL) Secure Sockets Layer transmisión HTTP (HTTPS) Secure Hypertext Transfer Protocol Cifra y descifra la comunicaciones en Internet mediante SSL Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 53
Protocolos de comunicación TCP/IP ( Transmission control protocol ): Desarrollado para el DoD (60 s) Único protocolo que opera en Internet Permite redireccionar paquetes cuando hay rutas averiadas o no disponibles Permite integrar distintos tipos de redes Ehternet, Token-ring y otras Es un estándar que cumple con Open standards IPX/SPX (Internetwork/sequenced packet exchange): Desarrollado por Xerox para redes Netware Emplea método de entablar conexión y la monitorea Respalda tunneling para integrarse a TCP/IP Utiliza puertos (segmentos de RAM) donde deposita la información Carmen R. Cintrón Ferrer -2011, Derechos Reservados
Protocolos TCP/IP TCP (Transmission Control Protocol): Protocolo de transmisión Utiliza puertos virtuales para establecer conexión Fiscaliza la transmisión IP (Internet protocol): Resposable de direccionar información UDP (User Datagram Protocol): Establece puertos virtuales para transmisión Hace lo mismo que TCP más rápido, menos confiable ICMP (Internet Control Message Protocol) Controla mensajería dentro de la red Genera mensajes de error Emplea el mando de ping para verificar conexión Carmen R. Cintrón Ferrer -2011, Derechos Reservados
Protocolos TCP/IP DHCP (Dynamic Host Configuration Protocol): Establece comunicación entre equipos y servidor El servidor administra y asigna números IP DNS (Domain Name System): Servidor que ayuda a parear nombres de computadoras en Internet con direcciones IP WINS (Windows Internet Naming Service): Similar al DNS en redes Microsoft TCP/IP Carmen R. Cintrón Ferrer -2011, Derechos Reservados
Protocolos TCP/IP - conexión SLIP (Serial Line Internet Protocol): Protocolo para establecer conexión serial entre computadoras PPP (Point-to Point Protocol): Protocolo para establecer conexión serial entre computadoras Provee mejor control de errores y más seguridad que SLIP Puede utilizarse con líneas ISDN IGP/EGP (Interior/Exterior Gateway Protocol): Permite intercambiar datos sobre rutas entre diferentes redes Facilita determinar el camino idóneo para navegar RIP/OSPF (Routing Information Protocol/Open Shortest Path First): Estipula cómo intercambiar información entre routers en redes pequeñas o grandes Carmen R. Cintrón Ferrer -2011, Derechos Reservados
Referencias An Insider s Guide to the Internet, Clark, MIT, 2004 Auditing IT Infrastructures for Compliance, Jones & Bartlett Learning, Canada, 2011 Cisco www.cisco.com Computer Security Fundamentals, Easttom, Pearson, 2012 Edraw Software, http://www.edrawsoft.com Fundamentals od Information Systems Security, Jones & Bartlett Learning, Canada, 2012 Hands-on Information Security Lab Manual, Course Technology, Cengage Learning, 2011 Information Technology Auditing,Hall, South-Western Cengage Learning, 2011 Learn Networking, http://learn-networking.com How does the Internet Work, Shuler, 2005 Spinning the World Wide Web, Johnson, Stanford, 1994 The TCP/IP Guide, Kozierock, Scribd,2005 TCP/IP Illustrated Book, Naugle, Wiley, 1998 TCP/IP Illustratated, Stevens, Vol.1, 2003 Carmen R. Cintrón Ferrer, 2011-12, Derechos Reservados 58