Seguridad Bancaria

SEMINARIO DE TITULACIÓN

“PROCESAMIENTO DIGITAL DE SEÑALES”

Seguridad bancaria

T E S I N A

Que para obtener el grado de:

INGENIERO EN

COMUNICACIONES Y ELECTRÓNICA.

Presentan:

Olimpia Martínez Blanco

M. en C. BRAULIO SANCHEZ ZAMORA M. en C. ORLANDO BELTRÁN NAVARRO.

México, D. F. Mayo de 2008.

UNIDAD CULHUACAN

INGENIERÍA EN COMUNICACIONES Y ELECTRÓNICA

Índice

Objetivo……… 3

Capitulo 1. Fundamentos de redes………... 4

1.1 Introducción………. 4

1.2 El Modelo OSI………. 4

1.3 Protocolo TCP/IP……… 11

1.3.1 Transmision Control Protocol (TCP)………... 13

1.3.2 User Datagram Protocols (UDP)……….. 15

1.4 Direccionamiento IP………... 17

1.5 Utilidades de capa de aplicación………. 19

1.5.1 DNS Domain Name Sistema……… 19

1.5.2 ARP Adress Resolution Protocol………. 21

1.5.3 ICMP Control Message Protocol………. 23

1.6 Fundamentos de LAN y WAN……… 24

Capitulo 2. Fundamentos de seguridad………. 26

2.1 Fundamentos de firewalls……… 26

2.1.1 Ventajas de implementar un firewall……… 27

2.1.2 Desventajas de implementar un firewall………. 28

2.1.3 Políticas del firewall……… 28

2.1.4 Tipos de firewalls………. 29

2.2 NAT Networks Adress Translation………. 31

2.2.1 Asignación estática de direcciones………... 32

2.2.2 Tipos de NAT………... 33

2.3 Criptografía………. 34

2.3.1 Algoritmos y funciones criptográficas………. 35

2.4 VPN Redes Privadas Virtuales……… 37

2.4.1 Tipos de VPN………... 38

2.4.2 IPsec Protocolo de Internet seguro………... 39

2.4.3 Integridad y confidencialidad………... 41

Capitulo 3. Desarrollo………. 42

Conclusión……… 61

Bibliografía………... 61

Seguridad bancaria

Introducción

Todos en algún momento nos hemos preguntado si es seguro el comercio electrónico, y sobre todo al entregar una tarjeta de crédito o debito de la cual no sabemos a donde van a dar los datos que emite nuestra tarjeta.

Es importante tener en cuenta que no existe sólo una forma de comercio en la Red. Y que en cualquier medio electrónico estamos expuestos a algún tipo de fraude; y es apreciable que el riesgo que se corre al pagar con una tarjeta de crédito es el mismo que el traer efectivo. Por ejemplo en un restaurante: cuando el camarero se lleva nuestra tarjeta, él mismo puede copiar los datos y luego utilizarla en Internet o en otro comercio. Otro ejemplo es en las compras telefónicas donde transmitimos vía oral los datos de la tarjeta que pueden ser fácilmente interceptados o incluso malversados por la empresa en que confiamos, aunque indiscutiblemente la interacción con una voz humana nos da una tranquilidad que será difícil reemplazar.

De igual manera en que los consumidores nos preocupamos por la seguridad de las transacciones que realizamos también las entidades bancarias encargadas de procesar dichas solicitudes se preocupan por la seguridad de los sistemas que tienen para procesar las transacciones.

Por lo antes mencionado requerimos de un sistema de seguridad que nos brinde la confiabilidad de que los datos que se están enviando llegan a su destino de manera segura, y que las entidades que procesan nuestras transacciones cuentan con un nivel de protección a sus sistemas que garantices que nuestras operaciones se realicen de manera correcta. Para esto se cuenta con las facilidades del firewall; que es un dispositivo que aísla una red interna del resto de Internet, permitiendo pasar conexiones específicas y aislando otras. Si bien los firewalls son parte de la estrategia global de seguridad de una organización no deben tomarse como la única. Otra gran herramienta es la criptografía, que nos ayuda a que la información que enviamos se transmita de tal manera que si alguien la intercepta solo verá ceros y unos entreverados porque la información ha sido cifrada para que resulte ilegible a un interceptor.

Planteamiento del problema.

Hoy en día el mercado mundial va cambiando a pasos agigantados en el cual además de productos también se venden servicios, de la misma manera también esta cambiando la forma en la cual se liquidan las cuentas contraídas por la compra de dichos productos o servicios.

Mientras Internet, crece rápidamente, aumenta el intercambio de datos. Muchas empresas realizan transacciones financieras con sus clientes en Internet y necesitan asegurarse que sus transacciones sean privadas y de confianza. Actualmente se pueden realizar pagos mediante el uso de tarjetas de crédito/debito utilizando terminales punto de venta para realizar el cargo.

El problema a resolver es diseñar un esquema de seguridad para hacer que los puntos de venta se comuniquen con las distintas entidades bancarias para realizar los cargos de los servicios sin poner en riesgo o dar a conocer desde que red se esta iniciando la transacción ni que entidad bancaria será la encargada de procesar la transacción, además de utilizar un sistemas de criptografía para las transacciones que pasaran directamente por la nube de Internet. Este sistema debe de cubrir los siguientes requerimientos:

• Secreto: requiere que la información almacenada en un sistema computacional pueda ser accesada únicamente por personal autorizado

• Integridad: Requiere que los recursos del sistema computacional puedan ser modificados solo por personal o entidades autorizadas

• Disponibilidad: Requiere que los recursos del sistema computacional estén disponibles a entidades autorizadas

Objetivo:

Lograr establecer una comunicación de manera segura entre distintas entidades bancarias y redes de datos que utilizan infraestructura de telefonía celular y local.

Capitulo 1. Fundamentos de redes 1.1 Introducción

El objetivo de una red de comunicación no esta relacionado con el contenido de los datos intercambiados entre estaciones, su propósito es simplemente mover datos desde una estación fuente hacia un destino.

Sin embargo la red de comunicaciones debe de servir al transporte de aplicaciones con requerimientos específicos.

Protocolo:

Es un conjunto de reglas que utilizan equipos de comunicación para transferir información entre ellos.

Los protocolos existen a diferentes niveles de conexiones. Por ejemplo, el protocolo de enlace de datos es una especificación de métodos por los que la comunicación de datos en un enlace se ejecuta en términos de la forma particular del modo de transmisión, la forma de control y los procedimientos de recuperación.

Topología y medios compartidos

Indirectamente, el tipo de conexión que se haga en la capa física puede influir en el diseño de la capa de Enlace. Atendiendo al número de equipos que comparten un medio hay dos posibilidades:

Conexiones punto a punto: que se establecen entre dos equipos y que no admiten ser compartidas por terceros

Conexiones multipunto: en la que más de dos equipos pueden usar el medio.

Así por ejemplo la fibra óptica no permite fácilmente conexiones multipunto y por el contrario las conexiones inalámbricas son inherentemente multipunto. Hay topologías como el anillo, que permiten conectar muchas máquinas a partir de una serie de conexiones punto a punto.

1.2. Modelos OSI

Se han diseñado varias herramientas para ayudar a los diseñadores de protocolos a entender las partes del problema de comunicación y planear la familia de protocolos.

Una de estas herramientas y la mas importante es el modelo de capas esto es solo una manera de dividir el problema de la comunicación en partes llamadas capas. La familia de protocolos puede diseñarse especificando un protocolo que corresponda a cada capa.

La organización internacional de Normalización ISO definió uno de los modelos más importantes y el más utilizado el modelo de siete capas. El modelo de referencia de

Interconexión de Sistemas Abiertos (OSI, Open System Interconnection) lanzado en 1984 fue el modelo de red descriptivo creado por ISO

Siguiendo el esquema de este modelo se crearon numerosos protocolos El advenimiento de protocolos más flexibles donde las capas no están tan demarcadas y la correspondencia con los niveles no era tan clara puso a este esquema en un segundo plano. Sin embargo sigue siendo muy usado en la enseñanza como una manera de mostrar como puede estructurarse una "pila" de protocolos de comunicaciones (sin importar su poca correspondencia con la realidad).

El modelo en sí mismo no puede ser considerado una arquitectura, ya que no especifica el protocolo que debe ser usado en cada capa, sino que suele hablarse de modelo de referencia.

En el modelo OSI el propósito de cada capa es proveer los servicios para la siguiente capa superior, resguardando la capa de los detalles de como los servicios son implementados realmente. Las capas son abstraídas de tal manera que cada capa cree que se está comunicando con la capa asociada en la otra computadora, cuando realmente cada capa se comunica sólo con las capas adyacentes de la misma computadora.

Nivel físico.

Relacionada con la transmisión de un tren de bits no estructurado sobre un medio físico, esta relacionado con las características mecánicas, eléctricas, funcionales y de procedimiento para acceder al medio físico.

Se encarga de transformar una trama de datos proveniente del nivel de enlace en una señal adecuada al medio físico utilizado en la transmisión. Estos impulsos pueden ser eléctricos (transmisión por cable) o electromagnéticos (transmisión sin cables). Estos últimos, dependiendo de la frecuencia / longitud de onda de la señal pueden ser ópticos, de micro-ondas o de radio. Cuando actúa en modo recepción el trabajo es inverso; se encarga de transformar la señal transmitida en tramas de datos binarios que serán entregados al nivel de enlace.

Sus principales funciones se pueden resumir como:

• Definir el medio o medios físicos por los que va a viajar la comunicación: cable de pares trenzados, coaxial, guías de onda, aire, fibra óptica.

• Definir las características materiales (componentes y conectores mecánicos) y eléctricas (niveles de tensión) que se van a usar en la transmisión de los datos por los medios físicos.

• Definir las características funcionales de la interfaz (establecimiento, mantenimiento y liberación del enlace físico).

• Transmitir el flujo de bits a través del medio.

• Manejar las señales eléctricas/electromagnéticas

• Especificar cables, conectores y componentes de interfaz con el medio de transmisión, polos en un enchufe, etc.

• Garantizar la conexión (aunque no la fiabilidad de ésta).

Nivel enlace de datos

Proporciona una transferencia confiable de la información a través de un medio físico, envía los bloques con la información necesaria de sincronización, control de errores y control de flujo.

Se encarga de transformar la línea de transmisión común en una línea sin errores para la capa de red, esto se lleva a cabo dividiendo la entrada de datos en tramas de asentimiento, por otro lado se incluye un patrón de bits entre las tramas de datos. Esta capa también se encarga de solucionar los problemas de reenvío, o mensajes duplicados cuando hay destrucción de tramas. Por otro lado es necesario controlar el tráfico.

Un grave problema que se debe controlar es la transmisión bidireccional de datos.

El tema principal son los algoritmos para la comunicación confiable y eficiente entre dos máquinas adyacentes.

El nivel de enlace trata de detectar y corregir los errores. Normalmente se parte el flujo de bits en marcos y se calcula un checksum (comprobación de datos) para cada uno.

Las tramas contendrán información como:

Número de caracteres (un campo del encabezamiento guarda el número. Pero si el número es cambiado en una transmisión, es difícil recuperar.)

Caracteres de inicio y fin.

Servicios para el nivel de red

Servicio sin acuses de recibo. La máquina de fuente manda marcos al destino. Es apropiado si la frecuencia de errores es muy baja o el tráfico es de tiempo real (por ejemplo, voz).

Servicio con acuses de recibo. El recibidor manda un acuse de recibo al remitente para cada marco recibido.

Control de flujo

Se usan protocolos que prohíben que el remitente pueda mandar marcos sin la permisión implícita o explícita del recibidor.

Por ejemplo, el remitente puede mandar un número indeterminado de marcos pero entonces tiene que esperar.

Detección y corrección de errores

Se tienen varios sistemas de detección de errores.

Ejemplo: HDLC. En este ejemplo se verá un protocolo que se podría identificar con el segundo nivel OSI. Es el HDLC (High-level Data Link Control). Este es un protocolo orientado a bit, es decir, sus especificaciones cubren que información lleva cada uno de los bits de la trama.

BITS 8 8 8 >=0 16 8

01111110 Adress Control Data Checksum 01111110

Como se puede observar en la tabla, se definen unos campos que se agregan a la información (Datos). Estos campos se utilizan con distintos fines. Con el campo Checksum se detectan posibles errores en la transmisión mientras que con el campo control se envía mensajes como datos recibidos correctamente.

Capa de red.

Proporciona a las capas superiores independencia de la transmisión la conmutación o enrutamiento de datos.

El cometido de la capa de red es hacer que los datos lleguen desde el origen al destino, aún cuando ambos no estén conectados directamente. Los dispositivos que facilitan tal tarea se denominan en castellano encaminadores, aunque es más frecuente encontrar el nombre inglés routers y, en ocasiones enrutadores.

Adicionalmente la capa de red debe gestionar la congestión de red, que es el fenómeno que se produce cuando una saturación de un nodo tira abajo toda la red (similar a un atasco en un cruce importante en una ciudad grande). La PDU de la capa 3 es el paquete.

Los routers trabajan en esta capa, aunque pueden actuar como switch de nivel 2 en determinados casos, dependiendo de la función que se le asigne. Los firewalls actúan sobre esta capa principalmente, para descartar direcciones de maquinas.

Capa de transporte

La capa de transporte es la encargada de controlar el flujo de datos entre los nodos que establecen una comunicación; los datos no sólo deben entregarse sin errores, sino además en la secuencia que proceda. La capa de transporte se ocupa también de evaluar el tamaño de los paquetes con el fin de que éstos tengan el tamaño requerido por las capas inferiores del conjunto de protocolos. El tamaño de los paquetes lo dicta la arquitectura de red que se utilice.

Los protocolos más importantes a este nivel son TCP y UDP (mutuamente excluyentes).

En esta capa se proveen servicios de conexión para la capa de sesión que serán utilizados finalmente por los usuarios de la red al enviar y recibir paquetes. Estos

servicios estarán asociados al tipo de comunicación empleada, la cual puede ser diferente según el requerimiento que se le haga a la capa de transporte.

Capa de sesión.

Esta capa Establece, gestiona y finaliza las conexiones entre usuarios (procesos o aplicaciones) finales. Ofrece varios servicios que son cruciales para la comunicación, como son:

• Control de la sesión a establecer entre el emisor y el receptor (quién transmite, quién escucha y seguimiento de ésta).

• Control de la concurrencia (que dos comunicaciones a la misma operación crítica no se efectúen al mismo tiempo).

Mantener puntos de verificación (checkpoints), que sirven para que, ante una interrupción de transmisión por cualquier causa, la misma se pueda reanudar desde el último punto de verificación en lugar de repetirla desde el principio.

Los protocolos orientados a la conexión que operan en la capa de sesión proporcionan un entorno donde las computadoras conectadas se ponen de acuerdo sobre los parámetros relativos a la creación de los puntos de control en los datos, mantienen un dialogo durante la transferencia de los mismos, y después terminan de forma simultánea la sesión de transferencia.

Capa de presentación.

La capa de presentación puede considerarse el traductor del modelo OSI. Esta capa toma los paquetes (la creación del paquete para la transmisión de los datos por la red empieza en realidad en la capa de aplicación) de la capa de aplicación y los convierte a un formato genérico que pueden leer todas las computadoras. Por ejemplo; los datos escritos en caracteres ASCII se traducirán a un formato más básico y genérico.

Capa de aplicación

La capa de aplicación proporciona la interfaz y servicios que soportan las aplicaciones de usuario. También se encarga de ofrecer acceso general a la red.

Esta capa suministra las herramientas que el usuario ve. También ofrece los servicios de red relacionados con estas aplicaciones de usuario, como la gestión de mensajes, la transferencia de archivos y las consultas a base de datos. La capa de aplicación suministra cada uno de estos servicios a los distintos programas de aplicación con los que cuenta el usuario en su computadora. Entre los servicios de intercambio de información que gestiona la capa de aplicación se encuentra la web, los servicios de correo electrónico (como el protocolo simple de transferencia de correo, comúnmente conocido como SMTP – Simple Mail Transfer Protocol – incluido en TCP\IP), así como las aplicaciones especiales de bases de datos cliente\servidor.

Entre los protocolos (refiriéndose a protocolos genéricos, no a protocolos de la capa de aplicación de OSI) más conocidos destacan:

 HTTP (HyperText Transfer Protocol) el protocolo bajo la www.

 FTP (File Transfer Protocol) ( FTAM, fuera de TCP/IP) transferencia de ficheros

 SMTP (Simple Mail Transfer Protocol) (X.400 fuera de tcp/ip) envío y distribución de correo electrónico

 POP (Post Office Protocol)/IMAP: reparto de correo al usuario final

 SSH (Secure SHell) principalmente terminal remoto, aunque en realidad cifra casi cualquier tipo de transmisión.

 Telnet otro terminal remoto, ha caído en desuso por su inseguridad intrínseca, ya que las claves viajan sin cifrar por la red.

Hay otros protocolos de nivel de aplicación que facilitan el uso y administración de la red:

 SNMP (Simple Network Management Protocol)

 DNS (Domain Name System) Formato de los datos

Estos datos reciben una serie de nombres y formatos específicos en función de la capa en la que se encuentren, debido a como se describió anteriormente la adhesión de una serie de encabezados e información final. Los formatos de información son los que muestra el gráfico:

APDU: Unidad de datos en la capa de aplicación.

PPDU: Unidad de datos en la capa de presentación.

SPDU: Unidad de datos en la capa de sesión.

TPDU:(segmento) Unidad de datos en la capa de transporte.

Paquete: Unidad de datos en el nivel de red.

Trama: Unidad de datos en la capa de enlace.

Bits: Unidad de datos en la capa física.

1.3. Protocolo TCP\IP

Se han desarrollado diferentes familias de protocolos para comunicación por red de datos para los sistemas UNIX. El más ampliamente utilizado es el Internet Protocol Suite, comúnmente conocido como TCP / IP.

Es un protocolo DARPA que proporciona transmisión fiable de paquetes de datos sobre redes. El nombre TCP / IP Proviene de dos protocolos importantes de la familia, el Transmission Control Protocol (TCP) y el Internet Protocol (IP). Todos juntos llegan a ser más de 100 protocolos diferentes definidos en este conjunto.

El TCP / IP es la base del Internet que sirve para enlazar computadoras que utilizan diferentes sistemas operativos, incluyendo PC, minicomputadoras y computadoras centrales sobre redes de área local y área extensa. TCP / IP fue desarrollado y demostrado por primera vez en 1972 por el departamento de defensa de los Estados Unidos, ejecutándolo en el ARPANET una red de área extensa del departamento de defensa.

En la figura siguiente se observa la comparación del modelo OSI con TCP\IP.

Al igual que en el modelo OSI, los datos descienden por la pila de protocolos en el sistema emisor y la escalan en el extremo receptor. Cada capa de la pila añade a los datos a enviar a la capa inferior, información de control para que el envío sea correcto.

Esta información de control se denomina cabecera, pues se coloca precediendo a los datos. A la adición de esta información en cada capa se le denomina encapsulación.

Cuando los datos se reciben tiene lugar el proceso inverso, es decir, según los datos ascienden por la pila, se van eliminando las cabeceras correspondientes.

Cada capa de la pila tiene su propia forma de entender los datos y, normalmente, una denominación especifica que podemos ver en la tabla siguiente. Sin embargo, todos son datos a transmitir, y los términos solo nos indican la interpretación que cada capa hace de los datos.

TCP UDP

Capa de Aplicación Flujo Mensaje

Capa de Transporte Segmento Paquete

Capa de Internet Datagrama Datagrama

Capa de Acceso a la Red Trama Trama

La arquitectura del TCP/IP consta de cinco niveles o capas en las que se agrupan los protocolos, y que se relacionan con los niveles OSI de la siguiente manera:

Aplicación: Se corresponde con los niveles OSI de aplicación, presentación y sesión.

Aquí se incluyen protocolos destinados a proporcionar servicios, tales como correo electrónico (SMTP), transferencia de ficheros (FTP), conexión remota (TELNET) y otros más recientes como el protocolo HTTP (Hypertext Transfer Protocol).

Transporte: Coincide con el nivel de transporte del modelo OSI. Los protocolos de este nivel, tales como TCP y UDP, se encargan de manejar los datos y proporcionar la fiabilidad necesaria en el transporte de los mismos.

Internet: Es el nivel de red del modelo OSI. Incluye al protocolo IP, que se encarga de enviar los paquetes de información a sus destinos correspondientes. Es utilizado con esta finalidad por los protocolos del nivel de transporte.

Físico: Análogo al nivel físico del OSI.

Red: Es la interfaz de la red real. TCP/IP no especifica ningún protocolo concreto, así es que corre por las interfaces conocidas, como por ejemplo: 802.2, CSMA/CD, X.25, etc.

1.3.1. Transmisión Control Protocol TCP

TCP (Transmission Control Protocol, en español Protocolo de Control de Transmisión) es uno de los protocolos fundamentales en Internet. Fue creado entre los años 1973 - 1974 por Vint Cerf y Robert Kahn. Muchos programas dentro de una red de datos compuesta por ordenadores pueden usar TCP para crear conexiones entre ellos a través de las cuales enviarse un flujo de datos. El protocolo garantiza que los datos serán entregados en su destino sin errores y en el mismo orden en que se transmitieron.

También proporciona un mecanismo para distinguir distintas aplicaciones dentro de una misma máquina, a través del concepto de puerto. TCP da soporte a muchas de las aplicaciones más populares de Internet, incluidas HTTP, SMTP y SSH.

Funciones de TCP

En la pila de protocolos TCP/IP, TCP es la capa intermedia entre el protocolo de internet (IP) y la aplicación. TCP añade las funciones necesarias para prestar un servicio que permita que la comunicación entre dos sistemas se efectúe: libre de errores, sin pérdidas y con seguridad. Y tiene las siguientes características:

• Conexión orientada – dos computadoras establecen una conexión para enviar datos. El final del sistema se sincroniza con otra para administrar el flujo de los paquetes y adapta la congestión a la red.

• Operación full-duplex – Una conexión TCP es un par de circuitos virtuales, cada uno tiene una dirección. Al sincronizarse los pueden utilizar la conexión

• Verificación de errores – Utiliza técnicas de verificación para que los paquetes no sean corrompidos, como el checksum.

• Secuencia – Los paquetes son numerados, con esto al llegar a su destino se puede saber si los paquetes fueron enviados

• Control de flujo – Si al enviar se detecta un desbordamiento de paquetes al ser recibidos, se realiza un bloqueo, hasta que el envió sea más lento.

• Reconocimiento de paquetes recibidos – Al recibir puede requerir retransmisión de paquetes. Si se detecta que un paquete recibido no es reconocido de manera correcta, el remitente reenvía los paquetes.

Formato de los Segmentos TCP

Las aplicaciones envían flujos de bytes a la capa TCP para ser enviados a la red. TCP divide el flujo de bytes llegado de la aplicación en segmentos de tamaño apropiado (normalmente esta limitación viene impuesta por la unidad máxima de transferencia (MTU) del nivel de enlace de datos de la red a la que la entidad está asociada) y le añade sus cabeceras. Entonces, TCP pasa el segmento resultante a la capa IP, donde a través de la red, llega a la capa TCP de la entidad destino. TCP comprueba que ningún segmento se ha perdido dando a cada uno un número de secuencia, que es también usado para asegurarse de que los paquetes han llegado a la entidad destino en el orden correcto. TCP devuelve un a sentimiento por bytes que han sido recibidos correctamente; un temporizador en la entidad origen del envío causará un timeout si el asentimiento no es recibido en un tiempo razonable, y el (presuntamente desaparecido) paquete será entonces retransmitido. TCP revisa que no haya bytes dañados durante el envío usando un checksum; este es calculado por el emisor antes de cada paquete sea enviado, y comprobado por el receptor.

Checksum

Es una comprobación que se hace para verificar la correcta transmisión de un fichero;

tiene la forma de control de redundancia, y es una medida muy simple para proteger la integridad de datos, verificando que no hayan sido corrompidos. Como ejemplo, diremos que junto con el fichero, normalmente se envía uno paralelo que contiene la suma binaria de los bits del fichero transmitido. La verificación consiste en realizar la suma de estos bits y compararlo con la suma ya realizada en el fichero paralelo. Si la suma coincide entonces se tiene la seguridad de que esta transmisión se realizo de manera correcta.

La forma más simple de checksum no detecta una variedad de corrupciones;

particularmente no cambiará si:

• Se cambia el orden de los bytes de la información.

• Se agregan o eliminan bytes de valor igual a cero.

• Múltiples errores que se cancelan unos con otros.

Los tipos de control de redundancia más sofisticados, incluyendo el checksum de fletcher, Adler-32 y el control de redundancia cíclica (CRC) son diseñados para tratar estas deficiencias considerando no sólo el valor de cada byte sino también el de su posición

Estos tipos de control por redundancia son útiles en la detección de las modificaciones accidentales como corrupción de los datos o los errores de almacenamiento en un canal de comunicaciones. El más común es el CRC el cual es un procedimiento matemático utilizado para la detección de errores producidos por ruido.; en la cual la trama recibida calcula un resto para ser dividido por una trama que contenga un divisor primario y compara el resultado almacenado en una trama que fue enviado al receptor.

Funcionamiento del protocolo en detalle

Las conexiones TCP se componen de tres etapas: establecimiento de conexión, transferencia de datos y fin de la conexión. Para establecer la conexión se usa el procedimiento llamado negociación en tres pasos (3-way handshake). Una negociación en cuatro pasos (4-way handshake) es usada para la desconexión. Durante el establecimiento de la conexión, algunos parámetros como el número de secuencia son configurados para asegurar la entrega ordenada de los datos y la robustez de la comunicación.

Aunque es posible que un par de entidades finales comiencen una conexión entre ellas simultáneamente, normalmente una de ellas abre un socket en un determinado puerto TCP y se queda a la escucha de nuevas conexiones. Es común referirse a esto como apertura pasiva, y determina el lado servidor de una conexión. El lado cliente de una conexión realiza una apertura activa de un puerto enviando un segmento SYN inicial al servidor como parte de la negociación en tres pasos. El lado servidor respondería a la petición SYN válida con un paquete SYN/ACK. Finalmente, el cliente debería responderle al servidor con un ACK, completando así la negociación en tres pasos (SYN, SYN/ACK y ACK) y la fase de establecimiento de conexión.

Comunicación Asíncrona

Esta se desarrolló para solucionar el problema de la sincronía y la incomodidad de los equipos. En este caso la temporización empieza al comienzo de un carácter y termina al final, se añaden dos elementos de señal a cada carácter para indicar al dispositivo receptor el comienzo de este y su terminación.

Al inicio del carácter se añade un elemento que se conoce como "Start Space"(espacio de arranque), y al final una marca de terminación.

Para enviar un dato se inicia la secuencia de temporización en el dispositivo receptor con el elemento de señal y al final se marca su terminación.

Comunicación Sincrona

Este tipo de transmisión se caracteriza porque antes de la transmisión de propia de datos, se envían señales para la identificación de lo que va a venir por la línea, es mucho mas eficiente que la Asíncrona pero su uso se limita a líneas especiales para la comunicación de ordenadores, porque en líneas telefónicas deficientes pueden aparecer problemas.

Por ejemplo una transmisión serie es Sincrona si antes de transmitir cada bit se envía la señal de reloj y en paralelo es sincrona cada vez que transmitimos un grupo de bits.

Transferencia de datos

Durante el establecimiento de conexión TCP, los números iniciales de secuencia son intercambiados entre las dos entidades TCP. Estos números de secuencia son usados para identificar los datos dentro del flujo de bytes, y poder identificar (y contar) los bytes de los datos de la aplicación. Siempre hay un par de números de secuencia

incluidos en todo segmento TCP, referidos al número de secuencia y al número de asentimiento. Un emisor TCP se refiere a su propio número de secuencia cuando habla de número de secuencia, mientras que con el número de asentimiento se refiere al número de secuencia del receptor. Para mantener la fiabilidad, un receptor asiente los segmentos TCP indicando que ha recibido una parte del flujo continuo de bytes.

A través del uso de números de secuencia y asentimiento, TCP puede pasar los segmentos recibidos en el orden correcto dentro del flujo de bytes a la aplicación receptora. Los números de secuencia son de 32 bits (sin signo), que vuelve a cero tras el siguiente byte después del 2³²-1. Una de las claves para mantener la robustez y la seguridad de las conexiones TCP es la selección del número inicial de secuencia (ISN, Initial Sequence Number).

Un checksum, consistente en el complemento a uno de la suma en complemento a uno del contenido de la cabecera y datos del segmento TCP, es calculado por el emisor, e incluido en la transmisión del segmento. Se usa la suma en complemento a uno porque el acarreo final de ese método puede ser calculado en cualquier múltiplo de su tamaño (16-bit, 32-bit, 64-bit...) y el resultado, una vez plegado, será el mismo. El receptor TCP recalcula el checksum sobre las cabeceras y datos recibidos. El complemento es usado para que el receptor no tenga que poner a cero el campo del checksum de la cabecera antes de hacer los cálculos, salvando en algún lugar el valor del checksum recibido; en vez de eso, el receptor simplemente calcula la suma en complemento a uno con el checksum incluido, y el resultado debe ser igual a 0. Si es así, se asume que el segmento ha llegado intacto y sin errores.

Los asentimientos de los datos enviados o la falta de ellos, son usados por los emisores para interpretar las condiciones de la red entre el emisor y receptor TCP. Unido a los temporizadores, los emisores y receptores TCP pueden alterar el comportamiento del movimiento de datos. TCP usa una serie de mecanismos para conseguir un alto rendimiento y evitar la congestión de la red (la idea es enviar tan rápido como el receptor pueda recibir). Estos mecanismos incluyen el uso de ventana deslizante, que controla que el transmisor mande información dentro de los límites del buffer del receptor, y algoritmos de control de flujo, tales como el algoritmo de comienzo lento, algoritmo de congestion avoidance, la retransmisión rápida, la recuperación rápida, y más.

1.3.2. Protocolo de datagrama de usuario UDP (User datagrams protocol)

Es un protocolo del nivel de transporte basado en el intercambio de datagramas que, como TCP, funciona en redes IP. UDP/IP proporciona muy pocos servicios de recuperación de errores, ofreciendo en su lugar una manera directa de enviar y recibir datagramas a través una red IP. Se utiliza sobre todo cuando la velocidad es un factor importante en la transmisión de la información.

El FTP utiliza TCP/IP, mientras que TFTP utiliza UDP. TFTP son las siglas de Protocolo de Transferencia de Archivos Triviales (en inglés Trivial File Transfer Protocol), y puesto que es trivial, perder algo de información en la transferencia no es crucial.

Es un protocolo mínimo de nivel de transporte orientado a mensajes documentado en el RFC 768 de la IETF.

En la familia de protocolos de Internet UDP proporciona una sencilla interfaz entre la capa de red y la capa de aplicación. UDP no otorga garantías para la entrega de sus mensajes y el origen UDP no retiene estados de los mensajes UDP que han sido enviados a la red. UDP sólo añade multiplexado de aplicación y suma de verificación de la cabecera y payload. Cualquier tipo de garantías para la transmisión de la información, deben ser implementadas en capas superiores.

0 7 8 15 16 23 24 31 +---+---+---+---+

| Source | Destination | | Port | Port | +---+---+---+---+

| | | | Length | Checksum | +---+---+---+---+

| | data octets ...

+--- ...

User Datagram Header Format

La cabecera UDP consta de 4 campos de los cuales 2 son opcionales (source port y checksum). Los campos de los puertos fuente y destino son campos de 16 bits que identifican el proceso de origen y recepción. Ya que UDP carece de un servidor de estado y el origen UDP no solicita respuestas, el puerto origen es opcional. En caso de no ser utilizado, el puerto origen debe ser puesto a cero. A los campos del puerto origen le sigue un campo obligatorio que indica el tamaño en bytes del datagrama UDP incluidos los datos. El valor mínimo es de 8 bytes. El campo de la cabecera restante es un checksum de 16 bit que abarca la cabecera, los datos y una pseudo-cabecera con las IP origen y destino, el protocolo, la longitud del datagrama y 0's hasta completar un múltiplo de 16 pero no los datos. El checksum también es opcional, aunque generalmente se utiliza en la práctica.

1.4. Direccionamiento IP

Una dirección IP es un número que identifica de manera lógica y jerárquica a una interfaz de un dispositivo (habitualmente una computadora) dentro de una red que utilice el protocolo IP (Internet Protocol), que corresponde al nivel de red o nivel 3 del modelo de referencia OSI.

Una dirección IP es una jerarquía de direcciones y consiste en dos partes:

• El orden más alto, o el que esta más a la izquierda, componen los bits que especifican a la red.

• El orden más bajo; o el que esta más a la derecha, componen los bits que especifican el host.

Cada LAN o VLAN tiene una dirección que la especifica de las demás; al igual los host que pertenecen a la red también tienen bits que lo identifican dentro de la red. Estos números son únicos.

Las direcciones IP se dividen en clases para definir las redes de tamaño pequeño, mediano y grande. Hay tres clases de direcciones IP que una organización puede recibir

de parte de la Internet: clase A, clase B y clase C. En la actualidad, Internet reserva las direcciones de clase A para los gobiernos de todo el mundo y las direcciones de clase B para las medianas empresas. Se otorgan direcciones de clase C para todos los demás solicitantes. Cada clase de red permite una cantidad fija de equipos (hosts).

* El intervalo de direcciones 127.x.x.x esta reservado como dirección de loopback, con propósitos de prueba y diagnóstico.

Clase A: Son las que en su primer byte tienen un valor comprendido entre 1 y 126, incluyendo ambos valores. Estas direcciones utilizan únicamente este primer byte para identificar la red, quedando los otros tres bytes disponibles para cada uno de los hosts que pertenezcan a esta misma red. Esto significa que podrán existir más de dieciséis millones de ordenadores en cada una de las redes de esta clase. Este tipo de direcciones es usado por redes muy extensas, pero hay que tener en cuenta que sólo puede haber 126 redes de este tamaño.

Clase B: Estas direcciones utilizan en su primer byte un valor comprendido entre 128 y 191, incluyendo ambos. En este caso el identificador de la red se obtiene de los dos primeros bytes de la dirección, teniendo que ser un valor entre 128.1 y 191.254 (no es posible utilizar los valores 0 y 255 por tener un significado especial). Los dos últimos bytes de la dirección constituyen el identificador del host permitiendo, por consiguiente, un número máximo de 64516 ordenadores en la misma red. Este tipo de direcciones tendría que ser suficiente para la gran mayoría de las organizaciones grandes. En caso de que el número de ordenadores que se necesita conectar fuese mayor, sería posible obtener más de una dirección de "clase B", evitando de esta forma el uso de una de

"clase A".

Clase C: En este caso el valor del primer byte tendrá que estar comprendido entre 192 y 223, incluyendo ambos valores. Este tercer tipo de direcciones utiliza los tres primeros bytes para el número de la red, con un rango desde 192.1.1 hasta 223.254.254. De esta manera queda libre un byte para el host, lo que permite que se conecten un máximo de 254 ordenadores en cada red. Estas direcciones permiten un menor número de host que las anteriores, aunque son las más numerosas pudiendo existir un gran número redes de este tipo (más de dos millones).

El primer paso para determinar qué parte de la dirección identifica la red y qué parte identifica el host es identificar la clase de dirección IP.

Hay ciertas direcciones en cada clase de dirección IP que no están asignadas y que se denominan direcciones privadas. Las direcciones privadas pueden ser utilizadas por los hosts que usan traducción de dirección de red (NAT) para conectarse a una red pública o por los hosts que no se conectan a Internet. En una misma red no pueden existir dos direcciones iguales, pero sí se pueden repetir en dos redes privadas que no tengan conexión entre sí o que se sea a través de NAT. Las direcciones privadas son:

 Clase A: 10.0.0.0 a 10.255.255.255 (8 bits red, 24 bits hosts)

 Clase B: 172.16.0.0 a 172.31.255.255 (16 bits red, 16 bits hosts)

 Clase C: 192.168.0.0 a 192.168.255.255 (24 bits red, 8 bits hosts) 1.5. Utilidades de la capa de aplicación

Todas las capas anteriores en este modelo sirven de mera infraestructura de telecomunicaciones. Por si solas no hacen nada mas que mantener en buen estado el camino para que fluyan los datos, la capa que hace posible que una red se pueda usar es la capa de aplicación.

1.5.1. El DNS

El Domain Name System (DNS) es una base de datos distribuida y jerárquica que almacena información asociada a nombres de dominio en redes como Internet. Aunque como base de datos el DNS es capaz de asociar diferentes tipos de información a cada nombre, los usos más comunes son la asignación de nombres de dominio a direcciones IP y la localización de los servidores de correo electrónico de cada dominio.

El sistema de nombres de dominios en Internet es un sistema distribuido, jerárquico, replicado y tolerante a fallas. Aunque parece muy difícil lograr todos esos objetivos, la solución no es tan compleja en realidad. El punto central se basa en un árbol que define la jerarquía entre los dominios y los sub-dominios. En un nombre de dominio, la jerarquía se lee de derecha a izquierda. Por ejemplo, en dcc. uchile .ci, el dominio más alto es ci. Para que exista una raíz del árbol, se puede ver como si existiera un punto al final del nombre: dcc. uchile .ci., y todos los dominios están bajo esa raíz (también llamada “punto”).

Cada componente del dominio (y también la raíz) tiene un servidor primario y varios servidores secundarios. Todos estos servidores tienen la misma autoridad para responder por ese dominio, pero el primario es el único con derecho para hacer modificaciones en él. Por ello, el primario tiene la copia maestra y los secundarios

copian la información desde él. El servidor de nombres es un programa que típicamente es una versión de B1ND (Berkeley Internet Name Daemon). En general es mucho mejor traer la última versión desde Internet (www. isc. org) que usar la que viene con el Sistema Operativo, porque es un servidor que ha cambiado mucho a lo largo del tiempo.

La raíz del sistema de dominios es servida por algunos servidores “bien conocidos”.

Todo servidor de nombres debe ser configurado con la lista de los servidores raíz bien conocidos (en general lo vienen de fábrica). Estos servidores dicen qué dominios de primer nivel existen y cuales son sus servidores de nombres. Recursivamente, los servidores de esos dominios dicen qué sub-dominios existen y cuales son sus servidores.

Existe un conflicto de competencia entre el servidor de un dominio y el de un sub- dominio: ambos deben saber cuales son los servidores de nombres del sub-dominio. En un inicio, estarán de acuerdo, pero con el tiempo los servidores pueden ir cambiando, y las versiones de ambos pueden ser inconsistentes. Actualmente, el que manda es el servidor del sub-dominio, y su información es la más importante. El único requisito es que por lo menos uno de los servidores de nombres que figuran en el dominio debe corresponder a uno de los que lista el subdominio. Si no es así, el dominio queda sin servidores y es inaccesible del resto del mundo.

Nombre de dominio

Un nombre de dominio usualmente consiste en dos o más partes (técnicamente etiquetas), separadas por puntos cuando se las escribe en forma de texto. Por ejemplo, www.mahomedalid.org

A la etiqueta ubicada más a la derecha se le llama dominio de nivel superior (inglés < Top Level Domain). Como org en www.mahomedalid.org

Cada etiqueta a la izquierda especifica una subdivisión o subdominio. Nótese que "subdominio" expresa dependencia relativa, no dependencia absoluta. En teoría, esta subdivisión puede tener hasta 127 niveles, y cada etiqueta contener hasta 63 caracteres, pero restringido a que la longitud total del nombre del dominio no exceda los 255 caracteres, aunque en la práctica los dominios son casi siempre mucho más cortos.

Finalmente, la parte más a la izquierda del dominio suele expresar el nombre de la máquina (en inglés hostname). El resto del nombre de dominio simplemente especifica la manera de crear una ruta lógica a la información requerida. Por ejemplo, el dominio es.Wikipedia.org tendría el nombre de la máquina "es", aunque en este caso no se refiere a una máquina física en particular.

El DNS consiste en un conjunto jerárquico de servidores DNS. Cada dominio o subdominio tiene una o más zonas de autoridad que publican la información acerca del dominio y los nombres de servicios de cualquier dominio incluido. La jerarquía de las zonas de autoridad coincide con la jerarquía de los dominios. Al inicio de esa jerarquía se encuentra los servidores raíz: los servidores que responden cuando se busca resolver un dominio de primer y segundo nivel.

1.5.2. ARP Address Resolution Protocol

El Address Resolution Protocol (protocolo de resolución de direcciones) para la resolución de direcciones en informática, responsable de encontrar la dirección hardware que corresponde a una determinada dirección IP;

El protocolo de resolución de direcciones es responsable de convertir la dirección de protocolo de alto nivel (direcciones IP) a direcciones de red físicas. Primero, consideremos algunas cuestiones generales acerca de Ethernet.

ARP se emplea en redes IEEE 802 además de en las viejas redes DIX Ethernet para mapear direcciones IP a dirección hardware. Para hacer esto, ha de estar estrechamente relacionado con el manejador de dispositivo de red. De hecho, las especificaciones de ARP en RFC 826 sólo describen su funcionalidad, no su implementación, que depende en gran medida del manejador de dispositivo para el tipo de red correspondiente, que suele estar codificado en el microcódigo del adaptador.

Este protocolo utiliza una tabla denominada Tabla de Direcciones ARP, que contiene la correspondencia entre direcciones IP y direcciones físicas utilizadas recientemente. Si la dirección solicitada se encuentra en esta tabla el proceso se termina en este punto, puesto que la máquina que origina el mensaje ya dispone de la dirección física de la máquina destino.

Si la dirección buscada no esta en la tabla el protocolo ARP envía un mensaje a toda la red. Cuando un ordenador reconoce su dirección IP envía un mensaje de respuesta que contiene la dirección física. Cuando la máquina origen recibe este mensaje ya puede establecer la comunicación con la máquina destino, y esta dirección física se guarda en la Tabla de direcciones ARP.

El mensaje ARP esta formado por 28 octetos. En los campos que se describen a continuación se supone un Interfaz Ethernet.

Tipo de Hardware

El campo Hardware indica el tipo de interfaz de Hardware. Por Ejemplo, el valor de una red Ethernet es 1.

Tipo de Interfaz de Hardware Tipo Descripción

1 Ethernet (10mb)

2 Experimental Ethernet (3 mb) 3 Amateur Radio X.25

4 Proteon ProNET Token Ring 5 Chaos

6 IEEE 802 Network

7 ARCNET 8 Hyperchannel 9 Lanstar

10 Autonet Short Address 11 LocalTalk

12 LocalNet

Números de Protocolo

El campo protocolo identifica el protocolo Ether usado. Por ejemplo el valor del interfaz Ethernet es 0800 hex.

Longitud de la dirección Hardware

El valor para Ethernet es 6, lo que proporciona 48 bits para una dirección Ethernet (12 semi-octetos)

Longitud del Protocolo

Este campo se usa para definir la longitud de la dirección de red. Para una red IP es 4.

Operación

Especifica el código de la operación. La solicitud ARP tiene valor 1, y la respuesta ARP tiene valor 2.

Dirección Hardware del Origen

Los campos Dirección Hardware del Origen, Dirección IP del Origen, y Dirección IP del Destino los completa el emisor (si los conoce). El receptor añade la Dirección Hardware del Destino y devuelve el mensaje al emisor con el código de operación 2. (El código de la Respuesta ARP).

La dirección Hardware de Origen (para Ethernet) esta formada por octetos que representan una dirección Ethernet de 48 bits, o un numero.

Dirección IP de Origen

La dirección IP de Origen puede ser una dirección de clase A, B o C. (Ver Direcciones IP para obtener una definición de estas clases).

Dirección Hardware de Destino

Este campo esta formado igual que el campo Dirección Hardware de Origen.

Dirección IP de Destino

Este campo es igual que el campo Dirección IP de Origen

Formato del ARP

Octet +0 Octet +1 Octet +2 Octet +3

7 6 5 4 3 2 1 0 7 6 5 4 3 2 1 0 7 6 5 4 3 2 1 0 7 6 5 4 3 2 1 0

+0 Hardware Protocol

+4 Length HW Addr. Protocol Length Operation

+8 Source Hardware Address

+12 Source Hardware Address Source IP Address +16 Source IP Address Destination Hardware Address

+20 Destination Hardware Address

+24 Destination IP Address

ARP y subredes

El protocolo ARP es el mismo aunque haya subredes. Se debe de recordar que cada datagrama IP pasa primero por el algoritmo de encaminamiento IP. Este algoritmo selecciona el manejador de dispositivo que debería enviar el paquete. Sólo entonces se consulta al módulo ARP asociado con ese manejador.

1.5.3. ICMP

El Protocolo de Mensajes de Control de Internet o ICMP (por sus siglas de Internet Control Message Protocol) es el subprotocolo de control y notificación de errores del Protocolo de Internet (IP). Como tal, se usa para enviar mensajes de error, indicando por ejemplo que un servicio determinado no está disponible o que un router o host no puede ser localizado

ICMP difiere del propósito de TCP y UDP ya que generalmente no se utiliza directamente por las aplicaciones de usuario en la red. La única excepción es la herramienta ping y traceroute, que envían mensajes de petición Echo ICMP (y recibe mensajes de respuesta Echo) para determinar si un host está disponible, el tiempo que le toma a los paquetes en ir y regresar a ese host y cantidad de hosts por los que pasa.

Los más comunes son los tipos de mensaje ICMP:

Tipo Nombre

0 Echo Responder 3 No se destino 4 Source Quench 5 Redireccionar

6 Suplente dirección de host 8 Echo

9 Router Advertisement 10 Router Solicitud

11 Tiempo superado 12 Parámetro Problema 13 La Hora

14 Hora Responder

15 Solicitud de información 16 Responder Información 17 Dirección máscara solicitud 18 Dirección máscara respuesta 30 Traceroute

1.6. Fundamento de LAN y WAN LAN Local Área Network

LAN son las siglas de Local Área Network; red de área local. Una LAN es una red que conecta los ordenadores en un área relativamente pequeña y predeterminada (como una habitación, un edificio, o un conjunto de edificios).

Las estaciones de trabajo y los ordenadores personales en oficinas normalmente están conectados en una red LAN, lo que permite que los usuarios envíen o reciban archivos y compartan el acceso a los archivos y a los datos. Cada ordenador conectado a una LAN se llama un nodo.

Cada nodo (ordenador individual) en un LAN tiene su propia CPU con la cual ejecuta programas, pero también puede tener acceso a los datos y a los dispositivos en cualquier parte en la LAN. Esto significa que muchos usuarios pueden compartir dispositivos caros, como impresoras láser y datos. Los usuarios pueden también utilizar la LAN para comunicarse entre ellos, enviando E-mail o chateando.

WAN Wide Área Network

Una Red de Área Amplia (Wide Área Network o WAN, del inglés), es un tipo de red de computadoras capaz de cubrir distancias desde unos 100 hasta unos 1000 Km., dando el servicio a un país o un continente. Un ejemplo de este tipo de redes sería RedIRIS, Internet o cualquier red en la cual no estén en un mismo edificio todos sus miembros (sobre la distancia hay discusión posible). Muchas WAN son construidas por y para una organización o empresa particular y son de uso privado, otras son construidas por los proveedores de Internet (ISP) para proveer de conexión a sus clientes.

Hoy en día Internet proporciona WAN de alta velocidad, y la necesidad de redes privadas WAN se ha reducido drásticamente mientras que las VPN que utilizan cifrado y otras técnicas para hacer esa red dedicada aumentan continuamente.

Normalmente la WAN es una red punto a punto, es decir, red de paquete conmutado.

Las redes WAN pueden usar sistemas de comunicación vía satélite o de radio. Fue la aparición de los portátiles y los PDA la que trajo el concepto de redes inalámbricas.

Una red de área amplia o WAN (Wide Área Network) se extiende sobre un área geográfica extensa, a veces un país o un continente, y su función fundamental está orientada a la interconexión de redes o equipos terminales que se encuentran ubicados a grandes distancias entre sí. Para ello cuentan con una infraestructura basada en poderosos nodos de conmutación que llevan a cabo la interconexión de dichos elementos, por los que además fluyen un volumen apreciable de información de manera continúa. Por esta razón también se dice que las redes WAN tienen carácter público, pues el tráfico de información que por ellas circula proviene de diferentes lugares, siendo usada por numerosos usuarios de diferentes países del mundo para transmitir información de un lugar a otro. A diferencia de las redes LAN (siglas de "local área network", es decir, "red de área local"), la velocidad a la que circulan los datos por las redes WAN suele ser menor que la que se puede alcanzar en las redes LAN. Además, las redes LAN tienen carácter privado, pues su uso está restringido normalmente a los usuarios miembros de una empresa, o institución, para los cuales se diseñó la red.

La infraestructura de redes WAN la componen, además de los nodos de conmutación, líneas de transmisión de grandes prestaciones, caracterizadas por sus grandes velocidades y ancho de banda en la mayoría de los casos. Las líneas de transmisión (también llamadas "circuitos", "canales" o "troncales") mueven información entre los diferentes nodos que componen la red.

Los elementos de conmutación también son dispositivos de altas prestaciones, pues deben ser capaces de manejar la cantidad de tráfico que por ellos circula. De manera general, a estos dispositivos les llegan los datos por una línea de entrada, y este debe encargarse de escoger una línea de salida para reenviarlos. A continuación, en la Figura 1, se muestra un esquema general de los que podría ser la estructura de una WAN. En el mismo, cada host está conectada a una red LAN, que a su vez se conecta a uno de los nodos de conmutación de la red WAN. Este nodo debe encargarse de encaminar la información hacia el destino para la que está dirigida.

Antes de abordar el siguiente tema, es necesario que quede claro el término conmutación, que pudiéramos definirlo como la manera en que los nodos o elementos de interconexión garantizan la interconexión de dos sistemas finales, para intercambiar información.

Capitulo 2. Fundamentos de seguridad.

2.1. Fundamentos de Firewalls

La seguridad ha sido el principal concerniente a tratar cuando una organización desea conectar su red privada al Internet. Sin tomar en cuenta el tipo de negocios, se ha incrementado el numero de usuarios de redes privadas por la demanda del acceso a los servicios de Internet tal es el caso del World Wide Web (WWW), Internet Mail (e- mail), Telnet, y File Transfer Protocol (FTP). Adicionalmente los corporativos buscan las ventajas que ofrecen las paginas en el WWW y los servidores FTP de acceso publico en el Internet.

Los administradores de red tienen que incrementar todo lo concerniente a la seguridad de sus sistemas, debido a que se expone la organización privada de sus datos así como la infraestructura de sus redes a los Expertos de Internet (Internet Crakers). Para superar estos temores y proveer el nivel de protección requerida, la organización necesita seguir una política de seguridad para prevenir el acceso no-autorizado de usuarios a los recursos propios de la red privada, y protegerse contra la exportación privada de información. Todavía, aun si una organización no esta conectada al Internet, esta debería establecer una política de seguridad interna para administrar el acceso de usuarios a porciones de red y proteger sensitivamente la información secreta.

Un Firewall en Internet es un sistema o grupo de sistemas que impone una política de seguridad entre la organización de red privada y el Internet. El firewall determina cual de los servicios de red pueden ser accesados dentro de esta, es decir quien puede entrar para utilizar los recursos de red pertenecientes a la organización. Para que un firewall sea efectivo, todo tráfico de información, a través del Internet deberá pasar a través del mismo donde podrá ser inspeccionada la información. El firewall podrá únicamente autorizar el paso del tráfico, y el mismo podrá ser inmune a la penetración.

Desafortunadamente, este sistema no puede ofrecer protección alguna una vez que el agresor lo traspasa o permanece entorno a este.

Esto es importante, ya que debemos de notar que un firewall de Internet no es justamente un ruteador, un servidor de defensa, o una combinación de elementos que proveen seguridad para la red. El firewall es parte de una política de seguridad completa que crea un perímetro de defensa diseñada para proteger las fuentes de información.

Esta política de seguridad podrá incluir publicaciones con las guías de ayuda donde se

informe a los usuarios de sus responsabilidades, normas de acceso a la red, política de servicios en la red, política de autenticidad en acceso remoto o local a usuarios propios de la red, normas de dial-in y dial-out, reglas de encriptación de datos y discos, normas de protección de virus, y entrenamiento.

Su modo de funcionar es indicado por la recomendación RFC 2979, que define las características de comportamiento y requerimientos de interoperabilidad. La ubicación habitual de un firewalls es el punto de conexión de la red interna de la organización con la red exterior, que normalmente es Internet; de este modo se protege la red interna de intentos de acceso no autorizados desde Internet, que puedan aprovechar vulnerabilidades de los sistemas de la red interna.

También es frecuente conectar al firewalls una tercera red, llamada zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior.

2.1.1. Ventajas de implementar un firewall.

Los firewalls en Internet administran los accesos posibles del Internet a la red privada. Sin un firewall, cada uno de los servidores propios del sistema se expone al ataque de otros servidores en el Internet.

El firewall permite al administrador de la red definir un "choke point" (envudo), manteniendo al margen los usuarios no-autorizados (tal, como., hackers, crakers, vándalos, y espías) fuera de la red, prohibiendo potencialmente la entrada o salida al vulnerar los servicios de la red, y proporcionar la protección para varios tipos de ataques posibles. Uno de los beneficios clave de un firewall en Internet es que ayuda a simplificar los trabajos de administración, una vez que se consolida la seguridad en el sistema firewall, es mejor que distribuirla en cada uno de los servidores que integran nuestra red privada.

El firewall ofrece un punto donde la seguridad puede ser monitoreada y si aparece alguna actividad sospechosa, este generara una alarma ante la posibilidad de que ocurra un ataque, o suceda algún problema en el transito de los datos.

Concentra la seguridad Centraliza los accesos

Genera alarmas de seguridad Traduce direcciones (NAT)

Monitorea y registra el uso de Servicios de WWW y FTP.

Internet.

Un firewall es un lugar lógico para desplegar un Traductor de Direcciones de Red (NAT) esto puede ayudar aliviando el espacio de direccionamiento acortando y eliminando lo necesario para re-enumerar cuando la organización cambie del Proveedor de Servicios de Internet (ISPs).

2.1.2. Desventajas de un firewall de Internet.

Un firewall no puede proteger contra aquellos ataques cuyo tráfico no pase a través suyo.

El firewall no puede proteger de las amenazas a que esta sometido por traidores o usuarios inconscientes. El firewalls no puede prohibir que los traidores o espías corporativos copien datos sensibles en medios físicos de almacenamiento (diskettes, memorias, etc.) y sustraigan éstas del edificio.

El firewall no puede proteger contra los ataques de Ingeniería social

El firewall no puede proteger contra los ataques posibles a la red interna por virus informáticos a través de archivos y software. La solución real esta en que la organización debe ser consciente en instalar software antivirus en cada máquina para protegerse de los virus que llegan por cualquier medio de almacenamiento u otra fuente.

El firewall no protege de los fallos de seguridad de los servicios y protocolos de los cuales se permita el tráfico. Hay que configurar correctamente y cuidar la seguridad de los servicios que se publiquen a Internet.

2.1.3. Políticas del firewall.

Hay dos políticas básicas en la configuración de un firewall y que cambian radicalmente la filosofía fundamental de la seguridad en la organización:

Política restrictiva: Se deniega todo el tráfico excepto el que está explícitamente permitido. El firewall obstruye todo el tráfico y hay que habilitar expresamente el tráfico de los servicios que se necesiten

Política permisiva: Se permite todo el tráfico excepto el que esté explícitamente denegado. Cada servicio potencialmente peligroso necesitará ser aislado básicamente caso por caso, mientras que el resto del tráfico no será filtrado.

La política restrictiva es la más segura, ya que es más difícil permitir por error tráfico potencialmente peligroso, mientras que en la política permisiva es posible que no se haya contemplado algún caso de tráfico peligroso y sea permitido por defecto.

Componentes del sistema firewall

Después de las decisiones acerca de los ejemplos previos, la organización puede

determinar específicamente los componentes del sistema. Un firewall típico se compone de uno, o una combinación, de los siguientes obstáculos.

• Ruteador Filtra-paquetes.

• Gateway a Nivel-aplicación.

• Gateway a Nivel-circuito.

2.1.4. Tipos de Firewalls Existen 3 tipos de firewall:

• Firewall de capa de red o de filtrado de paquetes: Funciona a nivel de red (nivel 3) de la pila de protocolos (TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros según los distintos campos de los paquetes IP: dirección IP origen, dirección IP destino. A menudo en este tipo de firewall se permiten filtrados según campos de nivel de transporte (nivel 4) como el puerto origen y destino, o a nivel de enlace de datos (nivel 2) como la dirección MAC.

• Firewall de capa de aplicación: Trabaja en el nivel de aplicación (nivel 7) de manera que los filtrados se pueden adaptar a características propias de los protocolos de este nivel. Por ejemplo, si se trata de tráfico HTTP se pueden realizar filtrados según la URL a la que se está intentando acceder. Un firewall a nivel 7 de tráfico HTTP es normalmente denominado Proxy y permite que los computadores de una organización entren a internet de una forma controlada.

• Firewall personal: Es un caso particular de firewall que se instala como software en un computador, filtrando las comunicaciones entre dicho computador y el resto de la red y viceversa.

Dentro de estos se encuentran los siguientes:

Packet filtres

Los firewalls de filtrado de paquetes fue la primera generación de firewalls. El filtro de paquetes track la fuente y el destino de las direcciones de paquetes IP, para pasar a través del firewall basado en reglas que la red maneja

Este ruteador toma las decisiones de rehusar/permitir el paso de cada uno de los paquetes que son recibidos. El ruteador examina cada datagrama para determinar si este corresponde a uno de sus paquetes filtrados y que a su vez haya sido aprobado por sus reglas. Las reglas de filtrado se basan en revisar la información que poseen los paquetes en su encabezado, lo que hace posible su desplazamiento en un proceso de IP. Esta información consiste en la dirección IP fuente, la dirección IP destino, el protocolo de encapsulado (TCP, UDP, ICMP, o IP tunnel), el puerto fuente TCP/UDP, el puerto destino TCP/UDP, el tipo de mensaje ICMP, la interface de entrada del paquete, y la interface de salida del paquete. Si se encuentra la correspondencia y las reglas permiten el paso del paquete, este será desplazado de acuerdo a la información a la tabla de ruteo, si se encuentra la correspondencia y las reglas niegan el paso, el paquete es descartado.

Si estos no corresponden a las reglas, un parámetro configurable por incumplimiento determina descartar o desplazar el paquete.

Dos ventajas del filtrado de paquetes es que son bastante sencillos en su implementación y son transparentes para los usuarios.

El filtrado de paquetes puede tener una implementación sencilla, pero pueden tener dificultades de propiedades de configuración, particularmente si tiene varias reglas para ser generadas por el manejo de aplicaciones tan variadas debido al tráfico y los usuarios.

Firewalls a nivel de aplicación

Suelen ser hosts corriendo proxies servers, los cuales no permiten el trafico directo entre dos redes, es decir la red interna no se conecta con Internet, el proxy transmite de una red a otra, una copia de cada paquete aprobado (salida o entrada) y se pueden usar por ejemplo, para controlar los servicios que se desea ofrecer. Hay que tener en cuenta que al usar un proxy a nivel de aplicación los usuarios deben usar un cliente que permita trabajar con proxy, y hay que usar un servidor proxy para cada servicio.

Suelen proporcionar métodos sencillos de "log" y registro de trafico. Dos de los paquetes mas populares para Unix (Linux inclusive) son el TIS firewall toolkit y el SOCKS, y para NT el IIS y el Netscape Commerce Server incluyen proxy servers.

Es mas seguro que el firewall a nivel de red, pero puesto que es un programa el que analiza y reenvía; es algo más lento.

2.2. NAT Network Adress translation

La necesidad de la traducción de direcciones IP surge cuando las direcciones IP internas de la red no pueden ser usadas fuera de la red, bien porque no son válidas en el exterior, bien porque el direccionamiento interno debe mantenerse separado de la red externa.

Es un mecanismo utilizado por routers IP para intercambiar paquetes entre dos redes que se asignan mutuamente direcciones incompatibles. Consiste en convertir en tiempo real las direcciones utilizadas en los paquetes transportados. También es necesario editar los paquetes para permitir la operación de protocolos que incluyen información de direcciones dentro de la conversación del protocolo. Y sus características son las siguientes:

• Asignación transparente de direcciones.

• Encaminamiento transparente mediante la traducción de direcciones (aquí el encaminamiento se refiere al reenvío de paquetes, no al intercambio de información de encaminamiento).

• Traducción de la carga útil de los paquetes de error ICMP.

Su uso más común es permitir utilizar direcciones privadas (definidas en el RFC 1918) y aún así proveer conectividad con el resto de Internet. Existen rangos de direcciones privadas que pueden usarse libremente y en la cantidad que se quiera dentro de una red privada. Si el número de direcciones privadas es muy grande puede usarse solo una parte de direcciones públicas para salir a Internet desde la red privada. De esta manera simultáneamente solo pueden salir a Internet con una dirección IP tantos equipos como direcciones públicas se hayan contratado. Esto es necesario debido a la progresiva escasez de direcciones provocada por el agotamiento de éstas.