Embed Size (px)
Citation preview
TEMA - 3 REDES Y SEGURIDAD DE LA
INFORMACIÓN
SICI-3211Dr. Nelliud D. Torres Batista
http://classes.uleth.ca/201401/mgt3061a/22/04/23 1
MIS
Objetivos del Capítulo• Definición de redes y comunicación de datos
• Tipos y topologías de redes
• Protocolos de comunicación
• Redes inalámbricas y móviles
• Internet, intranets y extranets
• Riesgos asociados a las tecnologías de información
• Definición de Seguridad de la información
• Amenazas a la seguridad y medidas correctivas
22/04/23 2
Definición de redes y comunicación de datos
22/04/23 3Pag: 103
Definición de Data communication ◦ Transferencia electrónica de datos de una localización a
otra.◦ Permite que un sistema de información pueda transmitir
datos e información.◦ Mejora la flexibilidad de la recolección y transmisión de
datos ◦ Es la base de organizaciones virtuales◦ Provee colaboración electrónica (e-collaboration)
Es difícil separar las funciones críticas de la organización de los sistemas de comunicación de datos.
Mejora la eficiencia y efectividad en la toma de decisiones.
Capacita que la organización utilice el correo electrónico y la transferencia de archivos para mejorar la eficiencia y productividad.
Es un reflejo de cómo la comunicación de datos se utiliza en el lugar de trabajo.
Conceptos importantes:◦ La base de la comunicación de datos y redes
(networking).◦ La Internet, intranets y extranets.◦ Redes alambradas e inalámbricas.◦ Problemas de seguridad en las redes y medidas
preventivas.◦ Efectos organizacionales y sociales de la comunicación
de datos.◦ Problemas relacionados a la Globalización.◦ Aplicaciones de sistemas de comunicación de datos.
Bandwidth ◦ Cantidad de datos que pueden ser transferidos de un punto
a otro en una cantidad de tiempo.
Attenuation◦ Perdida de energía (power) en una señal según esta viaja
desde el equipo que la envió hasta el que la recibió.
Broadband data transmission◦ Múltiples piezas de datos que se envían simultáneamente
para aumentar la velocidad de transmisión (transmission rate).
Narrowband ◦ Canal de transmisión “Voice-grade” capaz de transmitir
un máximo de 56,000 bps, por lo tanto solo una cantidad limitada de información puede ser transferido.
Protocols◦ Reglas que gobiernan la comunicación de datos, incluye
detección de errores, largo de mensajes y velocidades de transmisión.
Estos equipos de clasifican en:◦ “Thin client”◦ Terminal inteligente (Smart terminal & Intelligent
terminal)◦ Netbook◦ Otros tipos de computadoras:
Smartphones, mobile phones, mp3 players, PDAs, game consoles
Modem (abreviación de “modulator-demodulator”) ◦ Equipo que conecta un usuario a la Internet◦ No es requerido para todas las conexiones a la Internet.
Tipos de Modems◦ Dial-up (analog) 56k Análogo por línea telefónica◦ Digital subscriber line (DSL) Digital por línea
telefónica◦ Cable
Communication media◦ También se le conoce como canales (channels) de
comunicación◦ Conecta los equipos que envían y reciben datos
Conducted media ◦ Provee un sendero (path) físico por donde las señales
son transmitidas◦ Algunos canales son: twisted-pair cable, coaxial cable,
and fiber optics
Exhibit 6.1 Types of Communication Media
Radiated media (Wireless)◦ Utiliza una antena para transmitir datos por aire o agua◦ Incluye: broadcast radio, terrestrial microwave y
satellite
Tipos◦ Point-to-point◦ Multipoint system
Los sistemas de comunicación de datos pueden ser utilizados con diferentes configuraciones
Por los pasados 60 años, tres tipos de configuración de procesamiento de datos han emergido:◦ Centralized◦ Decentralized◦ Distributed
Centralized processing system◦ El procesamiento se hace utilizando una computadora
centralizada
Advantage ◦ Fuerte control en las operaciones de los sistemas y las
aplicaciones
Disadvantage◦ Difícil para satisfacer las necesidades del usuario◦ Si falla la computadora, todo de inhabilita.
Not commonly used
Decentralized processing◦ Cada usuario, departamento o división tiene su propia
computadora para ejecutar el procesamiento.
Advantage ◦ Responde más a las necesidades de los usuarios
Disadvantages◦ Difícil para coordinar◦ Altos costos◦ Duplicidad de esfuerzos
Distributed processing◦ Control centralizado con operaciones descentralizadas
Advantages◦ Es posible acezar capacidad de procesamiento no utilizado◦ Se puede añadir o eliminar computadoras para satisfacer las
necesidades◦ La distancia y las localizaciones no limitan◦ Es más compatible con el crecimiento de la organización◦ Tolerancia a fallas (redundancia) ◦ Los recursos pueden ser compartidos para reducir costos◦ Se mejora la confiabilidad◦ Responde más a las necesidades de los usuarios
Disadvantages◦ Dependencia en la tecnología de las comunicaciones◦ Incompatibilidad entre equipos◦ La administración de la red es más complicada y retador
Se compone de una arquitectura de siete capas (Seven-layer architecture) que define cómo los datos se transmiten
Layers: (capas)◦ Application◦ Presentation◦ Session◦ Transport◦ Network◦ Data link◦ Physical
Tipos y topologías de redes
22/04/23 19Pag: 109
Three major types of networks:◦ Local area networks, wide area networks y metropolitan
area networks
Network interface card (NIC)◦ Componente de Hardware que permite a las
computadoras comunicarse por una red (network)
Common types of local area networks:◦ Ethernet y token ring
Network operating system (NOS) must be installed
Se conectan estaciones de trabajo (clientes) y otros equipos que están cercanos unos a los otros.
Limitado a nivel geográfico La velocidad de transferencia de datos varía de
100 Mbps a 10 Gbps EL propósito principal es compartir recursos Palabras claves:
◦ Ethernet y Ethernet cable
Puede cubrir varias ciudades, estados o países
Le puede pertenecer a diferentes compañías
La velocidad de transferencia de datos varía de: 28.8 Kbps a 155 Mbps
Utiliza muchos medios de comunicación diferentes
Se conecta a otros tipos de redes
Medio de comunicación para múltiples organizaciones en una ciudad y a veces en ciudades cercanas
La velocidad de transferencia de datos varía de: 34 Mbps a 155 Mbps
Exhibit 6.4 Metropolitan Area Networks
Representa el esquema (layout) de una red física
Existen cinco tipos comunes de topologías:◦Star◦Ring◦Bus◦Hierarchical◦Mesh
Se compone de una computadora central con una serie de nodos
Advantages◦ El diagrama del cableado es fácil de modificar◦ Su sistema centralizado permite detectar problemas
fácilmente◦ Se pueden incluir nuevos nodos fácilmente◦ Muy bueno para manejar mucho tráfico en cortos periodos de
tiempo
Disadvantages◦ Si falla la computadora central, se pierde la red◦ Aumentan los costos debido al mucho cableado
Cada computadora maneja su propia conectividad Cada nodo se conecta a otros dos nodos
◦ Upstream neighbor y downstream neighbor La transmisión es en una sola dirección Implementations
◦ Token ring◦ Fibre Distributed Data Interface (FDDI)
Requiere de menos cableado que la topología tipo Star
Maneja grandes cantidades de transmisión en periodos cortos muy bien
Conecta nodos a través de un segmento de la red◦ Los partes finales del cableado no están conectados◦ Los terminator absorbe la señal en cada lado
Las velocidades más comúnmente utilizadas son:◦ 1, 2.5, 5, 10, y100 Mbps, con 10 Mbps, 100 Mbps, 1 Gbps y 10 Gbps (Gigabit Ethernet)
Advantages◦ Fácil para extender◦ Muy confiable◦ El cableado es simple y utiliza la menor cantidad de cable de todas las
topologías◦ Lo mejor para manejar tráfico estable
Disadvantages◦ Diagnosticar fallas es difícil◦ Por el cableado se puede formar un embudo (bottleneck) cuando el tráfico
es intenso
Combina computadoras con diferentes capacidades de procesamiento a diferentes niveles de la organización
Son las redes tradicionales de mainframes Controller
◦ Equipos de Hardware y software que controlan la transferencia de datos de una computadora a un equipo (peripheral device)
Multiplexer◦ Equipo de Hardware que permite a varios nodos compartir un
canal de comunicación Advantages
◦ Buen control de la red◦ Abarata costos
Disadvantages◦ Difícil de expandir◦ Puede ocurrir congestión en la red en altos niveles de nodos
Cada nodo se conecta a los otros nodos
Advantages◦ Altamente confiable
Disadvantages◦ Costoso◦ Difícil de mantener◦ Difícil para expandir
Protocolos de Comunicación
22/04/23 36Pag: 113
Acuerdos en métodos y reglas que utilizan los equipos electrónicos para poder intercambiar información.
Trabaja con hardware, software y networking
El apoyo (support) a múltiples protocolos es importante
Es el estándar en la industria para los protocolos de comunicación en las redes.
Su mayor ventaja es que permite interoperabilidad La intención original era para comunicación en la
Internet El TCP/IP se compone de los siguientes protocolos:
◦ Transmission Control Protocol (TCP) Opera bajo el modelo OSI a nivel: Transport layer
◦ Internet Protocol (IP) Opera bajo el modelo OSI a nivel: Network layer
Packet ◦ Colección de dígitos binarios, incluyendo mensajes y
datos y caracteres de control para aplicar formatos y facilitar la transmisión.
◦ Se envía de computadora a computadora por la red
Routing◦ Proceso de decidir cual sendero (path) se va a enviar los
datos◦ Las decisiones son hechas utilizando el routing table◦ Centralized routing◦ Distributed routing
Equipos que se conectan a la red que contienen software Conectan sistemas de redes y le controlan el flujo de
tráfico Debe utilizar un protocolo común de enrutamiento
(routing) En el modelo OSI opera al nivel: network layer Ejecuta las mismas funciones que los bridges
◦ Son equipos más sofisticados Selecciona el mejor sendero (path) posible para enviar
los paquetes (packets) Hay routers que son Static o dynamic
Software runs on the local computer (the client) ◦ Se comunica con el servidor remoto para pedir
información o servicios Server
◦ Computadora remota en la red que provee información o servicios en respuesta a los pedidos del cliente
Comunicación básicamente entre cliente/servidor
Advantage: scalability (puede expandirse) Three levels of logic: presentation, application y
data management
Redes Inalámbricas y Móviles
22/04/23 42Pag: 118
Wireless network ◦ Utiliza tecnología wireless (sin cables) en lugar de
tecnología wired (con cables) Mobile network
◦ La red opera en frecuencia de radio (RF), que consiste de celulares de radio (radio cells) que son servidos por una estación base
Advantages◦ Movilidad, flexibilidad, fácil de instalar y bajos costos
Disadvantages◦ Limitado a un rango (range), mala señal en algunos
lugares, vulnerable a frecuencias con ruido, seguridad
Groups◦ Wireless LANs◦ Wireless WANs
Three part architecture◦ Base stations◦ Mobile telephone switching offices (MTSOs)◦ Mobile communication devices
Technologies◦ Time Division Multiple Access (TDMA)◦ Code Division Multiple Access (CDMA)
Exhibit 6.10 Mobile Network Architecture
Convergence ◦ Iintegración de voz, video y datos de modo que la
información de multimedios pueda ser utilizada para tomas de decisiones
Integrating video with voice and data required network upgrades
Common applications:◦ E-commerce (comercio electrónico)◦ Entretenimiento◦ Conferencias en video y en computadoras ◦ Aplicaciones para el consumidor
Internet, Intranet & Extranet
22/04/23 48Pag: 128
Internet◦ Colección a nivel mundial de millones de redes y
computadoras
◦ Nadie es dueño de la Internet. Ni aún el país que lo inventó (USA).
◦ Comenzó en el 1969 como un proyecto del U.S. Department of Defense llamado Advanced Research Projects Agency Network (ARPANET)
◦ Evolucionó en el National Science Foundation Network (NSFNET) en el1987
Internet backbone World Wide Web (WWW, or “the Web”) Hypermedia Hypertext How does the internet work?
INTERNET - Gráficas
INTERNET - Gráficas
Domain• Identifies the Website (host)• Comes in many suffixes such
as:.edu (educational
institutions).org (organizations; non-
profit).mil (military).net (network
organizations)
Example: microsoft.com(URL) Uniform Resource Locator• Identifies particular Web pages within a domain
Example: http://www.microsoft.com/security/default.mspx
IP Address• Each domain is associated
with one or more IP addresses
• Format: a 32-bit address written as 4 numbers (from 0-255) separated by periods
Example: 1.160.10.240
142.66.115.13
Hypertext Markup Language (HTML) ◦ Lenguaje utilizado para crear páginas Web (Web pages)
Estructura de un documento HTML:<HTML> <HEAD> (Enter the page’s description.) </HEAD> <BODY> (Enter the page’s content.) </BODY> </HTML>
Navigational tools◦ Graphical Web browsers
Search engines (motores de búsqueda)◦ Google, bing, Yahoo, Altavista, Etc
Directories
NAVEGADORES - BROWSERS• Los navegadores nos permiten acceder páginas de
Internet en un formato gráfico y animado. Actualmente existen varios navegadores importantes:
– Internet Explorer – Moxila Firefox (
http://www.mozilla.com/en-US/firefox/)– Opera (http://www.opera.com/)– Maxthon (http://www.maxthon.com/)– Google-Chrome (http://www.google.com/chrome )
EJEMPLOS
Internet Explorer Moxila Firefox Opera
Maxthon Google Chrome
MOTORES DE BÚSQUEDA(SEARCH ENGINE)
• Los motores de búsqueda nos ayudan a localizar más rápido una página Web o información que deseamos obtener. Algunos de esos motores de búsqueda son:
– GOOGLE - (http://www.google.com)– YAHOO - (http://www.yahoo.com)– LYCOS - (http://lycos.com)– ALTAVISTA - (http://altavista.com)– ABOUT - (http://www.about.com)– EXCITE - (http://www.excite.com)
EJEMPLOS
GOOGLE YAHOO LYCOS
ALTAVISTA ABOUT.COM EXCITE
Newsgroups and discussion groups
Internet Relay Chat
instant messaging,
Internet telephony
Virtual Worlds
Uno de los servicios más utilizados en la Internet
Main types◦ Web-based e-mail◦ Client-based e-mail
E-mail programs include:◦ Folders for organization◦ Address books and distribution groups◦ Spell checkers◦ Delivery notification
Discussion groups ◦ Formado por personas para intercambiar opiniones e
ideas en un tópico en particular
Newsgroups ◦ Su uso es más general y puede utilizarse para hablar de
cualquier tópico◦ Permite a la gente unirse ya sea para diversión o
propósitos de negocios
Internet Relay Chat (IRC) ◦ Capacita a los usuario a intercambiar mensajes de texto
dentro de un “cuarto”(room) en tiempo real.
Instant messaging (IM) ◦ Servicio para comunicarse con otros via Internet en un
cuarto privado (“private chat room”) ◦ Existen muchas aplicaciones IM
Internet telephony ◦ Uso de la Internet en lugar que las redes de telefonía
para intercambiar conversaciones habladas.
Voice over Internet Protocol (VoIP)◦ Requiere conexiones a la Internet de alta velocidad.
También requiere micrófono, bocinas o un headset.◦ Llamadas internacionales son mucho más baratas◦ Se utiliza para enrutar (route) el trafico comenzando y
terminando switches de redes telefónicas◦ La calidad delas llamada ha mejorado (una de sus
desventajas)
Servicios y productos para un alto rango de clientes a precios bien competitivos y muy convenientes
Pueden ser utilizados con un mínimo de costos
Tourism and Travel Publishing Higher Education Real Estate Employment Financial Institutions Software Distribution Healthcare Software Distribution Politics
6%
Pag: 137
5-69
Intranets• An internal, private network using Web technologies to
securely transmit information within the organization.• This private internal Web limits viewing access to authorized
users within the organization
Intranets• An internal, private network using Web technologies to
securely transmit information within the organization.• This private internal Web limits viewing access to authorized
users within the organization
Intranet Benefits• Improved information access to authorized user• Improved timeliness and accuracy of information• Global reach allowing employees access from anywhere• Cross-platform integration• Low cost deployment• Positive return on investment
Intranet Benefits• Improved information access to authorized user• Improved timeliness and accuracy of information• Global reach allowing employees access from anywhere• Cross-platform integration• Low cost deployment• Positive return on investment
5-70
Intranet HubIntranet Hub
Online Entry ofInformation
Online Entry ofInformation
Application Integration
Application Integration
TrainingTrainingCollaborationCollaboration
Real-time AccessTo Information
Real-time AccessTo Information
5-71
Extranets•secure networks that provide customers, suppliers, and employees with access to internal systems
•replaced EDI for smaller firmsExtranet Benefits•timeliness &accuracy of communications, reducing errors & misunderstandings
•Allows central management of documents allowing single updates
•Uses standard web protocols•Easy to use, requires little training •Used to automate transactions, reducing cost and cycle time
5-72
ExchangesExchanges
Distribution Portals
Distribution Portals CollaborationCollaboration
Real-TimeInfo Access
Real-TimeInfo Access
ProcurementPortals
ProcurementPortals
Enterprise Portals
Enterprise Portals
Supply ChainManagement
Supply ChainManagement
catapillar
Web 2.0◦Comenzó a principios del 2000◦Las aplicaciones Web comenzaron a ser más interactivas, antes eran estáticas.
◦Esto se debió en gran parte al uso de Base de Datos.
◦Aumento la colaboración (e-collaboration)
Blogs◦ Abreviación de “Weblog”◦ Se utiliza para poner noticias o mensajes que se actualizan con
frecuencia con la intención de que lo pueda leer el público en general Ejemplo: Blogger.com
◦ Wikis Permite al usuario añadir, eliminar y a veces modificar
contenido Wikis se ha implementado en algunas compañías El mejor ejemplo es Wikipedia
Social Networking Sites◦ Facebook , twitter
RSS Feeds ◦ “Really simple syndication”
Podcasting◦ Archivos de audio que se postean en la Web para que sean
bajados y escuchados en dispositivos móviles
Definición de Seguridad de la Información
22/04/23 75Pag: 83
Critico para muchas organizaciones◦Especialmente en años recientes con el
incremento en Hackers dispuestos a obtener información. ¿A qué se debe esto?
◦1. Comprehensive security system Proteger los recursos de la organización Incluye la información, equipo y redes, correo
electrónico, transferencia de datos, etc.
◦2. Threats: Incluye compartir password, dejar una computadora
sin atender, derramar café en el teclado, etc.
Comprehensive security system ◦ Incluye hardware, software, procedimientos, y el personal que
colectivamente protege los recursos que manejan información
A. Confidentiality ◦ El sistema no debe permitir que la información llegue a
personas no autorizadas B. Integrity
◦ Asegurarse que la información es precisa (exacta), que no llegue alterada o con valores incorrectos
C. Availability ◦ Asegurarse de que las computadoras y las redes están
operacionales en todo momento Fault-tolerant systems
◦ Combinación de hardware y software para mejorar la confiabilidad
◦ Uninterruptible power supply (UPS)◦ Redundant array of independent disks (RAID) (redundancia)◦ Mirror disks
Amenazas a la seguridad de la información y medidas correctivas
22/04/23 78Pag: 83
Algunas amenazas pueden ser controladas por completo o parcialmente, pero otras no necesariamente.
Categorías
◦Unintentional◦Intentional
Viruses Worms Trojan programs Logic bombs Backdoors Blended threats (e.g., worm launched by
Trojan) Rootkits Denial-of-service attacks Social engineering
Type of malware In 2008, the # of computer viruses in existence
exceeded one million Consists of self-propagating program code that’s
triggered by a specified time or event Seriousness of viruses varies Transmitted through a network & e-mail
attachments Indications of a computer infected by a virus Best measure against viruses
◦ Installing and updating antivirus programs
Esta definición se va a dejar para propósitos de repaso, no se van a discutir en detalle
Travels from computer to computer in a network◦ Does not usually erase data
Independent programs that can spread themselves without having to be attached to a host program
Replicates into a full-blown version that eats up computing resources
Well-known worms ◦ Code Red, Melissa, and Sasser ◦ Esta definición se va a dejar para propósitos de
repaso, no se van a discutir en detalle
Named after the Trojan horse the Greeks used to enter Troy during the Trojan Wars
Contains code intended to disrupt a computer, network, or Web site
Usually hidden inside a popular program Esta definición se va a dejar para
propósitos de repaso, no se van a discutir en detalle
Type of Trojan program used to release a virus, worm, or other destructive code
Triggered at a certain time or by an event Esta definición se va a dejar para
propósitos de repaso, no se van a discutir en detalle
Programming routine built into a system by its designer or programmer
Enables the designer or programmer to bypass system security and sneak back into the system later to access programs or files
System users aren’t aware a backdoor has been activated
Esta definición se va a dejar para propósitos de repaso, no se van a discutir en detalle
Floods a network or server with service requests ◦ Prevent legitimate users’ access to the system
Target Internet servers Distributed denial-of-service (DDoS) attack
◦ Hundreds or thousands of computers work together to bombard a Web site with thousands of requests for information in a short period
◦ Difficult to trace Esta definición se va a dejar para
propósitos de repaso, no se van a discutir en detalle
Using “people skills” to trick others into revealing private information◦ Takes advantage of the human element of security
systems Commonly used social-engineering techniques
◦ “Dumpster diving” and “shoulder surfing” Esta definición se va a dejar para
propósitos de repaso, no se van a discutir en detalle
Biometric security measures Nonbiometric security measures Physical security measures Access controls Virtual private networks Data encryption E-commerce transaction security measures Computer Emergency Response Team
Use a physiological element to enhance security measures
Devices and measures◦ Facial recognition◦ Fingerprints◦ Hand geometry◦ Iris analysis◦ Palmprints◦ Retinal scanning◦ Signature analysis
Esta definición se va a dejar para propósitos de repaso, no se van a discutir en detalle
– Vein analysis – Voice recognition
Biometrics
Combination of hardware and software
Acts as a filter or barrier between a private network and external computers or networks
Network administrator defines rules for access
Examine data passing into or out of a private network
Esta definición se va a dejar para propósitos de repaso, no se van a discutir en detalle
91
Firewall can Focus for security decisions Enforce security policy Log internet activity Limit exposure
keeps one section of intranet separate from another
Firewall can not Protect against malicious insiders Protect against connections that do not go
through it Protect against new threats Protect against viruses
Protect against both external and internal access
Placed in front of a firewall Prevent against DoS attacks Monitor network traffic “Prevent, detect, and react” approach Require a lot of processing power and can
affect network performance Esta definición se va a dejar para
propósitos de repaso, no se van a discutir en detalle
Primarily control access to computers and networks
Include◦ Cable shielding◦ Corner bolts◦ Electronic trackers◦ Identification (ID) badges◦ Proximity-release door openers◦ Room shielding◦ Steel encasements
Esta definición se va a dejar para propósitos de repaso, no se van a discutir en detalle
Recommendations:◦ Install cable locks and use biometric measures◦ Only store confidential data when necessary◦ Use passwords◦ Encrypt data◦ Install security chips
Esta definición se va a dejar para propósitos de repaso, no se van a discutir en detalle
Terminal resource security ◦ Software feature that erases the screen and signs the
user off automatically after a specified length of inactivity
Password ◦ Combination of numbers, characters, and symbols that’s
entered to allow access to a system◦ Length and complexity determines its vulnerability to
discovery ◦ Guidelines for strong passwords
Esta definición se va a dejar para propósitos de repaso, no se van a discutir en detalle
◦ Virtual private network (VPN): a secure connection between two points across the Internet
96
Tunneling: the process by which VPNs transfer information by encapsulating traffic in IP packets over the Internet
4-97
Entrenar a los empleados
Crear guías y pasos que incluyan:◦Personas◦Procedimientos◦Equipo y tecnología
Planifica procedimientos que permitan que una organización siga siendo operacional
Hay que prepararse para los diferentes tipos de desastres
Planifica los pasos que permitan devolver las operaciones a su estado normal tan pronto como sea posible
FIN22/04/23 100
