REPUBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DE EDUCACION SUPERIOR ALDEA UNIVERSITARIA FRANCISCO DE MIRANDA MISION SUCRE

FACILITADOR: TSU. NAUDY ESPINOZA MORENO

PARTICIPANTE: TSU. RAMON

Br MONTILLA TRAYECTO II PERIODO III

ALFREDO

SAN FERNANDO, NOVIEMBRE DEL 2012

Configuracin de un proxy Los servidores proxy estn presentes en muchas redes particulares y sobre todo empresariales. Hacen de intermediarios. El cliente y el servidor (t y un sitio web, por ejemplo) no se conectan de forma directa, sino a travs del proxy. Eso tiene varias utilidades:

Servir como sistema de seguridad y filtrado. Un servidor proxy puede actuar como un firewall, capaz de filtrar ataques o contenidos indeseados desde el servidor. Tambin es capaz de esconder tu IP para navegar annimamente.
Permitir compartir recursos. En especial la conexin a Internet. Con un proxy pueden conectarse varios PCs sin necesidad de tener cada uno su propio acceso directo a Internet. Mejorar la experiencia del usuario. Por ejemplo guardando una copia (cach) de sitios web visitados. Eso hace ms rpido el acceso a sus pginas, la disponibilidad aunque la conexin no funcione y ahorra ancho de banda. Es algo muy parecido a lo que hace Explorer con sus archivos temporales de Internet. Ellos y el historial de navegacin tienen ciertos riesgos. Ve cules y cmo combatirlos en: Borrar el historial y la cach de Explorer Configurar un proxy en Explorer Lo primero que debes tener claro son los datos de conexin del proxy: Direccin. Lo ms normal es que el proxy se identifique mediante su IP. Es un nmero de cuatro cifras separadas por puntos (82.165.35.26, por ejemplo). Pero a veces utiliza un nombre. Puerto. Es algo as como la va de entrada que usa el proxy para conectarse. Se indica con un nmero (80, 6515, 3128, etc.).

Es habitual que los datos de un proxy se representen juntos. Primero la direccin y luego el puerto, separados por dos puntos. Un ejemplo, 89.188.141.51:80 quiere decir que la direccin es 89.188.141.51 y el puerto el 80. Encontrar un proxy gratis Cuando ya sepas qu proxy vas a usar: 1. Abre Explorer y haz clic en el botn Herramientas (puede poner eso o tener el icono de una rueda dentada). Luego pincha en el men Opciones de Internet. NOTA: Las imgenes de arriba son de Explorer 9, pero en Explorer 8 y 7 se hace igual. 2. Haz clic en la solapa Conexiones. Abajo encontrars el botn Configuracin de LAN. Plsalo. 3. Comprueba que est seleccionada la casilla Usar un servidor proxy para la LANPincha en ella para habilitarla si no lo est. 4. Rellena los campos de Direccin y Puerto del proxy (los de la imagen son slo un ejemplo). Pulsa Aceptar. Y luego otra vez en la ventana de Opciones de Internet a la que regresas. Qu es un firewall?

Un firewall es un programa o hardware diseado para bloquear las conexiones no deseadas a travs de una red (por ejemplo Internet) mientras que permite las conexiones autorizadas.

Qu firewalls hay disponibles? Para sistemas operativos MS Windows hay varias alternativas, dos de las ms comunes son: ConSeal PC Firewall - es un programa comercial, puede adquirirse en www.signal9.com ZoneAlarm - es un programa (freeware para uso personal, shareware para otros usos) que puede bajarse de la pgina oficial: www.zonelabs.com eSafeDesktop - programa gratuito para uso personal, en espaol, incluye firewall, proxy, gestin de usuarios & polticas y antivirus ( www.esafe.com ).

Es importante destacar que el programa de firewall en si carece de utilidad si no tiene reglas de firewalling que aplicar. Los programas suelen venir con un juego de reglas que, sin ser de lo mejor, es mejor que nada. Para sistemas Linux el mecanismo de firewalling viene incluido en el kernel, y es necesario configurarlo u obtener reglas de firewalling ya hechas desde Intenet. Los mecanismos de configuracin han variado con las diferentes versiones del kernel, y son los siguientes (en cada nuevo kernel se mantuvo compatibilidad con los mecanismos de las versiones anteriores): Kernels 2.0.x - ipfwadm (IP Firewall Admin) Kernels 2.2.x - ipchains (IP Chains) Kernels 2.4.x - iptables (Net Filter o IP Tables) Pueden obtenerse reglas prefabricadas de firewalling para Linux del proyecto Trinux, as como del Trinity OS. Ambos proyectos pueden buscarse en Freshmeat ( www.freshmeat.net ). Para los nuevos kernels 2.4.x el sistema de firewalling es completamente distinto que para los anteriores. Ahora, es un sistema 'statefull', mientras que antes era sin estado. Esto, resumiendo, significa que, mientras los sin estado analizan cada paquete independientemente, lo que permite colar paquetes si engaas al servidor asindole creer que pertenecen a conexiones en puertos abiertos (esto lo hace nmap, por ejemplo), mientras que los statefull analizan cada paquete sabiendo a qu conexin pertenecen, por lo que este tipo de engao ya no es posible. iptables no es directamente compatible con ipchains, pero la conversin de ipchains a iptables no es difcil. Por otra parte los kernels 2.4.x tienen un mdulo para soporte de ipchains que puede activarse durante la compilacin, con el fin de seguir utilizando los scripts de firewalling creados con ipchains.

Cmo arranco mi firewall al iniciar el sistema? En sistemas MS Windows crea un acceso directo al firewall en la carpeta Inicio del Men de Inicio de Windows, dentro de la carpeta Programas.

En sistemas Linux puedes arrancar el script de firewalling desde el /etc./rc.d/rc.local, o bien crearle su propio link de arranque en la jerarqua /etc./rc.d/rcX.d adecuada (X indica el nivel de ejecucin). El nivel de ejecucin por defecto viene indicado en el archivo /etc./inittab, en la lnea donde pone 'initdefault', y suele ser 2, 3 5. En caso de utilizar una conexin telefnica el firewall no debe iniciarse con el sistema, sino con la conexin a Internet. Para ello, se debe colocar el script en el directorio /etc./PPP/ip-up/ En los casos de conexin continua, como ser ADSL y cable mdem, debe activarse el firewall con el inicio del sistema. Cmo configuro mi firewall si no s nada de redes? Para aquellos que no entienden de redes, una posible estrategia, de mxima seguridad, para configurar un firewall puede ser permitir slo lo que quieres. Ir abriendo aplicaciones una a una, ver qu servicios, protocolos y puertos necesitan cada una de ellas y permitirlas. Para que este mtodo sea eficaz, es necesario estar seguro de que todo el flujo de informacin hacia el exterior es legtimo, es decir, que tienes el sistema limpio de troyanos y de spyware. Puedes usar programas shareware The Cleaner ( www.moosoft.com ) y freeware Como el Adaware ( www.lavasoft.de ).

Windows:
Tomando como ejemplo el Zone Alarm a. En el panel "Security" colocas el nivel de seguridad en Internet en high de tal manera que solo circule lo permitido y que avise de todo. b. En el panel "Alerts" activa las dos casillas "Log alerts to a text files" y "Show the alert popup Windows" para que te de informacin sobre su actividad y la grabe en un archivo log. Con el botn Log properties --> Log files --> elige con qu periodicidad quieres que refresque el archivo log. Zone Alarm hace copia de seguridad de los log's anteriores con el nombre zalogaaaa.mm.dd.txt. c. En el panel "Lock" activa "Show alert when Internet access is denied" d. En el panel "Programs" --> advanced --> pestaa "Alerts and functionality" --> activa el botn "show alerts when Internet access is denied ", activa "deny access if permission is ...." e. En el panel "Programs" --> advanced --> pestaa "Access Permission" --> activa "Always ask for permission", desiccative "Identify program by full path name only", desactiva "Allow the program to pass through the lock" f. Te conectas a Internet y arranca una a una las diferentes aplicaciones que utilices. Cuando el firewall te muestre la alarma y peticin, activa la casilla "Remember ..." y permite el acceso. Desconecta. g. Activa el panel "Programs" y tendrs all todas las aplicaciones que has lanzado. Para cada una de ellas pulsa "Options" y: Asegrate de que est desactivado "Identify program by full path name only" --> Ports --> activa "Allow access ONLY for ...". Ahora permites el acceso a los puertos que quieras: Add --> y eliges el tipo de servicio (Web, FTP, Mail, News, etc.). Si pulsas "Custom" puedes elegir el protocolo (TCP o UDP) y el puerto. A cada aplicacin adele UDP port 53. En la pestaa "access permission" activa "Always allow access" para que no te pregunte por las comunicacione permitidas.

Ejemplos de servicios, protocolos y puertos permitidos a algunos programas:

Gestor de news, por ejemplo Agent: News server (TCP 119 ), UDP 53, SMTP TCP 25. Gestor de descargas, GetRight: FTP (TCP 21), UDP 53, TCP 80 Navegador, por ejemplo Netscape: Webs server TCP 80, 8080, 8000, UDP 53, pginas seguras SSL (TCP 443), FTP (TCP 21) Gestor de correo, por ejemplo Netscape Messenger: Mail SMTP (TCP 25), Mail POP (TCP 110), UDP 53 Internet Explorer: Webs server TCP 80,8080, 8000, UDP 53

Faltan muchos servicios importantes, as como el filtrado de paquetes ICMP (entre ellos el ping), pero alcanza para brindar una idea somera sobre el mtodo de configuracin.

Linux:
Existe un programa de Solsoft bastante interesante, con el que se puede configurar no solo firewalls de todo tipo (ipchains, ip-tables, etc.), si no tambin las ACL de routers y switches. En realidad puede ser un poco complicado de usar al principio, pero es una herramienta bastante potente. Adems, la versin para Linux (NP Lite 4.1) es gratis. Se puede bajar de www.solsoft.com/products/net_partitioner.html

Cmo puedo probar mi firewall para saber si es seguro? Lo ideal es hacer un escaneo de puertos desde otro ordenador. En el caso de estar probando la seguridad de un ordenador conectado a Internet lo ideal es hacer el escaneo desde otro ordenador conectado a Internet (no desde la LAN interna). Herramientas que ayudan en el escaneo son nmap (la versin de Linux puede encontrarse en www.insecure.org/nmap, la de Windows NT en www.eeye.com/html/Databases/Software/nmapnt.html, SAINT ( www.wwdsi.com/saint/ ) y Nessus ( www.nessus.org ) entre otras. Alternativamente, si no se dispone de ninguna de estas herramientas, existen sites en Internet que permiten realizar el escaneo desde los mismos. Estos son algunos de ellos: www.secure-me.net/scan https://grc.com/x/ne.dll?bh0bkyd2 http://scan.sygatetech.com/

Mi firewall da una alarma. Se han metido en mi ordenador? Ante todo no hay que dejarse llevar por el pnico. Cuando el cortafuegos avisa que estamos siendo "atacados" no significa que nos hayan metido un troyano (BO, Sub7 y compaa) ni mucho menos que alguien se haya introducido en nuestro sistema. Ese aviso significa simplemente que el presunto ataque a sido bloqueado con xito, ya que si dicho ataque hubiese tenido xito, el cortafuegos no dira ni mu.

Pero es que me estn escaneando los puertos continuamente. Para qu lo hacen? Normalmente esos escaneos sirven para saber que "puertas" estn abiertas para poder introducirse por ellas en nuestro sistema. Tambien son usados para buscar troyanos a la escucha que esten instalados en nuestro ordenador.

Entonces me estn atacando? Ante todo hay que dejar bien claro que no todos los "ataques" de los que nos avisa el cortafuegos lo son en realidad. Existen servicios y programas que pueden hacer saltar la alarma. Algunos de los ejemplos ms conocidos son los programas de Microsoft, Word, Visual C++, etc. Todos estos programas intentan crear una conexin con los servidores del to Bill (y solo los dioses y Gates saben por qu). Tambin los servicios tipo "Messenger" (MS, Yahoo, AOL, etc.), clientes de ICQ/IRC, chequeos de actividad por parte del ISP e incluso el chequeo del buzn de correo electrnico suelen provocar la alarma, dependiendo de qu firewall se utilice y de las reglas que hayan sido creadas y/o (des)activadas. Cualquier programa o servicio para el que no se haya creado una regla especfica, provocar un aviso de ataque tipo BO, Sub7, Net bus, etc. dependiendo del puerto que intente usar dicho programa o servicio.

Cmo s si la alarma es debida a un ataque o no? Existen varios factores a tener en cuenta: a. Los escaneos proceden siempre de la misma IP o de la misma "subred". b. Con "netstat" nos es posible averiguar: qu conexiones o servicios tenemos abiertos, qu puertos son utilizados por estos y cules son las direcciones IP de dichas conexiones. Como alternativa se puede usar el programa para Windows "TCPView" ( http://www.sysinternals.com/ntw2k/utilities.shtml ). Estas informaciones nos ayudarn a determinar si estamos siendo atacados. c. El nombre del host y el puerto utilizado dicen bastante a la hora de descartar posibilidades para determinar si se trata de un ataque o de algo ms inofensivo. Pongamos un par de ejemplos: Msgr-ns16.msgr.hotmail.com En este caso est claro que nuestro Messenger intenta chequear nuestro correo en Hotmail.com. Pepito-dialup-7.nuestro-isp.es pepito-dialin-7.nuestro-isp.es Aqu existe un chequeo de actividad en la conexin por parte de nuestro proveedor para mantenerla en el caso de haber actividad o cortarla.

Se ha confirmado mi sospecha y es un ataque. Qu hago? Si el ataque procede de la misma IP resp. subred y adems es constante, la forma mas elegante y menos complicada de acabar con dicho ataque es la siguiente: En www.ripe.net o www.nic.com se puede averiguar (usando "whois")a quien pertenece esa IP. Normalmente ser un ISP. Entre toda la informacin que obtenemos, se encuentra una direccin de e-mail para contactar con el ISP. Se le enva un mensaje explicndole la situacin. Recomendable seria tambin enviarles una copia del log de la FW, donde este reflejado cuando y con que frecuencia a tenido lugar dicho ataque. Despus se encargara el ISP de llamar al orden a nuestro "aspirante a hacker". TCP Wrapper ("Envoltorio de TCP") es un sistema de red ACL que trabaja en terminales y que se usa para filtrar el acceso de red a servicios de protocolos de Internet que corren en sistemas operativos (tipo UNIX), como Linux o BSD. Permite que las direcciones IP, los nombres de terminales y/o respuestas de consultas ident de las terminales o subredes sean usadas como tokens sobre los cuales filtrar para propsitos de control de acceso. El cdigo original fue escrito por Wietse Venema de la Universidad Tecnolgica de Eindhoven, Pases Bajos, entre los aos 1990 y 1995. Desde el 1 de junio de 2001, el programa es lanzado bajo su propia licencia tipo BSD. El tarball incluye una biblioteca llamada libwrap que implementa la funcionalidad en s. Inicialmente, solo aquellos servicios que se creaban a partir de cada conexin a un sper Servidor (como inetd) eran envueltos (de ah su nombre) utilizando el programa 'tcpd'. Sin embargo, los demonios de servicio de red ms comunes de hoy en da pueden ser enlazados contra libwrap en forma directa. Los demonios que operan sin crear descendientes de un sper servidor usan esto, o un proceso nico que maneja conexiones mltiples. En caso contrario, solo el primer intento de conexin se chequeara contra sus ACLs. Al compararse con las directivas de control de acceso de una terminal, que comnmente se encuentran en los archivos de configuracin de los demonios, TCP Wrappers tienen el beneficio de una reconfiguracin de ACL en tiempo de ejecucin (es decir, los servicios no necesitan ser cargados nuevamente o reiniciados) y de una aproximacin genrica a la administracin de redes. Esto facilita su uso en scripts anti-gusano, tales como DenyHosts o Fail2ban, para agregar y sacar reglas de bloqueo a clientes, cuando estos producen excesivos intentos de conexin o varios errores en el proceso mismo. Si bien fue escrito para proteger servicios de aceptacin de TCP y UDP, tambin existen ejemplos de uso para filtrado de ciertos paquetes ICMP (tales como 'pingd' el contestador de pedidos de pings del espacio de usuario). Configurar un servidor Kerberos Cuando est configurando Kerberos, debe instalar el servidor primero. Si necesita instalar servidores esclavos, los detalles para configurar las relaciones entre servidores maestro y esclavo se cubren en Manual de instalacin de Kerberos 5 localizado en el directorio /usr/share/doc/krb5-server-<version-number> (reemplace <version-number> con el nmero de versin del paquete krb5-server instalado en su sistema). Para configurar un servidor Kerberos bsico, siga estos pasos: 1. Asegrese de que tanto el reloj como el DNS funcionan correctamente en todas las mquinas servidores y clientes antes de configurar el Kerberos 5. Preste especial atencin a la sincronizacin de la hora entre el servidor Kerberos y de sus clientes. Si la sincronizacin de los relojes del servidor y de los clientes se diferencia en ms de cinco

minutos ( la cantidad predeterminada es configurable en el Kerberos 5), los clientes de Kerberos no podrn autentificarse al servidor. La sincronizacin de los relojes es necesaria para evitar que un intruso use un ticket viejo de Kerberos para hacerse pasar como un usuario autorizado. Se recomienda configurar una red cliente/servidor compatible con Network Time Protocol (NTP) an si no est usando Kerberos. Red Hat Enterprise Linux incluye el paquete ntp para este propsito. Vea /usr/share/doc/ntp-<version-number>/index.htm para detalles sobre cmo configurar servidores Network Time Protocol y http://www.eecis.udel.edu/~ntp para informacin adicional sobre NTP. 2. Instale los paquetes krb5-libs, krb5-server, y krb5-workstation en una mquina dedicada que ejecutar el KDC. Esta mquina tiene que ser muy segura si es posible, no debera ejecutar ningn otro servicio excepto KDC. Si desea usar una utilidad de interfaz grfica para administrar Kerberos, instale el paquete gnome-kerberos. Este contiene krb5, que es una herramienta tipo GUI para manejar tickets. 3. Modifique los archivos de configuracin /etc/krb5.conf y /var/kerberos/krb5kdc/kdc.conf para que reflejen el nombre de su reino y las correspondencias (mappings) de dominio a reino. Se puede construir un reino simple sustituyendo las instancias de EXAMPLE.COM y example.com con el nombre correcto del dominio siempre y cuando se respete el formato correcto de los nombres escritos en mayscula y en minscula y se cambie el KDC del kerberos.example.com con el nombre de su servidor Kerberos. En general, los nombres de reinos se escriben en mayscula y todos los nombre DNS de host y nombres de dominio se escriben en minscula. Para ms detalles sobre los formatos de estos archivos, vea sus respectivas pginas man. 4. Cree la base de datos usando la utilidad kdb5_util desde el intrprete de comandos del shell: /usr/kerberos/sbin/kdb5_util create -s 5. El comando create crea la base de datos que ser usada para almacenar las llaves para el reino Kerberos. La opcin -s fuerza la creacin de un archivo stash en el cual la llave maestra del servidor es guardada. Si no se presenta un archivo stash desde donde leer la llave, el servidor Kerberos (krb5kdc) le pedir al usuario que ingrese la contrasea maestra del servidor (la cual puede ser usada para regenerar la llave) cada vez que arranca. 6. Modifique el archivo /var/kerberos/krb5kdc/kadm5.acl. Este archivo es usado por kadmind para determinar cules principales tienen acceso administrativo a la base de datos Kerberos y sus niveles de acceso. La mayora de las organizaciones pueden resolverse con una sola lnea: */admin@EXAMPLE.COM * 7. La mayora de los usuarios sern presentados en la base de datos por un principal simple (con una instancia NULL, o vaca, tal como joe@EXAMPLE.COM). Con esta configuracin, los usuarios con un segundo principal con una instancia de admin (por ejemplo, joe/admin@EXAMPLE.COM) podrn tener todo el acceso sobre la base de datos del reino Kerberos. 8. Una vez que se arranca kadmind en el servidor, cualquier usuario puede accesar a sus servicios ejecutando kadmin en cualquiera de los clientes o servidores en el reino. Sin embargo, solamente los usuarios que aparecen en la lista del archivo kadm5.acl podrn modificar la base de datos, excepto por sus propias contraseas.

Nota La utilidad kadmin se comunica con el servidor kadmind por la red y usa Kerberos para llevar a cabo la autentificacin. Por esta razn, el primer principal ya debe existir antes de conectarse al servidor sobre la red para poder administrarla. Puede crear esta primera entrada con el comando kadmin.local, el cual se ha creado especficamente para usarlo en la misma mquina que el KDC y no usa Kerberos para la autenticacin. 9. Escriba el comando kadmin.local en una terminal KDC para crear la primera entrada como usuario principal: /usr/kerberos/sbin/kadmin.local -q "addprinc username/admin" 10. Arranque Kerberos usando los siguientes comandos: /sbin/service krb5kdc start /sbin/service kadmin start /sbin/service krb524 start 11. Agregue principals para sus usuarios con el comando addprinc y kadmin. kadmin y kadmin.local son interfaces de lnea de comandos para el KDC. Como tales, muchos comandos estn disponibles despus de lanzar el programa kadmin. Vea la pgina del manual kadmin para ms informacin. 12. Verifique que el servidor KDC est creando tickets. Primero, ejecute kinit para obtener un ticket y guardarlo en un archivo de credenciales cach. Luego, use klist para ver la lista de credenciales en su cach y use kdestroy para eliminar el cach y los credenciales que contenga. Nota Por defecto, kinit intenta autenticar el usuario usando el nombre de conexin (login) de la cuenta que us cuando se conect al sistema (no al servidor Kerberos). Si ese nombre de usuario no se corresponde a un principal en la base de datos Kerberos, kinitemite un mensaje de error. Si est ocurre, indique a kinit el nombre de su principal correcto como un argumento en la lnea de comandos (kinit <principal>). Consideraciones especiales acerca de IPSec Las siguientes consideraciones especiales acerca de IPSec pueden ayudarle a simplificar la administracin de las directivas IPSec. Usos de IPSec recomendados y no recomendados A continuacin se comentan usos recomendados y no recomendados para la implementacin de IPSec en la familia Windows Server 2003. Usos de IPSec recomendados Se recomienda usar la implementacin de IPSec en la familia Windows Server 2003 como se indica a continuacin: Filtrado de paquetes. IPSec proporciona ciertas capacidades limitadas de servidor de seguridad para sistemas finales. Tambin puede usar IPSec con Servidor de seguridad

de conexin a Internet, Firewall de Windows y Enrutamiento y acceso remoto para permitir o bloquear el trfico entrante o saliente. Proteccin del trfico entre hosts en rutas especficas. Puede usar IPSec para permitir la autenticacin mutua y ofrecer un sistema de proteccin criptogrfico para el trfico entre servidores u otras direcciones IP o subredes. Por ejemplo, IPSec puede proteger el trfico entre sitios o bosques de un controlador de dominio, o entre servidores Web y servidores de base de datos. Proteccin del trfico para servidores. Puede usar IPSec con el fin de requerir la autenticacin mutua para todos los equipos clientes que tengan acceso a un servidor. Adems, puede definir restricciones en la forma en que se permite a los equipos conectarse a un servidor donde se ejecuta algn producto de la familia Windows Server 2003. Uso de tneles L2TP/IPSec para conexiones VPN. Puede usar la combinacin del Protocolo de tnel de capa 2 (L2TP) e IPSec (L2TP/IPSec) para todos los usos de redes privadas virtuales (VPN). Uso de IPSec en el modo de tnel para tneles entre puertas de enlace (o <i>gateways</i>). Para lograr la interoperabilidad con otros enrutadores, puertas de enlace o sistemas finales que no admiten tneles VPN L2TP/IPSec o PPTP, puede usar IPSec en el modo de tnel en tneles entre puertas de enlace.

Notas Firewall de Windows no est incluido en la versin original de los sistemas operativos Windows Server 2003. El Servidor de seguridad de conexin a Internet slo se incluye en las versiones originales de Windows Server 2003, Standard Edition y Windows Server 2003, Enterprise Edition.

Usos de IPSec no recomendados Al usar las caractersticas de autenticacin y proteccin de datos de IPSec, el modelo de administracin de directivas en Windows 2000, Windows XP y la familia Windows Server 2003 se presta mejor a usarse en topologas cliente-servidor y servidor-servidor en las que uno de los extremos tenga una direccin esttica. En implementaciones de redes grandes, cuando una directiva implica el uso de direcciones dinmicas en ambos sistemas finales y en algunos casos que conllevan movilidad, la complejidad de la administracin de directivas puede dificultar la implementacin de IPSec. Por ello, no se recomienda usar IPSec como se indica a continuacin: En la proteccin de las comunicaciones entre miembros de un dominio y sus controladores de dominio. Debido a la complejidad de la configuracin y administracin de las directivas IPSec requeridas en este caso, no se recomienda el uso de IPSec para proteger las comunicaciones entre miembros de un dominio y sus controladores de dominio. Para proteger todo el trfico de una red. La configuracin de las comunicaciones IPSec entre todos los equipos clientes y todos los servidores con el objeto de proteger muchos o todos los equipos de una red resulta compleja. IPSec no puede negociar la seguridad para el trfico de multidifusin y difusin. IPSec podra ser incompatible con el trfico correspondiente a las comunicaciones en tiempo real, las aplicaciones que requieren ICMP y las aplicaciones de igual a igual. Por estos motivos, no se recomienda el uso de IPSec para proteger todo el trfico de una red.

Adems, el protocolo y la implementacin de IPSec tienen caractersticas que requieren una consideracin especial en otras ocasiones: La proteccin del trfico sobre redes 802.11 inalmbricas. Las directivas IPSec no estn optimizadas para la configuracin de clientes mviles. Por ello, no se recomienda usar

IPSec como nico mtodo para proteger el trfico enviado a travs de redes 802.11 inalmbricas. En cambio, se aconseja usar la autenticacin IEEE 802.1X. IEEE 802.1X mejora la seguridad y facilita la implementacin al ofrecer funciones destinadas a la identificacin de usuarios, la autenticacin, la administracin de claves dinmicas y la creacin de cuentas de manera centralizada. Cuando haya clientes que vayan de un punto de acceso a otro en la misma red, IPSec puede usarse en combinacin con 802.11 y 802.1x. Si este traslado ocasiona que la direccin IP del cliente cambie, las asociaciones de seguridad de IPSec dejan de ser vlidas y se renegocian otras nuevas. El uso de IPSec en el modo de tnel para conexiones VPN de acceso remoto. El uso de IPSec en el modo de tnel no se recomienda cuando se utiliza VPN con acceso remoto. En cambio, para las conexiones VPN de acceso remoto debe utilizarse L2TP/IPSec o PPTP.

Las siguientes caractersticas slo estn disponibles en la implementacin de IPSec en la familia Windows Server 2003: Compatibilidad con nuevas opciones de direcciones de origen y de destino para la definicin de filtros. Por ejemplo, ahora puede crear: o Filtros con una direccin de origen y una direccin de destino del tipo Cualquier direccin IP. o Filtros que usan una clase de subred no estndar como direccin de origen o direccin de destino. o Filtros que usan una direccin de multidifusin o difusin como direccin de destino. o Filtros con una direccin de origen o de destino que corresponde a la configuracin IP local para los servidores DNS, los servidores WINS y la puerta de enlace predeterminada y el servidor DHCP para el equipo al que se aplica el filtro. Capacidad para excluir de las solicitudes de certificados el nombre de la entidad emisora de certificados (CA). Asignacin de certificados a las cuentas para el control de acceso a redes. Compatibilidad con nombres de CA raz representados en juegos de caracteres ASCII extendidos. Un grupo Diffie-Hellman ms seguro (intercambio de claves Diffie-Hellman de 2048 bits).

En un equipo donde se ejecuta Windows XP o Windows 2000 no se puede usar estas nuevas opciones de directiva. Si va a aplicar directivas IPSec basadas en Active Directory que usan caractersticas disponibles nicamente en la familia Windows Server 2003, para administrarlas use la versin de la consola Administracin de directivas de seguridad IP correspondiente a dichos sistemas. Si para administrar estas directivas usa la versin de la consola correspondiente a Windows XP o Windows 2000, las versiones anteriores de la consola Administracin de directivas de seguridad IP eliminarn la configuracin de las nuevas caractersticas. Adems, si desea aplicar la misma directiva IPSec a equipos donde se ejecutan diferentes versiones de Windows, pruebe la directiva para asegurarse de que funciona como debera tanto en servidores donde se ejecuta Windows Server 2003 como en equipos con Windows XP o Windows 2000. Para obtener ms informacin acerca de las nuevas caractersticas disponibles con la implementacin de IPSec en la familia Windows Server 2003, vea Caractersticas nuevas de IPSec. Para obtener ms informacin acerca de prcticas recomendadas para utilizar IPSec, vea Prcticas recomendadas de IPSec.

Filtros IP Considere lo siguiente al configurar filtros IP: Utilice filtros generales cuando desee aplicar un nico filtro a un grupo de equipos. Por ejemplo, al configurar el filtro, utilice Mi direccin IP, Cualquier direccin IP o una direccin de subred en lugar de especificar las direcciones IP de origen y de destino de determinados equipos. Defina filtros que le permitan agrupar y proteger el trfico de segmentos o subredes asociados de forma lgica en la red. Tenga en cuenta que al ver la directiva IPSec, el orden en que se aplican los filtros no coincide con el orden en que se muestran. Cuando el Agente de directivas IPSec lee una directiva IPSec, los filtros se procesan en una lista ordenada del ms al menos especfico. Puede usar la consola Monitor de seguridad IP para ver los filtros ordenados por peso. Los filtros con el mismo peso podran aparecer en cualquier orden. Durante la actualizacin de directivas, el Agente de directivas IPSec vuelve a calcular el orden y actualiza el controlador de IPSec slo con los cambios. Si se elimina un filtro o si la accin del filtro se cambia, se eliminan todas las asociaciones de seguridad relacionadas con ese filtro. En consecuencia, algunos paquetes se pierden cuando se negocia una nueva asociacin de seguridad. Sin embargo, se debera volver a retransmitir los paquetes perdidos para recuperar de inmediato las conexiones TCP. Si est configurando una directiva IPSec para proteger el trfico Kerberos, IPSec slo puede negociar asociaciones de seguridad si el mtodo de autenticacin no usa Kerberos. Si se requiere Kerberos para la autenticacin entre los miembros de un dominio, se debe dar una consideracin especial al trfico que Kerberos requiere entre los miembros del dominio y los controladores de dominio, y se deben cumplir los requisitos siguientes: o Si el miembro de un dominio y un controlador de dominio son miembros de dominios diferentes, debe existir una confianza de dos sentidos entre los dominios o la reasignacin de claves de Intercambio de claves de Internet (IKE, <i>Internet Key Exchange</i>) fallar. o Si un equipo cliente o un servidor del dominio usan la autenticacin Kerberos para negociar IPSec con todos sus iguales, debe crear filtros de admisin reflejados para todo el trfico dependiente de Kerberos en todos los controladores de dominio. Se recomienda crear filtros de admisin para excluir todo el trfico destinado a la direccin IP de cada controlador de dominio en el dominio del miembro. No tiene que crear filtros de admisin para excluir todo el trfico destinado a las direcciones IP de todos los controladores de dominio. En su lugar, cree filtros de admisin para excluir slo el trfico de Kerberos y las consultas de la ubicacin del sitio del controlador de dominio (LDAP) dirigido a las direcciones IP de todos los controladores de dominio de la ruta de confianzas entre los equipos. Si el controlador de dominio (para el que ya permiti todo el trfico) no ofrece el servicio DNS, tambin tendra que excluir del trfico DNS las direcciones IP del servidor DNS de modo que para el descubrimiento de controladores de dominio se pueda usar DNS. Para excluir estos tipos de trfico en la directiva IPSec, cree los filtros siguientes, cada uno con una accin de filtro de admisin:

protocolos de red Capa 1: Nivel fsico o Cable coaxial o UTP categora 5, categora 5e, categora 6, categora 6a Cable de fibra ptica, Cable de par trenzado, Microondas, Radio, RS-232.

Capa 2: Nivel de enlace de datos o ARP, RARP, Ethernet, Fast Ethernet, Gigabit Ethernet, Token Ring, FDDI, ATM, HDLC.,cdp Capa 3: Nivel de red o IP (IPv4, IPv6), X.25, ICMP, IGMP, NetBEUI, IPX, Appletalk. Capa 4: Nivel de transporte o TCP, UDP, SPX. Capa 5: Nivel de sesin o NetBIOS, RPC, SSL. Capa 6: Nivel de presentacin o ASN.1. Capa 7: Nivel de aplicacin o SNMP, SMTP, NNTP, FTP, SSH, HTTP, CIFS (tambin llamado SMB), NFS, Telnet, IRC, POP3, IMAP, LDAP, Internet Mail 2000, y en cierto sentido, WAIS y el desaparecido GOPHER

Los protocolos de enrutamiento proporcionan mecanismos distintos para elaborar y mantener las tablas de enrutamiento de los diferentes routers de la red, as como determinar la mejor ruta para llegar a cualquier host remoto. En un mismo router pueden ejecutarse protocolos de enrutamiento independientes, construyendo y actualizando tablas de enrutamiento para distintos protocolos encaminados. Enrutamiento Esttico. El principal problema que plantea mantener tablas de enrutamiento estticas, adems de tener que introducir manualmente en los routers toda la informacin que contienen, es que el router no puede adaptarse por s solo a los cambios que puedan producirse en la topologa de la red. Sin embargo, este mtodo de enrutamiento resulta ventajoso en las siguientes situaciones: o Un circuito poco fiable que deja de funcionar constantemente. Un protocolo de enrutamiento dinmico podra producir demasiada inestabilidad, mientras que las rutas estticas no cambian. o Se puede acceder a una red a travs de una conexin de acceso telefnico. Dicha red no puede proporcionar las actualizaciones constantes que requiere un protocolo de enrutamiento dinmico. o Existe una sla conexin con un solo ISP. En lugar de conocer todas las rutas globales, se utiliza una nica ruta esttica. o Un cliente no desea intercambiar informacin de enrutamiento dinmico. Enrutamiento Predeterminado. Es una ruta esttica que se refiere a una conexin de salida o Gateway de ltimo recurso. El trfico hacia destinos desconocidos por el router se enva a dicha conexin de salida. Es la forma ms fcil de enrutamiento para un dominio conectado a un nico punto de salida. Esta ruta se indica como la red de destino 0.0.0.0/0.0.0.0. Enrutamiento Dinmico. Los protocolos de enrutamiento mantienen tablas de enrutamiento dinmicas por medio de mensajes de actualizacin del enrutamiento, que contienen informacin acerca de los cambios sufridos en la red, y que indican al software del router que actualice la tabla de enrutamiento en consecuencia. Intentar utilizar el enrutamiento dinmico sobre situaciones que no lo requieren es una prdida de ancho de banda, esfuerzo, y en consecuencia de dinero.

Tipos de Direccionamiento y otros conceptos Para el diseo de arquitectura de cualquier red, es tambin muy importante conocer y utilizar los siguientes conceptos, con el fin de optimizar y simplificar el direccionamiento y el tamao de las tablas de enrutamiento. Gracias a la utilizacin de estas tcnicas, los datos reales a principios de 2000 mostraban que el tamao de la tabla de enrutamiento era aproximadamente de 76000 rutas. Direccionamiento con Clase. Es tambin conocido como Direccionamiento IP bsico. Siguiendo este modelo de direccionamiento, a una direccin IP nicamente se le puede asignar su mscara predeterminada o mscara natural. Esto supone muy poca flexibilidad, y no es recomendable salvo para redes locales muy pequeas. Subnetting. La tcnica de subnetting, permite dividir una red en varias subredes ms pequeas que contienen un menor nmero de hosts. Esto nos permite adquirir, por ejemplo, un red de clase B, y crear subredes para aprovechar este espacio de direcciones entre las distintas oficinas de nuestra empresa. Esto se consigue alterando la mscara natural, de forma que al aadir unos en lugar de ceros, hemos ampliado el nmero de subredes y disminuido el nmero de hosts para cada subred. Mscara de Subred de Longitud Variable (VLSM). Utilizar protocolos de enrutamiento y dispositivos que soporten VLSM, nos permite poder utilizar diferentes mscaras en los distintos dispositivos de nuestra red, lo cual no es ms que una extensin de la tcnica de subnetting. Mediante VLSM, podemos dividir una clase C para albergar dos subredes de 50 mquinas cada una, y otra subred con 100 mquinas. Es importante tener en cuenta que RIP1 e IGRP no suportan VLSM. Supernetting o Agregacin. La tcnica de supernetting o agregacin, permite agrupar varias redes en una nica superred. Para esto se altera la mscara de red, al igual que se haca en subnetting, pero en este se sustituyen algunos unos por ceros. El principal beneficio es para las tablas de enrutamiento, disminuyendo drsticamente su tamao. Un dominio al que se le ha asignado un rango de direcciones tiene la autoridad exclusiva de la agregacin de sus direcciones, y debera agregar todo lo que sea posible siempre y cuando no introduzca ambigedades, lo cual es posible en el caso de redes con interconexiones mltiples a distintos proveedores. Notacin CIDR. La notacin CIDR, permite identificar una direccin IP mediante dicha direccin, seguida de una barra y un nmero que identifica el nmero de unos en su mscara. As, se presenta una forma de notacin sencilla y flexible, que actualmente es utilizada en la configuracin de gran cantidad de dispositivos de red. Un ejemplo sera: 194.224.27.00/24. Traduccin de Direccin de Red (NAT). La tecnologa NAT permite a las redes privadas conectarse a Internet sin recurrir a la renumeracin de las direcciones IP. El router NAT se coloca en la frontera de un dominio, de forma que cuando un equipo de la red privada se desea comunicar con otro en Internet, el router NAT enva los paquetes a Internet con la direccin pblica del router, y cuando le responden reenva los paquetes al host de origen. Para realizar esto, basta con relacionar los sockets abiertos desde el equipo NAT a los equipos de la red privada, con los sockets abiertos desde el equipo NAT a los equipos de Internet, as como modificar las cabeceras de los paquetes reenviados. Al igual que Cisco provee NAT es su sistema operativo IOS, otros muchos routers tambin lo ofrecen, como tambin es el caso de paquetes de software como Windows 2000, Microsoft Proxy, WinGate, etc. Convergencia. La convergencia se refiere al tiempo que tardan todos los routers de la red en actualizarse en relacin con los cambios que se han sufrido en la topologa de la red.

Todas las interfaces operativas conectadas al router se sitan en la tabla de enrutamiento. Por ello, si slo hay un router en la red, ste tiene informacin sobre todas las redes o subredes diferentes y no hay necesidad de configurar un enrutamiento esttico o dinmico.

Algoritmos de enrutamiento por vector de distancia El trmino vector de distancia se deriva del hecho de que el protocolo incluye un vector (lista) de distancias (nmero de saltos u otras mtricas) asociado con cada destino, requiriendo que cada nodo calcule por separado la mejor ruta para cada destino. Los envan mensajes actualizados a intervalos establecidos de tiempo,pasando toda su tabla de enrutamiento al router vecino ms prximo (routers a los que est directamente conectado), los cuales repetirn este proceso hasta que todos los routers de la red estn actualizados. Si un enlace o una ruta se vuelve inaccesible justo despus de una actualizacin, la propagacin del fallo en la ruta se iniciar en la prxima propagacin, ralentizndose la convergencia. Los protocolos de vector de distancia ms nuevos, como EIGRP y RIP-2, introducen el concepto de actualizaciones desencadenadas. stas propagan los fallos tan pronto ocurran, acelerando la convergencia considerablemente. Los protocolos por vector de distancia tradicionales trabajan sobre la base de actualizaciones peridicas y contadores de espera: si no se recibe una ruta en un cierto periodo de tiempo, la ruta entra en un estado de espera, envejece y desaparece, volvindose inalcanzable. Bucles de Enrutamiento en Algoritmos por Vector de Distancia Los bucles de enrutamiento producen entradas de enrutamiento incoherentes, debido generalmente a un cambio en la topologa. Si un enlace de un router A se vuelve inaccesible, los routers vecinos no se dan cuenta inmediatamente, por lo que se corre el riego de que el router A crea que puede llegar a la red perdida a travs de sus vecinos que mantienen entradas antiguas. As, aade una nueva entrada a su tabla de enrutamiento con un coste superior. A su vez, este proceso se repetira una y otra vez, incrementndose el coste de las rutas, hasta que de alguna forma se parase dicho proceso. Los mtodos utilizados para evitar este caso son los que siguen: Horizonte Dividido. La regla del horizonte dividido es que nunca resulta til volver a enviar informacin acerca de una ruta a la direccin de dnde ha venido la actualizacin original. Actualizacin Inversa. Cuando una red de un router falla, este envenena su enlace creando una entrada para dicho enlace con coste infinito. As deja de ser vulnerable a actualizaciones incorrectas proveniente de routers vecinos, donde est involucrada dicha red. Cuando los routers vecinos ven que la red ha pasado a un coste infinito, envan una actualizacin inversa indicando que la ruta no est accesible. Definicin de Mximo. Con este sistema, el protocolo de enrutamiento permite la repeticin del bucle hasta que la mtrica exceda el valor mximo permitido. Una vez que la red alcanza ese mximo, se considera inalcanzable. Actualizacin desencadenada. Normalmente, las nuevas tablas de enrutamiento se envan a los routers vecinos a intervalos regulares. Una actualizacin desencadenada es una nueva tabla de enrutamiento que se enva de forma inmediata, en respuesta a un cambio. El router que detecta el cambio enva inmediatamente un mensaje de actualizacin a los routers adyacentes que, a su vez, generan actualizaciones desencadenadas para notificar el cambio a todos sus vecinos. Sin embargo surgen dos problemas: o Los paquetes que contienen el mensaje de actualizacin podran ser descartados o daados por algn enlace de la red. o Las actualizaciones desencadenadas no suceden de forma instantnea. Es posible que un router que no haya recibido an la actualizacin desencadenada genere una actualizacin regular que cause que la ruta defectuosa sea insertada en un vecino que hubiese recibido ya la actualizacin.

Combinando las actualizaciones desencadenadas con los temporizadores se obtiene un esquema que permite evitar estos problemas

Algoritmos de enrutamiento de estado de enlace Utiliza un modelo de base de datos distribuida y replicada. Los routers intercambian paquetes de estado de enlace que informa a todos los routers de la red sobre el estado de sus distintos interfaces. Esto significa que slo se enva informacin acerca de las conexiones directas de un determinado router, y no toda la tabla de enrutamiento como ocurre en el enrutamiento por vector de distancia. Aplicando el algoritmo SPF (primero la ruta ms corta), ms conocido como algoritmo Dijkstra, cada router calcula un rbol de las ruta ms cortas hacia cada destino, situndose a s mismo en la raz. Los protocolos de estado de enlace no pueden proporcionar una solucin de conectividad global, como la que se requiere en grandes redes como Internet, pero si son utilizados por muchos proveedores como protocolo de enrutamiento en el interior de un SA. Los protocolos ms conocidos son OSPF e IS-IS. Algunos de los beneficios de estos protocolos son: No hay lmite en el nmero de saltos de una ruta. Los protocolos del estado de enlace trabajan sobre la base de las mtricas de enlace en lugar de hacerlo en funcin del nmero de saltos. El ancho de banda del enlace y los retrasos puede ser factorizados cuando se calcule la ruta ms corta hacia un destino determinado. Los cambios de enlace y nodo son inmediatamente introducidos en el dominio mediante actualizaciones del estado de enlace. Soporte para VLSM y CIDR, ya que intercambian informacin de mscara en las actualizaciones.

Enrutamiento IP En trminos generales, el enrutamiento es el proceso de reenviar paquetes entre dos redes conectadas. En cuanto a las redes basadas en TCP/IP, el enrutamiento forma parte del Protocolo Internet (IP) y se utiliza junto con otros servicios de protocolo de red para proporcionar capacidades de reenvo entre hosts que se encuentran en segmentos de red distintos dentro de una red basada en un TCP/IP ms grande. IP es la "oficina de correos" del protocolo TCP/IP, donde se ordenan y entregan los datos IP. Cada paquete entrante o saliente se denomina datagrama IP. Un datagrama IP contiene dos direcciones IP: la direccin de origen del host que realiza el envo y la direccin de destino del host receptor. A diferencia de las direcciones de hardware, las direcciones IP de un datagrama siguen siendo las mismas durante su transmisin a travs de una red TCP/IP. El enrutamiento es la funcin principal de IP. Los datagramas IP se intercambian y procesan en cada host mediante IP en el nivel de Internet. Por encima del nivel IP, los servicios de transporte del host de origen transmiten los datos en forma de segmentos TCP o mensajes UDP al nivel IP. El nivel IP ensambla los datagramas IP con la informacin de las direcciones de origen y destino, que se utiliza para enrutar los datos a travs de la red. A continuacin, el nivel IP transmite los datagramas al nivel de interfaz de red. En este nivel, los servicios de vnculos de datos convierten los datagramas IP en tramas para la transmisin en una red fsica a travs de medios especficos de la red. Este proceso se produce en el orden inverso en el host de destino. Cada datagrama IP contiene una direccin IP de origen y de destino. En cada host, los servicios del nivel IP examinan la direccin de destino de cada datagrama, comparan esta direccin con una tabla de enrutamiento mantenida localmente y, despus, deciden qu accin de reenvo se debe realizar. Los enrutadores IP estn conectados a dos o ms segmentos de red IP habilitados para reenviar paquetes entre ellos. Las siguientes secciones tratan con ms detalle los enrutadores IP y el uso de tablas de enrutamiento.

Enrutadores IP Los segmentos de red TCP/IP estn conectados entre s mediante enrutadores IP, que son los dispositivos que transmiten los datagramas IP desde un segmento de red a otro. Este proceso se conoce como enrutamiento IP y se muestra en la siguiente ilustracin.

INTRODUCCION Y RAZONES PARA REALIZAR SUBREDES Parara crear la estructura de subred, los bits de host se deben reasignar como bits de subred. Este proceso es a veces denominado "pedir bits prestados". Sin embargo, un trmino ms preciso sera "prestar" bits. El punto de inicio de este proceso se encuentra siempre en el bit del Host del extremo izquierdo, aquel que se encuentra ms cerca del octeto de red anterior. Las direcciones de subred incluyen la porcin de red Clase A, Clase B o Clase C adems de un campo de subred y un campo de Host. El campo de subred y el campo de Host se crean a partir de la porcin de Host original de la direccin IP entera. Esto se hace mediante la reasignacin de bits de la parte de host a la parte original de red de la direccin. La capacidad de dividir la porcin de Host original de la direccin en nuevas subredes y campos de Host ofrece flexibilidad de direccionamiento al administrador de la red. Adems de la necesidad de contar con flexibilidad, la divisin en subredes permite que el administrador de la red brinde contencin de broadcast y seguridad de bajo nivel en la LAN. La divisin en subredes ofrece algo de seguridad ya que el acceso a las otras subredes est disponible solamente a travs de los servicios de un Router. Adems, el uso de listas de acceso puede ofrecer seguridad en el acceso. Estas listas pueden permitir o negar el acceso a la subred, tomando en cuenta varios criterios, de esta manera brindan mayor seguridad. Ms tarde se estudiarn las listas de acceso. Algunos propietarios de redes Clases A y B han descubierto que la divisin en subredes crea una fuente de ingresos para la organizacin a travs del alquiler o venta de direcciones IP que anteriormente no se utilizaban Una LAN se percibe como una sola red sin conocimiento de su estructura de red interna. Esta visin de la red hace que las tablas de enrutamiento sean pequeas y eficientes. Dada una

direccin de nodo local 147.10.43.14 de la subred 147.10.43.0, el mundo exteriorslo puede ver la red mayor que se anuncia, la 147.10.0.0. Esto tiene su razn en que la direccin de la subred local 147.10.43.0 slo es vlida dentro de la LAN donde se aplica el subneteo.. PRUEBAS DE DISEOS DE REDES Arquitectura de una red. La arquitectura de una red viene definida por su topologa, el mtodo de acceso a la red y los protocolos s de comunicacin. Antes de que cualquier estacin de trabajo pueda utilizar el sistema de cableado, debe definir se con cualquier otro no do de la red .Una red est formada por una serie de estaciones de trabajo y por un conjunto de dispositivos como impresoras,escner,etc.,todos estos dispositivos se encuentran coordinados por mquinas denominadas servidores. Adems, existen diferentes dispositivos que aaden funcionalidades alas redes, como los routers, switches y hubs. Cada dispositivo activo que intervienen la comunicacin de forma autnomas denominan .Todos estos dispositivos que conforman la red se comunican entre s por medios de transmisin fsicos (cables coaxiales, de par trenzado, de fibra ptica, etc.) o basndose en ondas(redes inalmbricas),aun que si el tamao de la red lo exige pueden hacer lo mediante lneas telefnicas ,de radio de largo alcanceo por satlite.Los sistemas de comunicacin en red se basan en la arquitectura clienteservidor.El cliente es el ordenador que se encarga de efectuar una peticin o solicitar un servicio ,mientras que el servidor es el dispositivo remoto que

La topologa de red es la disposicin fsica en la que se conecta una red de ordenadores. Si una red tiene diversas topologas se la llama mixta. 2. - Topologas ms comunes 2.1 - Red en anillo Topologa de red en la que las estaciones se conectan formando un anillo. Cada estacin est conectada a la siguiente y la ltima est conectada a la primera. Cada estacin tiene un receptor y un transmisor que hace la funcin de repetidor, pasando la seal a la siguiente estacin del anillo. En este tipo de red la comunicacin se da por el paso de un token o testigo, que se puede conceptualizar como un cartero que pasa recogiendo y entregando paquetes de informacin, de esta manera se evita perdida de informacin debido a colisiones. Cabe mencionar que si algn nodo de la red se cae (termino informtico para decir que esta en mal funcionamiento o no funciona para nada) la comunicacin en todo el anillo se pierde.

2.2 - Red en rbol Topologa de red en la que los nodos estn colocados en forma de rbol. Desde una visin topolgica, la conexin en rbol es parecida a una serie de redes en estrella interconectadas. Es una variacin de la red en bus, la falla de un nodo no implica interrupcin en las comunicaciones. Se comparte el mismo canal de comunicaciones. Cuenta con un cable principal (backbone) al que hay conectadas redes individuales en bus.