Sie sind auf Seite 1von 322

ADMINISTRACION

DE REDES

Universidad tcnica de Manab


Facultad de ciencias informticas

Carrera de ingeniera en sistemas

Portafolio de Administracin de Redes

SEXTO A Periodo: octubre del 2014 hasta: febrero del 2015

RESPONSABLE:
MOLINA MOREIRA KELVIN STALIN

DOCENTE GUA:
ING. ZAMBRANO ZAMBRANO DANNYLL MICHELLC

Facultad de ciencias informticas.

Universidad Tcnica de Manab


Misin
Formar acadmicos, cientficos y profesionales responsables, humanistas, ticos y
solidarios, comprometidos con los objetivos del desarrollo nacional, que
contribuyan a la solucin de los problemas del pas como universidad de docencia
con investigacin, capaces de generar y aplicar nuevos conocimientos, fomentando
la promocin y difusin de los saberes y las culturas, previstos en la Constitucin
de la Repblica del Ecuador.
Visin
Ser institucin universitaria, lder y referente de la educacin superior en el
Ecuador, promoviendo la creacin, desarrollo, transmisin y difusin de la ciencia,
la tcnica y la cultura, con reconocimiento social y proyeccin regional y mundial.

Facultad de Ciencias informticas


Misin:
Ser una unidad con alto prestigio acadmico, con eficiencia, transparencia y calidad
en la educacin, organizada en sus actividades, protagonistas del progreso regional
y nacional.
Visin:
Formar profesionales eficientes e innovadores en el campo de las ciencias
informticas, que con honestidad, equidad y solidaridad, den respuestas a las
necesidades de la sociedad elevando su nivel de vida.

Carrera de Ingeniera en Sistemas Informticos


VISIN: Ser lderes en la formacin de Ingenieros en Sistemas Informticos que
contribuyan al buen vivir.
MISIN: Formar Ingenieros en Sistemas Informticos de excelencia para servir a la
sociedad con eficiencia y transparencia contribuyendo al buen vivir

UNIVERSIDAD TCNICA DE MANAB


FACULTAD DE CIENCIAS INFORMTICAS

CARRERA DE INGENIERA EN SISTEMAS INFORMTIVOS


Forma profesionales investigadores en el campo de las Ciencias Informticas, al servicio de la sociedad, que
aporten con soluciones innovadoras al desarrollo tecnolgico del pas

TABLA DE CONTENIDOS
Etapa 1.Carta de presentacin.
Etapa 2.Autoretrato.
Etapa 3.Trabajos grupales.
Etapa 4.Conclusiones y recomendaciones.
Etapa 5.Resumen de cierre.
Etapa 6.Anexos.

ETAPA 1
Carta de presentacion

UNIVERSIDAD TCNICA DE MANAB


FACULTAD DE CIENCIAS INFORMTICAS

CARRERA DE INGENIERA EN SISTEMAS INFORMTIVOS


Forma profesionales investigadores en el campo de las Ciencias Informticas, al servicio de la sociedad, que
aporten con soluciones innovadoras al desarrollo tecnolgico del pas

CARTA DE PRESENTACIN
Este portafolio presenta mi trayectoria en el curso de:
ADMINISTRACIN DE REDES, este curso tiene como objetivos desarrollar en
los estudiantes las habilidades bsicas y mejorar sus destrezas de agilidad
mental, retentiva y el intelecto. Durante este medio ciclo pude conocer sobre la
ADMINISTRACIN DE REDES y su prctica en la ingeniera.

Durante

este

medio

ciclo

pude

aprender

mucho

acerca

de

la

ADMINISTRACIN DE REDES, su uso y adems su importancia en nuestra


vida diaria, la ingeniera y en nuestro campo profesional, apoyndose en la
tecnologa que permita estimular un mejor aprendizaje.

Las tcnicas presentadas por el docente me ayudaron a mejorar como futuro


profesional de la Informtica.

ETAPA 2
Autorretrato

UNIVERSIDAD TCNICA DE MANAB


FACULTAD DE CIENCIAS INFORMTICAS

CARRERA DE INGENIERA EN SISTEMAS INFORMTIVOS


Forma profesionales investigadores en el campo de las Ciencias Informticas, al servicio de la sociedad, que
aporten con soluciones innovadoras al desarrollo tecnolgico del pas

Autorretrato

Mi nombre es Molina Moreira Kelvin Stalin soy estudiante de la asignatura de


ADMINISTRACIN DE REDES, actualmente curso el sexto semestre en la
Facultad de Ciencias Informticas de la Universidad Tcnica de Manab. Soy
una persona responsable, organizada y me gusta trabajar en equipo ya que
pienso que el trabajo en equipo es mejor porque podemos compartir ideas con
los dems y as tanto ensales a los dems como tambin aprender de ellos.

Mis metas son convertirme en un profesional de la Ingeniera en Sistemas


Informticos, y contribuir para el avance tecnolgico de mi pas, sabiendo as
que la tecnologa hoy en da es un pilar fundamental para el progreso
econmico de los grandes pases del mundo.

Misin
Fomentar el uso de nuevas tecnologas en el ecuador y contribuir con mis
conocimientos para el crecimiento tanto regional como nacional, y dar una
oportuna respuesta a las necesidades que se vallan presentando, y asi
contribuir con el desarrollo del Ecuador.

Visin
Destacarme en el campo de la ingeniera en sistemas como un profesional
responsable y comprometido con su labor, y en el campo social como una
persona de bien organizada, humilde y orgulloso de haber cumplido con
mis metas.

ETAPA 3
Trabajos grupales

Primer ciclo

UNIVERSIDAD TECNICA DE MANABI


FACULTAD DE CIENCIAS INFORMATICAS
CARRERA DE INGENIERIA EN SISTEMA

MATERIA:
Administracin de Redes
CURSO:
6 A
DOCENTE:
ING. Michelle Zambrano
TEMA:
Estudio de programas de acceso remoto en modo grafico

Integrantes:
GONZALEZ LOOR ANGIE
MENDOZA LOPEZ ISRAEL
MOLINA MORERIA KELVIN
OSTAIZA PINARGOTE HARRY
ROMERO PONCE KARLA

OCTUBRE 2014-FEBRERO 2015

UNIVERSIDAD TCNICA DE MANAB

Visin
Ser institucin universitaria, lder y referente de la educacin superior en el Ecuador,
promoviendo la creacin, desarrollo, transmisin y difusin de la ciencia, la tcnica y la
cultura, con reconocimiento social y proyeccin regional y mundial.
Misin
Formar acadmicos, cientficos y profesionales responsables, humanistas, ticos y
solidarios, comprometidos con los objetivos del desarrollo nacional, que contribuyan a la
solucin de los problemas del pas como universidad de docencia con investigacin,
capaces de generar y aplicar nuevos conocimientos, fomentando la promocin y difusin
de los saberes y las culturas, previstos en la Constitucin de la Repblica del Ecuador.

FACULTAD DE CIENCIAS INFORMTICAS


Visin
Ser una facultad lder que con integridad, transparencia y equidad forme profesionales
capaces de desarrollar soluciones informticas innovadoras, generadores de
conocimientos e investigacin permanente.
Misin
Formar profesionales investigadores en el campo de las Ciencias Informticas, al servicio
de la sociedad, que aporten con soluciones innovadoras al desarrollo tecnolgico del pas.

ACCESO REMOTO EN MODO GRAFICO


AMMYY ADMIN

INTRODUCCIN:
Ammyy est desarrollando constantemente soluciones de Internet de vanguardia. Este
equipo lleva muchos aos investigando las tecnologas de la informacin y la gestin de
automatizaciones. El resultado de sus esfuerzos es su nuevo sistema de acceso remoto
Ammyy Admin, creado en 2007.
Estos programadores han utilizado las innovaciones ms recientes en los distintos campos
de las tecnologas de la informacin y la seguridad. Su objetivo es crear el equilibrio
perfecto entre funcionalidad y usabilidad, asegurando al mismo tiempo la facilidad y
simplicidad de uso a sus usuarios finales.
Ammyy Admin es un software para acceso remoto al ordenador que combina facilidad
de uso y caractersticas de gran alcance.
Este es una aplicacin portable para Windows, que permite el acceso remoto a cualquier
escritorio, ideal para brindar soporte tcnico de manera sencilla y sin requerir complejas
instalaciones. Funciona perfectamente a travs del Internet. Su funcionamiento y
configuracin es bastante sencilla; primero, para realizar una conexin remota entre dos
PC, ambas deben tener instalado la aplicacin. Al iniciar el ejecutable del programa, este,
automticamente te asigna una ID, la cual funciona como una direccin electrnica,
significa que es nica. La pantalla principal est compuesta por dos ficheros; Cliente y
Operador. En el primero es necesario dar clic sobre el botn conectar y en el segundo
escribir la ID que le asigno el programa a la PC remota. AMMYY ADMIN dispone de
un sencillo sistema de permisos para establecer, quin puede ver tu pantalla, controlar tu
teclado y el ratn e inicia una transferencia de archivos.
Entre las caractersticas que podemos encontrar de AMMY ADMIN se encuentran:

ES GRATUITO:
Ammyy Admin es un programa gratuito y adems limpio: no intentar instalar
nada adicional en tu ordenador. No tiene trampa ni cartn: es completamente
gratuito siempre sea para uso personal y con unos lmites razonables Para
funcionar utiliza routers, que vienen a ser servidores que hacen de intermediario
entre el cliente y el servidor. Si lo utilizas con los routers de la compaa, se te
cargar una pgina en el navegador instndote a comprar el programa. Es lo nico
malo que tiene.

CONEXIN SIN PROBLEMAS:


Ammyy Admin no necesita abrir puerto alguno ni que nadie te diga
su direccin IP. Si un ordenador est conectado a Internet, es suficiente.

El programa funciona mediante identificadores numricos (de aproximadamente


seis cifras), que el servidor (la persona que quiere la asistencia remota) debe enviar
al cliente (el que controlar su PC).
Algoritmo de cifrado hbrido (AES+RSA): Ammyy Admin utiliza un algoritmo
de cifrado hbrido para transferir los datos. Este algoritmo combina AES (un
estndar aceptado por el gobierno estadounidense y ampliamente conocido por su
fiabilidad) y RSA, un estndar muy utilizado no solo para el cifrado de datos, sino
tambin en operaciones con firmas digitales. En caso de fuga de la informacin,
nadie (ni siquiera los agentes de Ammyy) podr descifrarla.

PORTABLE Y LIGERO
En Ammyy, el cliente y el servidor son el mismo programa, un diminuto exe de
650 kb de tamao. El consumo de memoria es de menos de 5 mb.

FCIL DE INICIAR Y DETENER


En Ammyy no hay lugar para las medias tintas. De un vistazo puedes ver si el
servidor est activo o no. Iniciar y detener es tan sencillo como pulsar un botn.

SISTEMAS OPERATIVOS EN EL QUE PUEDE SER UTILIZADO:


Compatibilidad total con Microsoft Windows:
Amy Admin es totalmente compatible con:
- Windows 2000/XP/Vista/7
- Windows Server 2000/2003/2008
- 32 bits y 64 bits

TOPOLOGIA DE LA RED

INSTALACIN DE AMMYY ADMIN:


AMMY ADMIN no necesita instalacin pero para comenzar a trabajar con este software
tenemos que descargarlo, lo cual lo podemos hacer desde su pgina oficial que es
http://www.ammyy.com/es/

Una vez que se haya iniciado la descarga ubicaremos el archivo descargado que ser un
simple archivo ejecutable al cual lo abriremos como administrador.

Y nos aparecer la pantalla de inicio de ADMMYY ADMIN y ya podremos comenzar a


usarlo.

HERRAMIENTAS DE AMMY ADMIN


Ventana principal Ammyy Admin se divide en 2 secciones. Una izquierda se refiere a
Cliente y derecha uno - Operador.

CONTROLES DE LOS CLIENTES

"Su ID" es un nmero de identificacin nico de una PC local que se ejecuta


Ammyy Admin en. La ID se genera automticamente basndose en las

caractersticas del hardware primera vez Ammyy Admin se inicia. No va a


cambiar ms adelante.
ID sirve para la conexin de Internet remoto de los ordenadores ubicados en
diferentes redes de rea local, detrs de routers NAT. Conexin por ID implica el
uso de enrutadores externos que hacen que el control remoto de PCs detrs de
NAT posible.

"Su IP" es una direccin IP de un PC local que se ejecuta Ammyy Admin en. En
caso de que todos los ordenadores de sesin de control remoto se encuentran en
una LAN o tener direcciones IP externas se puede establecer la conexin TCP
directa por IP.
"Su IP" cuadro de texto puede contener varias direcciones IP de acuerdo a la
configuracin de conexin de red local.

INDICADORES DE LA CONEXIN
Ammyy Admin tiene varios indicadores de estado de la conexin que se refieren
a conexiones de ID e IP.
La lnea superior de los indicadores se refiere al estado de la conexin de proceso
actual (aplicacin). El fondo de los indicadores se refiere al estado de la conexin
de cualquier proceso Ammyy Admin lanzado en el PC. Se puede indicar el
servicio Ammyy Admin u otro proceso Ammyy Admin.
Indicadores para la identificacin (de izquierda a derecha):

1 - Identificacin modalidad de espera de conexin est


2 - conectada al Router.
3 - Router respondi
4 - Operador est conectando
5 - Operador ha sido autorizada

Indicadores para ip (de izquierda a derecha):

1 - Modo de espera de conexin IP se encuentra en


2 - Operador est conectando
3 - Operador ha sido autorizada
Botones "Start" y "Stop"

La parte inferior de la seccin Client contiene los botones de control de sesin.


Puede cambiar Ammyy Admin para "esperar a la sesin" modo haciendo clic en
"Inicio".
El valor predeterminado del modo de "esperar a la sesin" est activo. Ammyy
Admin estar listo para aceptar conexiones externas cada vez que se ejecute.
Puede cambiar esta configuracin manualmente. Go to main Ammyy men ->
Configuracin -> Cliente. Cambio casilla de verificacin "Automticamente
empezar" esperar a la sesin "modo" valor de acuerdo con sus necesidades.
"Stop" botn interrumpe las conexiones activas y deja de "esperar a la sesin" de
modo. Este botn cierra todas las conexiones (Si la conexin se estableci para el
servicio, usted tiene que parar el servicio).

CONTROLES DEL OPERADOR


ID de cliente / IP es un cuadro de texto a la ID de entrada o IP de un equipo que
es necesario establecer una conexin remota a.

Lista desplegable "Escritorio..." es un modo de conexin de escritorio remoto


y lista de presets de calidad de imagen que ofrece al operador la oportunidad de
elegir el tipo de conexin de acuerdo con la meta de la sesin de control remoto y
seleccione un equilibrio ptimo entre la velocidad de transferencia de imgenes
de escritorio remoto y calidad.

Elementos predeterminados de la lista incluyen:


Escritorio - Velocidad <256 Kb
Escritorio - Velocidad 256 Kb - 1Mb
Escritorio - Velocidad 1Mb - 5Mb
Escritorio - Velocidad> 5Mb
Escritorio - foto JPEG 20%
Chat de voz
Slo el Administrador de archivos
Slo Test de Velocidad
Microsoft RDP
Casilla de verificacin "Slo vista" en la lista desplegable slo es visible cuando
se selecciona uno de los modos de conexin "Escritorio".
Esta casilla de verificacin, cuando se comprueba, limita los derechos del
Operador slo para ver el escritorio del cliente. Los movimientos del ratn y las
entradas del teclado no se traducirn al equipo remoto.
Botn "AZ"

Este botn activa agenda de contactos Ammyy.


Botn "Connect"

Este botn inicia la conexin con el cliente en el modo seleccionado. Para detener
la sesin de acceso remoto de PC cerca de la ventana de la ventana de escritorio
o gestor de archivos remoto en funcin del modo de conexin utilizado.
Barra de estado

La barra de estado se encuentra en la seccin inferior de la ventana


principal. Proporciona a los usuarios con informacin sobre el estado de conexin

de los routers o errores externos durante los intentos de conexin con el


cliente. Tambin indica las carpetas activas en el equipo local se accede por
operador en el modo de conexin del administrador de archivos.

MODOS DE CONEXIN:
Ammyy Admin ofrece 5 diferentes modos de conexin. Dependiendo del objetivo
que quiere lograr con sesin de control remoto de PC usted puede elegir los
siguientes modos.
"Escritorio"
Este artculo implica conexin bsica para el escritorio de un PC remoto que
proporciona un conjunto completo de funciones de control remoto, incluyendo
vista y el control del escritorio, gestor de archivos y chat de voz. Para activar
escritorio tipo de sesin remoto en ID de cliente o IP y seleccione la velocidad de
conexin (entre usted y su pareja) en la lista desplegable y haga clic en el botn
"Conectar".
Ammyy administracin elegir automticamente la calidad de imagen de
escritorio remoto ptima para esta velocidad de conexin particular. Para saber la
velocidad de conexin a modo de uso "prueba de velocidad". Vea abajo.
"Charla de audio"
Ammyy Admin se puede utilizar como una herramienta para llamadas
telefnicas. Esto significa que puede utilizar el software para hablar con tus
compaeros a travs de Internet. Los pasos a seguir para establecer la conexin
son los mismos que para la conexin de escritorio, pero la funcin de transferencia
de imgenes de escritorio y control remoto no estarn activos.
El chat de audio tambin se puede iniciar durante la sesin de control de escritorio
remoto desde "Panel de control". Usted puede aprender ms sobre esto en la
seccin "Panel de control".
"Gestor de archivos"
Puede conectarse directamente al sistema de archivos de un PC a distancia y el
intercambio de archivos y carpetas necesarios entre el PC local y remoto en el
modo de conexin del administrador de archivos. Los modos de control de
escritorio y ver a distancia no se activan. Usted puede aprender ms sobre el
Administrador de archivos en la seccin "Panel de control".

"Test de Velocidad"
Usted puede averiguar la velocidad de conexin real entre usted y su pareja con
el modo de conexin especial "Test de Velocidad". Esto slo es funcin
informativa no proporcionar control remoto de un PC en modo alguno.
Para comprobar el tipo de velocidad de conexin de Identificacin del Cliente o
IP y seleccione el elemento correspondiente en la lista desplegable y haga clic en
"Inicio". Los resultados de la prueba se muestran en la ventana.
Velocidad Dnload refiere a descargar o la velocidad del trfico entrante.
Velocidad de carga se refiere a la velocidad del trfico saliente.
"Microsoft RDP"
Ammyy Admin deja conectar a un ordenador remoto a travs de Microsoft RDP
(Remote Desktop Protocol), que es un protocolo propietario desarrollado por
Microsoft, que proporciona al usuario una interfaz grfica a otro equipo

PANEL DE CONTROL
o

VENTANA DEL ESCRITORIO REMOTO

Ammyy Admin deja utilizar las funciones adicionales de control remoto y


ajuste la configuracin de conexin para un mejor rendimiento, as como
recuperar informacin adicional en el PC del cliente y la conexin derecha
durante la sesin activa.
Los botones del panel de control slo son visibles durante la sesin de
control remoto en la parte superior de la ventana del escritorio remoto.

CONEXIONES AJUSTES

Esta opcin permite editar los permisos de acceso auto del operador dentro
de la conexin actual, cambiar la escala de la pantalla y configurar la forma
del cursor del ratn tanto en los ordenadores locales y remotos, as como
para obtener informacin adicional acerca de la conexin actual y el PC
del cliente.

Haga clic en el botn # 1 en el panel de control para entrar en la ventana


de configuracin de conexin.
CONFIGURACIN DE PERMISOS DE ACCESO DEL OPERADOR

Usted puede limitar su capacidad para controlar el PC del cliente durante


la sesin actual desmarcando correspondientes artculos en la seccin
"Permisos".
Si desea ver slo el escritorio remoto sin opcin de manipular portapapeles
remoto desactive todos los elementos de permisos habilitados y haga clic
en "Ok".

CODIFICADOR CONEXIN
o

Configuracin del codificador Conexin manual permite ajustar la calidad


de color y un codificador para un mejor rendimiento de cada sesin.
Para entrar en conexin ventana codificador clic # 2 botn en el panel de
control durante la sesin de control remoto de escritorio activo.
CALIDAD DEL COLOR

Puede seleccionar rgimen de calidad de color necesaria en funcin de sus


necesidades, en la actual desempeo. La calidad de color inferior a elegir
el ms rpido de la imagen de escritorio remoto se actualizar.
Variantes posibles:

8 bits en escala de grises - 256 tonos de color gris.


8bit - color de 8 bits, 256 colores.
16bit - color de 16 bits, miles de colores.
24bit / 32bit - color de 24/32 bits, millones de colores.

ENCODER
No se aplica ningn codec - RAW. La imagen se transmite sin compresin.
AAFC.- (Ammyy Admin Fast Screen Codec) - Codec rpido con el nivel
de compresin inferior a la AAC. Se recomienda su uso cuando la
velocidad de conexin supera 10.5 Mbit / s.
AAC.- (Pantalla Ammyy Admin Codec) - Codec que permite la
configuracin manual de nivel de compresin y el nivel de compresin

JPEG. Seleccione AAC si desea hacer ajustes precisos a la calidad de


imagen.
NIVEL DE COMPRESIN.- nivel que define la compresin de imgenes

sin prdida. Cuanto mayor sea el valor es el ms tiempo se dedica a la


compresin y se logra la mejor compresin.
nivel de compresin de imgenes con prdida. El
nivel inferior jpeg establece la calidad de imagen inferior y se consigue
una mejor compresin. Recomendado para conexiones de bajo ancho de
banda.
COMPRESIN JPEG.-

GESTOR DE ARCHIVOS

Gestor de archivos permite la conexin directa del sistema de archivos


durante la sesin de control remoto activa. Para iniciar el Administrador
de archivo, haga clic botn # 3 en el panel de control.

Ventana principal del administrador de archivos se divide en 2


secciones. Seccin de la izquierda muestra los archivos y carpetas del PC
local, haga uno muestra los archivos y carpetas del PC remoto.
COPIA DE ARCHIVOS Y CARPETAS

Para copiar archivos y carpetas desde la local a la carpeta de destino


abierto PC remoto en el PC remoto en el gestor de archivos, seleccione los

objetos para transferir y haga clic en # 2 botn en la seccin izquierda del


administrador de archivos o F5.
El proceso de copia barra de progreso que indica aparecer en la parte
inferior de la ventana del administrador de archivos.
Para copiar archivos y carpetas desde remoto a la carpeta de destino
abierto PC local en el PC local en el administrador de archivos, seleccione
los objetos para transferir el PC remoto y haga clic en el botn # 2 en la
seccin derecha del administrador de archivos o F5.
Puede copiar archivos y carpetas entre el equipo local y remoto de
escritorio hasta 140 Tb de tamao con la posibilidad de reanudar descargas
interrumpidas sin prdida de informacin.
Editar / Supresin de archivos y agregar / editar / Supresin de carpetas
Administrador de archivos deja editar y borrar archivos, o aadir, editar y
borrar carpetas en el PC local y remoto.
Elige objeto para editar y haga clic en el botn # 3 en el apartado
correspondiente del administrador de archivos o pulse F2. Una vez que
haya finalizado la edicin del objeto pulse Intro.
Si desea agregar una carpeta, seleccione directorio necesario y haga click
en # 4 en la seccin correspondiente del administrador de archivos o pulse
Ctrl + N.
Para eliminar los archivos y carpetas necesarios seleccionar objetos y haga
clic en el botn # 5 en la seccin correspondiente del administrador de
archivos o pulse la tecla Suprimir.

Archivos de la lista de refresco

Use # 1 botn en la seccin correspondiente del administrador de archivos


o Ctrl + R para actualizar la lista de archivos y carpetas en el PC remoto o
local. Esta funcin se utiliza para ver los cambios realizados en el sistema
de archivos durante el actual perodo de sesiones de control remoto.

CHAT DE VOZ

El operador puede activar el chat de voz durante la sesin de control


remoto activa siempre que uno ha correspondientes permisos de acceso y
todas las partes de la sesin de tener un equipo de audio especial para la
comunicacin de voz (micrfonos y auriculares).
Para iniciar el chat de voz clic botn # 4 en el panel de control, el chat de
voz se iniciar automticamente. Para detener el chat de voz clic botn #
4 en el panel de control de nuevo.
Se recomienda el uso de auriculares para conversaciones de voz a fin de
eliminar de eco durante la conversacin.

CARACTERSTICAS DE LA PANTALLA
o

ESCRITORIO REMOTO APAGAR / EN

En caso de sesin de control de escritorio remoto ha terminado y hay que


seguir con la comunicacin de voz con su pareja o velocidad de conexin
no permite chat de voz con xito mientras que el control de escritorio
remoto est activo, puede apagar escritorio remoto haciendo clic en # 5 en
el mando panel.
Para restaurar la transmisin de imgenes de escritorio remoto y controlar
haga clic en # 5 botn en el panel de control de nuevo.

MODO DE PANTALLA COMPLETA

Usted puede cambiar al modo de pantalla completa para trabajar con PC


remoto como si estuviera sentado en frente de ella. Para ello haga clic
botn # 6 en el panel de control o Alt + Ctrl + Shift + F.

Para salir de pantalla completa utilizacin modo de combinacin Alt + Ctrl


+ Shift + F de nuevo.
Observacin: La central no estar disponible cuando se usa el modo de
pantalla completa.
o

SOLICITUD DE REFRESCO DE PANTALLA

A veces es necesario actualizar manualmente la imagen de la pantalla a


distancia. Puede suceder en casos de mal funcionamiento de la conexin
cuando la imagen de escritorio remoto actualiza slo en parte. Para
solicitar manualmente actualizacin de la pantalla haga clic en el botn #
7 en el panel de control.

TECLAS DEL SISTEMA

Ammyy Admin ofrece la opcin de transmisin a PC remoto de teclas de


sistema de seales como Ctrl, Win, Alt y Ctrl + Alt + Del. Utilice la
correspondiente # 8, # 9, # 10 y # 11 botones en el panel de control para
enviar seales de teclas de sistema durante la sesin de control de
escritorio remoto.
Tambin puede trabajar con el portapapeles remoto y copiar / pegar datos
desde el local al PC remoto y viceversa, usando combinaciones estndar
de Windows Ctrl + C y Ctrl + V.

AJUSTES

CLIENTE

Para configurar los parmetros referentes a la seccin de clientes de Ammyy Admin clic
Ammyy-> Configuracin y seleccione la ficha de cliente.

Inicio "esperar a la sesin" modo de forma automtica


Esta casilla de verificacin se ejecuta Ammyy Admin en un modo de espera de
conexin entrante. Valor por defecto - facturado.
Mostrar informacin sobre herramientas
Cuando un usuario pasa el cursor del ratn sobre un icono, archivo, carpeta, acceso
directo u otro elemento grfico en el sistema operativo Windows se muestra un
texto de ayuda. Debido a las caractersticas especficas del sistema operativo
Windows, el cursor del ratn en el escritorio del cliente puede parpadear durante
la conexin de escritorio remoto.
Desmarque esta opcin para eliminar el cursor del ratn de parpadear y desactivar
la informacin sobre herramientas.
Fondo de escritorio Desactivar
Para acelerar la transmisin de imgenes de escritorio remoto del cliente al
operador se recomienda desactivar el fondo de escritorio de la casilla
correspondiente.
Fondo de escritorio de cliente se desactivar slo dentro de la sesin
actual. Despus de la sesin se termina el fondo ser restaurado.
Desactivar efectos / composicin de escritorio visual
Ammyy Admin desactivar los siguientes efectos visuales durante la conexin
remota:

- Atenuar o diapositivas mens en vista


- Atenuar o diapositivas sobre herramientas en la vista
- Artculos Fade out del men despus de hacer clic
- Mostrar sombras bajo el puntero del ratn
- Mostrar sombras bajo las ventanas
- Abrir Slide cuadros combinados
- Smooth-scroll cuadros de lista
- Animar las ventanas al minimizar y maximizar
- Animacin de controles y elementos dentro de las ventanas
- Composicin de ventanas de escritorio Manager. Se refiere a la transparencia
de las ventanas
Se recomienda comprobar este artculo para un mejor rendimiento en las
conexiones de bajo ancho de banda.
Los permisos de acceso
De seguridad Admin Ammyy se basa en el sistema de autenticacin de mltiples
operadores de nivel. La conexin a un cliente es proporcionado por el manual
aceptar, por contrasea o por ID de hardware. La combinacin de estos niveles no
deja que slo simplificar significativamente la autenticacin y configurar
procedimiento de conexin remota de un modo flexible, pero tambin eliminar el
riesgo potencial de acceso no autorizado a un tercero y la prdida de datos.

Usted puede proporcionar permisos completos o limitados para acceder a su PC a


cualquier operador con ID que ya conce o para Operador que se desconoce
Identificacin todava.
Para abrir los permisos de acceso, haga clic en la seccin Ammyy ->
Configuracin -> Cliente -> Permisos de acceso en el men principal de Ammyy
Admin.

Autenticacin por ID
Puede conceder acceso a los operadores predefinidos sin necesidad de aceptar
manualmente la conexin remota a cada lado remoto tiempo intenta iniciar
sesin. Esto significa autenticacin de Operadores conocidos se cumplir de
forma automtica en la conexin.
Para conceder permisos de acceso por ID haga lo siguiente:
Haga clic en botn "Aadir" y el tipo de operador ID que desea proporcionar con
permisos de acceso. Deja campo de contrasea vaco con el fin de permitir que el
operador se conecte a su PC sin necesidad de introducir la contrasea.

Haga clic en "Ok"


Seleccione la lnea que contiene ID de usuario que ha introducido en la seccin de
permisos de acceso. Los permisos de acceso para esta Operador estarn
disponibles para editar en la parte derecha de la seccin.
Deje marcado slo los permisos que desea asignar a este operador. Con el fin de
permitir el acceso completo a su PC deje todos los elementos seleccionados.

La autenticacin por contrasea


Adems de la autenticacin por ID puede configurar permisos de acceso para
predefinida o cualquier operador desconocido para conectar por contrasea.
Haga clic en "Agregar" y el tipo de ID del usuario que desea proporcionar con
permisos de acceso. Contrasea de entrada para el operador.

Si desea conceder permisos de acceso por contrasea a un operador con


desconocido ID (cualquier operador) escriba la palabra "NINGUNA" en el campo
ID del usuario y establecer una contrasea en el campo de abajo. Esta
configuracin significa todos los que conocen ID de su equipo y la contrasea ser
capaz de conectarse a su PC.
Puede cambiar la contrasea haciendo doble clic "Contrasea" o "Confirmar
contrasea" campo en editar ventana de identificacin del equipo.
La autenticacin por contrasea puede ser conveniente cuando usted no sabe de
antemano de que la PC se establece la conexin, as como en situaciones en
nmero desconocido de PC se va a conectar a su computadora, por ejemplo, en un
acuerdo de webinar.
Atencin: Valor vaco de contrasea proporcionada Operador ID es "ANY"
permitir que cualquiera pueda conectarse a su PC sin necesidad de
autenticacin. No es recomendable dejar contrasea vaca para "CUALQUIER"
Operador.
Autenticacin por ID junto con la autenticacin por contrasea representa de
forma muy fiable de la conexin a un PC remoto, ya que elimina el riesgo de
acceso no autorizado como conexin con el PC slo ser posible desde el
ordenador que se aade a la lista de ID operadores permisos de acceso incluso en
caso de prdida de la contrasea o password de fuga a un tercero.
Autenticacin de usuario Manual
En caso de la identificacin del operador no se agrega a la lista de permisos de
acceso (caso comn para una conexin vez primera) y el Operador de
Identificacin "ANY" lnea no est presente, durante el intento de conexin PC
del cliente mostrar una ventana de mensaje que indica "ID del usuario ** * se
conecta a su PC ".

Esta ventana le permitir al cliente para seleccionar derechos adecuados para este
operador y la oportunidad de aceptar o rechazar el intento de conexin particular.
Si los controles de cliente "Recuerde mi respuesta para este operador" caja situada
debajo de "aceptar" botones / "rechazar" Ammyy Admin aadir automticamente
el negocio asociado a la lista de operadores autorizados con permisos de acceso
correspondientes.

OPERADOR
Pestaa Operador del men principal de configuracin contiene parmetros
ajustables relativos a la seccin de Ammyy Operador administrador.

Enrutador solicitud del cliente IP


Si Ammyy sin control de administracin se conectar a la primera enrutador de la
lista de routers pblicas. Se recomienda dejar la casilla marcada.
Advertir a cambiar al modo de pantalla completa
Si se marca, Ammyy Admin mostrar ventana de advertencia con toques de cmo
salir del modo de pantalla completa.
Copie la fecha / hora de los archivos
Si se marca, Ammyy Admin salvar modificado fecha / hora para copiar archivos
desde o hacia el PC remoto a travs del administrador de archivos.

Encriptacin
Todos los datos comunicados con Ammyy Admin durante una sesin de escritorio
remoto se lleva a cabo de forma encriptada segura. Toda la informacin que
incluye imgenes de la pantalla, el cursor se mueve, la entrada de teclado,
transferencia de archivos, etc est cifrado con el algoritmo hbrido AES-256 y
RSA-1024.
Algoritmo AES-256 se utiliza por defecto. Puede seleccionar el algoritmo hbrido
en la lista desplegable a continuacin.
Configuracin de RDP
Ammyy Admin permite la conexin con Microsoft RDP. Para configurar la
conexin con RDP seleccionar principal Ammyy men -> Configuracin ->
Mantenimiento -> Configuracin de RDP.

Escritorio remoto
Seleccione el tamao necesario de la ventana o el modo de pantalla completa y
combinacin de colores en la seccin de escritorio remoto de la ventana
Configuracin de RDP. Ajustes en el ordenador remoto puede anular estos ajustes.

Sonido remoto
RDP da la opcin de elegir si desea dejar de sonido en el PC remoto o para llevar
el sonido de remoto a la computadora local o incluso desactivar la reproduccin
de sonido en el PC remoto en la lista desplegable en la seccin de sonido a
distancia.
Rendimiento
RDP proporciona opciones adicionales de ajuste para lograr un mejor rendimiento
en la velocidad de conexin actual. Compruebe los elementos necesarios en la
seccin de rendimiento para conseguir sesin de control remoto conveniente para
el trabajo.
Perfiles de codificador
Ammyy Admin ofrece opcin de crear nuevos perfiles de codificador de usuario
y editar perfiles predeterminados.

Para crear nuevo botn perfil de codificador clic "Perfiles Encoder" en la pestaa
de configuracin del operador Ammyy y luego haga clic en # 1 botn del panel
de control de perfiles de codificador.
Configurar nuevo perfil de acuerdo con sus necesidades y aadir la descripcin
que se mostrar en la lista desplegable en la seccin Operador de la ventana
principal Ammyy Admin. Haga clic en "Aceptar".

Para editar, eliminar o cambiar el orden de los perfiles en la lista utilice # 2, # 3 y


# 4 botones del panel de control de perfiles de codificador respectivamente.
Si desea restablecer lista de perfiles predeterminados haga click en "perfiles
Reset". Todos los perfiles de usuario creados antes se borrarn, pero se
restablecern por defecto perfiles Ammyy admin.

COMN

La reproduccin de audio / dispositivo de grabacin


Puede seleccionar el dispositivo de audio utilizado para la reproduccin y
grabacin de sonido durante el chat de voz en la sesin activa. Si desea desactivar
el micrfono y tener una oportunidad nica para escuchar el sonido del PC remoto
y no transmitir su voz a la parte remota seleccione "dispositivo de grabacin de
audio OFF" en la lista desplegable.
Entrar informacin de depuracin en el archivo
Marque esta casilla para dejar registro Ammyy Admin informacin de depuracin
en un archivo. El archivo se crea automticamente en el archivo ejecutable de la
carpeta de Ammyy Admin es en y tiene la extensin de archivo * .log.

Corre bajo cuenta del sistema en Windows Vista / 7/2003/2008


Si est marcado proceso Ammyy Admin trabaja bajo el sistema cuenta lo que
permite hacer frente a los problemas causados por la UAC (User Account
Control).
Acceder a archivos bajo cuenta de usuario actual
Si se marca Ammyy Admin acceder sistema de archivos con el nombre de
usuario actual lo que es especialmente importante para el trabajo con el Escritorio
remoto, documentos remotos.

CONFIGURACIN DEL SERVIDOR Y CLIENTES:


Si usted quiere mostrar su escritorio a un socio en el lado remoto haga lo siguiente:
Diga Operador su ID o IP. Identificacin e IP se muestran en la seccin Client
(izquierda) de la ventana principal Ammyy Admin en los correspondientes
cuadros de texto.

El operador tiene que introducir su ID o IP en "ID de cliente / IP" cuadro de texto


en la seccin Operador (derecha) de la ventana principal Ammyy Admin y haga
click en "Conectar".

El operador deber seleccionar el modo de conexin necesaria en la siguiente lista


desplegable.

Haga clic en el botn "Conectar".

EL operador esperar la autorizacin del cliente.


Por otra parte al cliente se le mostrar un mensaje que indica "ID del operador *** se
conecta a su PC". Esta ventana le permitir seleccionar los derechos adecuados para este
operador y la oportunidad de aceptar o rechazar el intento de conexin en particular.

Observacin:
Si usted quiere que su pareja (Operador) disponer de facultades slo para ver su pantalla
sin opcin de controlarlo luego dejar slo casilla "Pantalla de vista" marcada en la ventana
de dilogo de confirmacin. En caso de que usted va a comunicarse por voz durante la
sesin tambin comprobar el artculo "Chat de Voz".
Puede guardar los permisos de acceso seleccionados para este operador para obtener ms
sesiones. Para hacerlo marca "Recordarme mi respuesta para este operador" en la casilla
de abajo. La prxima vez que este operador se conecta a su PC Ammyy Admin aceptar
automticamente la conexin con los permisos de acceso predefinidos utilizados en
primera sesin.
Una vez que el cliente haya aceptado la solicitud del operador el cliente ya estar listo
para acceder remotamente a la pc del cliente

CONFIGURACION DE RED

Admin Ammyy puede conectar equipos remotos de 2 formas diferentes:


1) Conexin por ID. Este tipo de conexin puede ser utilizado cuando las
computadoras se encuentran detrs de routers NAT y no tienen direcciones IP
reales (externos).
Para realizar este tipo de conexin es necesario utilizar routers intermedios
auxiliares que cumplan procedimiento de reenvo de puertos. Ficha Red contiene
la lista de routers pblicos utilizados para el reenvo de puertos. Los usuarios que
hayan pagado la licencia para Ammyy Admin se proporcionan con el software
privado y routers Ammyy para su uso en lugar de las pblicas.
2) la conexin IP directa. Este tipo de conexin puede ser utilizado en
ordenadores remotos de IPs externas y / o localizados dentro de una red de rea
local.
Para realizar tal tipo de uso de conexin de routers intermedios auxiliares no se
requiere por lo tanto la conexin es posible para PCs que estn dentro de una LAN
sin el uso de la Internet, o una conexin a travs de Internet para las PC que tienen
IPs externas.

Ammyy Mundial de Red Amplia


Si desea establecer conexiones entre PCs que no tienen IPs externas es necesario
utilizar Ammyy Mundial Red Amplia, que son representacin de una serie de
routers ubicados en diferentes pases. El valor por defecto de la casilla est
marcada.
HTTPS PROXY

En caso de que su PC conectado a Internet a travs de https servidor proxy puede


introducir manualmente la direccin IP, el puerto y la informacin de acceso o
importar estas configuraciones de Internet Explorer:
Entrada manual de configuracin del proxy:
Haga clic en el botn Proxy HTTPS en la pestaa Configuracin de red
Caja "HTTPS Proxy" y escriba la direccin IP y el puerto del proxy Compruebe
Datos de autenticacin de entrada o dejar estos campos en blanco si no se requiere
autenticacin
Haga clic en "Ok"
IE ajustes de importacin
Para importar automticamente la configuracin del proxy de Internet Explorer,
haga clic en "Ajustar la configuracin del proxy de IE" y haga clic en Ok "
Observacin: Con el fin de permitir que los nuevos ajustes tienen en efecto
reinicio Ammyy Admin.

Permitir TCP directo


Ammyy Admin intenta establecer una conexin IP directa en primer lugar. Si no
es posible la conexin se realiza a travs de routers Ammyy externos. Si esta
casilla no est marcada entonces todas las conexiones sern slo a travs de los
routers.
Puertos TCP externos
Estos puertos ayudan a establecer una conexin IP directa. El sistema verifica los
puertos TCP externos para la disponibilidad desde fuera. Si el puerto TCP externo
no est disponible comprobar la configuracin de NAT y firewall o comprobar si
este puerto no est ocupado por otra aplicacin.
Permitir conexin entrante por IP
Puede permitir conexiones IP directas de marcar esta casilla.

VERIFICACIN DE ROUTER

Abrir- http://rl.ammyy.com/ en el lado del cliente. Aqu puedes ver tu IP externa


y el pas de la ubicacin actual. El Router ms cercano que proporcionar la
conexin entre el operador y el cliente se define segn el pas. En caso de que el
pas se defini mal, por favor diga al respecto Ammyy Company. Tenga en cuenta
que
esto
puede
ser
debido
a
las
siguientes
razones:
- Su proveedor de Internet dio informacin equivocada sobre su IP.
- Usted trabaja a travs de un servidor proxy que se encuentra en otro pas.
- Informacin sobre tu IP no coincide en la Base de Datos Ammyy.

A continuacin, abrir Ammyy Admin y haga clic en el men principal Ammyy > Configuracin -> Red y obtener la lista de routers pblicas. Ping todos los
routers y elegir el mejor de ellos, por ejemplo, en funcin del parmetro de tiempo
promedio de ida y vuelta. Yo recomiendo hacer la prueba usando paquetes de
datos grandes. Por ejemplo, ejecute el siguiente "ping -1 1400 87.239.184.124"
comando y as sucesivamente con el resto de los routers. En caso de que el primero
enrutador pblica en la lista da un resultado peor que la mejor, es una razn para
hacer frente a Ammyy y proporcionar resultados de sus pruebas. Tambin puede
establecer el mejor enrutador privado, que va a ser utilizado despus de reiniciar
Ammyy Admin.

El Router que ha elegido tambin debe ser revisado con el comando "ping -1 1400
-n 200 87.239.184.124" tanto en el lado del cliente y el operador. El tiempo medio
de ida y vuelta no debe exceder de 200 ms y el nmero de paquetes perdidos no
debe ser ms que 1%.

VENTAJAS Y DESVENTAJAS:
VENTAJAS

Fcil instalacin y configuracin.

Fcil adaptacin por parte del usuario al funcionamiento del programa.

No necesita configuracin de ningn puerto, ya que no usa ninguno.

El ordenador remoto tiene derecho a elegir que puede hacer y que no puede
hacer el operador.

DESVENTAJAS

Sencillo y poco sofisticado. lo cual hace de Ammyy Admin y software


poco competitivo ante otros programas que junto a l comparten el mismo
objetivo.

Al ser usado va Internet, como cualquier otro programa de acceso remoto


necesita altas velocidades de transmisin.

BIBLIOGRAFIA

http://translate.google.com.ec/translate?hl=es&sl=en&u=http://www.ammyy.com/en/ad
min_speed_test.html&prev=search
http://geekazos.com/ammyy-admin-control-remoto-para-todos-los-publicos/
http://translate.google.com.ec/translate?hl=es&sl=en&u=http://www.ammyy.com/en/ad
min_manual.html&prev=search
http://megasmarts.blogspot.com/

ANEXOS

Foto 1. Ejecucin del acceso remoto exitosa

Foto 2. El grupo reunido realizando la documentacin.

UNIVERSIDAD TECNICA DE MANABI


FACULTAD DE CIENCIAS INFORMATICAS
CARRERA DE INGENIERIA EN SISTEMA

MATERIA:
Administracin de Redes
CURSO:
6 A
DOCENTE:
ING. Michelle Zambrano
TEMA:
Cuestionario de los Aplicaciones de Red

Integrantes:
GONZALEZ LOOR ANGIE
MENDOZA LOPEZ ISRAEL
MOLINA MORERIA KELVIN
OSTAIZA PINARGOTE HARRY
ROMERO PONCE KARLA

MAYO-SEPTIEMBRE 2014

UNIVERSIDAD TCNICA DE MANAB

Visin
Ser institucin universitaria, lder y referente de la educacin superior en
el Ecuador, promoviendo la creacin, desarrollo, transmisin y difusin
de la ciencia, la tcnica y la cultura, con reconocimiento social y
proyeccin regional y mundial.
Misin
Formar acadmicos, cientficos y profesionales responsables, humanistas,
ticos y solidarios, comprometidos con los objetivos del desarrollo
nacional, que contribuyan a la solucin de los problemas del pas como
universidad de docencia con investigacin, capaces de generar y
aplicar nuevos conocimientos, fomentando la promocin y difusin de los
saberes y las culturas, previstos en la Constitucin de la Repblica del
Ecuador.

FACULTAD DE CIENCIAS INFORMTICAS


Visin
Ser una facultad lder que con integridad, transparencia y equidad forme
profesionales capaces de desarrollar soluciones informticas
innovadoras, generadores de conocimientos e investigacin
permanente.
Misin
Formar profesionales investigadores en el campo de las Ciencias
Informticas, al servicio de la sociedad, que aporten con soluciones
innovadoras al desarrollo tecnolgico del pas.

CUESTIONARIO DE APLICACIONES DE REDES


1. Cules son los datos mnimos para poder configurar la interface de
red de un computador que est conectado a una red y tiene acceso
a internet?

Direccin IP
Puerta de enlace.
Mascara de subred.
Servidor DNS

2. Defina los siguientes conceptos


Mascara de subred: Es una combinacin de bits que sirve para delimitar
el mbito de una red de ordenadores que nos sirve para cuantos bits
estn en la red.
Puerta de enlace: Es un dispositivo, con frecuencia un ordenador, que
permite interconectar redes.
Servidor DNS: Es un sistema de nomenclatura jerrquica para
ordenadores, servicios o cualquier recurso conectado a internet o a una
red privada.

3. En Windows podemos saber la ip asignada al ordenador con el


comando ipconfig. Escribe la direccin ip de un computador (facultad
y/o casa) es una direccin pblica o privada?

La IP es 10.10.10.112, es una IP Privada ya que son las que se utilizan para


identificar a un host en una red domstica o privada
4) Si accedes a la pgina www.utm.edu.ec y a la pgina
www.google.com puedes ver la direccin ip publica con la que estas
accediendo a internet. Indica la ip pblica desde el computador de la
facultad y de la casa. Capturar la pantalla.
Desde la biblioteca de la UTM

Desde la casa

5) Si utilizamos el comando ipconfg/all obtenemos toda la informacin de


la configuracin de red. Indica la configuracin del computador de la
facultad y de la casa indicando los siguientes elementos: tipo de tarjeta
de red, direccin ip, mascara de subred, puerta de enlace y servidor DNS.
Capturar la pantalla.
Configuracin del computador de la casa:

Configuracin del computador de la biblioteca:

6) Explica de manera detalla el mecanismo que posibilita a todos los


computadores de una red local tener acceso a internet.
El servidor DNS se encarga de traducir las IPs privadas a IPs pblicas para
que los PCs puedan salir a internet.
7) Dado el siguiente esquema de red, responde las siguientes preguntas:

El router tiene dos direcciones, indica cul es la pblica y cul la


privada.

La ip pblica es la 85.136.83.249, y la privada es la 192.168.1.1.


Indicar la configuracin de red (direccin IP, mscara de subred,
puerta de enlace y como servidor DNS indica el servidor DNS
pblico ofrecido por Google) de dos computadores de la red.
192.168.1.8/255.255.255.0; 192.168.1.1, 8.8.8
Todas las mquinas de la red disponen de una direccin IP Privada.
Impide esta circunstancia que puedan navegar por Internet? Por
qu?
No, ya que el router hace el mecanismo de NAT y convierte las
privadas en pblicas
.
8. Indicar las ventajas de usar una red de computadores.

Posibilidad de compartir hardware y software.


Archivos ya sean documentos, imgenes, audio-video, etc.
Dentro del hardware el uso de impresora compartida lo cual
aminora un gasto en tinta, papel y requiere menor nmero de
impresoras.
Seguridad.
Reduccin de gastos en lnea telefnica: basta slo con contratar
un servicio de Internet ya que podemos distribuirlo a travs de la
red de forma sencilla teniendo como resultado Internet en todos los
nodos de sta.
Una gran posibilidad de conectar computadoras: desde 2 hasta las
que nos posibiliten el equipo mediante el cual los conectamos.
Segn el material de conexin usado podemos hablar de una
ventaja en la distancia que puede alcanzar.

9. Indicar de qu tipo de servicios son las siguientes: EMAIL, DNS, WEB,


FTP, DHCP, SSH.

EMAIL: Servicio de alto nivel ofrece mensajera de correo


electrnico.
DNS: Servicio de bajo nivel que da direcciones IP de manera
automtica a cada pc que se conecte a una red.
WEB: Servicio de alto nivel que permite la interaccin entre el
cliente y el servidor a travs de las pginas web.
FTP: Servicio de alto nivel que permite las transferencia de archivos
DHCP: Servicio de bajo nivel que permite acelerar y facilitar la
configuracin de muchos hosts en una red evitando en gran
medida los posibles errores humanos.

SSH: Servicio de alto nivel que permite acceder a mquinas


remotas a travs de una red.

10. Indicar la diferencia entre un servidor y una estacin de trabajo o host.


Un servidor es un PC que provee de servicios (correo, Internet, DNS, etc.)
ha otros. En ste caso el PC provee de servicio a las estaciones de trabajo.
Y una estacin de trabajo es un computador cliente utilizado para
conectarse a los servicios del servidor
11. Buscar en internet las caractersticas tcnicas y de hardware de un
servidor DELL.
Servidor DELL PowerEdge M910
Caractersticas tcnicas y de hardware:
Procesador
Sockets del procesador
24
Procesadores
Intel Xeon serie 7500 o serie 6500 de hasta ocho ncleos.
Sistema operativo
Microsoft Windows Server 2012
Microsoft Windows Server 2012 R2 (incluye Hyper-V)
Microsoft Windows Server 2008 SP2, x86/x64 (x64 incluye Hyper-V)
Microsoft Windows Server 2008 R2 SP1, x64 (incluye Hyper-V)
Microsoft Windows HPC Server 2008
Novell SUSE Linux Enterprise Server
Red Hat Enterprise Linux
Oracle Solaris
Opciones de virtualizacin:
Citrix XenServer
Microsoft Hyper-V, un rol de servidor en los sistemas operativos de
Microsoft Windows Server
VMware vSphere ESX y ESXi
Red Hat Enterprise Virtualization
Chipset
Intel 7500

Memoria
Hasta 1 TB (32 ranuras DIMM): 1 GB/2 GB/4 GB/8 GB/16 GB/32 GB
de memoria DDR3 con ECC hasta 1066MHz
Hipervisor integrado (opcional)
VMware vSphere ESX and ESXi
Almacenamiento
Opciones de disco duro de conexin en marcha:
SSD SAS de 2,5", SSD SATA, SAS (15.000, 10.000), SAS Nearline (7200)
Capacidad mxima de almacenamiento interno:
Hasta 2,4 TB por blade con 2 discos duros SAS de 2,5" (10.000) de
1,2 TB
Compartimientos de unidades
Dos unidades de estado slido/SAS de 2,5 pulgadas
intercambiables en caliente.
Opciones de tarjetas intermedias de E/S
Las ranuras para tarjetas intermedias totalmente ocupadas y los
mdulos de conmutador ofrecen 3 estructuras de E/S redundantes
y de alta disponibilidad para cada blade.
Ethernet de 1 Gb y 10 Gb:
Ethernet de 1 Gb Broadcom de dos puertos con TOE (BCM5709S)
Ethernet de 1 Gb Intel de cuatro puertos
Ethernet de 1 Gb Broadcom de cuatro puertos (BCM-5709S)
Ethernet de 10 Gb Intel de dos puertos
Ethernet de 10 Gb Broadcom de dos puertos (BCM-57711)
Ethernet de 10 Gb mejorada y adaptadores de red convergentes
(CEE/DCB):
Ethernet de 10 Gb mejorada Intel de dos puertos (FCoE listo para
activacin en el futuro)
Adaptador de red convergente de dos puertos Emulex
(OCM10102-F-M): admite CEE/DCB 10 GbE + FCoE
Adaptador de red convergente de dos puertos QLogic
(QME8142): admite CEE/DCB 10 GbE + FCoE
Adaptador de red convergente de dos puertos QLogic (QME8242k): admite 10 GbE + NPAR
CNA intermedia de doble puerto Brocade BR1741M-k

Canal de fibra:
HBA FC16 QLogic de dos puertos (QME2662)
HBA FC16 Emulex de dos puertos (LPm16002B-D)
HBA FC8 QLogic de dos puertos (QME2572)
HBA FC8 Emulex de dos puertos (LPe1205-M)
Mdulo de transferencia de canal de fibra de 8 4 Gb/s Emulex
InfiniBand:
Mellanox ConnectX-3 FDR10 de dos puertos
Mellanox ConnectX-2 de dos puertos QDR

Controladoras RAID
Controladora RAID PERC H200 modular (6 Gb/s).
Controladora RAID PERC H700 modular (6 Gb/s) con 512 MB de
memoria cach respaldada por batera; 512 MB, 1 G de memoria
cach no voltil respaldada por la batera.
Comunicaciones
Dos NIC Gigabit Ethernet Broadcom NetExtreme II 5709S de dos
puertos con conmutacin por error y equilibro de carga.
TOE (motor de descarga TCP/IP) compatible con Microsoft Server
2003 SP1 o posterior, con Scalable Networking Pack (paquete de
funciones de red escalables).
Descarga iSCSI compatible con Windows Server 2003 SP1 o superior,
Red Hat Linux Enterprise 5 y SUSE Linux Enterprise Server 10. No se
requiere el paquete de funciones de red escalables para Windows
2003. Inicio desde SAN (iSCSI y FC) admitido.
NIC adicionales y opcionales: Consulte las opciones de tarjetas
intermedias de E/S.
HBA adicionales y opcionales: Consulte las opciones de tarjetas
intermedias de E/S.
Alimentacin
Suministrada por el chasis para blade M1000e de Dell
Tarjeta de video
Memoria Matrox G200eW con 8 MB
Chasis
Disponibilidad
Discos duros para conectar en marcha, memoria ECC, hipervisor
redundante integrado, procesadores Intel Xeon serie 7500 y serie
6500 con funciones RAS mejoradas.

Soporte de rack
Suministrada por el chasis para blade M1000e de Dell

Administracin
Administracin remota
iDRAC6 Enterprise (estndar).
Administracin de sistemas
BMC, cumple con IPMI2.0
Dell OpenManageTM con Dell Management Console.
Configurador de servidores unificado
Controladora del ciclo de vida
iDRAC6 Enterprise con Vflash opcional.
Condiciones operativas ambientales
Temperatura:
En funcionamiento: de 10 C a 35 C (de 50 F a 96 F)
En almacenamiento: de -40 C a 65 C (de -40 F a 149 F)
Humedad:
En funcionamiento: del 20% al 80% (sin condensacin)
En almacenamiento: 5% a 95% (sin condensacin)
Vibracin:
En funcionamiento: 0,26 Grms de 5 a 350 Hz en orientaciones
operativas
En almacenamiento: 1,54 Grms de 10 a 250 Hz en todas las
orientaciones
Descarga:
En funcionamiento: Descarga de semionda sinusoidal en todas
las orientaciones operativas de 31 G +/- 5% con una duracin
de impulso de 2,6 ms +/- 10%
En almacenamiento: Descarga de semionda sinusoidal en los
seis lados de 71 G +/- 5% con una duracin de impulso de 2 ms
+/- 10%
Altitud:
En funcionamiento: -15,2 a 3.048 m (-50 a 10.000 pies)
En almacenamiento: -16 a 10.600 m (-50 a 35.000 pies)

12) Dibuja el esquema de red que tienes en tu casa indicando las


direcciones ip (pblicas y privadas) de cada uno de los dispositivos.

13.Explicar con tus palabras la funcin de un servidor DHCP.


El Servidor DHCP est diseado para conceder y administrar direcciones
IP de forma automtica a clientes que se lo soliciten dentro de un rango
de direcciones IP de su Zona de autoridad. Cuyo objetivo principal es que
se pueda simplificar la administracin de la red .
14. Enumera y explica con un pequeo ejemplo las ventajas de usar un
servidor DHCP en una red local.
Un Servidor DHCP instalado en una red local, permite conceder,
gestionar, y controlar las direcciones IP correspondientes al rango de
IP de su mbito de operatividad.
Puede conceder direcciones IP a los equipos de la red local y
gestionar la configuracin TCP/IP de forma automtica sin que el
usuario tenga que memorizar datos numricos.
Se ahorra tiempo y trabajo.
Adems, el servidor DHCP puede asignar IP por tiempo indefinido.
15. Enumera los distintos parmetros que un servidor DHCP puede
conceder a un cliente
Entre los mltiplos parmetros que puede conceder el servidor DHCP
destacamos los siguientes:
Direccin IP
Direccin MAC (Identifica cada nodo conectado a la red)
Servidor DNS (resuelve los nombres de dominios traducindolos en
IP y viceversa)

16. Al configurar un servidor DHCP tenemos que tener en cuenta estos dos
aspectos:

Del rango de direcciones que el servidor puede usar queremos que


no conceda dos direcciones IP que corresponden a dos servidores
que tenemos en nuestra LAN con direcciones IP estticas.
Tenemos una impresora conectada a la red que queremos que
tenga siempre la misma IP

16. Relaciona los siguientes trminos


1. mbito
2. Rango
3. Concesin
4. Reserva
5. Exclusin

a. Tiempo en el que el cliente puede


utilizar la configuracin.
b. Direcciones IP que el servidor no va a
conceder.
c. Agrupamiento administrativo de
clientes.
d. Permite conceder una misma
configuracin a un mismo equipo.
e. Direcciones IP que puede conceder el
servidor DHCP

17.Qu tenemos que utilizar de la configuracin del servidor para


resolver estas dos circunstancias?
Entrar en la Interfaz para exclusiones de intervalos IP en DHCP
siguiendo la Ruta:

INICIO > Herramientas Administrativas > DHCP


Doble clic DHCP Doble clic IPv4 Doble clic mbito
Clic Conjunto de direcciones
Clic derecho Conjunto de direcciones
Clic Nuevo intervalo de exclusiones (se abre la interfaz para
agregar la exclusin)

Si son correlativas las dos IP estticas, pondremos la IP del Servidor 1 en


IP inicial y la IP del Servidor 2 en IP final.
Si no son correlativos, tendremos que registrar cada IP excluido en 2
procesos diferentes poniendo la misma IP como Inicial y final.
Qu necesitamos saber de la impresora de red?
El proceso es el mismo hasta el paso 4 donde tenemos que hacer clic
derecho esta vez en RESERVAS.
Tenemos que saber el:

NOMBRE de la Impresora

La IP de la Impresora por el que se conecta a la red


Y su MAC que lo identifica en la red.

18. Explica cmo funciona el servidor DHCP en las siguientes


circunstancias:

Conectamos un nuevo cliente a la red (anteriormente no tena


ninguna configuracin).
El cliente solicitar una Direccin IP a un Servidor DHCP: es el
paso conocido como Discovery
El Servidor DHCP responde al cliente envindole una
propuesta de parmetros para la configuracin del
Protocolo TCP/IP en su equipo: Offer
El Cliente reenva el paquete de datos al servidor DHCP,
confirmando as su solicitud anterior: Request.
El Servidor DHCP Asigna la IP y establece el tiempo de
concesin o alquiler: Acknowladge.

Un cliente no encuentra un servidor DHCP


Si un cliente no encuentra un servidor DHCP, no puede
conectarse a internet por esta va de acceso automtico,
hasta que lo consiga. A no ser que pueda conectarse
mediante una configuracin esttica de la IP.

Un cliente se conecta, pero ha terminado el tiempo de concesin.


El Servidor DHCP puede prorrogar el alquiler o la concesin
de la misma IP si sigue disponible asignar una IP nueva y que
est disponible.

19. Indica la instruccin Windows para hacer la siguiente tarea:

Para renovar una direccin IP y una nueva configuracin de red


ipconfig /renew

Para liberar la direccin IP


ipconfig /release

20. Define los siguientes conceptos con tus palabras:


mbito DHCP: Es una agrupacin de nodos ya sea servidores o
clientes que utilizan el servicio DHCP.

Tiempo de concesin: El tiempo de que el servidor DNS asigna un


nombre a la IP que habra solicitado el servicio.
Reserva de direcciones: Consiste en asignar siempre la misma IP a un
mismo cliente de forma permanente.
Exclusin de direcciones: Consiste en definir el rango de direcciones
IP que deseamos no sean atendidas por el servidor DHCP aunque
pertenezcan a su zona de autoridad.
21. Defina, con sus palabras, los siguientes conceptos:

Nombre de dominio: Es una cadena de caracteres alfanumricos,


que cumple un formato y normas establecidos, en la que se
traduce una direccin IP de una mquina.
FQHN: Es el nombre completo de un host. Est formado por el
hostname, seguido de un punto y su correspondiente nombre de
dominio.
Dominios de nivel superior: Los dominios de nivel superior son
aquellos que no pertenecen a otro dominio. Ejemplos de este tipo
son com, org, ar y es.

22. Defina las funciones de un servidor DNS.


Se utiliza para distintos propsitos. Los ms comunes son:

Resolucin de nombres: Dado el nombre completo de un host (por


ejemplo blog.smaldone.com.ar), obtener su direccin IP (en este
caso, 208.97.175.41).
Resolucin inversa de direcciones: Es el mecanismo inverso al
anterior. Consiste en, dada una direccin IP, obtener el nombre
asociado a la misma.
Resolucin de servidores de correo: Dado un nombre de
dominio (por ejemplo gmail.com) obtener el servidor a travs del
cual debe realizarse la entrega del correo electrnico (en este
caso, gmail-smtp-in.l.google.com).

23. Imagina que desde nuestro cliente queremos acceder a la pgina


www.hotmail.com, explica con tus palabras el proceso que se sigue para
saber a qu IP corresponde.
Normalmente se comienza la bsqueda primero en los DNSs raz de
internet que son unos servidores que mantienen largas tablas de
enrutamiento que hacen funcionar el corazn de este sistema y una vez

que haya encontrado el mapeo correcto la mquina ir a buscar la


direccin concreta del equipo o host a los servidores DNS ligados al
dominio en particular que estamos buscando.
24. Qu significa que un servidor DNS sea cache? Qu es TTL?
Un servidor DNS CACHE: sirve para "cachar" las peticiones que los clientes
de una red hacen a un servidor de nombres de dominio (DNS SERVER)
que en la mayora de los casos esta fuera de la propia LAN y que
proporciona el proveedor de Internet (ISP - Internet Service Provider).
Tiempo de Vida o Time To Live (TTL): es un concepto usado en redes de
computadores para indicar por cuntos nodos pueden pasar un
paquete antes de ser descartado por la red o devuelto a su origen.
25. Qu es una zona de autoridad? Qu son los servidores DNS raz?
Busca en internet los servidores DNS con autoridad de la zona
correspondiente al dominio .com y .ec

Una zona de autoridad es una seccin del rbol de nombre de


dominio para el cual un servidor de nombres es la autoridad.
Servidor raz (root server en ingls) es el servidor de nombre de
dominio (DNS) que sabe dnde estn los servidores de nombres
autoritarios para cada una de las zonas de ms alto nivel en
internet.

26. Qu tipos de registros, y para qu sirven, pueden almacenar un


servidor DNS?

A: Address (Direccin) Este registro se usa para traducir nombres de


servidores de alojamiento a direccines IPv4.
AAAA: Address (Direccin) Este registro se usa en IPv6 para traducir
nombres de hosts a direcciones IPv6.
CNAME: Canonical Name (Nombre Cannico) Se usa para crear
nombres de servidores de alojamiento adicionales, o alias, para los
servidores de alojamiento de un dominio.
NS: Name Server (Servidor de Nombres) Define la asociacin que existe
entre un nombre de dominio y los servidores de nombres que
almacenan la informacin de dicho dominio.
MX (registro): Mail Exchange (Registro de Intercambio de Correo)
Asocia un nombre de dominio a una lista de servidores de intercambio
de correo para ese dominio.

PTR: Pointer (Indicador) Tambin conocido como 'registro inverso',


funciona a la inversa del registro A, traduciendo IPs en nombres de
dominio.
SOA: Start of authority (Autoridad de la zona) Proporciona informacin
sobre el servidor DNS primario de la zona.
HINFO: Host INFOrmation (Informacin del sistema informtico)
Descripcin del host, permite que la gente conozca el tipo de
mquina y sistema operativo al que corresponde un dominio.
TXT: TeXT (Informacin textual) Permite a los dominios identificarse de
modos arbitrarios.
LOC: LOCalizacin - Permite indicar las coordenadas del dominio.
WKS: Generalizacin del registro MX para indicar los servicios que
ofrece el dominio.
SRV: SeRVicios - Permite indicar los servicios que ofrece el dominio.
SPF: Sender Policy Framework - Ayuda a combatir el Spam. En este
registro se especifica cual o cuales hosts estn autorizados a enviar
correo desde el dominio dado. El servidor que recibe, consulta el SPF
para comparar la IP desde la cual le llega con los datos de este
registro.

27. Indicar las razones de por qu es conveniente tener configurado un


servidor DNS local e intranet
Es conveniente ya que permite la asignacin de un nombre a todas los
nodos de la red, permitiendo ser identificados por nodos externos a la red.
28. Comprueba la direccin IP y el servidor DNS asociado a utm.edu.ec,
desde dentro de la intranet de la UTM (Campus Paulo Emilio Macas) y
desde fuera. Cules son las diferencias?. A qu crees que es debido?

Administracin de Redes
Catedrtico:
Ing. Michelle Zambrano
Responsables:

Gonzlez Loor Angie Lissely


Mendoza Lpez Xavier Israel
Molina Moreira Kelvin Stalin
Ostaiza Pinargote Harry Daniel
Romero Ponce Karla Liscet

Curso:
Sexto A

Portoviejo
octubre 2014 febrero 2015

SERVICIOS DE RED

APLICACIONES DISTRIBUIDAS

Es una aplicacin con distintos componentes que se ejecutan en entornos


separados, normalmente en diferentes plataformas conectadas a travs de una
red. Las tpicas aplicaciones distribuidas son de dos niveles (cliente-servidor), tres
niveles (cliente-middleware-servidor) y multinivel.

Middleware: Sistema Distribuido organizado con un sistema

Componentes de una aplicacin distribuida.


Una aplicacin distribuida que sigue el modelo cliente-servidor tiene los
siguientes componentes:

Lado servidor: Programa que se ejecuta en un computador que est


conectado a una red.

En un puerto, esperando las peticiones de los clientes; por ejemplo, un servidor


Web escucha en el puerto 80. Un computador que ejecuta un servidor de
aplicacin necesita estar conectado a la red para responder a las peticiones
de los clientes.

Lado cliente: Programa que ejecuta el usuario de la aplicacin. El cliente


hace sus peticiones al servidor a travs de la red. Por ejemplo, un
navegador Web.

Protocolo de aplicacin para la comunicacin entre el cliente y el servidor. El


protocolo define el tipo de mensajes intercambiados; por ejemplo, el protocolo
de la capa de aplicacin de la Web, HTTP, define el formato y la secuencia de
los mensajes transmitidos entre el navegador y el servidor Web.
Formato de los mensajes que se intercambian, algunas veces forma parte del
servicio; por ejemplo, en el correo electrnico se define el formato de los
mensajes electrnicos.

Estos componentes son independientes de la arquitectura de red que se utiliza.


El diseo de aplicaciones modernas involucra la divisin de una aplicacin en
mltiples capas; la interfaz de usuario, la capa media de objetos de negocios, y
la capa de acceso a datos. Puede ser til identificar los tipos de procesamiento
que podemos esperar que una aplicacin realice. Muchas aplicaciones
pueden, al menos, hacer lo siguiente:

Clculos u otros procesos de negocios.


Ejecucin de reglas de negocios.
Validacin de datos relacionados al negocio.
Manipulacin de datos.
Ejecucin de las reglas de datos relacional.
Interactuar con aplicaciones externas o servicios.
Interactuar con otros usuarios.

Ejemplos de aplicaciones distribuidas.


Algunas de las aplicaciones distribuidas ms conocidas son remote login, correo
electrnico, navegacin Web, streaming, telefona IP y comparticin de ficheros
(P2P).
Caractersticas de las aplicaciones distribuidas
1. Concurrencia: De igual forma que en las aplicaciones centralizadas, las
aplicaciones distribuidas sern utilizadas por cierto nmero de usuarios
concurrentemente.
2. Topologa de la red: A pesar de que a da de hoy los anchos de banda cada
vez son ms amplios, el trfico de red puede ser un aspecto importante que
condicione el tiempo de respuesta de la aplicacin.
3. Ubicacin de la lgica: Dado que en una aplicacin distribuida intervienen
varios procesos, ser necesario decidir en cul de los posibles procesos fsicos se
sita cada componente lgico de la aplicacin.
.
4. Homogeneidad de las plataformas: En una aplicacin distribuida los
sistemas operativos involucrados o los lenguajes de desarrollo utilizados pueden
ser un factor a tener en cuenta a la hora de decidir algunos aspectos
importantes.
5. Seguridad: Una aplicacin distribuida mantiene procesos que de una forma
u otra estn a la escucha en una red, lo que aumenta la vulnerabilidad de la
aplicacin.

APLICACIONES CLIENTE/SERVIDOR.

Un servidor es una aplicacin que ofrece un servicio a usuarios de Internet: un


cliente es el que pide ese servicio. Una aplicacin consta de una parte de
servidor y una de cliente, que se pueden ejecutar en el mismo o en diferentes
sistemas.
Esta arquitectura consiste bsicamente en un cliente que realiza peticiones a
otro programa (el servidor) que le da respuesta. Aunque esta idea se puede
aplicar a programas que se ejecutan sobre una sola computadora es ms
ventajosa en un sistema operativo multiusuario distribuido a travs de una red
de computadoras.

Cliente
El cliente es el proceso que permite al usuario formular los requerimientos y
pasarlos al servidor, se le conoce con el trmino front-end.

El Cliente normalmente maneja todas las funciones relacionadas con la


manipulacin y despliegue de datos, por lo que estn desarrollados sobre
plataformas que permiten construir interfaces grficas de usuario (GUI), adems
de acceder a los servicios distribuidos en cualquier parte de una red.
Las funciones que lleva a cabo el proceso cliente se resumen en los siguientes
puntos:

Administrar la interfaz de usuario.


Interactuar con el usuario.
Procesar la lgica de la aplicacin y hacer validaciones locales.
Generar requerimientos de bases de datos.
Recibir resultados del servidor.
Formatear resultados.

Servidor
Es el proceso encargado de atender a mltiples clientes que hacen peticiones
de algn recurso administrado por l. Al proceso servidor se le conoce con el
trmino back-end [15].
El servidor normalmente maneja todas las funciones relacionadas con la
mayora de las reglas del negocio y los recursos de datos.
Las funciones que lleva a cabo el proceso servidor se resumen en los siguientes
puntos:

Aceptar los requerimientos de bases de datos que hacen los clientes.


Procesar requerimientos de bases de datos.
Formatear datos para trasmitirlos a los clientes.
Procesar la lgica de la aplicacin y realizar validaciones a nivel de bases
de datos.

Caractersticas de la arquitectura Cliente/Servidor


Las caractersticas bsicas de una arquitectura Cliente/Servidor son:

Combinacin de un cliente que interacta con el usuario, y un servidor


que interacta con los recursos compartidos. El proceso del cliente
proporciona la interfaz entre el usuario y el resto del sistema. El proceso
del servidor acta como un motor de software que maneja recursos
compartidos tales como bases de datos, impresoras, mdems, etc.
Las tareas del cliente y del servidor tienen diferentes requerimientos en
cuanto a recursos de cmputo como velocidad del procesador,
memoria, velocidad y capacidades del disco y input-output devices.
Se establece una relacin entre procesos distintos, los cuales pueden ser
ejecutados en la misma mquina o en mquinas diferentes distribuidas a
lo largo de la red.
Existe una clara distincin de funciones basada en el concepto de
servicio, que se establece entre clientes y servidores.
La relacin establecida puede ser de muchos a uno, en la que un servidor
puede dar servicio a muchos clientes, regulando su acceso a recursos
compartidos.
Los clientes corresponden a procesos activos en cuanto a que son stos
los que hacen peticiones de servicios a los servidores. Estos ltimos tienen
un carcter pasivo ya que esperan las peticiones de los clientes.
No existe otra relacin entre clientes y servidores que no sea la que se
establece a travs del intercambio de mensajes entre ambos. El mensaje
es el mecanismo para la peticin y entrega de solicitudes de servicio.
El ambiente es heterogneo. La plataforma de hardware y el sistema
operativo del cliente y del servidor no son siempre la misma. Precisamente
una de las principales ventajas de esta arquitectura es la posibilidad de
conectar clientes y servidores independientemente de sus plataformas.
El concepto de escalabilidad tanto horizontal como vertical es aplicable
a cualquier sistema Cliente/Servidor. La escalabilidad horizontal permite
agregar ms estaciones de trabajo activas sin afectar significativamente
el rendimiento. La escalabilidad vertical permite mejorar las
caractersticas del servidor o agregar mltiples servidores.

Ventajas del esquema Cliente/Servidor


Entre las principales ventajas del esquema Cliente/Servidor estn:

Uno de los aspectos que ms ha promovido el uso de sistemas


Cliente/Servidor, es la existencia de plataformas de hardware cada vez
ms baratas. Esta constituye a su vez una de las ms palpables ventajas
de este esquema, la posibilidad de utilizar mquinas considerablemente
ms baratas que las requeridas por una solucin centralizada, basada en
sistemas grandes. Adems, se pueden utilizar componentes, tanto de
hardware como de software, de varios fabricantes, lo cual contribuye
considerablemente a la reduccin de costos y favorece la flexibilidad en
la implantacin y actualizacin de soluciones.

El esquema Cliente/Servidor facilita la integracin entre sistemas


diferentes y comparte informacin permitiendo, por ejemplo que las
mquinas ya existentes puedan ser utilizadas pero utilizando interfaces
ms amigables al usuario. De esta manera, podemos integrar PCs con
sistemas medianos y grandes, sin necesidad de que todos tengan que
utilizar el mismo sistema operacional.
Al favorecer el uso de interfaces grficas interactivas, los sistemas
Construidos bajo este esquema tienen mayor interaccin y ms intuitiva
con el usuario. En el uso de interfaces grficas para el usuario, el esquema
Cliente/Servidor presenta la ventaja, con respecto a uno centralizado, de
que no es siempre necesario transmitir informacin grfica por la red pues
esta puede residir en el cliente, lo cual permite aprovechar mejor el
ancho de banda de la red.
Una ventaja adicional del uso del esquema Cliente/Servidor es que es
ms rpido el mantenimiento y el desarrollo de aplicaciones, pues se
pueden emplear las herramientas existentes (por ejemplo los servidores
de SQL o las herramientas de ms bajo nivel como los sockets o el RPC ).
La estructura inherentemente modular facilita adems la integracin de
nuevas tecnologas y el crecimiento de la infraestructura computacional,
favoreciendo as la escalabilidad de las soluciones.
El esquema Cliente/Servidor contribuye adems, a proporcionar, a los
diferentes departamentos de una organizacin, soluciones locales, pero
permitiendo la integracin de la informacin relevante a nivel global.

Desventajas del esquema Cliente/Servidor


Entre las principales desventajas del esquema Cliente/Servidor estn:

El mantenimiento de los sistemas es ms difcil pues implica la interaccin


de diferentes partes de hardware y de software, distribuidas por distintos
proveedores, lo cual dificulta el diagnstico de fallas.
Se cuenta con muy escasas herramientas para la administracin y ajuste
del desempeo de los sistemas.
Es importante que los clientes y los servidores utilicen el mismo mecanismo
(por ejemplo sockets o RPC), lo cual implica que se deben tener
mecanismos generales que existan en diferentes plataformas.
Adems, hay que tener estrategias para el manejo de errores y para
mantener la consistencia de los datos.
La seguridad de un esquema Cliente/Servidor es otra preocupacin
importante. Por ejemplo, se deben hacer verificaciones en el cliente y en
el servidor.
El desempeo es otro de los aspectos que se deben tener en cuenta en
el esquema Cliente/Servidor. Problemas de este estilo pueden
presentarse por congestin en la red, dificultad de trfico de datos, etc.

Caractersticas del Modelo

El Cliente y el Servidor pueden actuar como una sola entidad y tambin


pueden actuar como entidades separadas, realizando actividades o
tareas independientes.
Las funciones de Cliente y Servidor pueden estar en plataformas
separadas, o en la misma plataforma.
Un servidor da servicio a mltiples clientes en forma concurrente.
Cada plataforma puede ser escalable independientemente. Los
cambios realizados en las plataformas de los Clientes o de los Servidores,
ya sean por actualizacin o por reemplazo tecnolgico, se realizan de
una manera transparente para el usuario final.

El servidor es un programa que recibe una solicitud, realiza el servicio requerido


y devuelve los resultados en forma de una respuesta. Generalmente un servidor
puede tratar mltiples peticiones (mltiples clientes) al mismo tiempo.
APLICACIONES PEER TO PEER
Una red informtica entre iguales (en ingls, peer- Too -peer -que se traducira
de par a par- o de punto a punto, y ms conocida como P2P) se refiere a una
red que no tiene clientes ni servidores fijos, sino una serie de nodos que se
comportan simultneamente como clientes y como servidores respecto de los
dems nodos de la red. Es una forma legal de compartir archivos de forma
similar
a
como
se
hace
en
el
email
o
mensajes.
Las redes de ordenadores Peer-Too-peer (o P2P) son redes que aprovechan,
administran y optimizan el uso de banda ancha que acumulan de los dems
usuarios en una red por medio de la conectividad entre los mismos usuarios
participantes de la red, obteniendo como resultado mucho ms rendimiento en
las conexiones y transferencias que con algunos mtodos centralizados
convencionales, donde una cantidad relativamente pequea de servidores
provee el total de banda ancha y recursos compartidos para un servicio o
aplicacin. Tpicamente, estas redes se conectan en gran parte con otros nodos
va ad hoc.

Caractersticas
Seis caractersticas deseables de las redes P2P:

Escalabilidad: Las redes P2P tienen un alcance mundial con cientos de


millones de usuarios potenciales. En general, lo deseable es que cuantos
ms nodos estn conectados a una red P2P mejor ser su
funcionamiento. As, cuando los nodos llegan y comparten sus propios
recursos, los recursos totales del sistema aumentan.

Robustez: La naturaleza distribuida de las redes peer-Too-peer tambin


incrementa la robustez en caso de haber fallos en la rplica excesiva de
los datos hacia mltiples destinos.

Descentralizacin: Estas redes por definicin son descentralizadas y todos


los nodos son iguales. No existen nodos con funciones especiales, y por
tanto ningn nodo es imprescindible para el funcionamiento de la red.

Los costes estn repartidos entre los usuarios. Se comparten o donan recursos a
cambio de recursos. Segn la aplicacin de la red, los recursos pueden ser
archivos, ancho de banda, ciclos de proceso o almacenamiento de disco.

Anonimato: Es deseable que en estas redes quede annimo el autor de


un contenido, el editor, el lector, el servidor que lo alberga y la peticin
para encontrarlo siempre que as lo necesiten los usuarios. Muchas veces
el derecho al anonimato y los derechos de autor son incompatibles entre
s.

Seguridad: Es una de las caractersticas deseables de las redes P2P menos


implementada. Los objetivos de un P2P seguro seran identificar y evitar
los nodos maliciosos, evitar el contenido infectado, evitar el espionaje de
las comunicaciones entre nodos, creacin de grupos seguros de nodos
dentro de la red, proteccin de los recursos de la red En su mayora an
estn bajo investigacin, pero los mecanismos ms prometedores son:
cifrado multiclave, cajas de arena, gestin de derechos de autor (la
industria define qu puede hacer el usuario, por ejemplo la segunda vez
que se oye la cancin se apaga), reputacin (slo permitir acceso a los
conocidos), comunicaciones seguras, comentarios sobre los ficheros

Qu es DHCP?

DHCP significa Protocolo de configuracin de host dinmico. Es un protocolo


que permite que un equipo conectado a una red pueda obtener su
configuracin (principalmente, su configuracin de red) en forma dinmica (es
decir, sin intervencin particular). Slo tiene que especificarle al equipo,
mediante DHCP, que encuentre una direccin IP de manera independiente. El
objetivo principal es simplificar la administracin de la red.
El protocolo DHCP sirve principalmente para distribuir direcciones IP en una red,
pero desde sus inicios se dise como un complemento del protocolo BOOTP

(Protocolo Bootstrap), que se utiliza, por ejemplo, cuando se instala un equipo a


travs de una red (BOOTP se usa junto con un servidor TFTP donde el cliente
encontrar los archivos que se cargarn y copiarn en el disco duro). Un servidor
DHCP puede devolver parmetros BOOTP o la configuracin especfica a un
determinado host.
Funcionamiento del protocolo DHCP
Primero, se necesita un servidor DHCP que distribuya las direcciones IP. Este
equipo ser la base para todas las solicitudes DHCP por lo cual debe tener una
direccin IP fija. Por lo tanto, en una red puede tener slo un equipo con una
direccin IP fija: el servidor DHCP.
El sistema bsico de comunicacin es BOOTP (con la trama UDP). Cuando un
equipo se inicia no tiene informacin sobre su configuracin de red y no hay
nada especial que el usuario deba hacer para obtener una direccin IP. Para
esto, la tcnica que se usa es la transmisin: para encontrar y comunicarse con
un servidor DHCP, el equipo simplemente enviar un paquete especial de
transmisin (transmisin en 255.255.255.255 con informacin adicional como el
tipo de solicitud, los puertos de conexin, etc.) a travs de la red local. Cuando
el DHCP recibe el paquete de transmisin, contestar con otro paquete de
transmisin (no olvide que el cliente no tiene una direccin IP y, por lo tanto, no
es posible conectar directamente con l) que contiene toda la informacin
solicitada por el cliente.
Se podra suponer que un nico paquete es suficiente para que el protocolo
funcione. En realidad, hay varios tipos de paquetes DHCP que pueden emitirse
tanto desde el cliente hacia el servidor o servidores, como desde los servidores
hacia un cliente:
DHCPDISCOVER (para ubicar servidores DHCP disponibles)
DHCPOFFER (respuesta del servidor a un paquete DHCPDISCOVER, que
contiene los parmetros iniciales)
DHCPREQUEST (solicitudes varias del cliente, por ejemplo, para extender su
concesin)
DHCPACK (respuesta del servidor que contiene los parmetros y la direccin
IP del cliente)
DHCPNAK (respuesta del servidor para indicarle al cliente que su concesin
ha vencido o si el cliente anuncia una configuracin de red errnea)
DHCPDECLINE (el cliente le anuncia al servidor que la direccin ya est en
uso)
DHCPRELEASE (el cliente libera su direccin IP)
DHCPINFORM (el cliente solicita parmetros locales, ya tiene su direccin IP)
El primer paquete emitido por el cliente es un paquete del tipo DHCPDISCOVER.
El servidor responde con un paquete DHCPOFFER, fundamentalmente para
enviarle una direccin IP al cliente. El cliente establece su configuracin y luego
realiza un DHCPREQUEST para validar su direccin IP (una solicitud de transmisin
ya que DHCPOFFER no contiene la direccin IP) El servidor simplemente
responde con un DHCPACK con la direccin IP para confirmar la asignacin.

Normalmente, esto es suficiente para que el cliente obtenga una configuracin


de red efectiva, pero puede tardar ms o menos en funcin de que el cliente
acepte o no la direccin IP

Asignacin de direcciones IP
Sin DHCP, cada direccin IP debe configurarse manualmente en cada
dispositivo y, si el dispositivo se mueve a otra subred, se debe configurar otra
direccin IP diferente. El DHCP le permite al administrador supervisar y distribuir
de forma centralizada las direcciones IP necesarias y, automticamente,
asignar y enviar una nueva IP si fuera el caso en el dispositivo es conectado en
un lugar diferente de la red.TOPO LLILLIO TiENE UNO DE ESTOS
El protocolo DHCP incluye tres mtodos de asignacin de direcciones IP:
Asignacin manual o esttica: Asigna una direccin IP a una mquina
determinada. Se suele utilizar cuando se quiere controlar la asignacin de
direccin IP a cada cliente, y evitar, tambin, que se conecten clientes no
identificados.
Asignacin automtica: Asigna una direccin IP de forma permanente a
una mquina cliente la primera vez que hace la solicitud al servidor DHCP y
hasta que el cliente la libera. Se suele utilizar cuando el nmero de clientes
no vara demasiado.
Asignacin dinmica: el nico mtodo que permite la reutilizacin dinmica
de las direcciones IP. El administrador de la red determina un rango de
direcciones IP y cada dispositivo conectado a la red est configurado para
solicitar su direccin IP al servidor cuando la tarjeta de interfaz de red se
inicializa. El procedimiento usa un concepto muy simple en un intervalo de
tiempo controlable. Esto facilita la instalacin de nuevas mquinas clientes
a la red.

DNS

La red Internet permite el acceso a una ingente cantidad de ordenadores y, en


general, de recursos, la mayora de los cuales se pueden referenciar mediante
un nombre. Por motivos de eficiencia y simplicidad (poder saber con facilidad
qu recurso corresponde a cada nombre, poder asignar otros nuevos sin peligro
de duplicidades o ambigedades, etc.), todos los nombres de la red estn
organizados de una manera jerrquica, formando un sistema de dominios.
Para obtener informacin referida a cualquier nombre, se utiliza un servicio que,
funcionalmente, es como una base de datos: se le hacen consultas, que
pueden incluir una serie de criterios de seleccin, y responde con la informacin
solicitada. En un inicio, cuando el nmero de ordenadores conectados a la red
era relativamente pequeo, esta base de datos era gestionada por una nica
autoridad central, el Network Information Center (NIC).
A medida que se expanda la Red, este modelo de gestin se iba haciendo
cada vez ms inviable, tanto por el enorme trfico que generaban las consultas,

como por la dificultad de mantener la informacin actualizada. Fue entonces


cuando naci el servicio de nombres de dominio (DNS), que sigue el modelo de
una base de datos distribuida descentralizada.
Definicin de DNS
DNS es una abreviatura para Sistema de nombres de dominio (Domain Name
System), un sistema para asignar nombres a equipos y servicios de red que se
organiza en una jerarqua de dominios. La asignacin de nombres DNS se utiliza
en las redes TCP/IP, como Internet, para localizar equipos y servicios con
nombres sencillos. Cuando un usuario escriba un nombre DNS en una
aplicacin, los servicios DNS podrn traducir el nombre a otra informacin
asociada con el mismo, como una direccin IP
El grfico siguiente muestra un uso bsico de DNS, consistente en la bsqueda
de la direccin IP de un equipo basada en su nombre.

Lo que concibi su creador, Paul Mockapetris, bsicamente, fue un sistema


jerrquico similar a un sistema de archivos de computadora. En esta estructura
jerrquica defini niveles, de la misma forma que en un sistema de archivos hay
directorios.
A cada nivel de la estructura le asign un nombre o etiqueta. El nivel cero, o raz,
no tiene nombre, el nivel 1 puede ser alguno como , .mx, .uk, .com o .net, el cual
se conoce como Top Level Domain TLD. A su vez, stos pueden tener
subclasificaciones, como en el caso de .mx que tiene debajo a .com.mx,
.net.mx, .gob.mx, etc. A este nivel se le conoce como Second Level Domain
SLD.
De esta forma, los nombres de dominio se construyen por una secuencia de
etiquetas separadas por un punto, empezando en el nivel ms profundo hasta
llegar al nivel superior. Por ejemplo, en la figura 2 se puede apreciar que el
nombre de dominio empresa.com.mx. se forma desde el ltimo nivel llamado
empresa, despus el SLD com y por ltimo el TLD mx.

Las etiquetas pueden tener letras, nmeros y el guin medio -, pero no puede
iniciar ni terminar con guin. Cada etiqueta puede llevar hasta 63 caracteres, el
nombre de dominio en total puede tener hasta 255 (cualquier combinacin de
letras, nmeros y guin medio). Y puede haber hasta 127 niveles (siempre y
cuando no se rebase el lmite de 255 caracteres).
El DNS buscaba un objetivo muy simple, desempear una funcin tcnica de
traduccin de nombres de equipos de cmputo a su direccin numrica
correspondiente, que fuera conveniente, amigable y fcil de utilizar por los
usuarios de Internet, es decir proveer un esquema de interpretacin entre los
usuarios y las computadoras, sin que los primeros tuvieran la necesidad de
recordar las direcciones numricas de cada uno de los equipos a los que
intentaban comunicarse; por ejemplo: 131.178.11.16, 200.23.1.7, en vez de
www.mty.itesm.mx y www.nic.mx, respectivamente.
En un inicio, los TLD (top level domain, dominios de nivel superior); es decir, los
subordinados directamente a la raz, se utilizaban para agrupar los diferentes
tipos de organizaciones a que pertenecan recursos como, por ejemplo, los que
presentamos en la tabla siguiente:

Desde entonces hasta la actualidad, se han ido aadiendo al nivel superior del
sistema de nombres los elementos siguientes:
a) Por un lado, nuevas clases de organizaciones, como net (centros
relacionados con la gestin de la red), int (organizaciones internacionales)
o, ms recientemente, biz, info, name, pro, aero, coop y museum
b) Por otro lado, cada pas tiene asignado un nombre de dominio que coincide
con el cdigo correspondiente de dos letras especificado en el estndar ISO
3166, por ejemplo: es (Espaa), fr (Francia), de (Alemania), etc. Lo que

significa que, en realidad, las diferentes ramas del rbol se pueden


encabalgar y, de hecho, hay nombres pertenecientes a diferentes dominios
de alto nivel que corresponden a una misma organizacin.

Asimismo, es posible que un determinado recurso (ordenador, buzn de correo,


etc.) tenga asignados varios nombres, que pueden estar en la misma rama del
rbol o en ramas completamente independientes.
En este caso, se considera que uno de los nombres es el denominado nombre
cannico y los otros se denominan alias.
Modelos del DNS
Los agentes que intervienen en el DNS son los siguientes:
a) Los servidores, que reciben las consultas y envan las respuestas
correspondientes. Adems del acceso directo a una base de datos local,
en la que se encuentra una parte de la base de datos total del sistema de
nombres, el servidor tiene acceso indirecto al resto de la base de datos por
medio de otros servidores. El conjunto de servidores DNS constituye, pues, un
sistema servidor.
b) Los resolvedores, que actan como clientes del servicio. Por norma general,
un resolvedor es un programa o una librera que recibe peticiones de las
aplicaciones de usuario, las traduce a consultas DNS y extrae de las
respuestas la informacin solicitada. El resolvedor debe tener acceso directo
al menos a un servidor
Mecanismos de transporte
Para acceder al DNS se pueden utilizar los protocolos de transporte UDP o TCP.
Por norma general, se utiliza UDP en las consultas de los clientes, por su
simplicidad y por los pocos recursos que requiere. Si no llega la respuesta a un
datagrama en un tiempo determinado, simplemente se retransmite (hasta que
haya transcurrido un tiempo mximo). En cambio, se utiliza TCP cuando
conviene asegurar una transmisin fiable; por ejemplo, en las transferencias de
datos de una zona de un servidor a otro. Tanto en un caso como en el otro, el
nmero de puerto utilizado es el 53.
Las consultas y las respuestas se intercambian por medio de mensajes, cuyo
formato depende del protocolo que se utilice:

En UDP, cada mensaje se enva en un datagrama, con una longitudmxima


de 512 bytes.

En TCP, los mensajes se envan prefijados con 2 bytes, que indican su longitud,
para saber dnde acaban, puesto que lo ms normal es intercambiar ms
de uno utilizando una misma conexin.

TELNET

Telnet viene de Telecommunication NETwork. Es el nombre de un protocolo de


red y del programa informtico que implementa el cliente.
Un servidor telnet permite a los usuarios acceder a un ordenador husped para
realizar tareas como si estuviera trabajando directamente en ese ordenador.
Pertenece a la familia de protocolos de Internet. Sigue un modelo
cliente/servidor. El puerto TCP que utiliza el protocolo telnet es el 23.

Usos:
Telnet slo sirve para acceder remotamente en modo terminal, es decir, sin
grficos.
til para:

Arreglar fallos a distancia, de forma remota


Consultar datos a distancia.

Telnet ha tenido y tiene un fuerte uso en sistemas UNIX-LINUX y en equipos de


comunicaciones (configuracin de routers)
Permite abrir una sesin con una mquina UNIX, de modo que mltiples usuarios
con cuenta en la mquina, se conectan, abren sesin y pueden trabajar
utilizando esa mquina.
Problemas
Mayor problema: La Seguridad
Telnet, por defecto, no cifra ninguno de los datos enviados sobre la conexin
(contraseas inclusive). Todo viaja por la red como texto plano sin cifrar.
Cualquiera que espe el trfico de la red mediante un sniffer, puede obtener los
nombres de usuario y contraseas, y as acceder l tambin a las mquinas.

SSH

SSH (Secure SHell) es el nombre de un protocolo y del programa que lo


implementa. Cifra la informacin antes de transmitirla, autentica la mquina a
la cual se conecta y puede emplear mecanismos de autenticacin de usuarios
ms seguros.
SSH permite copiar datos de forma segura (tanto ficheros sueltos como simular
sesiones FTP cifradas), gestionar claves RSA para no escribir claves al conectar a
los dispositivos y pasar los datos de cualquier otra aplicacin por un canal seguro
tunelizado mediante SSH.
Se utiliza TCP en el puerto 22 y la versin 2 (la versin 1 presenta un grave
problema de seguridad).
Seguridad:
SSH trabaja de forma similar a como se hace con telnet. La diferencia principal
es que SSH usa tcnicas de cifrado que hacen que la informacin que viaja por
el medio de comunicacin vaya de manera no legible y ninguna tercera
persona pueda descubrir el usuario y contrasea de la conexin ni lo que se
escribe durante toda la sesin.
No obstante es posible atacar este tipo de sistemas por medio de ataques de
REPLAY y manipular as la informacin entre destinos man-in-the-middle.
Secuencia conexin:
La siguiente serie de eventos lo ayudan a proteger la integridad de la
comunicacin SSH entre dos host:
1. Se lleva a cabo un 'handshake' (apretn de manos) encriptado para que el
cliente pueda verificar que se est comunicando con el servidor correcto.
2. La capa de transporte de la conexin entre el cliente y la mquina remota
es encriptada mediante un cdigo simtrico.
3. El cliente se autentica ante el servidor.
4. El cliente remoto interacta con la mquina remota sobre la conexin
encriptada.

PROTOCOLO TRIVIAL DE TRANSFERENCIA DE ARCHIVOS (TFTP).

En determinadas circunstancias, como por ejemplo la lectura de los programas


y archivos de configuracin de un router, un conmutador o un ordenador sin
disco, es necesario transferir ficheros utilizando un protocolo muy sencillo. Para
estos casos, se desarroll el protocolo trivial de transferencia de archivos (Trivial
File Transfer Protocol). TFTP transfiere datos utilizando datagramas de UDP en

lugar de conexiones de TCP, lo que simplifica en gran medida el software de


comunicaciones necesario
TFTP posee como caractersticas fundamentales:

Envo de bloques de datos de 512 bytes (excepto el ltimo).


Aadir una sencilla cabecera de 4 bytes a cada bloque de datos.
Numerar los bloques empezando por 1.
Admitir transferencia de archivos ASCII o binarios.
Posibilidad de leer o escribir un archivo remoto.
No contempla la autenticacin del usuario.

En TFTP, el cliente TFTP comienza obteniendo un puerto y enviando, a


continuacin, el mensaje de peticin de lectura o de peticin de escritura al
puerto UDP 69 del servidor. Entonces el servidor identifica un puerto diferente
para el resto de la transferencia de archivos y dirige desde ese puerto todos sus
mensajes al puerto del cliente.

TRANSFERENCIA DE DATOS EN FTP.

Adems de los problemas del nombre de los archivos, etc., el principal problema
existente en la transferencia de archivos entre ordenadores es el diferente
formato que tienen los mismos datos en funcin del hardware y sistema
operativo que se ejecute. Por tanto, en una transferencia de archivos entre dos
ordenadores, ambos necesitan conocer el formato de los datos que van a
transmitir y recibir. Para definir el formato de transferencia, FTP utiliza tres
atributos: Tipo de los datos, estructura de los datos y modo de transmisin.
El tipo de los datos que se van a transmitir se indica mediante el comando de
control TYPE. Los tres tipos de datos ms utilizados son texto ASCII, texto EBCDIC
y datos binarios, siendo el tipo ASCII el establecido generalmente por defecto.
El envo de datos de tipo ASCII entre computadoras con distinto sistema
operativo Linux/UNIX, Windows y MacOS, principalmente, posee el problema de
la distinta codificacin del final de lnea, etc. Para evitar este problema, los
archivos de texto son convertidos desde ASCII al formato de NVT en el emisor y
de forma inversa en el receptor, con lo que el problema es subsanado.
La transmisin de datos de texto EBCDIC se suele producir solo entre
ordenadores IBM, de forma que en ellos no suceden los problemas que ocurren
en los datos de tipo ASCII, por lo que los datos son enviados sin ser convertidos
a NVT.
Por ltimo, los datos binarios son enviados sin ningn tipo de conversin y sin
tener en cuenta si los ordenadores son del mismo tipo (little-endian o bigendian), con lo que la transferencia, aun siendo correcta, puede ser ilegible en
el ordenador destino.

Servicio web

Un Servicio Web [WS] es una aplicacin software identificada por un URI (Uniform
Resource Identifier), cuyas interfaces se pueden definir, describir y descubrir
mediante documentos XML. Los Servicios Web hacen posible la interaccin
entre aplicaciones utilizando mensajes XML intercambiados mediante
protocolos de Internet.

Http
HTTP son las siglas en ingles de HiperText Transfer Protocol (en espaol protocolo
de transferencia de hipertexto). Es un protocolo de red, para publicar pginas
web o HTML. Es la base sobre la cual est fundamentado Internet.
Y por qu se dice que son mecanismos inseguros?
El propsito del protocolo HTTP es permitir la transferencia de archivos entre un
navegador (el cliente) y un servidor web (denominado, servidor) localizado
mediante una cadena de caracteres denominada direccin URL.
HTTP cumple perfectamente esta tarea, pero pas por alto el aspecto de la
seguridad.
Si se utiliza HTTP se corren los siguientes riesgos, la intercepcin y modificacin
de la informacin, el envo o recepcin de virus informticos, la suplantacin de
identidad (phishing), entre otros muchos ms.

HTTPS
El protocolo de Transferencia de Hiper-Texto (HTTPS) es la versin segura del http
(Hyper Text Transfer Protocol) que todos utilizamos y conocemos habitualmente.
La diferencia es que, con HTTP podemos desarrollar actividades comercio
electrnico, ya que permite realizar transacciones de forma segura.
Bsicamente https es ms seguro, debido a que la pgina Web codifica la
sesin con un certificado digital. De este modo, el usuario tiene ciertas garantas

de que la informacin que enve desde dicha pgina no podr ser interceptada
y utilizada por terceros.

Mensajera instantnea: xmpp


Hoy en da la mensajera instantnea nos ofrece un nombre nico en la red, y
nos permite identificarnos bajo una contrasea para que nadie pueda hacerse
pasar por nosotros. Gracias a esta innovacin podemos agregar nuestros
contactos en el sistema de MI para poder hablar con ellos sin necesidad de
acordarnos de sus identificadores.
Esto a su vez conlleva a que, gracias al protocolo de presencia, podremos
conocer en cada momento el estado de nuestro contacto.
Adems la MI no sirve nicamente para la comunicacin entre personas,
tambin permite la comunicacin entre ordenadores, as mquinas autnomas
como bien pueden ser estaciones meteorolgicas pueden comunicarse con un
ordenador central para comunicar un cambio en su estado, o el ordenador
central ir recorriendo todas las estaciones y preguntndoles por sus variables de
temperatura, presin
La MI ha entrado con fuerza en el servicio postventa de muchas grandes
empresas ya que permite al cliente comunicarse con el servicio postventa de su
proveedor sin necesidad de gastos telefnicos, y de una forma fluida y cmoda.
Jabber/XMPP podra ser usado como ncleo de stos y otros sistemas. Adems
Jabber/XMPP tiene muchas ventajas con respecto a sus competidores, como
pueden ser:
Jabber/XMPP es un protocolo totalmente abierto que permite a cualquier
desarrollador implementar Jabber/XMPP sin ningn coste.
El intercambio de mensajes se realiza en formato XML.
Es capaz, mediante pasarelas, de comunicarnos con otros sistemas de MI. El
valor de un sistema de comunicaciones se incrementa con el nmero de
personas con las que te puedes comunicar.
Simplifica las responsabilidades del cliente a lo ms mnimo.
Ninguna organizacin, grupo o servicio controla el sistema.
Todos los mensajes basados en el protocolo Jabber/XMPP sern fragmentos
de XML, que pueden considerarse partes del gran documento que sera la
comunicacin total del cliente y el servidor.
El protocolo Jabber/XMPP sigue la tan conocida arquitectura cliente/servidor.
Los clientes Jabber/XMPP nicamente se comunican con el servidor
Jabber/XMPP de su dominio, que es quien les ofrece el servicio. Los dominios
Jabber/XMPP rompen el mundo de la MI en zonas separadas de control, cada
una soportada y administrada por separado por el servidor o grupo de
servidores del dominio al que pertenece cada usuario. En Jabber/XMPP los
mensajes pasan del cliente emisor al servidor de ste, y el servidor del dominio
los enva al servidor del dominio del usuario destino para as ser enviados al
cliente destinatario del mensaje.

En los sistemas cliente/servidor, el cliente muestra informacin al usuario final y


maneja sus peticiones, las peticiones del cliente son enviadas al servidor que
ofrecer unos determinados servicios.
Ventajas
El modelo cliente/servidor distribuido de Jabber/XMPP tiene muchas ventajas.
Una de las ms importantes es el uso de un modelo simple y conocido por todos
los desarrolladores de software para las comunicaciones de red. El correo
electrnico por ejemplo utiliza esta misma arquitectura de conexin. Que slo
permite dos tipos de escenarios: cliente/servidor y servidor/servidor. Para todos
los servidores que no tengan implementados los mecanismos de comunicacin
entre servidores, slo se dar la primera situacin.
La seguridad y privacidad de los clientes es muy buena, debido en gran medida
a que cada cliente slo trata con su servidor, as los dems usuarios no tendrn
ninguna referencia de dnde est ubicado realmente el cliente dentro de la
red.
Esta arquitectura permite al servidor del dominio, centralizar el control de
Jabber/XMPP, se pueden crear polticas de seguridad y aplicarlas sin tener que
modificar los clientes o tener que controlar conexiones directas entre los clientes,
ya que como se ha dicho todo el trfico pasa por el servidor. As, por ejemplo,
se podran limitar el ancho de banda a ciertos clientes en ciertas horas, se
podran denegar el envo de archivos en horas punta de la red empresarial, dar
acceso a los clientes a comunicarse con ciertos dominios Jabber/XMPP las
posibilidades en este campo son infinitas, y siempre habra que configurar
nicamente el servidor.

E-MAIL

El correo electrnico es la aplicacin distribuida que permite enviar mensajes


electrnicos por medio de sistemas informticos.
SMTP (simple mail transfer protocol)
El SMTP es el protocolo ms utilizado en Internet para transferir mensajes de
correo electrnico. Proporciona la funcionalidad necesaria para conseguir una
transferencia fiable y eficiente de mensajes de correo entre ordenadores que
actan como oficina de correos.
El SMTP se basa en el almacenamiento y el reenvo.
Modelo del SMTP
Desde el punto de vista del modelo, el SMTP debe proporcionar los elementos
necesarios para la transferencia de mensajes. Por ello, se definen los elementos
siguientes:

Agente de usuario: se encarga de introducir los mensajes en el sistema de


correo SMTP.
Emisor SMTP: se ocupa de realizar las conexiones y de enviar mensajes a
receptores SMTP a partir de peticiones de los usuarios. Generalmente, cada
emisor SMTP tiene asociada una cola de mensajes, en la que se almacenan
los mensajes antes de ser reenviados (siguiendo la filosofa del
almacenamiento y el reenvo).
Receptor SMTP: se encarga de recibir los mensajes. Si el mensaje va
destinado a un usuario asociado al mismo sistema en que se encuentra el
receptor SMTP, ste deposita el mensaje en el buzn del destinatario. En caso
contrario, el receptor SMTP deposita el mensaje en la cola de mensajes del
emisor SMTP asociado, que lo recupera y lo reenva hacia el receptor SMTP
de otra oficina ms prxima al destinatario.

Resumen simple del funcionamiento del protocolo SMTP


Cuando un cliente establece una conexin con el servidor SMTP, espera a que
ste enve un mensaje 220 Service ready o 421 Service non available
Se enva un HELO desde el cliente. Con ello el servidor se identifica. Esto puede
usarse para comprobar si se conect con el servidor SMTP correcto.
El cliente comienza la transaccin del correo con la orden MAIL FROM. Como
argumento de esta orden se puede pasar la direccin de correo al que el
servidor notificar cualquier fallo en el envo del correo (Por ejemplo, MAIL
FROM:<fuente@host0>). Luego si el servidor comprueba que el origen es vlido,
el servidor responde 250 OK.
Ya le hemos dicho al servidor que queremos mandar un correo, ahora hay que
comunicarle a quien. La orden para esto es RCPT TO:<destino@host>. Se pueden
mandar tantas rdenes RCPT como destinatarios del correo queramos. Por cada
destinatario, el servidor contestar 250 OK o bien 550 No such user here, si
no encuentra al destinatario.
Una vez enviados todos los RCPT, el cliente enva una orden DATA para indicar
que a continuacin se envan los contenidos del mensaje. El servidor
responde 354 Start mail input, end with <CRLF>.<CRLF> Esto indica al cliente
como ha de notificar el fin del mensaje.
Ahora el cliente enva el cuerpo del mensaje, lnea a lnea. Una vez finalizado,
se termina con un <CRLF>.<CRLF> (la ltima lnea ser un punto), a lo que el
servidor contestar 250 OK, o un mensaje de error apropiado.
Tras el envo, el cliente, si no tiene que enviar ms correos, con la
orden QUIT corta la conexin. Tambin puede usar la orden TURN, con lo que el
cliente pasa a ser el servidor, y el servidor se convierte en cliente. Finalmente, si
tiene ms mensajes que enviar, repite el proceso hasta completarlos.
POP3
En sistemas pequeos no es prctico, ni usual, soportar el SMTP, puesto que
implica tener el sistema conectado y dispuesto a recibir mensajes en cualquier

momento. Por este motivo, se vio la necesidad de definir un protocolo que


permitiera la recuperacin de mensajes de buzones de correo remotos y se
defini el POP3.
No obstante, en este protocolo es preciso disponer de sistemas en los que se
encuentren los buzones un servidor POP3, y deben estar conectados en todo
momento, tanto para recibir los mensajes, como para recibir las peticiones de
acceso a los buzones. Por lo que respecta a los clientes POP3, slo es necesario
que se conecten cuando quieran acceder a su correo. El POP3 no especifica
ningn mtodo para el envo de correo; otros protocolos de transferencia de
correo, como el SMTP, proporcionan esta funcionalidad.
Modelo del POP3
El modelo funcional del POP3 se basa en los elementos siguientes:

Agente de usuario: utiliza el cliente POP3 para acceder a su correo.


Cliente POP3: se comunica con el servidor POP3 por medio del protocolo
POP3 para acceder a su buzn de correo.
Servidor POP3: recibe peticiones de los clientes POP3 y se las sirve
accediendo a los buzones correspondientes.

Al igual que con el protocolo SMTP, el protocolo POP (POP2 y POP3) funciona
con comandos de texto enviados al servidor POP. Cada uno de estos comandos
enviados por el cliente (validados por la cadena CR/LF) est compuesto por
una palabra clave, posiblemente acompaada por uno o varios argumentos, y
est seguido por una respuesta del servidor POP compuesta por un nmero y un
mensaje descriptivo.

IMAP
IMAP4 permite al usuario disponer de diferentes buzones estructurados de
manera jerrquica y, al mismo tiempo, poderlos manipular de manera remota,
tal como se hace con los buzones locales.
El IMAP4 tambin proporciona a los clientes la capacidad de resincronizacin
con el servidor.
El IMAP4 no especifica ningn mtodo para el envo de correo; otros protocolos
de transferencia de correo, como el SMTP, proporcionan esta funcionalidad.
Modelo del IMAP4
El modelo funcional del IMAP4 se basa en los elementos que presentamos a
continuacin:

Agente de usuario: utiliza el cliente IMAP4 para leer el correo de su buzn.

Cliente IMAP4: se comunica con el servidor IMAP4 por medio del IMAP4 para
acceder a su buzn de correo.
Servidor IMAP4: recibe peticiones de los clientes IMAP4 y se las sirve
accediendo a los buzones correspondientes.

El protocolo IMAP (Protocolo de acceso a mensajes de Internet) es un protocolo


alternativo al de POP3, pero que ofrece ms posibilidades:
IMAP permite administrar diversos accesos de manera simultnea
IMAP permite administrar diversas bandejas de entrada
IMAP brinda ms criterios que pueden utilizarse para ordenar los correos
electrnicos

STREAMING

Streaming a travs de la red


Todo sistema de streaming viene definido por una codificacin y un sistema de
transporte. La codificacin puede ser MPEG-1, MPEG-2, Real, MPEG-4, QT, etc.,
y como protocolo de transporte se suele utilizar UDP (unicast o multicast),
aunque tambin hay sistemas que utilizan TCP.
Los contenidos pueden estar almacenados en un servidor (VoD, Vdeo Bajo
Demanda) o bien crearse en el mismo momento de su difusin (emisiones en
directo).

Streaming Unicast: La mayora de archivos de audio y vdeo que se visualizan en


el ordenador, sea cual sea el reproductor que se utilice (Real, Windows Media),
proviene de un servicio unicast. Este servicio consiste en un servidor que enva
paquetes de datos a cada PC que solicita un stream.
Unicast es una buena opcin para recibir transmisiones en vivo, pero tiene sus
desventajas, ya que el servidor debe enviar el flujo de datos individualmente a
todo aquel que quiere recibir la transmisin. Es decir, es una aplicacin 1:1,
donde para cada cliente se establece una conexin.
Si el conjunto de clientes que estn recibiendo el stream es pequeo, no ofrece
mayor inconveniente, pero si se trata de difundir un material a miles de usuarios.

Streaming Multicast: Multicast utiliza una nueva forma de funcionamiento de


redes. En lugar de enviar streams desde un solo servidor a un solo cliente,
multicast enva una serie de paquetes que puede ser recibida por cualquiera,
desde diversos puntos de distribucin. Multicast permite un procesamiento
estable del streaming en el servidor y alivia el trfico en la red.
El multicast hace su trabajo de transmisin de manera similar a como funcionan
los canales de televisin o las estaciones de radio: el archivo de audio/vdeo se

emite desde la estacin hacia los servidores conectados a la red, los cuales se
encargan de distribuir el stream a los usuarios. Cuando el espectro de usuarios
se extiende, se agregan servidores.
Mediante esta tcnica se enva una sola copia de los datos a los clientes que lo
han solicitado, permite implementar aplicaciones multimedia en la red y
minimizar al mismo tiempo la demanda de ancho de banda de estas
aplicaciones.

VoIP
VoIP son las siglas de Voice over Internet Protocol (Voz sobre Protocolo de
Internet o Telefona IP), una categora de hardware y software que permite a la
gente utilizar Internet como medio de transmisin de llamadas telefnicas,
enviando datos de voz en paquetes usando el IP en lugar de los circuitos de
transmisin telefnicos.
VoIP funciona de esa manera, digitalizando la voz en paquetes de datos,
envindola a travs de la red y reconvirtindola a voz en el destino.
Bsicamente el proceso comienza con la seal anloga del telfono que es
digitalizada en seales PCM (pulse code modulacin) por medio del
codificador/decodificador de voz (codec).
Las muestras PCM son pasadas al algoritmo de compresin, el cual comprime
la voz y la fracciona en paquetes (Encapsulamiento) que pueden ser
transmitidos a travs de una red.

Caractersticas

VoIP nos permite el control del trfico que existe en la red.


Proporciona un enlace a la red de telefona tradicional.
Permite una integracin con grandes redes de IP ( Protocolo de Internet )
actuales, ya que es independiente en su tipo de red fsica.
La mayora de los proveedores de VOIP entregan caractersticas por las
cuales las operadoras de telefona convencional cobran tarifas aparte.

Segundo ciclo

WebRTC
WebRTC (Web Real-Time Communication) es una API que permite a las aplicaciones
del navegador realizar llamadas de voz, chat de vdeo y uso compartido de
archivos P2P sin plugins.
El proyecto WebRTC de la W3C es un trabajo en progreso que cuenta implementaciones
avanzadas en Firefox y Chrome. El API se basa en el trabajo previo realizado en
la WHATWG. Se conoce como la API ConnectionPeer, y una implementacin de los
conceptos pre estndar fue creada en los laboratorios Ericsson). El grupo de trabajo de
WebRTC espera que esta especificacin evolucione significativamente con base en:

Los resultados de los intercambios en curso por el grupo RTCWEB de la IETF para
definir el conjunto de protocolos que, junto con este documento, permitirn
comunicaciones en tiempo real en los navegadores Web.
Los problemas de privacidad que surgen al exponer las capacidades y los flujos
locales.
Las discusiones tcnicas dentro del grupo, sobre la implementacin de canales de
datos en particular.
La experiencia adquirida a travs de la experimentacin temprana.
Los comentarios recibidos de otros grupos e individuos.

IMPLEMENTACION DE COMUNICACIN NAVEGADOR A NAVEGADOR.


HELLO FIREFOX.Actualmente se encuentra en la ultima version de firefox, es un servicio de video llamadas
listo para usar desde el primer momento, sin la obligacin de tener que hacerse una cuenta
de ningn tipo.
Es una herramienta tremendamente simple de usar, solamente con pulsar el botn de
Hello de nuestra barra de herramientas, se abrir un men con un enorme botn azul que
dice "iniciar una conversacin". Los usuarios de Hangouts reconocern la similitud de
la ventana que les aparecer en la zona inferior derecha de su navegador.
En dicha ventana, veremos las opciones de activar la cmara, el micrfono o salir de la
conversacin. Lo ms importante que hay que saber de Hello es que las
videollamadas se comparten mediante enlaces. Veremos dos llamativos botones azules
en la zona inferior, con los que podremos enviar el enlace de la conversacin por correo
a nuestro interlocutor o copiarla al portapapeles del sistema. Por ltimo, en la zona central,
tendremos la opcin de ponerle un nombre a la conversacin. Esto ltimo es algo a tener
en cuenta, pues las salas que reciban un nombre podrn volver a accederse en un
futuro, al contrario que las que no lo reciban que se eliminarn.
Los navegadores que soporten la tecnologa WebRTC como Google Chrome y Opera
podrn usar Hello sin problema alguno. Tambin tendremos la opcin de guardar los
contactos por nombre, correo electrnico y telfono, para poder enviarles un enlace de
forma automtica a la conversacin que se quiera iniciar.

COMO USAR HELLO FIREFOX ?


Para comenzar a usar este servicio lo primero que debemos tener es el navegador Mozilla
firefox en su ultima version, ya que para inciar una conversacion tendremos que hacerlo desde
este navegador. Una ves que tengamos instaladao el navegador firefox procederemos a ubicar
el complemento en la barra de herramientas para esto iremos al menu de firefox y escojeremos
la pestaa d personalizar.

Una ves que nos encontramos en la ventana de personalizar veremos el simbolo del hello
firefox, ahora simlemente procederemos a arrastarlo hacia la barra de neustro navegador.

Y ahora ya etamos listo para comenar a relizar nuestra conversaciones.

Inicia una conversacin


1. Haz clic en el botn Hello

2. Haz clic en Iniciar una conversacin .

3. Haz clic en el botn Copiar que se encuentra junto al enlace de la conversacin para
mandarlo por correo o por el programa de mensajera que decidas a tu compaero de
conversacin.

Sugerencia: Etiqueta la conversacin haciendo clic en el enlace y editando el nombre en el


cuadro de dilogo que te aparece.

4. Cuando tu amigo se una a la conversacin, el botn Hello se volver azul


y te sonar
una alerta. El punto azul de la lista sirve para saber qu conversacin est actualmente
activa.

5. Para finalizar la llamada, haz clic en

La conversacin permanecer en la lista para que puedas volver a utilizarla. Si haces clic en
el icono de la papelera que se encuentra junto a ella, se elimina.

Agregar y administrar tus contactos


1. Haz clic en el botn Hello

2. Haz clic en Iniciar sesin o Registrarse y sigue las instrucciones para poder acceder o para
crear una cuenta de Firefox.
3. Una vez que hayas iniciado sesin, haz clic en la pestaa de contactos para acceder a tu lista.

4. Haz clic en Nuevo contacto para agregar contactos de forma individual, o en Importar para
aadir tus contactos de Google.
5. Para editar, bloquear o eliminar un contacto, haz clic en la flecha del botn verde que se
encuentra junto a cada nombre y elige la opcin que quieras.

Para llamar a algn contacto de tu lista, solo tienes que hacer clic en el botn de llamada que se
encuentra junto a su nombre o seleccionar el men desplegable para elegir la opcin de audio o
vdeo.

De esta forma podemos realizar una conversacion con hello firefox. En esta prueba se realizo
una conversion desde el mismo navegador Mozilla Firefox.

HANGOUTS.
Hangouts es, hoy en da, una aplicacin de mensajera instantnea, y destaca su sistema de
llamadas telefnicas y de videoconferencia. Hangouts, en plural, es una funcionalidad que est
incluida dentro de la plataforma Google.
Desde un ordenador, desde un mvil Smartphone o desde un Tablet, (tanto si es Android, o iOS,
incluyendo iPod) hoy ya se puede conectar con cualquier persona en el mundo que tenga una cuenta
Google+. Si esto es as, se puede contactar con esta persona con voz o con video, sin coste adicional,
tan slo es necesario tener el acceso al operador de telefona, es decir disponer de una lnea de
acceso a Internet, preferiblemente ADSL. Google no cobra nada por este servicio.
El ordenador necesitar disponer de micrfono y Altavoces. Para el servicio de Video adems es
necesario una cmara. En la primera instalacin Google+ Hangouts detecta los componentes y los
instala, aunque luego se pueden reconfigurar accediendo a la seccin configuracin.
Adems Hangouts se puede emitir en directo, es decir se pueden hacer charlas pblicas y cualquiera
puede acceder a ellas desde un enlace.
Permite mantener conversaciones entre dos o ms usuarios, estas conversaciones se archivan en la
nube con lo que es posible sincronizarlas entre diferentes dispositivos, es decir nunca se pierde la
lectura ntegra de la conversacin, aunque se cambie varias veces de dispositivo.
Durante las conversaciones se pueden compartir imgenes adems de enviar emoticones.

Cmo usar Hangouts?


Lo primero que tenemos que tener en cuenta es que debemos aadir el plugins de hangouts en
nuestro navegador, para esto podremos irnos a la web store de Chrome para poder aadir el
complemento. Una vez aadida se nos agregara a la barra de nuestro navegador

Para instalara este complemento en Mozilla Firefox, debemos irnos al men de navegador,
ir a complementos y all buscar hangouts.

Una vez que encontremos el complemento, le daremos a instalar y esperamos a que la


instalacin culmine

Una vez realizado esto se nos agregara a la barra de nuestro firefox el botn de hangouts.

As mismo para agregar el plugins en el navegador opera, procedemos a instalarlos en las


extensiones del navegador, donde procedemos a activarlo y, asi mismo se nos aadir a la barra
de nuestro navegador.

Para usar el hangouts debemos hacer clic en el icono del mismo que se encuentre en
nuestro navegador.

Luego procederemos a buscar a nuestro contacto con quien realizaremos nuestra


conversacin.

En este caso realizaremos una video llamada con nuestro contacto para esto usaremos el
mismo navegador, es decir google Chrome para realizar nuestra conversacin.

Pruebas de laboratorios con diferentes navegadores.


HELLO FIREFOX.- Las pruebas realizadas con este servicio nos proporcion unirnos a travs
de navegadores que respalden la tecnologa WEBRTC, en este caso realizamos las pruebas con
los navegadores opera y Chrome. Cabe mencionar que todas las comunicaciones se realizaron
desde el navegador Mozilla Firefox, ya que este es el que posee el plugin para iniciar la
conversacin.

Comunicacin Webrtc entre los navegadores Mozilla Firefox y Opera.

Comunicacin Webrtc entre los navegadores Mozilla Firefox y Google Chrome.

HANGOUTS.- Por medio de este servicio se pudo realizar pruebas a travs de los navegadores
Mozilla Firefox, Google Chrome, y Opera, a diferencia del hello de Firefox, aqu pudimos agregar

el plugins a todos los Navegadores en uso, los que nos permitio poder iniciar una conversacin
desde cualquiera de los navegadores antes mencionados.

Comunicacin Webrtc etre navegadores Mozilla Firefox y Google Chrome.

Comunicacin Webrtc entre Opera y Google Chrome

Comunicacin Webrtc entre Opera y Mozilla Firefox.

Tambin se realiz prueba a travs de pginas que proporcionan el servicio Webrtc a travs de
demostraciones pblicas, que trabajan compartiendo urls con los usuarios que van a intervenir
en la conversacin.
En esta prueba pudimos involucrar al navegador Internet Explorer 11, para esto se tuve que
instalar posteriormente una plugins llamados temasys que trae soporte para WebRTC a las
versiones de escritorio de Safari e IE.
Para las pruebas utilizamos una pgina de demostracin pblica llamada getaroom,

Comunicacin Webrtc entre Internet Explorer y Google Chrome

Comunicacin Webrtc entre Opera Y Google Chrome

Otra pgina que se uso fue talk.io.


Comunicacin Webrtc entre Opera y Google Chrome

Comunicacin Webrtc entre Firefox y Google Chrome

OBSERVACIN Y TOMA DE VALORES DE 3 PARMETROS QOS

Los parmetros que rigen la medicin de calidad del servicio son la Latencia, Jitter y
Perdida de paquetes.
Latencia: La perdida de paquetes se produce cuando uno o ms paquetes que se
transmiten a travs de la red no llegan a destino. Dicha perdida de paquetes se puede
producir por errores en la transmisin, y all si tiene influencia la tasa de errores (BER)
del medio fsico y del sistema de codificacin empleado, o por otras causas como ser:
enrutamiento errneo, congestin en los routers, fallas en las interfases, fallas en el
software y/o hardware del router, etc.
Dado que la congestin en los routers, que bsicamente es la incapacidad de procesar
(encaminar) y/o almacenar los paquetes que entran al router, tiene un impacto directo en
la perdida de paquetes. Una vez declarada la misma se deben eliminar dichos paquetes
para disminuir el trafico, se emplean mecanismos para la deteccin temprana de la
congestin y tambin para tratar de evitar que llegue a niveles altos y se bloquee el enlace.
Existen varios mtodos para tratar la congestin, como ser: RED - Random Early
Detection; WRED - Weighted Random Early Detection y DWRED - Distributed
Weighted Random Early Detection.
Jitter: En general se denomina jitter en el campo de la electrnica a un cambio indeseado
y brusco de una determinada propiedad de una seal. No obstante, este concepto utilizado
en el mbito de las redes para la transmisin de datos significa que los paquetes del mismo
flujo de datos, que tienen el mismo origen y destino, emplean tiempos de transito RTT
diferentes. En otras palabras llegan a destino con retardos diferentes, causados por la
congestin de la red, perdida de sincronizacin o por las diferentes rutas seguidas por lo
paquetes para llegar a destino. Si los retardos fueran todos de igual valor, el jitter no
existe. Segn la Norma ETSI EG 202 057 4 el jitter se mide como la desviacin estndar
de los retardos en la entrega de paquetes. Este efecto es especialmente nocivo en
aplicaciones multimediales (iscronas) dado que el arribo indeterminado de los paquetes
al extremo receptor dificulta la recomposicin de la voz o el video en tiempo real.
RTT: El retardo o Delay en las redes se define como el tiempo total que se requiere para
que un paquete llegue a destino a partir de un punto de ingreso a la red y retorne al origen.
Esta demora depende de factores fijos y tambin variables. Entre los factores fijos
podemos citar:

El tiempo de la serializacion de la informacin que estaba en formato paralelo.


El tiempo de trnsito o propagacin debido a la distancia entre origen y destino
La demora en el procesamiento propio de una aplicacin informtica.

Entre los factores variables estn todos aquellos vinculados al trfico tanto a la entrada al
nodo de conmutacin como as tambin a la salida del mismo e involucra los procesos de
encolamiento de los paquetes. La congestin es un aspecto muy importante en el
incremento de la demora. En general se define el retardo de trnsito extremo a extremo
como el tiempo de ida y vuelta (en milisegundos) de un paquete de una determinada
longitud, por ejemplo 100 bytes entre una sede o dependencia origen y otra destino,
pertenecientes a la misma organizacin o empresa.

TOPOLOGIA DE LA RED

Conclusiones.

La principal utilidad de web-RTC facilitar la comunicacin de flujos de audio video y datos en


tiempo real, en ese sentido es un producto sustitutivo de cualquier otra tecnologa anterior de
videoconferencia y envo de archivos P2P.
web-RTC es una completa y slida base sobre la que construir un proyecto de comunicacin RTC,
con las garantas de una API bien documentada y respaldada por importantes entidades
tecnolgicas como son el W3C, IETF y Google.

El Hello Firefox nos permite realizar el uso de audio y video en una conversacin sin
tener que usar otros programas externos como el Skype, tambin nos permite hacer uso
de su servicio sin tener que registrase, y el contacto con quien se realiza la conversacin
necesariamente no debe de usar el Firefox, sino un navegador compatible como Chrome
u Opera.
El Hangouts comparte varias similitudes con el hello de Firefox pero a diferencia este
permite iniciar una conversacin desde cualquier navegador no precisamente de google
Chrome para esto solo hay que agregar el complemento a la barra del navegador que
usemos

Administracin de Redes
Catedrtico:
Ing. Michelle Zambrano
Responsables:

Gonzlez Loor Angie Lissely


Mendoza Lpez Xavier Israel
Molina Moreira Kelvin Stalin
Ostaiza Pinargote Harry Daniel
Romero Ponce Karla Liscet

Curso:
Sexto A
octubre 2014 febrero 201

SISTEMAS DE MONITOREO DE RED


Es el uso de un sistema que constantemente monitoriza una red de
computadoras en busca de componentes defectuosos o lentos, para luego
informar a los administradores de redes mediante correo electrnico, pager u
otras alarmas. Es un subconjunto de funciones de la administracin de redes.
Estas herramientas de supervisin pueden enviar automticamente las
actualizaciones o activar copias de seguridad en caso de interrupciones
causadas por accidentes o sobrecargas del servidor, conexiones de red y otros
factores. Por ejemplo, para averiguar el estado de un servidor web, el software
de monitoreo de vez en cuando puede enviar una peticin HTTP a buscar una
pgina. Para los servidores de correo electrnico, un mensaje de prueba puede
ser enviado a travs de SMTP y trado por IMAP o POP3. En el caso de solicitar el
estado de las fallas, el software de monitoreo puede enviar un mensaje de
alarma al administrador de sistemas, a su vez en sistemas de conmutacin por
error para eliminar la problemtica del servidor hasta que pueda ser corregida,
o hacer otras acciones imperativas.

WIRESHARK
Wireshark, antes conocido como Ethereal, es un analizador de
protocolos utilizado para realizar anlisis y solucionar problemas en redes de
comunicaciones, para desarrollo de software y protocolos, y como una
herramienta didctica. Cuenta con todas las caractersticas estndar de un
analizador de protocolos de forma nicamente hueca.
Permite ver todo el trfico que pasa a travs de una red (usualmente una
red Ethernet, aunque es compatible con algunas otras) estableciendo la
configuracin en modo promiscuo.
Permite examinar datos de una red viva o de un archivo de captura salvado en
disco. Se puede analizar la informacin capturada, a travs de los detalles y
sumarios por cada paquete. Wireshark incluye un completo lenguaje para filtrar
lo que queremos ver y la habilidad de mostrar el flujo reconstruido de una sesin
de TCP.
Wireshark es software libre, y se ejecuta sobre la mayora de sistemas operativos
Unix y compatibles,incluyendo Linux,Solaris, FreeBSD, NetBSD, OpenBSD, Android,
y Mac OS X, as como en Microsoft Windows.

Caractersticas de WireShark

Mantenido bajo la licencia GPL.

Muy robusto, tanto en modo promiscuo como en modo no promiscuo.

Puede capturar datos de la red o leer datos almacenados en un archivo (de


una captura previa).

Basado en la librera pcap.

Tiene una interfaz muy flexible.

Gran capacidad de filtrado.

Admite el formato estndar de archivos tcpdump.

Reconstruccin de sesiones TCP

Se ejecuta en ms de 20 plataformas.

Es compatible con ms de 480 protocolos.

Puede leer archivos de captura de ms de 20 productos.

Puede traducir protocolos TCP IP

HYPERIC
Es una herramienta Open Source para monitorear cualquier tipo de aplicacin
y sistema. Diseado para proporcionar todas las capacidades fundamentales
de gestin y de supervisin para las aplicaciones web y las infraestructuras de TI.
Monitorea y administra aplicaciones Web, en la nube y locales, con alertas,
especial para entornos que se deben monitorizar las 24 horas.
CARACTERSTICAS DE HYPERIC HQ
Rpida implementacin.
Trabaja correctamente en mltiples plataformas como Unix, Linux, Windows,
Solaris, AIX, HPUX, VMware, y Amazon Web Services.
Monitorea todo tipo de aplicaciones: Monitoreo de hardware, mtricas de
rendimiento, accesos, cambios de configuracin, SLAs y ms.
Diagnsticos incorporados: Diagnstico de plataformas remotas desde HQ,
utilizando diagnsticos de sistema operativo o sus herramientas programadas en
casa.
Control Completo: Ejecuta comandos remotos, reinicia servidores, y hace el
mantenimiento en plataformas remotas.

FUNCIONES DE HYPERIC
Es capaz de administrar aplicaciones locales y aplicaciones Web.
Administrar el inventario de software.
Permite ejecutar diagnsticos en los recursos remotos.
Log y eventos de seguimiento: HQ-captura eventos de registro, cambios de
configuracin y alertas, y automticamente se correlaciona con el rendimiento
y la disponibilidad.

NAGIOS
Nagios es considerado como uno de los ms populares, si no el ms popular
sistema de monitorizacin de red de cdigo abierto disponible. Fue diseado
originalmente para ejecutarse en Linux, pero otras variantes de Unix son
soportadas tambin. Nagios proporciona supervisin de los servicios de red
(SMTP, POP3, HTTP, NNTP, ICMP, SNMP, FTP, SSH) y recursos de host (carga del
procesador, uso de disco, los registros del sistema), entre otros. El control remoto
es manejado a travs de tneles SSH o SSL cifrado. Nagios tiene un diseo simple
que ofrece a los usuarios la libertad para desarrollar sus chequeos de servicio sin
esfuerzo propio basado en las necesidades y mediante el uso de cualquiera de
las herramientas de apoyo que guste. Para detectar y diferenciar entre hosts
que estn abajo y los que son inalcanzables, Nagios permite definir jerarqua de
la red de acogida con los hosts "padre". Cuando los servicios o los problemas de
acogida se plantean, la notificacin ser enviada a la persona que est a cargo
de la red a travs del correo electrnico, SMS, etc.

ZABBIX
Zabbix es una clase de mecanismo de vigilancia tipo empresarial que est
completamente equipado y tiene soporte comercial. Es capaz de monitorear y
dar seguimiento de la situacin de los diferentes tipos de servicios de red,
servidores y otro hardware de red. Zabbix tiene grandes funcionalidades de
visualizacin incluidas las vistas definidas por el usuario, zoom, y la cartografa.
Tiene un mtodo de comunicacin verstil que permite una configuracin
rpida y sencilla de los diferentes tipos de notificaciones de eventos
predefinidos. Zabbix cuenta con tres mdulos principales: el servidor, los
agentes, y el usuario. Para almacenar los datos de seguimiento, puede utilizar
MySQL, PostgreSQL, Oracle o SQLite como base de datos. Sin necesidad de
instalar ningn software en el host de seguimiento, Zabbix permite a los usuarios
comprobar la disponibilidad y capacidad de respuesta de los servicios estndar,
como SMTP o HTTP. Para supervisar las estadsticas, tales como carga de la CPU,
utilizacin de la red y espacio en disco, un agente de Zabbix debe estar
instalado en la mquina host. Zabbix incluye soporte para el monitoreo a travs

de SNMP, TCP y controles ICMP, IPMI y parmetros personalizados como una


opcin para instalar un agente en los hosts.

CACTI
Cacti es una herramienta web de grficas que est diseada como una interfaz
completa para almacenamiento de datos de RRDtool y la utilidad grfica que
permite a los usuarios monitorear y graficar la carga de la CPU, la utilizacin de
ancho de banda de red, el trfico de red, y mucho ms. Puede ser utilizado
para configurar la recopilacin de datos en s, lo que permite configuraciones
particulares, a controlar sin ningn tipo de configuracin manual de RRDtool.
Cacti permite sondear los servicios en el perodo preestablecido y el grfico de
los datos resultantes. Se utiliza principalmente para representar grficamente los
datos de series temporales de parmetros tales como la carga de la CPU y la
utilizacin de ancho de banda de red. Cacti se puede ampliar para controlar
cualquier fuente a travs de scripts de shell y ejecutables. Tambin es
compatible con arquitectura de plugins y tiene una comunidad grande y activa
que se ha reunido en torno a los foros de Cacti para proporcionar scripts,
plantillas y consejos sobre creacin de plugins.
ISRAEL

HERRAMIENTA DE MONITOREO DE REDES


El monitoreo de redes es esencial para compaas de cualquier tamao.
La herramienta de monitoreo apropiada no slo asegura que el usuario sea
notificado cuando ocurren averas, sino que tambin aumenta la eficiencia de
la red al rastrear el consumo de recurso y de ancho de banda.

El monitoreo de red ofrece los siguientes beneficios:


Reduce ineficiencia y tiempo de inactividad: no ms fallas de sistema sin
descubrir
Mejora la satisfaccion del cliente a travs de un rpido y confiable sistema.
Paz mental: siempre y cuando no haya notificicaciones de la herramienta de
monitoreo, usted sabe que todos sus sistemas estn corriendo perfectamente.
Los principales beneficios de PRTG Network Monitor son:

Se evitan las prdidas causadas por fallos en la red sin detectar.


Reduccin de costes ya que podemos comprar el ancho de banda y
hardware segn las necesidades reales.
Un rendimiento mejor ya que el monitoreo de red nos ayuda a evitar la
saturacin de la red.

Medir el ancho de banda y optimizar la red con PRTG Network Monitor


El monitoreo de ancho de banda se refiere a la medicin del ancho de
banda de lneas alquiladas, conexiones de red y equipos (routers, switches,
etc.). PRTG Network Monitor permite enviar notificaciones si hay cargas
excesivas en la red, o si un umbral de utilizacin de ancho de banda se haya
traspasado.

PRTG Network Monitor permite:


Medir cunto ancho de banda se est utilizando (por ejemplo para fines de
facturacin) y por qu aplicaciones y servidores / usuarios
Ver tendencias de utilizacin
Encontrar cuellos de botella y errores de conectividad para evitarlos en el futuro
Balancear y optimizar el trfico de red
Mejorar el flujo de datos en su red
Reducir costes comprando el ancho de banda y hardware segn la carga
efectiva
Ofrecer un servicio mejor a los usuarios ya que podemos actuar de manera
proactiva

CMO MEDIR EL ANCHO DE BANDA CON PRTG?

PRTG Network Monitor mide el trfico de red y proporciona resultados detallados


en tablas y grficos.
As podemos verificar el ancho de banda y analizar su uso basado en varios
parmetros, como, por ejemplo, direcciones IP, nmero de puerto, protocolos,
etc. Para ello, PRTG usa las siguientes tecnologas:

Qu funcionalidades debera tener una buena herramienta de monitoreo de


redes.
Un buen monitor de red debera ser fcil de instalar y usar. Adems, debera
contar con las siguientes funcionalidades:
Administracin remota a travs de navegador web, dispositivos mviles,
y aplicacin de Windows
Notificaciones sobre fallos a travs de correo electrnico, mensajera
instantnea, SMS, etc.
Amplia seleccin de sensores.
Posibilidad de monitorear varios sitios con una sola instalacin.
Soporte de todos los mtodos comunes de adquisicin de datos de
utilizacin (SNMP, sniffer de paquetes, NetFlow, sFlow, jFlow).
El monitoreo de la disponibilidad de red comprueba si los servicios ofrecidos
estn en funcionamiento y si tantos los usuarios internos como externos (si
apropiado) pueden acceder a ellos. Incluye el monitoreo de pginas web,
servidores de correo electrnico, y conexiones de Internet.
El monitoreo del ancho de banda y de la velocidad de red evita que nuestros
pginas web y servicios de red pierden visitantes debido a pginas, ficheros o
imgenes que tardan mucho en cargar.
El monitoreo de la actividad de red nos sirve para evaluar las cargas que los
equipos de red tienen que sostener y para ver las tendencias de utilizacin.
DESCUBRIMIENTO AUTOMTICO DE RED
Despus de registrarse a la interfaz web seleccione el botn Pg. princ. del men
principal.
Aparecer la pantalla de bienvenida.

Selecione Ejecutar descubrimiento automtico de red para automticamente


escanear sured. PRTG tratara de detectar todos los aparatos conectados en tan
solo dos pasos.
Descubrimiento automtico - primer paso
En el primer paso se desplegara el rbol con todas las sondas y grupos de su
configuracin.

Seleccione Sonda local del rbol de aparatos. Haga clic en el botn


Continuar. Descubrimiento automtico - segundo paso
En el segundo paso se requiere informacin adicional de su red.

Con la seleccin de mtodo de IP puede seleccionar si desea insertar una IP


base clase C, una lista de IPs individuales, IP y subnet o una IP con rango de
octets. Todos estos mtodos resultan en un rango de direcciones IP que sern
escaneados durante el proceso de descubrimiento automtico. Dependiendo

de la seleccin se activaran diferentes campos de selecin.2011-11-24 11 3


Descubrimiento automtico de red
Recomendamos usar la opcin IP base clase C. En el campo IP base introduzca
los primeros tres octetos del rango de la IP de su red IPv4, por ejemplo 192.168.0
10.0.0 cualquier rango de direccin IP que est usando. Si no cambia los
valores de los campos IPv4 inicio de rango y fin de rango PRTG
automticamente completara la base de la IP le escaneara todas las
direcciones de IP terminando con .1 a .254.

Luego esperamos que se cargue al 100% para que carguen todos los dispositivos
que se encuentran en la red
Monitoreo de red -ip privada 192.168.70.1

Dispositivo 192.168.70.100

Dispositivo 192.168.70.102

Dispositivo 192.168.70.106

Dispositivo nova-pc

Dispositivo 192.168.70.112

Monitoreo de red ip pblica 190.214.193.110


Seleccionamos el grupo donde estar el aparato

Colocamos el nombre del aparato y la ip respectiva en este caso usamos una


ip publica de la red a la que vamos a monitorear.

Agregamos un sensor ping para establecer la conectividad

Luego verificaremos la conectividad en el grafico del sensor ping

Monitoreo de red- ip privada 192.168.1.1

Dispositivos conectados en esta red


Dispositivo 192.168.1.1

Dispositivo 192.168.1.5

Dispositivo pc1

Se aade un sensor http para monitorear el tiempo de acceso a la url


http//www.utm.edu.ec

Monitoreo de red ip publica 186.178.13.225


Seleccionamos el grupo donde estar el nuevo aparato

Seleccionamos el nombre y la direccin ip del aparato en este caso la direccin


publica 186.178.13.225

Agregamos sensores para verificar la conectividad y monitorear el tiempo de


acceso a una url en este caso www.utm.edu.ec

Verificamos las grficas de los sensores

ANEXOS

BIBLIOGRAFIA
http://www.es.paessler.com/network_monitoring
http://es.wikipedia.org/wiki/Monitoreo_de_red#Comparaci.C3.B3n_de_los_Sist
emas_de_Monitoreo_de_Redes
http://www.es.paessler.com/netflow_monitoring
http://es.slideshare.net/VanesaPercy/plataforma-de-monitoreo
http://www.es.paessler.com/bandwidth_monitoring
http://es.wikipedia.org/wiki/Tcpdump
http://fraterneo.blogspot.com/2010/12/5-aplicaciones-libres-para-monitoreode.htm

TOPOLOGIA DE RED

Administracin de Redes
Catedrtico:
Ing. Michelle Zambrano
Responsables:

Gonzlez Loor Angie Lissely


Mendoza Lpez Xavier Israel
Molina Moreira Kelvin Stalin
Ostaiza Pinargote Harry Daniel
Romero Ponce Karla Liscet

Curso:
Sexto A
Octubre 2014 Febrero 2015

SEGURIDAD BASICA PARA ADMINISTRACION DE REDES


Sin importar si est conectada por cable o de manera inalmbrica por cable o de
manera inalmbrica, las redes de computadoras cada vez se tornan ms
esenciales para las actividades diarias. Convirtindose en una herramienta
importante para que personas no autorizadas puedan acceder y realicen daos.
Los ataques a una red pueden ser desbastadores y pueden causar prdida de
tiempo y de dinero debido a los daos o robos de informacin o de activos
importantes.
Lo que la seguridad de una red busca o de los sistemas de informacin e es de
resistir, con un determinado nivel de confianza, los accidentes o acciones ilcitas
o malintencionadas que comprometan la disponibilidad,

autenticidad,

integridad y confidencialidad de los datos almacenados o transmitidos y de los


servicios que dichas redes y sistemas ofrecen o hacen accesibles.

1. ELEMENTOS DE LA SEGURIDAD
La disponibilidad, desempeo, confidencialidad, integridad y control de acceso
fsico y lgico, proponen un enfoque integral de acercamiento a la seguridad de
la informacin que viaja por la red, considerando elementos tales: Switches,
routers, Firewall, IPS/IDS, Gateway, Antivirus, etc. De tal manera que se puede
combinar efectivamente la seguridad de la informacin en los diferentes sistemas
hoy disponibles, sin afectar al desempeo de la red y mejoramiento a su vez la
disponibilidad. Todo lo anterior conforma una estrategia integrada para la
seguridad en la red.
Firewall.- Un firewall es un sistema de defensa lgico y fsico basado en
el hecho de que todo el grafico de entrada o salida a la red debe pasar
obligatoriamente por un sistema de seguridad capa de autorizar denegar
y tomar nota de aquello que ocurre en la red.

Tipos de Firewall. Proxy o servidor de defensa.- El proxy es un software que se instala


en una pc (que es aconsejable que sea exclusivamente para ese
programa) conectada a una red local, buscando funcionar como
una puerta lgica. Pueden tener varias aplicaciones pero
generalmente funciona como firewall.
Gateway a nivel de aplicacin.-El Gateway se caracteriza por ser
un dispositivo que se filtra datos. Tanto los puentes como los
routers pueden hacer de Gateway, a travs de los cuales entran y
salen

datos.

Los

gateways

nivel-aplicacin

permiten

al

administrador de red la implementacin de una poltica de


seguridad estricta que la que permite un ruteador filtra-paquetes.
Ruteador filtra-paquetes.-Este ruteador toma las decisiones de
negar/permitir el paso de cada uno de los paquetes de datos que
son recibidos. El ruteador examina cada datagrama para
determinar si este corresponde a uno de sus paquetes filtrados y
determina si ha sido aprobado por sus reglas.
Identidad.- La identidad se refiere a la identificacin precisa y positiva de
los usuarios, hosts, aplicaciones, servicios y recursos de la red. Entre las
tecnologas estndar que permiten la identificacin podemos citar los
protocolos de autenticacin como RADIUS (Remote Access Dial-In User
Service, Servicio de usuario por acceso remoto por marcacin) y
TACACS+ (Terminal Access Controller Access Control System Plus,
Sistema plus de control de acceso al controlador de acceso al terminal),
Kerberos y las herramientas OTP (One-Time Password, contrasea de un
solo uso). Las tecnologas nuevas, como los certificados digitales, las
tarjetas inteligentes, la biometra y los servicios de directorio, estn
empezando a jugar papeles cada vez ms importantes en las soluciones de
la identidad.

Privacidad de los datos.- Cuando es preciso proteger la informacin de


las escuchas secretas, es crucial la capacidad de proporcionar una
comunicacin autenticada y confidencial. En ocasiones, la separacin de
datos utilizando tecnologas de tunneling, como GRE (Generic Routing
Encapsulation, Encapsulacin de enrutamiento genrico) o L2TP (Layer 2
Tunneling Protocol, Protocolo de Tunneling de la capa 2), ofrece una
privacidad eficaz de los datos. Sin embargo, una privacidad adicional
requiere a menudo el uso de tecnologa de cifrado y protocolos digitales,
como IPSec (Seguridad IP). Esta proteccin adicional es especialmente
importante a la hora de implementar VPN.
Administracin de la seguridad.- Para garantizar que una red sigue
siendo segura, es importante comprobar y monitorizar regularmente el
estado de la preparacin de la seguridad. Los escaneadores de
vulnerabilidades en la red pueden identificar proactivamente reas
dbiles, mientras que los sistemas de deteccin de intrusiones pueden
monitorizar y responder ante eventos de seguridad cuando estos
aparecen. Mediante las soluciones de monitorizacin de la seguridad, las
empresas pueden obtener una visibilidad significativa tanto del flujo de
datos de la red como de la actitud de la red en materia de seguridad.
Administracin de polticas
A medida que crece el tamao y la complejidad de las redes, aumenta la
necesidad de herramientas de administracin centralizada de polticas. Se
hacen necesarias herramientas ms sofisticadas que puedan analizar,
interpretar, configurar y monitorizar el estado de la seguridad. Las
herramientas con una interfaz de usuario basada en un navegador pueden
mejorar la usabilidad y la eficacia de las soluciones de seguridad en redes.

Disponibilidad intenta que los usuarios puedan acceder a los servicios


con normalidad en el horario establecido.

Integridad el objetivo es que los datos queden almacenados tal y como


espera el usuario: que no sean alterados sin su consentimiento. Los
sistemas se deben poder checar en cuanto a su integridad, esto con el fin
de detectar modificaciones que puedan afectar la seguridad. Si el sistema
se corrompe o es modificado, sera deseable detectar el origen del
problema (quien lo modific) y restituir la integridad (en muchos casos
hay que reinstalar el sistema).
Control de acceso los recursos del sistema son proporcionados o negados
de acuerdo al tipo de usuario que los solicite, y dependiendo desde donde
haga la solicitud. Algunas veces slo se permite uso parcial de los
recursos, esto es comn en sistemas de archivos, donde algunos usuarios
solamente pueden leer, algunos otros leer y escribir, etc.
Falla en posicin segura.-Los sistemas deben estar diseados para que en
caso de falla queden en un estado seguro. Por ejemplo en redes, en caso
de falla se debe suspender el acceso a Internet.
Check Point.- Se hace pasar todo el trfico de la red por un solo punto y
se enfocan los esfuerzos de seguridad en ese punto. Puede disminuir el
rendimiento.
Defensa en profundidad.-Consiste en usar tantos mecanismos de
seguridad como sea posible, colocndolos uno tras otro. Puede hacer muy
compleja la utilizacin del sistema.
Simplicidad.-Los sistemas muy complejos tienden a tener fallas y huecos
de seguridad. La idea es mantener los sistemas tan simples como sea
posible, eliminando funcionalidad innecesaria. Sistemas simples que
tienen mucho tiempo, han sido tan depurados que prcticamente no
tienen huecos de seguridad.
Seguridad por Obscuridad.-La estrategia es mantener un bajo perfil y
tratar de pasar desapercibido, de modo que los atacantes no lo detecten.

2. ELEMENTOS A PROTEGER
Los recursos que se deben proteger no estn estandarizados, los mismos
dependen de cada organizacin y de los productos o servicios a los que la misma
se dedique.
Bsicamente los recursos que se han de proteger son:
Hardware.- Que es el conjunto formado por todos los elementos fsicos de
un sistema informtico, entre los cuales estn los medios de
almacenamiento.
Software.- Que es conjunto de programas lgicos que hacen funcional al
hardware.
Datos.- Que es el conjunto de informacin lgica que maneja el software
y el hardware.
Para los tres elementos a proteger existen cuatro tipos de amenazas:
Interrupcin.- Cuando un objeto del sistema se pierde, queda inutilzale
o no disponible.
Intercepcin.- Cuando un elemento no autorizado consigue un acceso a
un determinado objeto del sistema.
Modificacin.- Es cuando se altera algn objeto del sistema, una vez
adentro del mismo.
Fabricacin.- Es cuando se cambia algn objeto del sistema por otro de
aspecto igual pero con un objetivo distinto.
Sin embargo debemos tener en cuenta que cuando nos referimos a seguridad en
redes el bien ms preciado a proteger es la informacin que circula por la
misma.

3. TIPOS DE RIESGOS
Riesgos en una Red Corporativa
Las personas son el recurso de mayor importancia al evaluar los riesgos en una
red, puesto que la seguridad en una red comienza y termina con las personas.
Para empezar, lo mejor siempre es organizar la red (y por supuesto las personas
que la incluyen) en grupos de trabajo. Por ejemplo, en un edificio de oficinas lo
correcto sera dividir la red por pisos y por departamentos; luego individualizar
los sujetos para finalmente establecer los niveles de responsabilidad de cada piso,
departamento e individuo, de acuerdo a su funcin y ocupacin. Hago especial
hincapi en este punto debido a que las cifras avalan esta posicin: el 80 % de los
problemas generados en una red son bsicamente responsabilidad de sus
integrantes, y slo el 20 % se debe a factores externos de una corporacin. Los
tres factores que alimentan esta estadstica son: Ignorancia, haraganera y
malicia. La ignorancia como factor puede ser fcilmente solucionado mediante
cursos (seminarios de seguridad internos), publicidad (pop-ups en las ventanas
de inicio de sesin, folletos, publicaciones en murales, etc.) y mediante exmenes
peridicos de las habilidades de cada miembro. La haraganera, o flojera, es un

factor muy comn en las grandes corporaciones, en las cuales las principales
brechas de seguridad se deben a la incompetencia de sus miembros, al no apagar
su equipo cuando se retira de su lugar de trabajo, olvidan cerrar su sesin, o
simplemente, dejan encendido su terminal, sin proteccin alguna de otros
individuos que buscan daar su posicin. Y en este ltimo punto saltamos al
tercer factor: la malicia. En ningn lado nos encontramos libres de las emociones
de nuestros pares, especialmente cuando tratamos con personas que trabajan par
a par con nosotros, que buscan o anhelan ascender de cualquier manera en los
niveles de una organizacin. Basta decir que evitar ambientes de rivalidad y
competencia desleal, e incentivar la lealtad entre los pares de una organizacin
logran solucionar este tipo de problemas. La participacin condicionada tambin
ayuda a incrementar la seguridad de una organizacin, al preguntar y escuchar
los diversos problemas que las personas tienen con los equipos conectados a red.
Esto permite ver las cosas desde el enfoque de aquellos que participan en la red
(usuarios).
El punto que quizs ms problemticas genera al poner en marcha un plan de
seguridad es, por supuesto, la puesta en marcha del plan. La mayora de los
usuarios tienen problemas para aclimatarse con las nuevas disposiciones de
seguridad, y tienden a desconfiar, cometer errores, y obviamente, reclamar por
los problemas que tienen. La solucin es dar por lo general un cierto perodo de
marcha blanca, en el cual la red debe ser monitoreada de manera frecuente
para ir solucionando los diferentes problemas imprevistos en el plan de
seguridad, y adems para evitar posibles ataques externos que se aprovechen de
la vulnerabilidad del sistema.
Estimacin de los niveles de riesgo en una red
No todos los recursos en una red poseen el mismo nivel de riesgo. As mismo, si
consideramos que el factor humano tiende a ser el nivel de mayor riesgo, la
manipulacin de un determinado recurso entrega un nivel diferente de riesgo

que otro. As, el dao fsico a un recurso no siempre generar una consecuencia
mayor que el que puede hacerse mediante un software o un determinado recurso
de la red. Por ejemplo, no podramos decir que el dao provocado por un
desperfecto en un cable puede ser mayor a la filtracin de cierta informacin
confidencial. De esta manera, el anlisis de riesgos debe incluir lo siguiente:

Qu se necesita proteger

De quin protegerlo

Cmo protegerlo

Del anlisis de estos puntos, es posible realizar estimaciones del riesgo de la


prdida de un determinado recurso (R) (a todo nivel) versus su importancia (I).
Si les asignamos un valor numrico, digamos de cero a diez, tendremos entonces
que para R, cero indica que no existe riesgo y diez como el nivel de riesgo ms
alto, y para I, cero indicara un recurso sin importancia, mientras que un valor
de diez indicara al recurso ms importante de la red. Estos valores tienden a ser
subjetivos a nivel global, pero si se consideran dentro del marco de funcionalidad
de una red, podemos ver, por ejemplo, que ser muy difcil encontrar un recurso
sin importancia, o que simplemente no exista riesgo de prdida. As tambin
probablemente tan slo uno o dos recursos alcanzarn los valores mximos en
ambas escalas, o quizs la funcionalidad de la red dependa de la funcionalidad
total de todos los recursos (vase, por ejemplo, el caso de una red privada que
requiera que todos sus elementos funcionen en sincrona). Como sea, la
evaluacin total del riesgo (W) estar determinada por el producto de ambos
factores, dando as:
Wi=Ri * Ei
Siendo W la importancia del riesgo de prdida de un determinado recurso, R
el riesgo de prdida del recurso, E la importancia del recurso, y el subndice
i el nmero del recurso evaluado.

Ejemplificando, supongamos una red simple con un servidor, un MODEM y un


router.
Los valores fueron entregados luego un anlisis previo
que entregaba estas cifras como las mejores para
estimar esta red (en este caso, por ejemplo, puede ser
el laboratorio de una escuela).
A cada componente se le ha asignado un cierto riesgo
y

una

cierta

importancia,

de

acuerdo

la

funcionalidad que cumpla esta red.


Tenemos entonces:
Servidor:

R1=10 E1=10

MODEM:

R3=3

E3= 3

Router:

R2=6

E2=7

El clculo del riesgo evaluado ser, por lo tanto:


Servidor: 10 x 10 = 100 (mximo valor de riesgo!!)
MODEM: 3 x 3 = 9 (nivel de seguridad bajo)
Router: 6 x 7 =42 (nivel de seguridad medio)
Mediante este mtodo, podemos evaluar cules son los principales puntos de
riesgo en una red. En este caso, vemos que el servidor muestra un valor mximo
ponderado de riesgo; la seguridad de este recurso debe ser, por tanto, prioridad
por sobre la de los dems. Al realizar cualquier anlisis de riesgo, deben ser
considerados todos los recursos (an por triviales que parezcan) cuya seguridad
est en riesgo de ser quebrantada.
Los recursos que deben ser considerados en cualquier anlisis son:

Hardware: procesadores, tarjetas, teclados, terminales, estaciones de


trabajo, computadoras personales, impresoras, unidades de disco, lneas
de comunicacin, cableado de la red, servidores de terminal, routers,
Bridges, etc.

Software: programas fuente, programas objeto, utileras, programas de


diagnstico, sistemas operativos, programas de comunicaciones.

Datos: durante la ejecucin, almacenados en lnea, archivados fuera de


lnea, back-up, bases de datos, en trnsito sobre medios de comunicacin.

Gente: usuarios, operadores, tcnicos.

Documentacin: sobre programas, hardware, sistemas, procedimientos


administrativos locales.

Accesorios: papel, formularios, cintas, informacin grabada.

Ahora bien, de todos estos recursos, el que siempre lleva estadsticamente la


delantera en cuanto a riesgo es el recurso humano, en lo que respecta al universo
de personas que pueden afectar una corporacin. Como ya habamos dicho, un
80 % corresponde a problemas generados por los mismos integrantes de la
organizacin o corporacin, y solo el 20 % restante a elementos externos.
Luego

de

notar

esta

estimacin,

se

podrn

realizar

los

diagramas

correspondientes, considerando el nmero del recurso y su grado de


responsabilidad en cuanto a nivel de acceso a los recursos no humanos de la red.
Por ejemplo:
Recurso n: 52
Nombre del recurso: Router inalmbrico (5 piso)
Identificacin del Usuario o Grupo: Oficinas de Gerencia COXXXX
Tipo de acceso: Local y remoto
Permiso(s) otorgado(s): Lectura (con seguridad habilitada), acceso a Internet.

Solucionado el problema interno, es importante abocarse a la seguridad contra


elementos externos, estimando las posibles falencias que posee nuestra red en
cuanto a accesos clandestinos y posibles ataques. Para ello se deben planificar
las acciones a seguir mediante un procedimiento de supervisin, con
herramientas de control y seguimiento de accesos que permitan verificar
peridicamente los eventos que ocurren en la corporacin. Por ejemplo, verificar
diariamente el nmero de correos recibidos y/o enviados, el nmero de
conexiones de red levantadas en las ltimas 24 hrs., etctera. Tambin es posible
extraer semanalmente un estado sobre los ingresos desde el exterior a la intranet
(si es que los hay), obtener un informe de los archivos descargados y quin los
realiz, informes de trfico en la red, etctera.
Procedimientos de seguridad a nivel de usuario
Todos lo que es recurso humano (persona) en una corporacin en general debera
al menos tener un acceso mnimo, con las limitaciones correspondientes, a la red.
En caso de que un individuo no posea acceso, ste an debera ser considerado
dentro de un informe de autorizacin. Esto para maximizar las posibilidades de
supervisin al interior de la red corporativa. Los datos del usuario deben al
menos llenar los siguientes campos:

Nombre y Apellido

Puesto que ocupa en la corporacin

Nombre del superior directo que confirme la posicin del individuo

Descripcin de los recursos a los cuales desea tener acceso y su motivo

Consentimiento de que sus actividades son susceptibles de ser


supervisadas en cualquier momento y de que conoce las normas de buen
uso de los recursos (para lo cual, se le debe dar una copia de tales
normas).

Explicaciones breves, pero claras de cmo elegir su contrasea.

Tipo de cuenta

Fecha de caducidad y/o expiracin

Datos referentes a los tipos de acceso (slo lectura, lectura y escritura, sin
acceso, acceso limitado, etc.)

Horario de uso (en general).

Con respecto a las contraseas, es importante revisar si la contrasea entregada


es segura, haciendo correr por ejemplo, un programa (crack) para determinar
cunto se demora en descifrarla.
La baja del usuario se realiza cuando un elemento de la organizacin se aleja o
cuando cesa en el cumplimiento de sus actividades por un tiempo determinado
(vacaciones, viticos prolongados, cambio de departamento, etc.). Esta debe ser
informada por el o los departamentos correspondientes a la administracin de
redes, que determina la inhabilitacin o eliminacin de la cuenta, con las
consecuencias que ello significa (respaldo o eliminacin de la informacin,
directorios y archivos de la cuenta).
Procedimientos de seguridad a nivel global
Entre los procedimientos a nivel global se encuentran:

Verificacin de accesos: Mediante aplicaciones que informen anomalas,


incluyendo fecha, hora, recurso y detalles tcnicos.

Chequeo del trfico de red: tambin mediante aplicaciones que entreguen


informes peridicos de los programas que se ejecutan, quin es el
encargado de monitorear los datos generados, los intervalos de monitoreo,
etc.

Monitoreo de los volmenes de correo: Permite entregar detalles como el


ingreso de spam a la red, posibles invasiones o mal uso de los recursos
de la red.

Monitoreo de conexiones activas: Este procedimiento se efecta con el fin


de prevenir que algn usuario deje su terminal abierta y sea posible que

alguien use su cuenta. Tambin se usan aplicaciones para monitorear la


actividad de las conexiones de los usuarios. Si la cuenta tiene cierto tiempo
inactiva, cierra la sesin y genera un informe (log) con el acontecimiento.

Monitoreo de modificacin de archivos: Permite determinar la


modificacin no autorizada de los recursos de software y/o de la
integridad de los mismos. Este es quizs el procedimiento ms importante
dentro de lo que es seguridad global, pues permite saber si, por ejemplo,
un archivo es eliminado o la presencia de algn tipo de virus en el sistema.

Respaldos de seguridad: No slo es importante respaldar la informacin


que se encuentra en la red, sino adems la configuracin de todos los
recursos de la red, incluyendo la labor que desempea cada elemento de
la red, a fin de crear una respuesta rpida en el momento de que se suscite
un problema.

Verificacin de terminales: Esto se hace mediante la revisin de los


programas instalados en los equipos terminales de la red, lo que permite
monitorear qu aplicaciones sin licencia, archivos bajados potencialmente
peligrosos (virus, programas satlite).

Monitoreo de puertos: Permite saber qu puertos estn habilitados en la


red, en los enrutadores y en el servidor. Esto se puede hacer incluso con
los mismos enrutadores, los cuales poseen aplicaciones integradas que
permiten administrar los puertos en forma ms eficiente.

Informacin de los procedimientos: Esto es la clave para cualquier sistema


que desee evitar el mayor nmero de problemas en una red. Informando
apropiadamente, mediante seminarios internos de seguridad, va e-mail y
publicaciones peridicas, se llega a ms gente de manera ms eficiente.

Determinacin de los niveles de responsabilidad y acceso: Es importante


adems identificar a cada usuario en un grupo determinado (por ejemplo,
equipo tcnico, oficina gerencial, oficina zonal, alumnos, profesor, etc.)
para determinar el nivel de acceso a los recursos de la red.

Recuperacin del sistema: En caso de un ataque o un colapso eventual del


sistema (Se quem el servidor, necesidad de actualizar todos o algunos
recursos de la red) es necesario preparar un procedimiento que regule la
forma de recuperarlo a travs de los respaldos de seguridad realizados.
Para ello se debe estimar la forma y los costos (en materiales y en tiempo)
para llevar a cabo la restauracin.

Listas de elementos a verificar (check-list): Es importante enlistar todos los


procedimientos, con el fin de asegurar la realizacin de cada uno en su
totalidad.

Tipos de Ataques y Vulnerabilidades


1. Negacin de servicio (denial of service)
Tipo de ataque cuyo propsito es negar el acceso de un determinado recurso
o de varios recursos de la red. Esto puede traer como consecuencia la prdida
de tiempo valioso para realizar una determinada operacin, incomunicacin
o finalmente, la inoperancia de uno o de varios recursos de la red. Existen 3
tipos de ataques bsicos para negar un servicio:

Consumo de recursos escasos, limitados, o no renovables: Los recursos


propios de los terminales (datos, ancho de banda de subida y/o bajada,
acceso a otros terminales) son utilizados por el atacante para su propio
beneficio,

en

su

defecto,

para

simplemente

interrumpir

la

labor/funcin/actividad de la vctima. Las maneras son, por ejemplo,


negar la conexin a la red de los terminales mediante SYN Flood;
aprovechar la conectividad de la vctima contra s misma creando una
congestin mediante el servicio UDP; consumiendo el ancho de banda
tambin mediante el envo masivo de paquetes, etc.

Destruccin o alteracin de informacin de configuracin: Simplemente,


acceder a su terminal ingresando ilcitamente al recurso (Hack) y eliminar
o desconfigurar el sistema operativo y/o datos existentes; o en forma

presencial, ingresando a su terminal directamente, obtener su contrasea


o realizar un crack de la misma, y luego realizar una operacin similar.
Tambin es posible ingresar ilcitamente a la configuracin del router,
cambiar la informacin, lo que deshabilitara a la red.

Destruccin o alteracin fsica de los componentes de la red: Es muy


importante mantener aislados los componentes fsicos de una red, limitar
los accesos a los mismos y lo ms importante, mantener un control
peridico de la integridad fsica de routers, servidores y terminales.
Prevencin: Entre las medidas a tomar, se encuentra el uso de listas de
acceso en los routers (Muchos routers poseen filtros de MAC, los cuales
permiten el acceso de slo aquellas terminales que coincidan con el
nmero de MAC correspondiente); instalar parches contra flooding de
TCP SYN (Muchos equipos vienen ya con esta ventaja incluida); invalidar
cualquier servicio de red innecesario o sin utilizar; realizar controles
regulares y establezca una lnea base de actividad de la red, lo cual
permitira detectar un aprovechamiento de ancho de banda ilcito. Instalar
boot disks (tarjetas de booteo) en los terminales importantes y servidores,
esto permite que una vez se reinicie el equipo este mantenga la
configuracin original.

2. Obtencin o uso ilcito de claves de acceso.


Existen 3 maneras de obtener una clave de acceso:

Poseer una clave de acceso: Por lo general, la poseen elementos alejados


de la corporacin, por uno u otro motivo. Dicha clave puede ser usada por
el mismo o por otro usuario, lo que generara una eventual brecha de
seguridad.

Crear una clave de acceso: Esto se logra mediante el ingreso ilcito (Hack)
a los servidores y/o terminales, mediante la creacin de un nuevo usuario
y contrasea.

Cracking de clave de acceso: Mediante un programa especfico, se obtiene


la clave de acceso del terminal y/o servidor (cracking). Adems es posible
obtener

las

listas

de

claves

mediante

ingreso

ilcito

los

servidores/terminales (incluyendo las listas encriptadas las cuales pueden


ser descifradas mediante un programa especfico (crack)).
3. E-mail bombing y spamming (ataque SMTP)

E-mail bombing: Consiste en enviar muchas veces un mensaje idntico a


una misma direccin, saturando el correo (Inbox) del destinatario.

Spamming: Se refiere a enviar el email a centenares o millares de usuarios


e, inclusive, a listas de inters. El Spamming puede resultar an ms
perjudicial si los destinatarios contestan el mail, haciendo que todos
reciban la respuesta. Esto, combinado con e-mail poofing (que altera la
identidad de la cuenta que enva el e-mail, y por consiguiente, oculta la
identidad del emisor real) hacen del spamming una de las herramientas
favoritas para iniciar ataques hacia redes desprotegidas.

En la actualidad, los servicios de mensajera (como Gmail, Yahoo o MSN)


poseen filtros de mensajes spam, los cuales deben estar bien configurados
y actualizados para evitar situaciones que puedan generar un problema
mayor a la red.
La manera en que afectan este tipo de ataques a la red es principalmente en
lo que respecta a la conectividad en s, sobrecargando las conexiones,
maximizando la utilizacin de recursos y saturando la memoria del disco. Es
muy importante procurar mantener la bandeja de entrada de los servicios de
mensajera (Inbox), limpias y vacas, y mantener un respaldo de los mensajes
importantes recibidos en otra unidad de memoria. En redes privadas, que
poseen su propio cdigo de mensajera (elnick@miempresa.com) se deben
crear o mantener en los terminales filtros anti-spam, herramientas de
deteccin de correos iterativos, y especialmente incrementar la capacidad del

log de los terminales para recibir correo, lo que evitara inicialmente los
problemas que generan este tipo de ataques. Otra manera es configurar las
listas de acceso de los enrutadores (port 25 para SMTP) para la direccin IP
del atacante (slo luego de haber identificado al atacante y siempre despus
de un ataque).
4. Ataques por FTP
Los ataques por FTP son quizs uno de los favoritos de los hackers y
crackers en la actualidad, puesto que el enlace generado ocupa un puerto
de preferencia (el 21) en los servidores y adems entrega las facilidades obvias
de transferencia de archivos, condicin muy ventajosa para un ataque. El ftp
Bounce, por ejemplo, es un recurso de ataque usado para ingresar a la
terminal de un tercero, utilizando un servidor como escudo y medio de
ocultacin a la vez. Consiste bsicamente en realizar una conexin FTP
regular con un servidor, pero con la diferencia que la eleccin del puerto
cliente no es arbitraria. La idea de usar la conexin arbitraria del puerto
cliente permite al atacante elegir un puerto que no sea el de su propio equipo,
sino que otro diferente (el puerto del terminal de la vctima). Esto permite,
entre otras cosas, realizar una conexin ilcita con el puerto de la vctima, el
servidor y el atacante ocultando la identidad de este ltimo con la del
servidor.

Entre los medios para ingresar ilcitamente a otro terminal mediante ftp se
encuentran el ftp Bounce (ya mencionado), el escaneo de puertos (ports), que
utiliza el mismo recurso de escaneo arbitrario para ubicar un puerto abierto
del servidor (o bajo el radar del firewall) que luego se utiliza para invadir el
terminal.
Para neutralizar estas medidas, es muy importante tener en cuenta que de
acuerdo a su funcionalidad hay servidores que pueden trabajar sin
conexiones arbitrarias, mientras que otros dependen de stas para cumplir su
funcin. Un caso de los primeros sera el servidor de una empresa, y un caso
de los segundos, un servidor de uso pblico. Para los segundos, existen
algunos convenios que entregan mayor seguridad a la hora de iniciar una
conexin. Por ejemplo, el comando PORT incluye parmetros que indican al
servidor cul direccin IP conectar y qu puerto abrir en aquella direccin.
Este es el medio en el cual se manejan los atacantes para organizar toda su
estrategia. Pero trabajando en exclusiva conformidad con las funciones del
RFC, se puede lograr que la mquina slo trabaje para un solo terminal por

vez, y slo con este terminal. En lneas generales, esto evita que un terminal
realice una conexin con el servidor con la intencin de crear otra conexin
alterna con diferente direccin. La otra alternativa es realizando un proceso
de condicionamiento selectivo de los terminales conectados al servidor,
suprimiendo directamente aquellos que no han realizado una conexin
inicial. En particular, el servicio ftp es un servicio de gran utilidad, puesto que
es rpido y confiable a nivel de usuario, pero sus brechas como se puede ver
son muchas, y en lo posible es importante procurar evadir su uso como
servicio pblico.

5. Ataques por WWW


En lneas generales, los ataques va web Server son variados, y los ms
aprovechan los Bugs de los scripts de las pginas para que el servidor
entregue informacin que no desea entregar. Un ejemplo muy sencillo es
ingresar al directorio raz del web Server, omitiendo la extensin
index.htm. Otra manera es cambiando los scripts de la pgina; por ejemplo,
crear un clon web con el cdigo fuente de la pgina, luego bajar los scripts
y finalmente adulterarlos para que entreguen la informacin que se solicita.

6. Otros
Existen otras formas de ataque, como lo es el uso de TFTP (trivial file transport
protocol), que a diferencia de FTP, usa el protocolo UDP; realizar un pin-log
directo usando el protocolo TELNET, el abuso de los comandos r, y el ms
comn es el uso y abuso de keyloggers, que registran los caracteres
ingresados en los terminales.

4. MECANISMOS DE SEGURIDAD: FSICA Y LGICA


SEGURIDAD FSICA.
La seguridad fsica es la aplicacin de barreras fsicas y procedimientos de
control, como medidas de prevencin y contramedidas ante amenazas a los
recursos e informacin confidencial.
La seguridad fsica se refiere a los controles y mecanismos de seguridad dentro
y alrededor del Centro de computo as como los medios de acceso remoto del
mismo; implementados para proteger el hardware y medios de almacenamiento
de datos. Es muy importante, que por ms que nuestra organizacin sea la ms
segura desde el punto de vista de ataques externos, hackers, virus, etc; la
seguridad de la misma ser nula si no se ha previsto como combatir un incendio.
La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de
un sistema informtico. Si bien algunos de los aspectos tratados a continuacin
se prevn, otros, como la deteccin de un atacante interno a la empresa que
intenta acceder fsicamente a una sala de operaciones de la misma. Esto puede
derivar en que para un atacante sea ms fcil lograr tomar y copiar una cinta de
la sala, que intentar acceder va lgica a la misma.

Tipos de desastres
Est enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por
la naturaleza del medio fsico en que se encuentra ubicado el centro.
Las principales amenazas que se prevn en la seguridad fsica son:
1.- Desastres naturales, incendios accidentales tormentas e inundaciones.
2.- Amenazas ocasionadas por el hombre.

3.- Disturbios, sabotajes internos y externos deliberados.


A continuacin se analizan los peligros ms importantes que ocurren en un
centro de procesamiento; con el objetivo de mantener una serie de acciones a
seguir en forma eficaz y oportuna para la prevencin, reduccin, recuperacin y
correccin de los diferentes tipos de riesgos.
Incendios
Los incendios son causados por el uso inadecuado de combustibles, fallas de
instalaciones elctricas defectuosas y el inadecuado almacenamiento y traslado
de sustancias peligrosas.
Los diversos factores a contemplar para reducir los riesgos de incendio a los que
se encuentra sometido un centro de cmputo son:
1. El rea en la que se encuentran las computadoras debe estar en un local
que no sea combustible o inflamable.
2. El local no debe situarse encima, debajo o adyacente a reas donde se
procesen, fabriquen o almacenen materiales inflamables, explosivos, gases
txicos o sustancias radioactivas.
3. Las paredes deben hacerse de materiales incombustibles y extenderse
desde el suelo al techo.
4. Debe construirse un falso piso instalado sobre el piso real, con
materiales incombustibles y resistentes al fuego.
5. No debe estar permitido fumar en el rea de proceso.
Seguridad del equipamiento.
Es necesario proteger los equipos de cmputo instalndolos en reas en las cuales
el acceso a los mismos, solo sea para el personal autorizado. Adems, es necesario
que estas reas cuenten con los mecanismos de ventilacin y deteccin de
incendios adecuados.

Para protegerlos se debe tener en cuenta que:


La temperatura no debe sobrepasar los 18 C y el lmite de humedad no debe
superar el 65% para evitar el deterioro.
La red debe estar provisto de equipo de para la extincin de incendios en relacin
al grado de riesgo y la clase de fuego que sea posible en ese mbito.
Deben instalarse extintores manuales (porttiles) y/o automtico (rociadores).
Inundaciones
Se define como la invasin de agua por exceso de escurrimientos superficiales o
por acumulacin en terrenos planos, ocasionada por falta de drenaje ya sea
natural o artificial. Esta es una de las causas de mayores desastres en las redes.
Adems de las causas naturales de inundaciones, puede existir la posibilidad de
una inundacin provocada por la necesidad de apagar un incendio en un piso
superior.
Para evitar este inconveniente se pueden tomar las siguientes medidas: construir
un techo impermeable para evitar el paso de agua desde un nivel superior y
acondicionar las puertas para contener el agua que bajase por las escaleras.
Instalacin elctrica
Trabajar con computadoras implica trabajar con electricidad. Por lo tanto esta es
una de las principales reas a considerar en la seguridad fsica, ya que es una
problemtica que abarca desde el usuario hogareo hasta la gran empresa.
En la medida que los sistemas se vuelven ms complicados, se hace ms necesaria
la presencia de un especialista para evaluar riesgos particulares y aplicar
soluciones que estn de acuerdo con una norma de seguridad industrial.
Cableado

Los cables que se utilizan para construir las redes locales, van desde el cable
telefnico normal al cable coaxial o la fibra ptica. Algunos edificios de oficinas
ya se construyen con los cables instalados para evitar el tiempo y el gasto
posterior, y de forma que se minimice el riesgo de un corte, rozadura u otro dao
accidental.
Los riesgos ms comunes para el cableado se pueden resumir a continuacin:
1. Interferencia: estas modificaciones pueden estar generadas por cables de
alimentacin de maquinaria pesada o por equipos de radio o microondas.
Los cables de fibra ptica no sufren el problema de alteracin (de los datos
que viajan a travs de l) por accin de campos elctricos, que si sufren los
cables metlicos.
2. Corte del cable: la conexin establecida se rompe, lo que impide que el
flujo de datos circule por el cable.
3. Daos en el cable: los daos normales con el uso pueden daar el
apantallamiento que preserva la integridad de los datos transmitidos o
daar al propio cable, lo que hace que las comunicaciones dejen de ser
fiables.
En la mayor parte de las organizaciones, estos problemas entran dentro de la
categora de daos naturales. Sin embargo, tambin se pueden ver como un
medio para atacar la red si el objetivo es nicamente interferir en su
funcionamiento.
El cable de red ofrece tambin un nuevo frente de ataque para un determinado
intruso que intentase acceder a los datos. Esto se puede hacer:
1. Desviando o estableciendo una conexin no autorizada en la red: un
sistema de administracin y procedimiento de identificacin de accesos
adecuados har difcil que se puedan obtener privilegios de usuarios en la
red, pero los datos que fluyen a travs del cable pueden estar en peligro.

2. Haciendo una escucha sin establecer conexin, los datos se pueden seguir
y pueden verse comprometidos.
Luego, no hace falta penetrar en los cables fsicamente para obtener los datos que
transportan.

SEGURIDAD LGICA
Consiste en la aplicacin de barreras y procedimientos que resguarden el acceso
a los datos y solo se permita acceder a ellos a las personas autorizadas para
hacerlo.
Despus de ver como nuestra red puede verse afectado por la falta de seguridad
fsica, es importante recalcar que la mayora de los daos que puede sufrir un
sitio de cmputo, no ser sobre los medios fsicos, sino, contra informacin por
l almacenada y procesada.
As, la seguridad fsica, solo es una parte del amplio espectro que se debe cubrir
para no vivir con una sensacin ficticia de seguridad. Como ya se ha mencionado,
el activo ms importante que se posee es la informacin, y por lo tanto deben
existir tcnicas, ms all de la seguridad fsica, que la aseguren. Estas tcnicas las
brinda la seguridad lgica.
Los objetivos que se plantean para la seguridad lgica son:
1. Restringir el acceso a los programas y archivos.
2. Asegurar que los operadores puedan trabajar sin una supervisin
minuciosa y no puedan modificar los programas ni los archivos que no
correspondan.
3. Asegurar que se estn utilizando los archivos y programas correctos en y
por el procedimiento correcto.
4. Que la informacin transmitida sea recibida slo por el destinatario al cual
ha sido enviada y no a otro.

5. Que la informacin recibida sea la misma que ha sido transmitida.


6. Que existan sistemas alternativos secundarios de transmisin entre
diferentes puntos.
7. Que se disponga de pasos alternativos de emergencia para la transmisin
de informacin.
Controles de acceso.
Estos pueden implementarse en el sistema operativo, sobre los sistemas de
aplicacin, en bases de datos, en un paquete especfico de seguridad o en
cualquier otro utilitario.
Constituyen una importante ayuda para proteger al sistema operativo de la red,
al sistema de aplicacin y dems software de la utilizacin o modificaciones no
autorizadas; para mantener la integridad de la informacin (restringiendo la
cantidad de usuarios y procesos con acceso permitido) y para resguardar la
informacin confidencial de accesos no autorizados. As mismo, es conveniente
tener en cuenta otras consideraciones referidas a la seguridad lgica, como por
ejemplo las relacionadas al procedimiento que se lleva a cabo para determinar si
corresponde un permiso de acceso (solicitado por un usuario) a un determinado
recurso.
Identificacin y autenticacin.
Es la primera lnea de defensa para la mayora de los sistemas computarizados,
permitiendo prevenir el ingreso de personas no autorizadas. Es la base para la
mayor parte de los controles de acceso y para el seguimiento de las actividades
de los usuarios.
Se denomina identificacin al momento en que el usuario se da a conocer en el
sistema; y autenticacin a la verificacin que realiza el sistema sobre esta
identificacin.

Al igual que se consider para la seguridad fsica, y basada en ella, existen 4 tipos
de tcnicas que permiten realizar la autenticacin de la identidad del usuario, las
cuales pueden ser utilizadas individualmente o combinadas:
1. Algo que solamente el individuo conoce: por ejemplo una clave secreta de
acceso password, una clave criptogrfica, un nmero de identificacin
personal o PIN, etc.
2. Algo que la persona posee: por ejemplo una tarjeta magntica.
3. Algo que el individuo es y que lo identifica unvocamente: por ejemplo las
huellas digitales o la voz.
4. Algo que el individuo es capaz de hacer: por ejemplo los patrones de
escritura.
Para cada una de estas tcnicas vale lo mencionado en el caso de la seguridad
fsica en cuanto a sus ventajas y desventajas. Se destaca que en los dos primeros
casos enunciados, es frecuente que las claves sean olvidadas o que las tarjetas o
dispositivos se pierdan, mientras que por el otro lado, los controles de
autenticacin biomtricos seran los ms apropiados y fciles de administrar,
resultando ser tambin, los ms costosos por lo dificultosos de su
implementacin eficiente.
Desde los puntos de vista de la eficiencia, es conveniente que los usuarios sean
identificados y autenticados solamente una vez, pudiendo acceder a partir de ah,
a todas las aplicaciones y datos a los que su perfil les permita, tanto en sistemas
locales como en sistemas a los que deba acceder en forma remota. Esto se
denomina single log-in o sincronizacin de passwords.
Una de las posibles tcnicas para implementar esta nica identificacin de
usuarios sera la utilizacin de un servidor de autenticaciones sobre el cual los
usuarios se identifican, y que se encarga luego de autenticar al usuario sobre los
restantes equipos a los que ste pueda acceder. Este servidor de autenticaciones

no debe ser necesariamente un equipo independiente y puede tener sus


funciones distribuidas tanto geogrfica como lgicamente, de acuerdo con los
requerimientos de carga de tareas.
La seguridad informtica se basa, en gran medida, en la efectiva administracin
de los permisos de acceso a los recursos informticos, basados en la
identificacin, autenticacin y autorizacin de accesos. Esta administracin
abarca:
1. Proceso de solicitud, establecimiento, manejo, seguimiento y cierre de las
cuentas de usuarios. Es necesario considerar que la solicitud de habilitacin
de un permiso de acceso para un usuario determinado, debe provenir de su
superior y de acuerdo con sus requerimientos especficos de acceso, debe
generarse el perfil en el sistema de seguridad, en el sistema operativo o en la
aplicacin segn corresponda.
2. Adems, la identificacin de los usuarios debe definirse de acuerdo con una
norma homognea para toda la organizacin.
3. Revisiones peridicas sobre la administracin de las cuentas y los permisos
de acceso establecidos. Las mismas deben encararse desde el punto de vista
del sistema operativo, y aplicacin por aplicacin, pudiendo ser llevadas a
cabo por el personal de auditora o por la gerencia propietaria del sistema;
siempre sobre la base de que cada usuario disponga de mnimo permiso
requiera de acuerdo con sus funciones.
4. Las revisiones deben orientarse a verificar la adecuacin de los permisos de
acceso de cada individuo de acuerdo con sus necesidades operativas, la
actividad de las cuentas de usuarios o la autorizacin de cada habilitacin de
acceso. Para esto, deben analizarse las cuentas en busca de periodos de
inactividad o cualquier otro aspecto anormal que permita una redefinicin de
la necesidad de acceso.

5. Deteccin de las actividades no autorizadas. Adems de realizar auditoras o


efectuar el seguimiento de los registro de transacciones (pistas), existen otras
medidas que ayudan a detectar la ocurrencia de actividades no autorizadas.
Algunas de ellas se basan en evitar la dependencia hacia personas
determinadas, estableciendo la obligatoriedad de tomar vacaciones o
efectuando rotaciones peridicas a las funciones asignadas a cada una.
6. Nuevas consideraciones relacionadas con cambios en la asignacin de
funciones del empleado. Para implementar la rotacin de funciones, o en caso
de reasignar funciones por ausencias temporales de algunos empleados, es
necesario considerar la importancia de mantener actualizados los permisos
de acceso.
7. Procedimientos a tener en cuenta en caso de desvinculaciones de personal con
la organizacin, llevadas a cabo en forma amistosa o no. Los despidos del
personal de sistemas presentan altos riesgos ya que en general se trata de
empleados con capacidad para modificar aplicaciones o la configuracin del
sistema, dejando bombas lgicas o destruyendo sistemas o recursos
informticos. No obstante, el personal de otras reas usuarias de los sistemas,
tambin puede causar daos, por ejemplo, introduciendo informacin
errnea a las aplicaciones intencionalmente.
Para evitar estas situaciones, es recomendable anular los permisos de acceso
a las personas que se desvincularn de la organizacin, lo antes posible. En
caso de despido, el permiso de acceso debera anularse previamente a la
notificacin de la persona sobre la situacin.

ELEMENTOS DE PROTECCIN PERIMETRAL


Las tecnologas de proteccin perimetral y de red sirven para proteger la red de
la organizacin de amenazas y vulnerabilidades externas. Adems, tambin se
pueden usar para administrar y controlar el trfico de red interno dirigido hacia

un destino fuera de la red. Existen seis elementos fundamentales relacionados


con la proteccin perimetral y de red que deben tenerse en cuenta a la hora de
disear la infraestructura.
Creacin de zonas de seguridad
La creacin de zonas de seguridad contribuye a la proteccin de recursos de red
de una compaa segn el nivel de seguridad que necesite. Por ejemplo, las
aplicaciones y servicios de red principales pueden estar dentro de una zona de
seguridad y, de esta manera, protegidos frente al uso generalizado de los
usuarios.

TechCenter de IPsec de Microsoft Windows


Informacin general, implementacin y solucin de problemas de
recursos de IPsec de Windows.

TechCenter de proteccin de acceso a redes


Recursos para la proteccin de los equipos de la red.

Redes cableadas con autenticacin 802.1x


El estndar IEEE 802.1X de redes cableadas ofrece proteccin de
autorizacin y autenticacin en el permetro de la red en donde un host se
conecta a la red.

Enfoque estndar de la autenticacin de usuario en el acceso a la red


802.11
Informacin sobre los esfuerzos de IEEE e IETF para usar un acceso
inalmbrico seguro y anlisis comparativo del protocolo PEAP con otros
esquemas de propietario y basados en otros estndares.

Proteccin de LAN inalmbricas con Servicios de Certificate Server


Se describe cmo usar Servicios de Certificate Server para proteger la red
inalmbrica.

Proteccin

de

LAN

inalmbricas

con

PEAP

contraseas

Gua sobre el ciclo de vida completo de planeacin, implementacin,

pruebas y administracin de una opcin de seguridad inalmbrica para la


pequea y mediana empresa.
Creacin de firewall de red y proxy web
Los firewall de red y los servidores proxy web permiten a las organizaciones
controlar el acceso a los recursos de la red corporativa y de Internet. Un firewall
de red y un proxy web no slo protegen, sino que registran y notifican todas las
conexiones realizadas a travs del firewall y del proxy web.

TechCenter de Internet Security and Acceleration Server (ISA)


Informacin tcnica acerca del uso de ISA Server en la red.

Redes VPN SSL


Las redes privadas virtuales (VPN) de capa de sockets seguros (SSL) permiten el
acceso global seguro a aplicaciones web y aplicaciones no web as como a
recursos de informacin corporativa en Internet. La aplicacin de la directiva
completa integrada contribuye a garantizar la compatibilidad con las directrices
legales y comerciales en el control de la informacin confidencial. La
administracin de seguridad de extremos permite el control de acceso, la
autorizacin y la inspeccin de contenido en aplicaciones de lnea de negocio.

Intelligent Application Gateway (IAG) 2007


Se describe la puerta de enlace de acceso remoto que proporciona
proteccin y acceso a aplicaciones basadas en SSL (Capa de sockets
seguros) con administracin de seguridad de extremos.

Deteccin y prevencin de intrusiones


Los mecanismos de proteccin y deteccin de intrusiones permiten a los
administradores de seguridad de la red estar alerta ante amenazas activas y
mitigarlas en tiempo real. Algunas caractersticas adicionales como la proteccin

frente a ataques "flood" de congestin del servidor y frente a gusanos pueden


detectar intrusiones predominantes y bloquearlas.

Pgina principal de tecnologas de seguridad de Microsoft Forefront


Informacin acerca del funcionamiento de Microsoft Forefront en diversos
niveles para proteger la empresa y las capacidades de otras caractersticas
y productos de seguridad.

Microsoft Forefront Client Security


Recursos para el uso de la solucin Forefront Client Security para ofrecer
proteccin unificada frente a software malintencionado para sistemas
operativos de equipos escritorio, equipos porttiles y servidores de la
empresa.

Microsoft Forefront Server Security


Recursos para el uso de Microsoft Forefront para aumentar la eficacia y el
control de la seguridad de la red.

VPN en el nivel de red


VPN en el nivel de red permite que equipos remotos se conecten a la red
corporativa y obtengan acceso a recursos como si una estacin de trabajo se
conectara directamente a la red.

Servicio VPN de Microsoft


Conozca la amplia compatibilidad de tecnologas VPN (red privada
virtual) en Windows Server 2003 y Windows Server 2008.

Implementacin de servicios de cuarentena con redes privadas virtuales


de Microsoft
Gua de planeacin para ayudar a las organizaciones a usar servicios de
cuarentena VPN al ofrecer a los empleados la posibilidad de conectarse a
redes corporativas desde ubicaciones remotas (por ejemplo, desde casa,
sucursales, hoteles, cibercafs o desde las instalaciones del cliente).

Aislamiento de dominio IPsec


El protocolo de seguridad de Internet (IPsec) es un protocolo de Internet estndar
que permite a los administradores aislar y proteger servidores y dominios de red
con cifrado y autenticacin del mismo nivel. Proporciona un slido mecanismo
de segmentacin de red y cuarentena de cliente sin la necesidad de instalar
hardware nuevo.

Aislamiento de servidor y dominio IPsec


La solucin de aislamiento de servidor y dominio basada en el protocolo
de seguridad de Internet (IPsec) de Microsoft Windows y el servicio de
directorio de Active Directory permite a los administradores segmentar
de forma dinmica un entorno Windows en redes lgicas aisladas y ms
seguras basadas en directivas y sin cambios costosos de las aplicaciones o
la infraestructura de redes.

5. HERRAMIENTAS DE SEGURIDAD: CORTAFUEGOS Y


SISTEMAS DE DETECCIN DE ERRORES
As como existen herramientas para la auditoria y anlisis de la seguridad en
redes, tambin hay herramientas para modificar parmetros en nuestro sistema
y con esto asegurarlo contra diversos ataques.
El firewall o cortafuego, construye una de las herramientas ms importantes de
la seguridad de redes, pero tambin existen otros sistemas de proteccin como
son la criptografa y kerberos.

CORTAFUEGOS
Un cortafuego es una de las varias formas de proteger una red de otra red no
fiable desde el punto de vista de la seguridad.

La razn para la instalacin de cortafuegos es proteger una red privada de


intrusos, pero permitiendo a su vez el acceso autorizado desde y hacia el exterior.
Una situacin peligrosa se produce si alguien es capaz de entrar en la maquina
cortafuegos y reconfigurarla de modo que toda la red protegida quede accesible.
Este tipo de ataque se suele denominar destruccin del cortafuego. Los daos
derivados de este tipo de ataque resultan muy difciles de evaluar.

Tipos de Cortafuegos
En la configuracin de un cortafuegos, la principal decisin consiste en elegir
entre seguridad o facilidad de uso. Este tipo de decisin es tornado en general
por las direcciones de las compaas. Algunos cortafuegos solo permiten trfico
de correo electrnico a travs de ellos, y por lo tanto protegen a la red contra
cualquier ataque que no sea a travs del servicio de correo. Otros son menos
estrictos y solo bloquean aquellos servicios que se sake que presentan problemas
de seguridad.
Existen dos aproximaciones bsicas:

Todo lo que no es expresamente permitido est prohibido.


Todo lo que no es expresamente prohibido est permitido.

En el primer caso, el cortafuegos se disea para bloquear todo el trfico, y los


distintos servicios deben ser activados de forma individual tras el anlisis del
riesgo que representa su activacin y la necesidad de su uso. Esta poltica incide
directamente sobre los usuarios de las comunicaciones, que pueden ver el
cortafuegos como un estorbo.
En el segundo caso, el administrador del sistema debe predecir qu tipo de
acciones pueden realizar los usuarios que pongan en entredicho la seguridad del
sistema, y preparar defensas contra ellas. Esta estrategia penaliza al
administrador frente a los usuarios. Los usuarios pueden comprometer
inadvertidamente la seguridad del sistema si no conocen y cumplen unas
consideraciones de seguridad mnimas. El problema se magnifica si existen
usuarios que tengan cuenta en la propia mquina que hace de cortafuegos
(situacin muy poco recomendable). En este tipo de estrategia hay un segundo

peligro latente, y es que el administrador debe conocer todos los posibles


agujeros de seguridad existentes en los protocolos y las aplicaciones que estn
ejecutando los usuarios. El problema se agrava debido al hecho de que los
fabricantes no suelen darse prisa en notificar los riesgos de seguridad que
presentan sus productos.

SISTEMAS DE DETECCIN DE INTRUSOS


Un IDS es un software que monitorea el trfico de una red y los sistemas de una
organizacin en busca de seales de intrusin, actividades de usuarios no
autorizados y la ocurrencia de malas prcticas, como en el caso de los usuarios
autorizados que intentan sobrepasar sus lmites de restriccin de acceso a la
informacin.
Algunas de las caractersticas deseables para un IDS son:
Deben estar continuamente en ejecucin con un mnimo de supervisin.
Se deben recuperar de las posibles cadas o problemas con la red.
Debe poderse analizar l mismo y detectar si ha sido modificado por un
atacante.
Debe utilizar los mnimos recursos posibles.
Debe estar configurado acorde con la poltica de seguridad seguida por la
organizacin.
Debe de adaptarse a los cambios de sistemas y usuarios y ser fcilmente
actualizable.
Tipos de IDS
Existen varios tipos de IDS, clasificados segn el tipo de situacin fsica, del tipo
de deteccin que posee o de su naturaleza y reaccin cuando detecta un posible
ataque.
Clasificacin por situacin
Segn la funcin del software IDS, estos pueden ser:

NIDS (Network Intrusion Detection System)


HIDS (Host Intrusion Detection System)
Los NIDS analizan el trfico de la red completa, examinando los paquetes
individualmente, comprendiendo todas las diferentes opciones que pueden
coexistir dentro de un paquete de red y detectando paquetes armados
maliciosamente y diseados para no ser detectados por los cortafuegos. Pueden
buscar cual es el programa en particular del servidor de web al que se est
accediendo y con qu opciones y producir alertas cuando un atacante intenta
explotar algn fallo en este programa. Los NIDS tienen dos componentes:

Un sensor: situado en un segmento de la red, la monitoriza en busca de


trfico sospechoso

Una Consola: recibe las alarmas del sensor o sensores y dependiendo de


la configuracin reacciona a las alarmas recibidas.

Las principales ventajas del NIDS son:

Detectan accesos no deseados a la red.

No necesitan instalar software adicional en los servidores en produccin.

Fcil instalacin y actualizacin por que se ejecutan en un sistema


dedicado.

Como principales desventajas se encuentran:

Examinan el trfico de la red en el segmento en el cual se conecta, pero no


puede detectar un ataque en diferentes segmentos de la red. La solucin
ms sencilla es colocar diversos sensores.

Pueden generar trfico en la red.

Ataques con sesiones encriptadas son difciles de detectar.

En cambio, los HIDS analizan el trfico sobre un servidor o un PC, se preocupan


de lo que est sucediendo en cada host y son capaces de detectar situaciones

como los intentos fallidos de acceso o modificaciones en archivos considerados


crticos.
Las ventajas que aporta el HIDS son:

Herramienta potente, registra comandos utilizados, ficheros abiertos,...

Tiende a tener menor nmero de falsos-positivos que los NIDS,


entendiendo falsos-positivos a los paquetes etiquetados como posibles
ataques cuando no lo son.

Menor riesgo en las respuestas activas que los IDS de red.

Los inconvenientes son:

Requiere instalacin en la mquina local que se quiere proteger, lo que


supone una carga adicional para el sistema.

Tienden a confiar en las capacidades de auditoria y logging de la mquina


en s.

Clasificacin segn los modelos de detecciones


Los dos tipos de detecciones que pueden realizar los IDS son:
Deteccin del mal uso.
Deteccin del uso anmalo.
La deteccin del mal uso involucra la verificacin sobre tipos ilegales de trfico
de red, por ejemplo, combinaciones dentro de un paquete que no se podran dar
legtimamente. Este tipo de deteccin puede incluir los intentos de un usuario
por ejecutar programas sin permiso (por ejemplo, sniffers). Los modelos de
deteccin basada en el mal uso se implementan observando cmo se pueden
explotar los puntos dbiles de los sistemas, describindolos mediante unos

patrones o una secuencia de eventos o datos (firma) que sern interpretados


por el IDS.
La deteccin de actividades anmalas se apoya en estadsticas tras comprender
cul es el trfico normal en la red del que no lo es. Un claro ejemplo de
actividad anmala sera la deteccin de trfico fuera de horario de oficina o el
acceso repetitivo desde una mquina remota (rastreo de puertos). Este modelo
de deteccin se realiza detectando cambios en los patrones de utilizacin o
comportamiento del sistema. Esto se consigue realizando un modelo estadstico
que contenga una mtrica definida y compararlo con los datos reales analizados
en busca de desviaciones estadsticas significantes.
Clasificacin segn su naturaleza
Un tercer y ltimo tipo bsico de clasificacin sera respecto a la reaccin del IDS
frente a un posible ataque:
Pasivos.
Reactivos.
Los IDS pasivos detectan una posible violacin de la seguridad, registran la
informacin y genera una alerta.
Los IDS reactivos estn diseados para responder ante una actividad ilegal, por
ejemplo, sacando al usuario del sistema o mediante la reprogramacin del
cortafuegos para impedir el trfico desde una fuente hostil.
Los IDS y las polticas de Seguridad
Los IDS deben ser tratados como un elemento complementario en las polticas de
seguridad de las organizaciones, pero antes de implementar o instalar un sistema
de deteccin de intrusiones se recomienda analizar la poltica de seguridad y ver
cmo encajara el IDS en ella:

Se recomienda una poltica de seguridad bien definida y a alto nivel, que


cubra lo que est y lo que no est permitido en nuestro sistema y nuestras
redes.

Procedimientos documentados para que proceda el personal si se detecta


un incidente de seguridad.

Auditoras regulares que confirmen que nuestras polticas estn en


vigencia y nuestras defensas son adecuadas.

Personal capacitado o soporte externo cualificado.

6. SERVICIOS DE SEGURIDAD EN REDES (NAT, VPN, SSL,


IPsec)
NAT (Network Address Translation)
Internet en sus inicios no fue pensado para ser una red tan extensa, por ese
motivo se reservaron slo 32 bits para direcciones, el equivalente
a 4.294.967.296 direcciones nicas, pero el hecho es que el nmero de mquinas
conectadas a Internet aument exponencialmente y las direcciones IP se
agotaban. Por ello surgi la NAT o Network Address Translation (en castellano,
Traduccin de Direcciones de Red)
La idea es sencilla, hacer que redes de ordenadores utilicen un rango de
direcciones especiales (IPs privadas) y se conecten a Internet usando una nica
direccin IP (IP pblica). Gracias a este parche, las grandes empresas slo
utilizaran una direccin IP y no tantas como mquinas hubiese en dicha
empresa. Tambin se utiliza para conectar redes domsticas a Internet.

Cmo funciona?
En la NAT existen varios tipos de funcionamiento:
Esttica
Una direccin IP privada se traduce siempre en una misma direccin IP pblica.
Este modo de funcionamiento permitira a un host dentro de la red ser visible
desde Internet.
Dinmica
El router tiene asignadas varias direcciones IP pblicas, de modo que cada
direccin IP privada se mapea usando una de las direcciones IP pblicas que el
router tiene asignadas, de modo que a cada direccin IP privada le corresponde
al menos una direccin IP pblica.
Cada vez que un host requiera una conexin a Internet, el router le asignar una
direccin IP pblica que no est siendo utilizada. En esta ocasin se aumenta la
seguridad ya que dificulta que un host externo ingrese a la red ya que las
direcciones IP pblicas van cambiando.

Sobrecarga
La NAT con sobrecarga o PAT (Port Address Translation) es el ms comn de
todos los tipos, ya que es el utilizado en los hogares. Se pueden mapear mltiples
direcciones IP privadas a travs de una direccin IP pblica, con lo que evitamos
contratar ms de una direccin IP pblica. Adems del ahorro econmico,
tambin se ahorran direcciones IPv4, ya que aunque la subred tenga muchas
mquinas, todas salen a Internet a travs de una misma direccin IP pblica.
Para poder hacer esto el router hace uso de los puertos. En los
protocolos TCP y UDP se disponen de 65.536 puertos para establecer conexiones.
De modo que cuando una mquina quiere establecer una conexin, el
router guarda su IP privada y el puerto de origen y los asocia a la IP pblica y
un puerto al azar. Cuando llega informacin a este puerto elegido al azar, el
router comprueba la tabla y lo reenva a la IP privada y puerto que
correspondan.

Solapamiento
Cuando una direccin IP privada de una red es una direccin IP pblica en uso,
el router se encarga de reemplazar dicha direccin IP por otra para evitar el
conflicto de direcciones.

Ventajas de la NAT

El uso de la NAT tiene varias ventajas:

La primera y ms obvia, el gran ahorro de direcciones IPv4 que supone,


recordemos que podemos conectar mltiples mquinas de una red a Internet
usando una nica direccin IP pblica.

Seguridad. Las mquinas conectadas a la red mediante NAT no son visibles


desde el exterior, por lo que un atacante externo no podra averiguar si una
mquina est conectada o no a la red.

Mantenimiento de la red. Slo sera necesario modificar la tabla de reenvo


de un router para desviar todo el trfico hacia otra mquina mientras se
llevan a cabo tareas de mantenimiento.

Desventajas de la NAT
Recordemos que la NAT es solo un parche, no una solucin al verdadero
problema, por tanto tambin tiene una serie de desventajas asociadas a su uso:

Checksums TCP y UDP: El router tiene que volver a calcular el checksum


de cada paquete que modifica. Por lo que se necesita mayor potencia de
computacin.

No todas las aplicaciones y protocolos son compatibles con NAT. Hay


protocolos que introducen el puerto de origen dentro de la zona de datos de
un paquete, por lo que el router no lo modifica y la aplicacin no funciona
correctamente.

VPN SSL IPsec


Una red privada virtual (VPN) es una red privada construida dentro de una
infraestructura de red pblica, tal como la red mundial de Internet. Las empresas
pueden usar redes privadas virtuales para conectar en forma segura oficinas y
usuarios remotos a travs de accesos a Internet econmicos proporcionados por
terceros, en vez de costosos enlaces WAN dedicados o enlaces de marcacin
remota de larga distancia.
Las organizaciones pueden usar redes privadas virtuales para reducir los costos
de ancho de banda de redes WAN, y a la vez aumentar las velocidades de

conexin a travs de conectividad a Internet de alto ancho de banda, tal como


DSL, Ethernet o cable.
Las redes privadas virtuales proporcionan el mayor nivel posible de seguridad
mediante seguridad IP (IPsec) cifrada o tneles VPN de Secure Sockets Layer
(SSL) y tecnologas de autenticacin. Estas tecnologas protegen los datos que
pasan por la red privada virtual contra accesos no autorizados. Las empresas
pueden aprovechar la infraestructura estilo Internet de la red privada virtual,
cuya sencillez de abastecimiento permite agregar rpidamente nuevos sitios o
usuarios. Tambin pueden aumentar drsticamente el alcance de la red privada
virtual sin expandir significativamente la infraestructura.
Las redes privadas virtuales extienden la seguridad a los usuarios remotos
Las redes VPN SSL y VPN IPsec se han convertido en las principales soluciones
de redes privadas virtuales para conectar oficinas remotas, usuarios remotos y
partners comerciales, porque:

Proporcionan comunicaciones seguras con derechos de acceso adaptados a


usuarios individuales, tales como empleados, contratistas y partners

Aumentan la productividad al ampliar el alcance de las redes y aplicaciones


empresariales

Reducen los costos de comunicacin y aumentan la flexibilidad

Los dos tipos de redes virtuales privadas cifradas:

VPN IPsec de sitio a sitio: Esta alternativa a Frame Relay o redes WAN de
lnea arrendada permite a las empresas extender los recursos de la red a las
sucursales, oficinas en el hogar y sitios de los partners comerciales.

VPN de acceso remoto: Esto extiende prcticamente todas las aplicaciones


de datos, voz o video a los escritorios remotos, emulando los escritorios de la
oficina central. Las redes VPN de acceso remoto pueden desplegarse usando
redes VPN SSL, IPsec o ambas, dependiendo de los requisitos de
implementacin.

7. TOPOLOGA DE RED
Para esta prctica vamos a plantear una topologa sencilla donde
utilizaremos equipos de networking utilizando servicios de seguridad VPN
IPSec, ara esto haremos uso del software packet tracer.

En esta topologa mostraremos los envos de mensajes cifrados desde una


wan a otra.
El primer paso que precederemos a hacer es configurar los pc con sus
respectivos ip y mscaras y puerta de enlace. Cabe mencionar que para esta
prctica usamos Router 2811 y switch 2950 y dos pc.

Configuraremos la pc0 con las ip de la red 1 que es 192.168.10.0

Configuraremos la pc0 con las ip de la red 2 que es 192.168.20.0

Ahora procederemos a configurar los Router de las dos redes para configurar
las direcciones de las interfaces es decir fa 0/0 y fa0/1.

Unas ves configurados los interface procederemos a el debido enrutamiento


dinmico para establecer las rutas con las que se va a comunicar los routers,
para esto haremos uso del protocolo Router rip. En esta parte tambin
configuraremos la encriptacin de los paquetes para que Router 0 y Router
tengan una integridad y confidencialidad de toda la comunicacin que se
esto realizando para esto utilizaremos servicios de seguridad vpn.
Trabajaremos vamos los siguientes comandos
crypto isakmp policy 10.- Crear una nueva poltica IKE. Cada poltica se
identifica por su nmero de prioridad (de 1 a 10.000; 1 la ms prioridad ms
alta).
encryption ae.- Especificar el algoritmo de cifrado a utilizar.
hash sha.- Elegir el algoritmo de hash a usar: Message Digest 5 (MD5 [md5]
) o Secure Hash Algorithm (SHA [sha]).
authentication pre-share.- Determinar el mtodo de autenticacin: preshared keys(pre-share), RSA1 encrypted nonces (rsa-encr), o RSA signatures
(rsa-slg).
group 2 Especificar el identificador de grupo Diffie-Hellman: 768-bit DiffieHellman (1) o 1024-bit Diffie-Hellman (2)

lifetime 86400 Determinar el tiempo de vide de la Asociacin de Seguridad


(SA) en segundos. 86400 segundos = 1 da
access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255.- cifrar
todo el trfico IP que salga de la primera direccin hacia la segunda direccin.
A continuacin, creamos un IPsec conjunto de transformacin que llamamos
TRANSFORM. Se especifica el protocolo de encriptacin IPsec para la carga
de seguridad encapsuladora (ESP).
set peer 10.0.0.2.- extremo del tnel
match address 101 .-origen-destino de paquetes
set transform-set TRANSFORM.-cual set de transformacin de paquetes
utilizar
Este mismo proceso lo realizamos con los routers simplemente cambiando
las direcciones ip a las que se hagan referencia

Ahora solo nos queda comprobar el resultado de nuestra configuraciones


antes planteadas para eso enviaremos un mensaje en este caso de la p1 a la
pc0.

Ahora nos dirigiremos al Router 0 y por medio del comando show crypto
isakmp sa, revelaremos si esta asociaciones de seguridad, como lo podemos
apreciar en la imagen de abajo.

Ahora por medio del comando show crypto ipsec sa nos mostrara los
paquetes que fueron enviados desde la pc1 a la pco y podremos comprobar
que si se produjo un cifrado en el envio de los paquetes.

Administracin de Redes
Catedrtico:
Ing. Michelle Zambrano
Responsables:

Gonzlez Loor Angie Lissely


Mendoza Lpez Xavier Israel
Molina Moreira Kelvin Stalin
Ostaiza Pinargote Harry Daniel
Romero Ponce Karla Liscet

Curso:
Sexto A
octubre 2014 febrero 201

1. PROTOCOLOS DE ADMINISTRACIN DE RED (SNMP)


a) SNMP (Protocolo Simple de Administracin de Redes)
SNMP es un protocolo que permite al Usuario SNMP interactuar sobre los
objetos de un dispositivo a travs de un Agente SNMP:

Opera sobre TCP/IP e IPX a nivel Aplicacin

Es un modelo de comunicacin Cliente / Servidor

Define la forma y el significado de los mensajes intercambiados entre


cliente y servidor

SNMP define un conjunto de operaciones sobre los objetos

La Arquitectura de un Modelo SNMP.


La arquitectura SNMP consta de los siguientes componentes:

Gestores (NMSs)

Agentes (nodos administrados)

MIB (base de datos con informacin)

SMI (administracin de la base de datos)

Protocolos (rdenes)

SNMP facilita la comunicacin entre la estacin administradora y el agente


de un dispositivo de red (o nodo administrado), permitiendo que los agentes
transmitan datos estadsticos (variables) a travs de la red a la estacin de
administracin.
SNMP: funcionamiento
La forma normal de uso del SNMP es el sondeo (o pooling):
1. Pregunta: que la estacin administradora enve una solicitud a un agente
pidindole informacin o mandndole actualizar su estado de cierta
manera. Este mtodo se conoce como sondeo.

2. Respuesta: la informacin recibida del agente es la respuesta o la


confirmacin a la accin solicitada.
Problema del sondeo: se incrementa con los nodos administrados y en
ocasiones puede llegar a perjudicar el rendimiento de la red.
Mtodo Interrupcin (trap): Es mejor que un agente pueda mandar la
informacin al nodo administrador puntualmente, ante una situacin
predeterminada, por ejemplo una anomala detectada en la red.
SNMP: protocolos.
SNMP es independiente del protocolo (IPX de SPX/IPX de Novell, IP con
UDP)
SNMP se puede implementar usando comunicaciones UDP o TCP, pero
por norma general, se suelen usar comunicaciones UDP en la mayora de
los casos. Con UDP, el protocolo SNMP se implementa utilizando los
puertos 161 y 162.
Puerto 161 se utiliza para las transmisiones normales de comando SNMP
Puerto 162 se utiliza para los mensajes de tipo trap o interrupcin.
Arquitectura SNMP.
Componentes de la arquitectura SNMP.

Ventajas y desventajas del SNMP


I. Ventajas de SNMP
La ventaja fundamental de usar SNMP es que su diseo es simple por lo
que su implementacin es sencilla en grandes redes y la informacin de
gestin que se necesita intercambiar ocupa pocos recursos de la red.
Adems, permite al usuario elegir las variables que desea monitorizar sin
ms que definir:

El ttulo de la variable.

El tipo de datos de las variables.

Si la variable es de solo lectura o tambin de escritura.

El valor de la variable.

Otra ventaja de SNMP es que en la actualidad es el sistema ms


extendido. La popularidad la ha conseguido al ser el nico protocolo que
existi en un principio y por ello casi todos los fabricantes de dispositivos
como puentes y encaminadores diselan sus productos para soportar
SNMP.
La posibilidad de expansin es otra ventaja del protocolo SNMP: debido
a su sencillez es fcil de actualizar.
II. Desventajas de SNMP
El protocolo SNMP no es ni mucho menos perfecto. Tiene sus fallos que
se han ido corrigiendo.

La primera deficiencia de SNMP es que tiene grandes fallos de seguridad


que puede permitir a intrusos acceder a informacin que lleva la res.
Todava peor, estos intrusos pueden llegar a bloquear o deshabilitar
terminales.
La solucin a este problema es sencilla y se ha incorporado en la nueva
versin SNMPv2. Bsicamente se han aadido mecanismos para
resolver:

Privacidad de los datos, los intrusos no puedan tomar informacin


que va por la red.

Autentificacin, para prevenir que los intrusos manden informacin


falsa por la red.

Control de acceso, que restringe el acceso a ciertas variables a


determinados usuarios que puedan hacer caer la red.

El mayor problema de SNMP es que se considera tan simple que la


informacin est poco organizada, lo que le hace no muy acertada para
gestionar las grandes redes de la actualidad. Esto se debe en gran parte a
que SNMP se cre como un protocolo provisional pero que se ha
quedado sin ser sustituido por otro de entidad.

De nuevo este problema se ha solucionado con la nueva versin SNMPv2


que permite una separacin de variables con ms detalle, incluyendo
estructuras de datos para hacer ms fcil su manejo. Adems SNMPv2
incluye 2 nuevas PDU's orientadas a la manipulacin de objetos en
tablas.
Por tanto, SNMP es un sistema de gestin que se ha quedado anticuado
y que necesitaba con urgencia un recambio que ha venido de la mano de
la versin 2 del mismo. SNMP ya no es capaz de soportar la intensa
actividad que sufren redes como Internet.
Versiones de SNMP.

Limitaciones de SNMP v.1

Limitada capacidad en el manejo de contadores en tecnologas


FastEthernet, HSTR, ATM y GigabitEthernet.

Mecanismo GetReq y GetResponse poco optimizado.

Mejoras

del

actual

sistema

Cliente/Agente SNMP.

Modelo de seguridad precario.

administrativo

en

la

relacin

Evolucin de SNMP

RFC SNMP original. Punto de partida

Modelo de seguridad basado en comunity

Documentos de referencia que han de servir para el desarrollo del


SNMP v.2

Mejoras en seguridad y mayor capacidad en el manejo de objetos.

Mayores prestaciones administrativas.

Documento de compromiso para lanzar una versin 2 con todas las mejoras
propuestas en los documentos RFC144 1452 pero manteniendo el modelo de
seguridad de la versin 1 -comunityPlanteamientos enfrentados para el desarrollo de una va de evolucin de
SNMP v.2. Ambos grupos de trabajo contemplan todas las funcionalidades
de SNMP v.2 pero dando diferentes enfoques al aspecto de la seguridad
Versin 1
SNMP versin 1 (SNMPv1) es la implementacin inicial del protocolo SNMP.
SNMPv1 opera a travs de protocolos como el User Datagram Protocol
(UDP), Protocolo de Internet (IP), servicio de red sin conexin OSI (CLNS),
AppleTalk Protocolo de datagramas de entrega (DDP), y Novell Internet
Packet Exchange (IPX). SNMPv1 es ampliamente utilizado y es el de facto
protocolo de gestin de red en la comunidad de Internet. Los primeros RFCs
para SNMP, ahora conocido como SNMPv1, aparecieron en 1988: RFC
1065 - Estructura e identificacin de informacin de gestin para internet
basadas en TCP / IP. RFC 1066 - Base de informacin de gestin para la
gestin de la red de internet basadas en TCP / IP. RFC 1067 - Un protocolo
simple de administracin de red. Estos protocolos estaban obsoletos por:
RFC 1155 - Estructura e identificacin de informacin de gestin para
internet basadas en TCP / IP. RFC 1156 - Base de informacin de gestin

para la gestin de la red de internet basadas en TCP / IP. RFC 1157 - Un


protocolo simple de administracin de red Despus de un corto tiempo, RFC
1156 (MIB-1) fue reemplazada por la ms habitual: RFC 1213 - Versin 2 de
la base de informacin de gestin (MIB-2) para la gestin de la red de internet
basadas en TCP / IP
Versin 1 ha sido criticado por su falta de seguridad. La autenticacin de los
clientes se realiza slo por una "cadena de comunidad", en efecto, un tipo de
contrasea, que se transmite en texto plano. El diseo de los aos 80 de
SNMP V1 fue realizado por un grupo de colaboradores que vieron el MR /
IETF / NSF patrocinado oficialmente (National Science Foundation) esfuerzo
(HEMS / CMIS / CMIP) ya que tanto inaplicable en las plataformas
informticas de la poca, as como potencialmente inviable. SNMP se aprob
basndose en la creencia de que se trataba de un Protocolo provisional
necesaria para la toma de medidas para el despliegue a gran escala de
Internet y su comercializacin. En ese perodo de tiempo de Internet estndar
de autenticacin / seguridad era a la vez un sueo y desalentado por los
grupos de diseo de protocolos centrados.
Versin 2
SNMPv2 ( RFC 1441 - RFC 1452 ), revisa la versin 1 e incluye mejoras en las
reas de comunicaciones de rendimiento, la seguridad, confidencialidad emanager-a

gerente.

Introdujo

GetBulkRequest,

una

alternativa

GetNextRequests iterativos para recuperar grandes cantidades de datos de


gestin en una sola solicitud. Sin embargo, el nuevo sistema de seguridad
basado en partidos en SNMPv2, visto por muchos como demasiado
complejo, no fue ampliamente aceptado. Esta versin de SNMP alcanzado el
nivel de madurez de Norma, pero se consider obsoleto por las versiones
posteriores. Simple basada en la comunidad la versin Network
Management Protocol 2, o SNMPv2c, se define en el RFC 1901 - RFC 1908.

SNMPv2c comprende SNMPv2 sin el nuevo modelo de seguridad de SNMP


v2 controversial, utilizando en su lugar el sistema de seguridad basado en la
simple comunidad de SNMPv1. Esta versin es una de las relativamente
pocas normas para cumplir con el proyecto de nivel de madurez estndar del
IETF, y fue considerado el de facto estndar SNMPv2. Es tambin estaba
obsoleto despus, por SNMPv3. Simple de usuario basada en la versin
Network Management Protocol 2, o SNMPv2u, se define en el RFC
1909 - RFC 1910. Este es un compromiso que pretende ofrecer una mayor
seguridad que SNMPv1, pero sin incurrir en la alta complejidad de SNMPv2.
Una variante de este se comercializ como SNMP v2 *, y el mecanismo fue
finalmente adoptado como uno de los dos marcos de seguridad de SNMP v3.
SNMPv1 y SNMPv2c interoperabilidad
Tal como est actualmente especificada, SNMPv2c es incompatible con
SNMPv1 en dos reas clave: los formatos de mensajes y operaciones de
protocolo. Mensajes SNMPv2c utilizan diferentes cabecera y la unidad de
datos de protocolo (PDU) formatos de mensajes SNMPv1. SNMPv2c tambin
utiliza dos operaciones de protocolo que no estn especificados en SNMPv1.
Adems, RFC 2576 define dos posibles estrategias de coexistencia
SNMPv1/v2c: agentes de proxy y sistemas de gestin de red bilinges.
Agentes de proxy
Un agente SNMPv2 puede actuar como un agente proxy en nombre de
dispositivos SNMPv1 administrados, de la siguiente manera: Un SNMPv2
NMS emite un comando destinado a un agente SNMPv1. El NMS enva el
mensaje SNMP para el agente proxy SNMPv2. El agente proxy reenva
Cmo, GetNext y Set mensajes al agente SNMPv1 sin cambios. Mensajes
GetBulk son convertidas por el agente proxy de GetNext mensajes y luego se
envan al agente SNMPv1. El agente proxy mapas de mensajes de captura

SNMPv1 a SNMPv2 mensajes de captura y luego las enva a los nuevos


Estados miembros.
Sistema de gestin de la red bilinge
Sistemas de gestin de red SNMPv2 Bilinges soportan tanto SNMPv1 y
SNMPv2. Para apoyar este entorno de gestin dual, una aplicacin para la
gestin de los nuevos Estados miembros bilinges debe ponerse en contacto
con un agente. El NMS examina la informacin almacenada en una base de
datos local para determinar si el agente es compatible con SNMPv1 o
SNMPv2. Sobre la base de la informacin en la base de datos, el NMS se
comunica con el agente utilizando la versin adecuada de SNMP.
Versin 3
Aunque SNMPv3 no realiza cambios en el protocolo, aparte de la adicin de
seguridad criptogrfica, se ve muy diferente debido a las convenciones
nuevo texto, los conceptos y la terminologa.
SNMPv3 aadi principalmente la seguridad y mejoras de configuracin
remota SNMP. Debido a la falta de seguridad con el uso de SNMP, los
administradores de red se utilizan otros medios, tales como telnet para la
configuracin, contabilidad y gestin de fallos.
SNMPv3 se ocupa de cuestiones relacionadas con el despliegue a gran escala
de SNMP, contabilidad y gestin de fallos. Actualmente, SNMP se utiliza
principalmente para el control y la gestin del rendimiento.
SNMPv3 define una versin segura de SNMP y tambin facilita la
configuracin remota de las entidades SNMP. SNMPv3 ofrece un entorno
seguro para la gestin de sistemas que abarcan los siguientes:

Identificacin de las entidades SNMP para facilitar la comunicacin slo


entre entidades SNMP conocidas - Cada entidad SNMP tiene un

identificador llamado snmpEngineID y comunicacin SNMP es posible


slo si la entidad SNMP conoce la identidad de su interlocutor. Trampas
y notificaciones son excepciones a esta regla.

Soporte para los modelos de seguridad - Un modelo de seguridad puede


definir la poltica de seguridad dentro de un dominio administrativo o
una intranet. SNMPv3 contiene las especificaciones para USM.

Definicin de los objetivos de seguridad, donde los objetivos del servicio de


autenticacin de mensajes incluyen la proteccin contra lo siguiente:

Modificacin de la informacin - Proteccin contra algunos no


autorizados entidad que altera SNMP en trnsito mensajes generados
por un principal autorizado.

Masquerade - Proteccin contra intentar operaciones de gestin no


autorizadas por algn director al asumir la identidad de otra principal
que cuenta con las autorizaciones correspondientes.

Mensaje Corriente Modificacin - Proteccin contra mensajes que


consiguen maliciosamente reordenado, retrasado, o reproducido para
efectuar las operaciones de gestin autorizadas.

Divulgacin - Proteccin contra escuchas en los intercambios entre los


motores de SNMP.

Especificacin para USM - USM (Modelo de seguridad basada en el usuario)


consiste en la definicin general de los siguientes mecanismos de
comunicacin disponibles:

Comunicacin sin autenticacin y privacidad (noAuthNoPriv).

La comunicacin con la autenticacin y sin privacidad (authNoPriv).

La comunicacin con la autenticacin y la privacidad (authpriv).

Definicin de diferentes protocolos de autenticacin y privacidad Actualmente, los protocolos de autenticacin MD5 y SHA y los

protocolos de privacidad y CBC_DES CFB_AES_128 se admiten en la


USM.

Definicin de un procedimiento de descubrimiento - Para encontrar el


snmpEngineID de una entidad SNMP para una direccin de transporte
comn y direccin de punto final de transporte.

Definicin del procedimiento de sincronizacin de hora - Para facilitar


la comunicacin autenticada entre las entidades SNMP.

Definicin del marco MIB SNMP - Para facilitar la configuracin remota


y administracin de la entidad SNMP.

Definicin de las MIB USM - Para facilitar la configuracin remota y


administracin del mdulo de seguridad.

Definicin de las MIB VACM - Para facilitar la configuracin remota y


administracin del mdulo de control de acceso.

El SNMPv3 se centra en dos aspectos principales, a saber, la seguridad y la


administracin. El aspecto de seguridad se dirige, ofreciendo tanto una
slida autenticacin y cifrado de datos para la privacidad. El aspecto de la
administracin se centra en dos partes, a saber los originadores de
notificacin y agentes proxy. SNMPv3 define una serie de capacidades
relacionadas con la seguridad. Las especificaciones iniciales definen la USM
y VACM, que ms tarde fueron seguidos por un modelo de seguridad de
transporte que proporciona apoyo a travs de SSH y SNMPv3 SNMPv3 en
TLS y DTLS.
USM (basado en usuarios Modelo de seguridad) proporciona funciones de
autenticacin y privacidad (encriptacin) y opera en el nivel de mensaje.
VACM (Acceso basado Vista-Modelo de Control) determina si se permite a
un director dado acceso a un objeto MIB particular, para realizar funciones
especficas y opera en el nivel de PDU.

TSM (Modo de Seguridad del Transporte) proporciona un mtodo para la


autenticacin y el cifrado de mensajes a travs de los canales externos de
seguridad. Dos transportes, SSH y TLS / DTLS, han definido que hacen uso
de la especificacin de TSM.
La seguridad ha sido la mayor debilidad de SNMP desde el principio.
Autenticacin en versiones de SNMP 1 y 2 asciende a nada ms que una
contrasea (cadena de comunidad) enviado en texto claro entre un gerente y
agente. Cada mensaje SNMPv3 contiene los parmetros de seguridad que
estn codificados como una cadena de octetos. El significado de estos
parmetros de seguridad depende del modelo de seguridad que se utiliza.
SNMPv3 proporciona caractersticas de seguridad importantes:
Confidencialidad - El cifrado de paquetes para impedir la obtencin de
una fuente no autorizada.
Integridad - Integridad de los mensajes para asegurar que un paquete no
ha sido alterado durante el trnsito que incluye un mecanismo de
proteccin de repeticin de paquetes opcionales.
Autenticacin - para comprobar que el mensaje es de una fuente vlida.
A partir de 2004 el IETF reconoce simple versin Protocolo de gestin de red
3 como se define en el RFC 3411 - RFC 3418 (tambin conocido como
STD0062) como la versin estndar actual de SNMP. ElIETF ha designado
SNMPv3 un completo estndar de Internet, el ms alto nivel de madurez de
un RFC. Considera versiones anteriores sean obsoletos (designndolos
diversamente "histrico" o "Obsoleto"). En la prctica, las implementaciones
de SNMP menudo soportan mltiples versiones: Tpicamente SNMPv1,
SNMPv2c y SNMPv3.
Mensajes SNMP.

Para realizar las operaciones bsicas de administracin anteriormente


nombradas, el protocolo SNMP utiliza un servicio no orientado a la conexin
(UDP) para enviar un pequeo grupo de mensajes (PDUs) entre los
administradores y agentes. La utilizacin de un mecanismo de este tipo
asegura que las tareas de administracin de red no afectarn al rendimiento
global de la misma, ya que se evita la utilizacin de mecanismos de control y
recuperacin como los de un servicio orientado a la conexin, por ejemplo
TCP.
Los puertos comnmente utilizados para SNMP son los siguientes:
Nmero

Descripcin

161

SNMP

162

SNMP-trampa

Los paquetes utilizados para enviar consultas y respuestas SNMP poseen el


siguiente formato:
Versin Comunidad SNMP PDU

Versin: Nmero de versin de protocolo que se est utilizando (por ejemplo


1 para SNMPv1);
Comunidad: Nombre o palabra clave que se usa para la autenticacin.
Generalmente existe una comunidad de lectura llamada "public" y una
comunidad de escritura llamada "private";
SNMP PDU: Contenido de la unidad de datos del protocolo, el que depende
de la operacin que se ejecute.
Los mensajes GetRequest, GetNextRequest, SetRequest y GetResponse
utilizan la siguiente estructura en el campo SNMP PDU:

Tipo

Identificador

Estado de error

ndice de error

Enlazado de variables

Identificador: Es un nmero utilizado por el NMS y el agente para enviar


solicitudes y respuesta diferentes en forma simultnea;
Estado e ndice de error: Slo se usan en los mensajes GetResponse (en las
consultas siempre se utiliza cero). El campo "ndice de error" slo se usa
cuando "estado de error" es distinto de 0 y posee el objetivo de proporcionar
informacin adicional sobre la causa del problema. El campo "estado de
error" puede tener los siguientes valores:

0: No hay error;

1: Demasiado grande;

2: No existe esa variable;

3: Valor incorrecto;

4: El valor es de solo lectura;

5: Error genrico.

Enlazado de variables: Es una serie de nombres de variables con sus valores


correspondientes (codificados en ASN.1).

b) MIB
La Base de Informacin para Gestin (Management Information Base o MIB)
es un tipo de base de datos que contiene informacin jerrquica, estructurada
en forma de rbol, de todos los dispositivos gestionados en una red de
comunicaciones.
Es parte de la gestin de red definida en el modelo OSI. Define las variables
usadas por el protocolo SNMP para supervisar y controlar los componentes
de una red. Est compuesta por una serie de objetos que representan los
dispositivos (como enrutadores y conmutadores) en la red.

Cada objeto manejado en un MIB tiene un identificador de objeto nico e


incluye el tipo de objeto (tal como contador, secuencia o indicador), el nivel
de acceso (tal como lectura y escritura), restricciones de tamao, y la
informacin del rango del objeto.
Los MIB tienen un formato comn de modo que aun cuando los dispositivos
sean de fabricantes distintos puedan ser administrados con un protocolo
muy general que es el protocolo de administracin, mediante el cual se
consultan los objetos administrados enviando la informacin a la estacin
administradora.
I. Estructura MIB
La MIB-II se compone de los siguientes nodos estructurales:
System: de este nodo cuelgan objetos que proporcionan informacin
genrica del sistema gestionado. Por ejemplo, dnde se encuentra el
sistema, quin lo administra.
Interfaces: En este grupo est la informacin de los interfaces de red
presentes enel sistema. Incorpora estadsticas de los eventos ocurridos en
el mismo.
At (address translation o traduccin de direcciones): Este nodo es
obsoleto, pero se mantiene para preservar la compatibilidad con la MIBI. En l se almacenan las direcciones de nivel de enlace correspondientes
a una direccin IP.
Ip: En este grupo se almacena la informacin relativa a la capa IP, tanto
de configuracin como de estadsticas.
Icmp: En este nodo se almacenan contadores de los paquetes ICMP
entrantes y salientes.
Tcp: En este grupo est la informacin relativa a la configuracin,
estadsticas y estado actual del protocolo TCP.

Udp: En este nodo est la informacin relativa a la configuracin,


estadsticas del protocolo UDP.
Egp: Aqu est agrupada la informacin relativa a la configuracin y
operacin del protocolo EGP.
Transmission: De este nodo cuelgan grupos referidos a las distintas
tecnologas del nivel de enlace implementadas en las interfaces de red del
sistema gestionado.

Todos los objetos de la MIB de SNMP, se identifican de la siguiente forma:


{iso identigfied-organization(3) dod(6) internet(1) mgmt(2) mib-2(1)...} o, de
manera alternativa {1 3 6 1 2 1 ...}
La MIB tiene 126 reas de informacin sobre el estado del dispositivo, el
desempeo del dispositivo, sus conexiones hacia los diferentes dispositivos
y su configuracin.
El administrador SNMP consulta la MIB a travs del software agente y puede
especificar los cambios que se le hicieron a la configuracin.

La mayor parte de los administradores SNMP consultan a los agentes en un


intervalo regular, 15 minutos por ejemplo, a menos que el usuario indique
otra cosa.
El software agente SNMP por lo general es bastante pequeo (comnmente
de 64KB) dado que el protocolo SNMP es sencillo.
SNMP est diseado para ser un protocolo de sondeo (polling). Los mensajes
SNMP se colocan dentro de un datagrama UDP y se enrutan va IP (aunque
podran utilizarse otros protocolos).

Ramificaciones para estructuras privadas

Sintaxis
En el RFC 1155 estn definidos los siguientes tipos de objetos:
Universales

Integer: para objetos que se representen con un nmero entero.

Octet String: para texto.

Null: cuando el objeto carece de valor.

Object Identifier: para nodos estructurales.

Sequence y Sequence of: para arrays.

Application Type

IpAddress: para direcciones IP

Counter: para contadores.

Gauge

Timeticks: para medir tiempos. Cuenta en centsimas de segundos.

Opaque: para cualquier otra sintaxis ASN.1.

Definicin de tablas

Las tablas son un tipo estructurado. se definen usando los tipos


"Sequence" y "Sequence of" y la clusula "index". La tabla consiste en un
array ("secuence of") de filas, cada una formada por un "Sequence" que
define la columna.

c) Sistema de Gestin de Red (SGR) o Network Management


Systems (NMS)
Un sistema de gestin de red es un conjunto de herramientas integradas para
la monitorizacin y control de la red:
Interfaz de operador nico con capacidad para ejecutar la mayor parte
de las tareas de gestin
Cantidad mnima de equipo adicional
El soporte HW o SW necesario est incorporado en el equipo de usuario
existente
Un sistema de gestin de red est diseado para ver la red completa como
una arquitectura nica:
Direcciones y etiquetas asignadas a cada punto
Conociendo los atributos de cada elemento y enlace

Un sistema de gestin de red (SGR) consta de los siguientes elementos:


Entidad de gestin de red (EGR): est presente en cada nodo o ER, y realiza
las siguientes tareas:
Recoger y almacenar localmente estadsticas de actividad de la red
Almacenar estadsticas locales
Responder a comandos del Centro de Control de Red
Transmitir estadsticas al CCR, cambiar parmetros, proporcionar
informacin de estado, generar trfico artificial para pruebas
Aplicacin de gestin de red (AGR): incluye un interfaz de operador para
la gestin de la red por parte de un usuario autorizado
Muestra informacin y/o genera comandos o peticiones a los EGRs a
travs de la red en respuesta a los comandos del usuario
Agentes: Cada nodo que forma parte del sistema de gestin (un elemento de
red) y que incluye un EGR o Incluyen tanto sistemas finales como
conmutadores, encaminadores, puentes.
Centro de Control de Red (CCR) o gestor: Adems de su EGR, contiene el
software del AGR. Puede haber uno (arquitectura centralizada) o varios
(arquitectura distribuida)
Tanto los gestores como los agentes utilizan las MIB (Management
Information Base), para almacenar informacin relacionada con el sistema de
gestin.
La MIB de un agente contiene informacin de ese dispositivo
La MIB de un gestor contiene informacin de todos los agentes que
controla

INFORMACIN DE UN SISTEMA DE GESTIN DE RED


Informacin esttica: informacin que caracteriza la

configuracin

actual y los elementos de red; cambia con muy poca frecuencia. Ejemplo:
Identificacin de puertos de encaminadores

Informacin dinmica: informacin relacionada con eventos en la red.


Ejemplo: Transmisin de un paquete
Informacin estadstica: informacin derivada de la

informacin

dinmica. Ejemplo: Nmero medio de paquetes transmitidos por unidad


de tiempo por un elemento de red
OBTENCIN DE LA INFORMACIN
Un gestor puede obtener la informacin mediante dos tcnicas:
Polling: el gestor solicita al agente los valores de ciertos parmetros, y el
agente responde con la informacin contenida en su MIB
Se requiere un gestor potente
Los agentes son sencillos
Informe de eventos: un agente genera un informe peridico o ante la
ocurrencia a algn evento determinado, indicando al gestor su estado
Se aprovecha mejor el ancho de banda, sobre todo si la informacin
cambia con poca frecuencia
Los agentes son complejos
REAS FUNCIONALES
El ITU-T clasifica las funciones de gestin en cinco grandes reas funcionales,
segn el mbito de utilizacin. Esta descomposicin se desarroll para el
entorno OSI, pero ha sido ampliamente aceptada por los fabricantes de SGR
Gestin de fallos
Gestin de contabilidad
Gestin de configuracin
Gestin de calidad de funcionamiento
Gestin de seguridad

Gestin de fallos
Localizacin de problemas o fallos en la red, y su mantenimiento,
recuperacin, entre otros. Pasos de la gestin de fallos:
Determinar dnde est el fallo con exactitud

Aislar al resto de la red, para que pueda seguir funcionando sin


Interferencias
Reconfiguracin de la red, para minimizar el impacto del fallo en la
operacin de la red
Recuperacin o sustitucin de componentes
Gestin de contabilidad
Seguimiento del uso de recursos de la red por parte de un usuario o grupo
de usuarios, asegurando que cada uno nicamente utiliza los recursos que
necesita. Motivos:
Facturacin.
Vigilancia de abuso de privilegios de acceso, que pueden dar lugar a
sobrecargas en la

red y prejuicios a otros usuarios.

Uso ineficiente de la red.


Planificacin del crecimiento de la red.
El gestor de red debe ser capaz de especificar:
El tipo de informacin a almacenar en los distintos nodos
El intervalo de tiempo en el que esa informacin debe enviarse al nodo
de mayor nivel jerrquico
Los algoritmos a emplear para la facturacin: por tiempo, paquetes
transmitidos, bytes transmitidos.
Gestin de configuracin
La gestin de configuracin est relacionada con:
Inicializacin y desconexin ordenada de la red o de parte de ella.
Mantenimiento y adicin de componentes, y actualizacin de relaciones
entre componentes (reconfiguraciones).
Es deseable que el arranque y parada de componentes especficos se puedan
realizar de forma remota y desatendida.
Gestin de funcionalidad
Funciones destinadas a evaluar el comportamiento de equipos de
telecomunicaciones e informar al respecto, midiendo las prestaciones de los

diferentes elementos hardware, software y medios de comunicacin El


objetivo es asegurar que la capacidad y prestaciones de la red corresponden
con las necesidades de los usuarios.
Parmetros a medir:
Productividad: utilizacin, tasa de error, tiempo de respuesta, etc.
Hay dos categoras funcionales:
Monitorizacin: seguimiento de actividades en la red.
Control: realizacin de los ajustes necesarios para mejorar el
rendimiento.
Con las estadsticas sobre el rendimiento, se pueden predecir puntos
conflictivos antes de que causen problemas a los usuarios. Ejemplo: deteccin
de cuellos de botella, y acciones correctivas (balanceo o redistribucin del
trfico).
Gestin de seguridad
Proceso para controlar el acceso a la informacin contenida en los elementos
de la red, y proteccin de la misma ante fallos intencionados o accidentales,
accesos no autorizados, etc.
Control de acceso ms encriptacin de la informacin enviada por la red.
Archivos de log, que guardan informacin de lo que pasa en la red, para
su posterior anlisis.
La gestin de seguridad proporciona los medios para:
Localizar la informacin importante.
Establecerlos puntos desde los que se puede acceder.
Registrar los usuarios que consultan dicha informacin, y durante qu
periodos de tiempo, as como los intentos fallidos de acceso.

d) Agente SNMP

Es el componente del software dentro del dispositivo gestionado que


mantiene los datos del mismo e informa a los gestores acerca de ellos, cuando
haga falta.
Los nodos administrativos pueden ser hosts, enrutadores, puentes,
impresoras u otros dispositivos capaces de comunicar informacin de estado
al mundo exterior. Para ser administrado directamente por el SNMP, un
nodo debe ser capaz de ejecutar un proceso de administracin SNMP,
llamado agente SNMP. Todas las computadoras cumplen este requisito, al
igual que una cantidad creciente de puentes, enrutadores y dispositivos
perifricos diseados para uso en redes. Cada agente mantiene una base de
datos local de variables que describen su estado e historia y que afectan su
operacin.

2. BITCORAS
Los archivos de bitcoras de los sistemas y aplicaciones contienen informacin
invaluable como el estatus y los resultados de las operaciones, errores y mucho
ms. Monitorear los archivos de bitcoras ayuda a los administradores de TI a
conocer el desempeo de los sistemas y aplicaciones crticas para los objetivos
como Oracle, SAP, ERP, ISS, etc. a tiempo real. OpManager ofrece un monitoreo
de archivos de bitcoras basado en agentes para monitorear las bitcoras de
sistemas y aplicaciones. El agente desplegado en los sistemas Windows
monitorear los archivos de bitcoras en textos a tiempo real. Monitoreo & alertas
de bitcoras a tiempo real El agente monitorea los archivos de bitcoras cada 10
segundos en la cadena configurada. Una vez que la aplicacin o sistema imprime
la cadena en su bitcora, el agente captura a tiempo real la informacin y levanta
una alarma en OpManager. Coincidencia de Cadenas & Maysculas/Minsculas
El agente escanea los archivos de bitcoras para buscar coincidencias exactas en
las cadenas. La cadena puede ser una expresin regular y tambin puede incluir
caracteres especiales. Escaneo de contenido reciente Cuando los archivos de
bitcoras son escaneados, la ltima posicin escaneada es anotada. Los escaneos
subsecuentes inician desde la posicin escaneada anteriormente. Lectura de
archivos de bitcoras discreta Para evitar que el archivo de bitcora se bloquee
mientras se realiza el monitoreo, el agente monitorea slo los archivos de bitcora
que cuentan con acceso a lectura compartida. Contadores de entradas de
bitcoras El Agente de Monitoreo de archivos de bitcora tambin rastrea las
entradas duplicadas y levanta una alerta. Comunicacin segura TLa
comunicacin entre el servidor de OpManager y el agente se realiza mediante un

puerto en el servidor web, de modo que no hay necesidad de abrir otro puerto
nuevo. Ligero y fcil de instalar El agente de monitoreo de archivos de bitcoras
es muy ligero y no consume muchos recursos del sistema. Tambin es muy fcil
de instalar.

3. ANALIZADORES DE PROTOCOLOS
Una de las actividades ms comunes en la administracin de una red o
administracin de seguridad, es la del anlisis de trfico de dicha red. No slo el
trfico que fluye a travs de nuestra LAN, sino que tambin debemos analizar el
trfico entrante y saliente hacia INTERNET a travs de los servicios que
tengamos instalados, proxies, etc. Esto es as porque, como ya sabis, es necesario
para la deteccin de problemas y, sobre todo, para detectar trfico no esperado,
presencia de puertas traseras, escaneos y cualquier otra intrusin [4]. Un
analizador de protocolos es una herramienta que sirve para desarrollar y depurar
protocolos y aplicaciones de red. Permite al ordenador capturar diversas tramas
de red para analizarlas, ya sea en tiempo real o despus de haberlas capturado.
Por analizar se entiende que el programa puede reconocer que la trama
capturada pertenece a un protocolo concreto (TCP, ICMP) y muestra al usuario
la informacin decodificada. De esta forma, el usuario puede ver todo aquello
que en un momento concreto est circulando por la red que se est analizando.
Esto ltimo es muy importante para un programador que est desarrollando un
protocolo, o cualquier programa que transmita y reciba datos en una red, ya que
le permite comprobar lo que realmente hace el programa. Adems de para los
programadores, estos analizadores son muy tiles a todos aquellos que quieren
experimentar o comprobar cmo funcionan ciertos protocolos de red, si bien su
estudio puede resultar poco ameno, sobre todo si se limita a la estructura y
funcionalidad de las unidades de datos que intercambian. Tambin, gracias a
estos analizadores, se puede ver la relacin que hay entre diferentes protocolos,
para as, comprender mejor su funcionamiento. Un analizador de protocolos es
una aplicacin software que monitorea e interpreta toda la informacin que fluye
a travs de la interface de red. En general captura tramas de red a nivel de
informacin y, mediante una combinacin de procesos e identificacin de
protocolos, traduce esas tramas en transacciones con significado para protocolos
de alto nivel. Adems, los analizadores de protocolos tambin pueden

desenmaraar el torrente de tramas que fluyen a travs de la interfaz de res en


conexiones individuales y simultneas que suman al trfico. Puedes usar un
analizador de protocolo con facilidad en tu computadora.
Los analizadores de protocolos se usan en diversas arquitecturas de red, tales
como Redes LAN (10/100/1000 Ethernet; Token Ring; FDDI (Fibra ptica)), Redes
Wireless LAN, Redes WAN Usos:

Analizar y soportar demandas de nuevas aplicaciones (como VoIP)

Obtener mayor eficiencia de la red, al analizar todo lo que pasa por ella,
detectar problemas concretos.

Analizar redes remotas, sin necesidad de realizar largos viajes

Analizar y monitorear varias redes a la vez Hay diversos tipos de


analizadores de protocolos disponibles comercialmente, pero en general,
son productos bastante caros. El precio depende de la capacidad de
anlisis (el nmero de protocolos que es capaz de reconocer y decodificar),
de la tecnologa de red soportadas (Ethernet, ATM, FDDI), y de si se
trata de algn programa (software) o ya es algn tipo de mquina
especializado (hardware).

4. PLANIFICADORES
Los planificadores de trfico pueden ser usados en distintos entornos para
satisfacer una amplia variedad de objetivos. Una aplicacin comn de los
algoritmos de planificacin es proporcionar una calidad de servicio a nivel de red
aislando unos trficos de otros. Los planificadores tambin pueden ser usados
para permitir a los usuarios compartir un enlace de forma equitativa o
determinista.
Un planificador puede ser contemplado como un sistema de colas que consiste
en un servidor que proporciona servicio a un conjunto de clientes. Los clientes
encolan paquetes para ser servidos y estos son escogidos por el planificador
basndose en una disciplina de servicio definida por el algoritmo de
planificacin. La disciplina de servicio puede ser diseada para cumplir los
requerimientos de calidad de servicio deseados por cada cliente.

Disciplinas de servicio
El objetivo de los planificadores es asignar los recursos de acuerdo a la reserva
realizada con anterioridad con el objetivo de cumplir la calidad de servicio
exigida. Tres tipos de recursos son asignados por los planificadores: ancho de
banda (qu paquete es transmitido), tiempo (cundo es transmitido el paquete) y
memoria (qu paquetes son descartados), lo que afecta a tres parmetros bsicos:
rendimiento, retraso y tasa de prdida.
En general, se distinguen dos tipos de disciplinas de servicio en los nodos:
1. Non work-conserving en el que los nodos intentan mantener el modelo del
trfico, aunque esto implique que en determinados periodos no se transmita
nada. En este caso, cuando entra un paquete en el nodo se le asocia un tiempo
de elegibilidad. En el caso de que no haya paquetes en estado de elegibilidad,
no se transmite nada. Cada planificador provoca un retraso acotado y
calculable para cada paquete. Dado que cada nodo mantiene el modelo del
trfico el clculo del retraso total es la suma de los retrasos en cada nodo.
2. Work-conserving en el que si existen paquetes en el nodo por transmitir se
envan. A este grupo pertenecen Virtual Clock, Weighted Fair Queuing
(WFQ) y GPS (General Processor Sharing) [Demers89] [Parekh92]. Para todos
estos esquemas existen funciones para calcular el retraso mximo emisorreceptor que estn basadas en el trabajo de Parekh y Gallaguer.
Normalmente, el clculo del retraso es dependiente de la reserva de ancho de
banda en los nodos. Hay que tomar en cuenta el costo computacional de los
algoritmos de planificacin para su implementacin en redes de alta velocidad.

5. ANLISIS DE DESEMPEO DE LA RED: TRFICO Y


SERVICIOS
El anlisis del trfico de red se basa habitualmente en la utilizacin de sondas de
red, funcionando en modo promiscuo. Las sondas capturan el trfico a analizar

y constituyen la plataforma en la que se ejecutarn, de forma continua,


aplicaciones propietarias o de dominio pblico, con las que se podr determinar
el tipo de informacin que circula por la red y el impacto que pudiera llegar a
tener sobre la misma. El anlisis de trfico permite determinar las capacidades y
mtricas bajo las cuales se est comportando la red, y evitar tener problemas de
desempeo. Por ejemplo podramos determinar la existencia de virus o el uso
excesivo de aplicaciones p2p que comnmente degradan las prestaciones de la
red, sobre todo si hablamos de los enlaces principales que dan acceso a Internet.
Las tecnologas de transmisin de datos a travs de redes de computadores son
el eje central del funcionamiento de un entorno informtico que presta servicios
de tipo cliente/servidor. Un excelente desempeo de la red trae como
consecuencia un aumento de la productividad informtica. El ingreso de nuevos
equipos a la red, la existencia de protocolos no necesarios, la mala configuracin
de equipos activos de red o las fallas presentadas en el sistema de cableado
pueden causar degradacin del desempeo de la red. Por medio de pruebas,
captura de paquetes, anlisis de flujo de informacin y verificacin de la
configuracin de equipos activos (switch, routers), se puede mejorar el
desempeo de la red.
Una de las fases importantes en el desarrollo de proyectos de ingeniera es la
simulacin, ya que es una herramienta til que permiten realizar pruebas antes
de una implementacin, facilitando su comprensin y detectando fallas de
diseo.
Monitorear un servidor de Internet significa que el dueo de los servidores
conoce si uno o todos sus servicios estn cados. La monitorizacin del servidor
puede ser interna (por ejemplo el software del servidor se verifica y notifica de
los problemas al dueo) o externa (donde se verifican los servidores
manualmente). Durante el monitoreo de los servidores se verifican caractersticas
como el uso de CPU, uso de memoria, rendimiento de red y el espacio libre en
disco e incluso las aplicaciones instaladas (como Apache, MySQL, Nginx,

Postgres entre otros). Durante este proceso se verifican tambin los cdigos
HTTP enviados del servidor, que suelen ser la forma ms rpida de verificar el
funcionamiento de los mismos.
Qu monitorear?
Una consideracin muy importante es delimitar el espectro sobre el cual se va a
trabajar. Existen muchos aspectos que pueden ser monitoreados, los ms
comunes son los siguientes:
1. Utilizacin de ancho de banda
2. Consumo de CPU.
3. Consumo de memoria.
4. Estado fsico de las conexiones.
5. Tipo de trfico.
6. Alarmas
7. Servicios (Web, correo, bases de datos, proxy)
Es importante definir el alcance de los dispositivos que van a ser monitoreados,
el cual puede ser muy amplio y se puede dividir de la siguiente forma:
Las fallas de peticiones de estado, tales como que la conexin no pudo ser
establecida, el tiempo de espera agotado, entre otros, usualmente produce una
accin desde del sistema de monitoreo. Estas acciones pueden variar: una alarma
puede ser enviada al administrador, ejecucin automtica de mecanismos de
controles de fallas, etctera. Monitorear la eficiencia del estado del enlace de
subida se denomina Medicin de trfico de red.

Webgrafa
http://es.slideshare.net/ammpms/actividad-unidad-iiiangelesmartinez
http://es.slideshare.net/laonda601/investigacion-unidad-3

Administracin de Redes
Catedrtico:
Ing. Michelle Zambrano
Responsables:

Gonzlez Loor Angie Lissely


Mendoza Lpez Xavier Israel
Molina Moreira Kelvin Stalin
Ostaiza Pinargote Harry Daniel
Romero Ponce Karla Liscet

Curso:
Sexto A
octubre 2014 febrero 201

1. PROTOCOLOS DE ADMINISTRACIN DE RED (SNMP)


a) SNMP (Protocolo Simple de Administracin de Redes)
SNMP es un protocolo que permite al Usuario SNMP interactuar sobre los
objetos de un dispositivo a travs de un Agente SNMP:

Opera sobre TCP/IP e IPX a nivel Aplicacin

Es un modelo de comunicacin Cliente / Servidor

Define la forma y el significado de los mensajes intercambiados entre


cliente y servidor

SNMP define un conjunto de operaciones sobre los objetos

La Arquitectura de un Modelo SNMP.


La arquitectura SNMP consta de los siguientes componentes:

Gestores (NMSs)

Agentes (nodos administrados)

MIB (base de datos con informacin)

SMI (administracin de la base de datos)

Protocolos (rdenes)

SNMP facilita la comunicacin entre la estacin administradora y el agente


de un dispositivo de red (o nodo administrado), permitiendo que los agentes
transmitan datos estadsticos (variables) a travs de la red a la estacin de
administracin.
SNMP: funcionamiento
La forma normal de uso del SNMP es el sondeo (o pooling):
1. Pregunta: que la estacin administradora enve una solicitud a un agente
pidindole informacin o mandndole actualizar su estado de cierta
manera. Este mtodo se conoce como sondeo.

2. Respuesta: la informacin recibida del agente es la respuesta o la


confirmacin a la accin solicitada.
Problema del sondeo: se incrementa con los nodos administrados y en
ocasiones puede llegar a perjudicar el rendimiento de la red.
Mtodo Interrupcin (trap): Es mejor que un agente pueda mandar la
informacin al nodo administrador puntualmente, ante una situacin
predeterminada, por ejemplo una anomala detectada en la red.
SNMP: protocolos.
SNMP es independiente del protocolo (IPX de SPX/IPX de Novell, IP con
UDP)
SNMP se puede implementar usando comunicaciones UDP o TCP, pero
por norma general, se suelen usar comunicaciones UDP en la mayora de
los casos. Con UDP, el protocolo SNMP se implementa utilizando los
puertos 161 y 162.
Puerto 161 se utiliza para las transmisiones normales de comando SNMP
Puerto 162 se utiliza para los mensajes de tipo trap o interrupcin.
Arquitectura SNMP.
Componentes de la arquitectura SNMP.

Ventajas y desventajas del SNMP


I. Ventajas de SNMP
La ventaja fundamental de usar SNMP es que su diseo es simple por lo
que su implementacin es sencilla en grandes redes y la informacin de
gestin que se necesita intercambiar ocupa pocos recursos de la red.
Adems, permite al usuario elegir las variables que desea monitorizar sin
ms que definir:

El ttulo de la variable.

El tipo de datos de las variables.

Si la variable es de solo lectura o tambin de escritura.

El valor de la variable.

Otra ventaja de SNMP es que en la actualidad es el sistema ms


extendido. La popularidad la ha conseguido al ser el nico protocolo que
existi en un principio y por ello casi todos los fabricantes de dispositivos
como puentes y encaminadores diselan sus productos para soportar
SNMP.
La posibilidad de expansin es otra ventaja del protocolo SNMP: debido
a su sencillez es fcil de actualizar.
II. Desventajas de SNMP
El protocolo SNMP no es ni mucho menos perfecto. Tiene sus fallos que
se han ido corrigiendo.

La primera deficiencia de SNMP es que tiene grandes fallos de seguridad


que puede permitir a intrusos acceder a informacin que lleva la res.
Todava peor, estos intrusos pueden llegar a bloquear o deshabilitar
terminales.
La solucin a este problema es sencilla y se ha incorporado en la nueva
versin SNMPv2. Bsicamente se han aadido mecanismos para
resolver:

Privacidad de los datos, los intrusos no puedan tomar informacin


que va por la red.

Autentificacin, para prevenir que los intrusos manden informacin


falsa por la red.

Control de acceso, que restringe el acceso a ciertas variables a


determinados usuarios que puedan hacer caer la red.

El mayor problema de SNMP es que se considera tan simple que la


informacin est poco organizada, lo que le hace no muy acertada para
gestionar las grandes redes de la actualidad. Esto se debe en gran parte a
que SNMP se cre como un protocolo provisional pero que se ha
quedado sin ser sustituido por otro de entidad.

De nuevo este problema se ha solucionado con la nueva versin SNMPv2


que permite una separacin de variables con ms detalle, incluyendo
estructuras de datos para hacer ms fcil su manejo. Adems SNMPv2
incluye 2 nuevas PDU's orientadas a la manipulacin de objetos en
tablas.
Por tanto, SNMP es un sistema de gestin que se ha quedado anticuado
y que necesitaba con urgencia un recambio que ha venido de la mano de
la versin 2 del mismo. SNMP ya no es capaz de soportar la intensa
actividad que sufren redes como Internet.
Versiones de SNMP.

Limitaciones de SNMP v.1

Limitada capacidad en el manejo de contadores en tecnologas


FastEthernet, HSTR, ATM y GigabitEthernet.

Mecanismo GetReq y GetResponse poco optimizado.

Mejoras

del

actual

sistema

Cliente/Agente SNMP.

Modelo de seguridad precario.

administrativo

en

la

relacin

Evolucin de SNMP

RFC SNMP original. Punto de partida

Modelo de seguridad basado en comunity

Documentos de referencia que han de servir para el desarrollo del


SNMP v.2

Mejoras en seguridad y mayor capacidad en el manejo de objetos.

Mayores prestaciones administrativas.

Documento de compromiso para lanzar una versin 2 con todas las mejoras
propuestas en los documentos RFC144 1452 pero manteniendo el modelo de
seguridad de la versin 1 -comunityPlanteamientos enfrentados para el desarrollo de una va de evolucin de
SNMP v.2. Ambos grupos de trabajo contemplan todas las funcionalidades
de SNMP v.2 pero dando diferentes enfoques al aspecto de la seguridad
Versin 1
SNMP versin 1 (SNMPv1) es la implementacin inicial del protocolo SNMP.
SNMPv1 opera a travs de protocolos como el User Datagram Protocol
(UDP), Protocolo de Internet (IP), servicio de red sin conexin OSI (CLNS),
AppleTalk Protocolo de datagramas de entrega (DDP), y Novell Internet
Packet Exchange (IPX). SNMPv1 es ampliamente utilizado y es el de facto
protocolo de gestin de red en la comunidad de Internet. Los primeros RFCs
para SNMP, ahora conocido como SNMPv1, aparecieron en 1988: RFC
1065 - Estructura e identificacin de informacin de gestin para internet
basadas en TCP / IP. RFC 1066 - Base de informacin de gestin para la
gestin de la red de internet basadas en TCP / IP. RFC 1067 - Un protocolo
simple de administracin de red. Estos protocolos estaban obsoletos por:
RFC 1155 - Estructura e identificacin de informacin de gestin para
internet basadas en TCP / IP. RFC 1156 - Base de informacin de gestin

para la gestin de la red de internet basadas en TCP / IP. RFC 1157 - Un


protocolo simple de administracin de red Despus de un corto tiempo, RFC
1156 (MIB-1) fue reemplazada por la ms habitual: RFC 1213 - Versin 2 de
la base de informacin de gestin (MIB-2) para la gestin de la red de internet
basadas en TCP / IP
Versin 1 ha sido criticado por su falta de seguridad. La autenticacin de los
clientes se realiza slo por una "cadena de comunidad", en efecto, un tipo de
contrasea, que se transmite en texto plano. El diseo de los aos 80 de
SNMP V1 fue realizado por un grupo de colaboradores que vieron el MR /
IETF / NSF patrocinado oficialmente (National Science Foundation) esfuerzo
(HEMS / CMIS / CMIP) ya que tanto inaplicable en las plataformas
informticas de la poca, as como potencialmente inviable. SNMP se aprob
basndose en la creencia de que se trataba de un Protocolo provisional
necesaria para la toma de medidas para el despliegue a gran escala de
Internet y su comercializacin. En ese perodo de tiempo de Internet estndar
de autenticacin / seguridad era a la vez un sueo y desalentado por los
grupos de diseo de protocolos centrados.
Versin 2
SNMPv2 ( RFC 1441 - RFC 1452 ), revisa la versin 1 e incluye mejoras en las
reas de comunicaciones de rendimiento, la seguridad, confidencialidad emanager-a

gerente.

Introdujo

GetBulkRequest,

una

alternativa

GetNextRequests iterativos para recuperar grandes cantidades de datos de


gestin en una sola solicitud. Sin embargo, el nuevo sistema de seguridad
basado en partidos en SNMPv2, visto por muchos como demasiado
complejo, no fue ampliamente aceptado. Esta versin de SNMP alcanzado el
nivel de madurez de Norma, pero se consider obsoleto por las versiones
posteriores. Simple basada en la comunidad la versin Network
Management Protocol 2, o SNMPv2c, se define en el RFC 1901 - RFC 1908.

SNMPv2c comprende SNMPv2 sin el nuevo modelo de seguridad de SNMP


v2 controversial, utilizando en su lugar el sistema de seguridad basado en la
simple comunidad de SNMPv1. Esta versin es una de las relativamente
pocas normas para cumplir con el proyecto de nivel de madurez estndar del
IETF, y fue considerado el de facto estndar SNMPv2. Es tambin estaba
obsoleto despus, por SNMPv3. Simple de usuario basada en la versin
Network Management Protocol 2, o SNMPv2u, se define en el RFC
1909 - RFC 1910. Este es un compromiso que pretende ofrecer una mayor
seguridad que SNMPv1, pero sin incurrir en la alta complejidad de SNMPv2.
Una variante de este se comercializ como SNMP v2 *, y el mecanismo fue
finalmente adoptado como uno de los dos marcos de seguridad de SNMP v3.
SNMPv1 y SNMPv2c interoperabilidad
Tal como est actualmente especificada, SNMPv2c es incompatible con
SNMPv1 en dos reas clave: los formatos de mensajes y operaciones de
protocolo. Mensajes SNMPv2c utilizan diferentes cabecera y la unidad de
datos de protocolo (PDU) formatos de mensajes SNMPv1. SNMPv2c tambin
utiliza dos operaciones de protocolo que no estn especificados en SNMPv1.
Adems, RFC 2576 define dos posibles estrategias de coexistencia
SNMPv1/v2c: agentes de proxy y sistemas de gestin de red bilinges.
Agentes de proxy
Un agente SNMPv2 puede actuar como un agente proxy en nombre de
dispositivos SNMPv1 administrados, de la siguiente manera: Un SNMPv2
NMS emite un comando destinado a un agente SNMPv1. El NMS enva el
mensaje SNMP para el agente proxy SNMPv2. El agente proxy reenva
Cmo, GetNext y Set mensajes al agente SNMPv1 sin cambios. Mensajes
GetBulk son convertidas por el agente proxy de GetNext mensajes y luego se
envan al agente SNMPv1. El agente proxy mapas de mensajes de captura

SNMPv1 a SNMPv2 mensajes de captura y luego las enva a los nuevos


Estados miembros.
Sistema de gestin de la red bilinge
Sistemas de gestin de red SNMPv2 Bilinges soportan tanto SNMPv1 y
SNMPv2. Para apoyar este entorno de gestin dual, una aplicacin para la
gestin de los nuevos Estados miembros bilinges debe ponerse en contacto
con un agente. El NMS examina la informacin almacenada en una base de
datos local para determinar si el agente es compatible con SNMPv1 o
SNMPv2. Sobre la base de la informacin en la base de datos, el NMS se
comunica con el agente utilizando la versin adecuada de SNMP.
Versin 3
Aunque SNMPv3 no realiza cambios en el protocolo, aparte de la adicin de
seguridad criptogrfica, se ve muy diferente debido a las convenciones
nuevo texto, los conceptos y la terminologa.
SNMPv3 aadi principalmente la seguridad y mejoras de configuracin
remota SNMP. Debido a la falta de seguridad con el uso de SNMP, los
administradores de red se utilizan otros medios, tales como telnet para la
configuracin, contabilidad y gestin de fallos.
SNMPv3 se ocupa de cuestiones relacionadas con el despliegue a gran escala
de SNMP, contabilidad y gestin de fallos. Actualmente, SNMP se utiliza
principalmente para el control y la gestin del rendimiento.
SNMPv3 define una versin segura de SNMP y tambin facilita la
configuracin remota de las entidades SNMP. SNMPv3 ofrece un entorno
seguro para la gestin de sistemas que abarcan los siguientes:

Identificacin de las entidades SNMP para facilitar la comunicacin slo


entre entidades SNMP conocidas - Cada entidad SNMP tiene un

identificador llamado snmpEngineID y comunicacin SNMP es posible


slo si la entidad SNMP conoce la identidad de su interlocutor. Trampas
y notificaciones son excepciones a esta regla.

Soporte para los modelos de seguridad - Un modelo de seguridad puede


definir la poltica de seguridad dentro de un dominio administrativo o
una intranet. SNMPv3 contiene las especificaciones para USM.

Definicin de los objetivos de seguridad, donde los objetivos del servicio de


autenticacin de mensajes incluyen la proteccin contra lo siguiente:

Modificacin de la informacin - Proteccin contra algunos no


autorizados entidad que altera SNMP en trnsito mensajes generados
por un principal autorizado.

Masquerade - Proteccin contra intentar operaciones de gestin no


autorizadas por algn director al asumir la identidad de otra principal
que cuenta con las autorizaciones correspondientes.

Mensaje Corriente Modificacin - Proteccin contra mensajes que


consiguen maliciosamente reordenado, retrasado, o reproducido para
efectuar las operaciones de gestin autorizadas.

Divulgacin - Proteccin contra escuchas en los intercambios entre los


motores de SNMP.

Especificacin para USM - USM (Modelo de seguridad basada en el usuario)


consiste en la definicin general de los siguientes mecanismos de
comunicacin disponibles:

Comunicacin sin autenticacin y privacidad (noAuthNoPriv).

La comunicacin con la autenticacin y sin privacidad (authNoPriv).

La comunicacin con la autenticacin y la privacidad (authpriv).

Definicin de diferentes protocolos de autenticacin y privacidad Actualmente, los protocolos de autenticacin MD5 y SHA y los

protocolos de privacidad y CBC_DES CFB_AES_128 se admiten en la


USM.

Definicin de un procedimiento de descubrimiento - Para encontrar el


snmpEngineID de una entidad SNMP para una direccin de transporte
comn y direccin de punto final de transporte.

Definicin del procedimiento de sincronizacin de hora - Para facilitar


la comunicacin autenticada entre las entidades SNMP.

Definicin del marco MIB SNMP - Para facilitar la configuracin remota


y administracin de la entidad SNMP.

Definicin de las MIB USM - Para facilitar la configuracin remota y


administracin del mdulo de seguridad.

Definicin de las MIB VACM - Para facilitar la configuracin remota y


administracin del mdulo de control de acceso.

El SNMPv3 se centra en dos aspectos principales, a saber, la seguridad y la


administracin. El aspecto de seguridad se dirige, ofreciendo tanto una
slida autenticacin y cifrado de datos para la privacidad. El aspecto de la
administracin se centra en dos partes, a saber los originadores de
notificacin y agentes proxy. SNMPv3 define una serie de capacidades
relacionadas con la seguridad. Las especificaciones iniciales definen la USM
y VACM, que ms tarde fueron seguidos por un modelo de seguridad de
transporte que proporciona apoyo a travs de SSH y SNMPv3 SNMPv3 en
TLS y DTLS.
USM (basado en usuarios Modelo de seguridad) proporciona funciones de
autenticacin y privacidad (encriptacin) y opera en el nivel de mensaje.
VACM (Acceso basado Vista-Modelo de Control) determina si se permite a
un director dado acceso a un objeto MIB particular, para realizar funciones
especficas y opera en el nivel de PDU.

TSM (Modo de Seguridad del Transporte) proporciona un mtodo para la


autenticacin y el cifrado de mensajes a travs de los canales externos de
seguridad. Dos transportes, SSH y TLS / DTLS, han definido que hacen uso
de la especificacin de TSM.
La seguridad ha sido la mayor debilidad de SNMP desde el principio.
Autenticacin en versiones de SNMP 1 y 2 asciende a nada ms que una
contrasea (cadena de comunidad) enviado en texto claro entre un gerente y
agente. Cada mensaje SNMPv3 contiene los parmetros de seguridad que
estn codificados como una cadena de octetos. El significado de estos
parmetros de seguridad depende del modelo de seguridad que se utiliza.
SNMPv3 proporciona caractersticas de seguridad importantes:
Confidencialidad - El cifrado de paquetes para impedir la obtencin de
una fuente no autorizada.
Integridad - Integridad de los mensajes para asegurar que un paquete no
ha sido alterado durante el trnsito que incluye un mecanismo de
proteccin de repeticin de paquetes opcionales.
Autenticacin - para comprobar que el mensaje es de una fuente vlida.
A partir de 2004 el IETF reconoce simple versin Protocolo de gestin de red
3 como se define en el RFC 3411 - RFC 3418 (tambin conocido como
STD0062) como la versin estndar actual de SNMP. ElIETF ha designado
SNMPv3 un completo estndar de Internet, el ms alto nivel de madurez de
un RFC. Considera versiones anteriores sean obsoletos (designndolos
diversamente "histrico" o "Obsoleto"). En la prctica, las implementaciones
de SNMP menudo soportan mltiples versiones: Tpicamente SNMPv1,
SNMPv2c y SNMPv3.
Mensajes SNMP.

Para realizar las operaciones bsicas de administracin anteriormente


nombradas, el protocolo SNMP utiliza un servicio no orientado a la conexin
(UDP) para enviar un pequeo grupo de mensajes (PDUs) entre los
administradores y agentes. La utilizacin de un mecanismo de este tipo
asegura que las tareas de administracin de red no afectarn al rendimiento
global de la misma, ya que se evita la utilizacin de mecanismos de control y
recuperacin como los de un servicio orientado a la conexin, por ejemplo
TCP.
Los puertos comnmente utilizados para SNMP son los siguientes:
Nmero

Descripcin

161

SNMP

162

SNMP-trampa

Los paquetes utilizados para enviar consultas y respuestas SNMP poseen el


siguiente formato:
Versin Comunidad SNMP PDU

Versin: Nmero de versin de protocolo que se est utilizando (por ejemplo


1 para SNMPv1);
Comunidad: Nombre o palabra clave que se usa para la autenticacin.
Generalmente existe una comunidad de lectura llamada "public" y una
comunidad de escritura llamada "private";
SNMP PDU: Contenido de la unidad de datos del protocolo, el que depende
de la operacin que se ejecute.
Los mensajes GetRequest, GetNextRequest, SetRequest y GetResponse
utilizan la siguiente estructura en el campo SNMP PDU:

Tipo

Identificador

Estado de error

ndice de error

Enlazado de variables

Identificador: Es un nmero utilizado por el NMS y el agente para enviar


solicitudes y respuesta diferentes en forma simultnea;
Estado e ndice de error: Slo se usan en los mensajes GetResponse (en las
consultas siempre se utiliza cero). El campo "ndice de error" slo se usa
cuando "estado de error" es distinto de 0 y posee el objetivo de proporcionar
informacin adicional sobre la causa del problema. El campo "estado de
error" puede tener los siguientes valores:

0: No hay error;

1: Demasiado grande;

2: No existe esa variable;

3: Valor incorrecto;

4: El valor es de solo lectura;

5: Error genrico.

Enlazado de variables: Es una serie de nombres de variables con sus valores


correspondientes (codificados en ASN.1).

b) MIB
La Base de Informacin para Gestin (Management Information Base o MIB)
es un tipo de base de datos que contiene informacin jerrquica, estructurada
en forma de rbol, de todos los dispositivos gestionados en una red de
comunicaciones.
Es parte de la gestin de red definida en el modelo OSI. Define las variables
usadas por el protocolo SNMP para supervisar y controlar los componentes
de una red. Est compuesta por una serie de objetos que representan los
dispositivos (como enrutadores y conmutadores) en la red.

Cada objeto manejado en un MIB tiene un identificador de objeto nico e


incluye el tipo de objeto (tal como contador, secuencia o indicador), el nivel
de acceso (tal como lectura y escritura), restricciones de tamao, y la
informacin del rango del objeto.
Los MIB tienen un formato comn de modo que aun cuando los dispositivos
sean de fabricantes distintos puedan ser administrados con un protocolo
muy general que es el protocolo de administracin, mediante el cual se
consultan los objetos administrados enviando la informacin a la estacin
administradora.
I. Estructura MIB
La MIB-II se compone de los siguientes nodos estructurales:
System: de este nodo cuelgan objetos que proporcionan informacin
genrica del sistema gestionado. Por ejemplo, dnde se encuentra el
sistema, quin lo administra.
Interfaces: En este grupo est la informacin de los interfaces de red
presentes enel sistema. Incorpora estadsticas de los eventos ocurridos en
el mismo.
At (address translation o traduccin de direcciones): Este nodo es
obsoleto, pero se mantiene para preservar la compatibilidad con la MIBI. En l se almacenan las direcciones de nivel de enlace correspondientes
a una direccin IP.
Ip: En este grupo se almacena la informacin relativa a la capa IP, tanto
de configuracin como de estadsticas.
Icmp: En este nodo se almacenan contadores de los paquetes ICMP
entrantes y salientes.
Tcp: En este grupo est la informacin relativa a la configuracin,
estadsticas y estado actual del protocolo TCP.

Udp: En este nodo est la informacin relativa a la configuracin,


estadsticas del protocolo UDP.
Egp: Aqu est agrupada la informacin relativa a la configuracin y
operacin del protocolo EGP.
Transmission: De este nodo cuelgan grupos referidos a las distintas
tecnologas del nivel de enlace implementadas en las interfaces de red del
sistema gestionado.

Todos los objetos de la MIB de SNMP, se identifican de la siguiente forma:


{iso identigfied-organization(3) dod(6) internet(1) mgmt(2) mib-2(1)...} o, de
manera alternativa {1 3 6 1 2 1 ...}
La MIB tiene 126 reas de informacin sobre el estado del dispositivo, el
desempeo del dispositivo, sus conexiones hacia los diferentes dispositivos
y su configuracin.
El administrador SNMP consulta la MIB a travs del software agente y puede
especificar los cambios que se le hicieron a la configuracin.

La mayor parte de los administradores SNMP consultan a los agentes en un


intervalo regular, 15 minutos por ejemplo, a menos que el usuario indique
otra cosa.
El software agente SNMP por lo general es bastante pequeo (comnmente
de 64KB) dado que el protocolo SNMP es sencillo.
SNMP est diseado para ser un protocolo de sondeo (polling). Los mensajes
SNMP se colocan dentro de un datagrama UDP y se enrutan va IP (aunque
podran utilizarse otros protocolos).

Ramificaciones para estructuras privadas

Sintaxis
En el RFC 1155 estn definidos los siguientes tipos de objetos:
Universales

Integer: para objetos que se representen con un nmero entero.

Octet String: para texto.

Null: cuando el objeto carece de valor.

Object Identifier: para nodos estructurales.

Sequence y Sequence of: para arrays.

Application Type

IpAddress: para direcciones IP

Counter: para contadores.

Gauge

Timeticks: para medir tiempos. Cuenta en centsimas de segundos.

Opaque: para cualquier otra sintaxis ASN.1.

Definicin de tablas

Las tablas son un tipo estructurado. se definen usando los tipos


"Sequence" y "Sequence of" y la clusula "index". La tabla consiste en un
array ("secuence of") de filas, cada una formada por un "Sequence" que
define la columna.

c) Sistema de Gestin de Red (SGR) o Network Management


Systems (NMS)
Un sistema de gestin de red es un conjunto de herramientas integradas para
la monitorizacin y control de la red:
Interfaz de operador nico con capacidad para ejecutar la mayor parte
de las tareas de gestin
Cantidad mnima de equipo adicional
El soporte HW o SW necesario est incorporado en el equipo de usuario
existente
Un sistema de gestin de red est diseado para ver la red completa como
una arquitectura nica:
Direcciones y etiquetas asignadas a cada punto
Conociendo los atributos de cada elemento y enlace

Un sistema de gestin de red (SGR) consta de los siguientes elementos:


Entidad de gestin de red (EGR): est presente en cada nodo o ER, y realiza
las siguientes tareas:
Recoger y almacenar localmente estadsticas de actividad de la red
Almacenar estadsticas locales
Responder a comandos del Centro de Control de Red
Transmitir estadsticas al CCR, cambiar parmetros, proporcionar
informacin de estado, generar trfico artificial para pruebas
Aplicacin de gestin de red (AGR): incluye un interfaz de operador para
la gestin de la red por parte de un usuario autorizado
Muestra informacin y/o genera comandos o peticiones a los EGRs a
travs de la red en respuesta a los comandos del usuario
Agentes: Cada nodo que forma parte del sistema de gestin (un elemento de
red) y que incluye un EGR o Incluyen tanto sistemas finales como
conmutadores, encaminadores, puentes.
Centro de Control de Red (CCR) o gestor: Adems de su EGR, contiene el
software del AGR. Puede haber uno (arquitectura centralizada) o varios
(arquitectura distribuida)
Tanto los gestores como los agentes utilizan las MIB (Management
Information Base), para almacenar informacin relacionada con el sistema de
gestin.
La MIB de un agente contiene informacin de ese dispositivo
La MIB de un gestor contiene informacin de todos los agentes que
controla

INFORMACIN DE UN SISTEMA DE GESTIN DE RED


Informacin esttica: informacin que caracteriza la

configuracin

actual y los elementos de red; cambia con muy poca frecuencia. Ejemplo:
Identificacin de puertos de encaminadores

Informacin dinmica: informacin relacionada con eventos en la red.


Ejemplo: Transmisin de un paquete
Informacin estadstica: informacin derivada de la

informacin

dinmica. Ejemplo: Nmero medio de paquetes transmitidos por unidad


de tiempo por un elemento de red
OBTENCIN DE LA INFORMACIN
Un gestor puede obtener la informacin mediante dos tcnicas:
Polling: el gestor solicita al agente los valores de ciertos parmetros, y el
agente responde con la informacin contenida en su MIB
Se requiere un gestor potente
Los agentes son sencillos
Informe de eventos: un agente genera un informe peridico o ante la
ocurrencia a algn evento determinado, indicando al gestor su estado
Se aprovecha mejor el ancho de banda, sobre todo si la informacin
cambia con poca frecuencia
Los agentes son complejos
REAS FUNCIONALES
El ITU-T clasifica las funciones de gestin en cinco grandes reas funcionales,
segn el mbito de utilizacin. Esta descomposicin se desarroll para el
entorno OSI, pero ha sido ampliamente aceptada por los fabricantes de SGR
Gestin de fallos
Gestin de contabilidad
Gestin de configuracin
Gestin de calidad de funcionamiento
Gestin de seguridad

Gestin de fallos
Localizacin de problemas o fallos en la red, y su mantenimiento,
recuperacin, entre otros. Pasos de la gestin de fallos:
Determinar dnde est el fallo con exactitud

Aislar al resto de la red, para que pueda seguir funcionando sin


Interferencias
Reconfiguracin de la red, para minimizar el impacto del fallo en la
operacin de la red
Recuperacin o sustitucin de componentes
Gestin de contabilidad
Seguimiento del uso de recursos de la red por parte de un usuario o grupo
de usuarios, asegurando que cada uno nicamente utiliza los recursos que
necesita. Motivos:
Facturacin.
Vigilancia de abuso de privilegios de acceso, que pueden dar lugar a
sobrecargas en la

red y prejuicios a otros usuarios.

Uso ineficiente de la red.


Planificacin del crecimiento de la red.
El gestor de red debe ser capaz de especificar:
El tipo de informacin a almacenar en los distintos nodos
El intervalo de tiempo en el que esa informacin debe enviarse al nodo
de mayor nivel jerrquico
Los algoritmos a emplear para la facturacin: por tiempo, paquetes
transmitidos, bytes transmitidos.
Gestin de configuracin
La gestin de configuracin est relacionada con:
Inicializacin y desconexin ordenada de la red o de parte de ella.
Mantenimiento y adicin de componentes, y actualizacin de relaciones
entre componentes (reconfiguraciones).
Es deseable que el arranque y parada de componentes especficos se puedan
realizar de forma remota y desatendida.
Gestin de funcionalidad
Funciones destinadas a evaluar el comportamiento de equipos de
telecomunicaciones e informar al respecto, midiendo las prestaciones de los

diferentes elementos hardware, software y medios de comunicacin El


objetivo es asegurar que la capacidad y prestaciones de la red corresponden
con las necesidades de los usuarios.
Parmetros a medir:
Productividad: utilizacin, tasa de error, tiempo de respuesta, etc.
Hay dos categoras funcionales:
Monitorizacin: seguimiento de actividades en la red.
Control: realizacin de los ajustes necesarios para mejorar el
rendimiento.
Con las estadsticas sobre el rendimiento, se pueden predecir puntos
conflictivos antes de que causen problemas a los usuarios. Ejemplo: deteccin
de cuellos de botella, y acciones correctivas (balanceo o redistribucin del
trfico).
Gestin de seguridad
Proceso para controlar el acceso a la informacin contenida en los elementos
de la red, y proteccin de la misma ante fallos intencionados o accidentales,
accesos no autorizados, etc.
Control de acceso ms encriptacin de la informacin enviada por la red.
Archivos de log, que guardan informacin de lo que pasa en la red, para
su posterior anlisis.
La gestin de seguridad proporciona los medios para:
Localizar la informacin importante.
Establecerlos puntos desde los que se puede acceder.
Registrar los usuarios que consultan dicha informacin, y durante qu
periodos de tiempo, as como los intentos fallidos de acceso.

d) Agente SNMP

Es el componente del software dentro del dispositivo gestionado que


mantiene los datos del mismo e informa a los gestores acerca de ellos, cuando
haga falta.
Los nodos administrativos pueden ser hosts, enrutadores, puentes,
impresoras u otros dispositivos capaces de comunicar informacin de estado
al mundo exterior. Para ser administrado directamente por el SNMP, un
nodo debe ser capaz de ejecutar un proceso de administracin SNMP,
llamado agente SNMP. Todas las computadoras cumplen este requisito, al
igual que una cantidad creciente de puentes, enrutadores y dispositivos
perifricos diseados para uso en redes. Cada agente mantiene una base de
datos local de variables que describen su estado e historia y que afectan su
operacin.

2. BITCORAS
Los archivos de bitcoras de los sistemas y aplicaciones contienen informacin
invaluable como el estatus y los resultados de las operaciones, errores y mucho
ms. Monitorear los archivos de bitcoras ayuda a los administradores de TI a
conocer el desempeo de los sistemas y aplicaciones crticas para los objetivos
como Oracle, SAP, ERP, ISS, etc. a tiempo real. OpManager ofrece un monitoreo
de archivos de bitcoras basado en agentes para monitorear las bitcoras de
sistemas y aplicaciones. El agente desplegado en los sistemas Windows
monitorear los archivos de bitcoras en textos a tiempo real. Monitoreo & alertas
de bitcoras a tiempo real El agente monitorea los archivos de bitcoras cada 10
segundos en la cadena configurada. Una vez que la aplicacin o sistema imprime
la cadena en su bitcora, el agente captura a tiempo real la informacin y levanta
una alarma en OpManager. Coincidencia de Cadenas & Maysculas/Minsculas
El agente escanea los archivos de bitcoras para buscar coincidencias exactas en
las cadenas. La cadena puede ser una expresin regular y tambin puede incluir
caracteres especiales. Escaneo de contenido reciente Cuando los archivos de
bitcoras son escaneados, la ltima posicin escaneada es anotada. Los escaneos
subsecuentes inician desde la posicin escaneada anteriormente. Lectura de
archivos de bitcoras discreta Para evitar que el archivo de bitcora se bloquee
mientras se realiza el monitoreo, el agente monitorea slo los archivos de bitcora
que cuentan con acceso a lectura compartida. Contadores de entradas de
bitcoras El Agente de Monitoreo de archivos de bitcora tambin rastrea las
entradas duplicadas y levanta una alerta. Comunicacin segura TLa
comunicacin entre el servidor de OpManager y el agente se realiza mediante un

puerto en el servidor web, de modo que no hay necesidad de abrir otro puerto
nuevo. Ligero y fcil de instalar El agente de monitoreo de archivos de bitcoras
es muy ligero y no consume muchos recursos del sistema. Tambin es muy fcil
de instalar.

3. ANALIZADORES DE PROTOCOLOS
Una de las actividades ms comunes en la administracin de una red o
administracin de seguridad, es la del anlisis de trfico de dicha red. No slo el
trfico que fluye a travs de nuestra LAN, sino que tambin debemos analizar el
trfico entrante y saliente hacia INTERNET a travs de los servicios que
tengamos instalados, proxies, etc. Esto es as porque, como ya sabis, es necesario
para la deteccin de problemas y, sobre todo, para detectar trfico no esperado,
presencia de puertas traseras, escaneos y cualquier otra intrusin [4]. Un
analizador de protocolos es una herramienta que sirve para desarrollar y depurar
protocolos y aplicaciones de red. Permite al ordenador capturar diversas tramas
de red para analizarlas, ya sea en tiempo real o despus de haberlas capturado.
Por analizar se entiende que el programa puede reconocer que la trama
capturada pertenece a un protocolo concreto (TCP, ICMP) y muestra al usuario
la informacin decodificada. De esta forma, el usuario puede ver todo aquello
que en un momento concreto est circulando por la red que se est analizando.
Esto ltimo es muy importante para un programador que est desarrollando un
protocolo, o cualquier programa que transmita y reciba datos en una red, ya que
le permite comprobar lo que realmente hace el programa. Adems de para los
programadores, estos analizadores son muy tiles a todos aquellos que quieren
experimentar o comprobar cmo funcionan ciertos protocolos de red, si bien su
estudio puede resultar poco ameno, sobre todo si se limita a la estructura y
funcionalidad de las unidades de datos que intercambian. Tambin, gracias a
estos analizadores, se puede ver la relacin que hay entre diferentes protocolos,
para as, comprender mejor su funcionamiento. Un analizador de protocolos es
una aplicacin software que monitorea e interpreta toda la informacin que fluye
a travs de la interface de red. En general captura tramas de red a nivel de
informacin y, mediante una combinacin de procesos e identificacin de
protocolos, traduce esas tramas en transacciones con significado para protocolos
de alto nivel. Adems, los analizadores de protocolos tambin pueden

desenmaraar el torrente de tramas que fluyen a travs de la interfaz de res en


conexiones individuales y simultneas que suman al trfico. Puedes usar un
analizador de protocolo con facilidad en tu computadora.
Los analizadores de protocolos se usan en diversas arquitecturas de red, tales
como Redes LAN (10/100/1000 Ethernet; Token Ring; FDDI (Fibra ptica)), Redes
Wireless LAN, Redes WAN Usos:

Analizar y soportar demandas de nuevas aplicaciones (como VoIP)

Obtener mayor eficiencia de la red, al analizar todo lo que pasa por ella,
detectar problemas concretos.

Analizar redes remotas, sin necesidad de realizar largos viajes

Analizar y monitorear varias redes a la vez Hay diversos tipos de


analizadores de protocolos disponibles comercialmente, pero en general,
son productos bastante caros. El precio depende de la capacidad de
anlisis (el nmero de protocolos que es capaz de reconocer y decodificar),
de la tecnologa de red soportadas (Ethernet, ATM, FDDI), y de si se
trata de algn programa (software) o ya es algn tipo de mquina
especializado (hardware).

4. PLANIFICADORES
Los planificadores de trfico pueden ser usados en distintos entornos para
satisfacer una amplia variedad de objetivos. Una aplicacin comn de los
algoritmos de planificacin es proporcionar una calidad de servicio a nivel de red
aislando unos trficos de otros. Los planificadores tambin pueden ser usados
para permitir a los usuarios compartir un enlace de forma equitativa o
determinista.
Un planificador puede ser contemplado como un sistema de colas que consiste
en un servidor que proporciona servicio a un conjunto de clientes. Los clientes
encolan paquetes para ser servidos y estos son escogidos por el planificador
basndose en una disciplina de servicio definida por el algoritmo de
planificacin. La disciplina de servicio puede ser diseada para cumplir los
requerimientos de calidad de servicio deseados por cada cliente.

Disciplinas de servicio
El objetivo de los planificadores es asignar los recursos de acuerdo a la reserva
realizada con anterioridad con el objetivo de cumplir la calidad de servicio
exigida. Tres tipos de recursos son asignados por los planificadores: ancho de
banda (qu paquete es transmitido), tiempo (cundo es transmitido el paquete) y
memoria (qu paquetes son descartados), lo que afecta a tres parmetros bsicos:
rendimiento, retraso y tasa de prdida.
En general, se distinguen dos tipos de disciplinas de servicio en los nodos:
1. Non work-conserving en el que los nodos intentan mantener el modelo del
trfico, aunque esto implique que en determinados periodos no se transmita
nada. En este caso, cuando entra un paquete en el nodo se le asocia un tiempo
de elegibilidad. En el caso de que no haya paquetes en estado de elegibilidad,
no se transmite nada. Cada planificador provoca un retraso acotado y
calculable para cada paquete. Dado que cada nodo mantiene el modelo del
trfico el clculo del retraso total es la suma de los retrasos en cada nodo.
2. Work-conserving en el que si existen paquetes en el nodo por transmitir se
envan. A este grupo pertenecen Virtual Clock, Weighted Fair Queuing
(WFQ) y GPS (General Processor Sharing) [Demers89] [Parekh92]. Para todos
estos esquemas existen funciones para calcular el retraso mximo emisorreceptor que estn basadas en el trabajo de Parekh y Gallaguer.
Normalmente, el clculo del retraso es dependiente de la reserva de ancho de
banda en los nodos. Hay que tomar en cuenta el costo computacional de los
algoritmos de planificacin para su implementacin en redes de alta velocidad.

5. ANLISIS DE DESEMPEO DE LA RED: TRFICO Y


SERVICIOS
El anlisis del trfico de red se basa habitualmente en la utilizacin de sondas de
red, funcionando en modo promiscuo. Las sondas capturan el trfico a analizar

y constituyen la plataforma en la que se ejecutarn, de forma continua,


aplicaciones propietarias o de dominio pblico, con las que se podr determinar
el tipo de informacin que circula por la red y el impacto que pudiera llegar a
tener sobre la misma. El anlisis de trfico permite determinar las capacidades y
mtricas bajo las cuales se est comportando la red, y evitar tener problemas de
desempeo. Por ejemplo podramos determinar la existencia de virus o el uso
excesivo de aplicaciones p2p que comnmente degradan las prestaciones de la
red, sobre todo si hablamos de los enlaces principales que dan acceso a Internet.
Las tecnologas de transmisin de datos a travs de redes de computadores son
el eje central del funcionamiento de un entorno informtico que presta servicios
de tipo cliente/servidor. Un excelente desempeo de la red trae como
consecuencia un aumento de la productividad informtica. El ingreso de nuevos
equipos a la red, la existencia de protocolos no necesarios, la mala configuracin
de equipos activos de red o las fallas presentadas en el sistema de cableado
pueden causar degradacin del desempeo de la red. Por medio de pruebas,
captura de paquetes, anlisis de flujo de informacin y verificacin de la
configuracin de equipos activos (switch, routers), se puede mejorar el
desempeo de la red.
Una de las fases importantes en el desarrollo de proyectos de ingeniera es la
simulacin, ya que es una herramienta til que permiten realizar pruebas antes
de una implementacin, facilitando su comprensin y detectando fallas de
diseo.
Monitorear un servidor de Internet significa que el dueo de los servidores
conoce si uno o todos sus servicios estn cados. La monitorizacin del servidor
puede ser interna (por ejemplo el software del servidor se verifica y notifica de
los problemas al dueo) o externa (donde se verifican los servidores
manualmente). Durante el monitoreo de los servidores se verifican caractersticas
como el uso de CPU, uso de memoria, rendimiento de red y el espacio libre en
disco e incluso las aplicaciones instaladas (como Apache, MySQL, Nginx,

Postgres entre otros). Durante este proceso se verifican tambin los cdigos
HTTP enviados del servidor, que suelen ser la forma ms rpida de verificar el
funcionamiento de los mismos.
Qu monitorear?
Una consideracin muy importante es delimitar el espectro sobre el cual se va a
trabajar. Existen muchos aspectos que pueden ser monitoreados, los ms
comunes son los siguientes:
1. Utilizacin de ancho de banda
2. Consumo de CPU.
3. Consumo de memoria.
4. Estado fsico de las conexiones.
5. Tipo de trfico.
6. Alarmas
7. Servicios (Web, correo, bases de datos, proxy)
Es importante definir el alcance de los dispositivos que van a ser monitoreados,
el cual puede ser muy amplio y se puede dividir de la siguiente forma:
Las fallas de peticiones de estado, tales como que la conexin no pudo ser
establecida, el tiempo de espera agotado, entre otros, usualmente produce una
accin desde del sistema de monitoreo. Estas acciones pueden variar: una alarma
puede ser enviada al administrador, ejecucin automtica de mecanismos de
controles de fallas, etctera. Monitorear la eficiencia del estado del enlace de
subida se denomina Medicin de trfico de red.

Webgrafa
http://es.slideshare.net/ammpms/actividad-unidad-iiiangelesmartinez
http://es.slideshare.net/laonda601/investigacion-unidad-3

Administracin de Redes
Catedrtico:
Ing. Michelle Zambrano
Responsables:

Gonzlez Loor Angie Lissely


Mendoza Lpez Xavier Israel
Molina Moreira Kelvin Stalin
Ostaiza Pinargote Harry Daniel
Romero Ponce Karla Liscet

Curso:
Sexto A
Octubre 2014 Febrero 2015

SEGURIDAD BASICA PARA ADMINISTRACION DE REDES


Sin importar si est conectada por cable o de manera inalmbrica por cable o de
manera inalmbrica, las redes de computadoras cada vez se tornan ms
esenciales para las actividades diarias. Convirtindose en una herramienta
importante para que personas no autorizadas puedan acceder y realicen daos.
Los ataques a una red pueden ser desbastadores y pueden causar prdida de
tiempo y de dinero debido a los daos o robos de informacin o de activos
importantes.
Lo que la seguridad de una red busca o de los sistemas de informacin e es de
resistir, con un determinado nivel de confianza, los accidentes o acciones ilcitas
o malintencionadas que comprometan la disponibilidad,

autenticidad,

integridad y confidencialidad de los datos almacenados o transmitidos y de los


servicios que dichas redes y sistemas ofrecen o hacen accesibles.

1. ELEMENTOS DE LA SEGURIDAD
La disponibilidad, desempeo, confidencialidad, integridad y control de acceso
fsico y lgico, proponen un enfoque integral de acercamiento a la seguridad de
la informacin que viaja por la red, considerando elementos tales: Switches,
routers, Firewall, IPS/IDS, Gateway, Antivirus, etc. De tal manera que se puede
combinar efectivamente la seguridad de la informacin en los diferentes sistemas
hoy disponibles, sin afectar al desempeo de la red y mejoramiento a su vez la
disponibilidad. Todo lo anterior conforma una estrategia integrada para la
seguridad en la red.
Firewall.- Un firewall es un sistema de defensa lgico y fsico basado en
el hecho de que todo el grafico de entrada o salida a la red debe pasar
obligatoriamente por un sistema de seguridad capa de autorizar denegar
y tomar nota de aquello que ocurre en la red.

Tipos de Firewall. Proxy o servidor de defensa.- El proxy es un software que se instala


en una pc (que es aconsejable que sea exclusivamente para ese
programa) conectada a una red local, buscando funcionar como
una puerta lgica. Pueden tener varias aplicaciones pero
generalmente funciona como firewall.
Gateway a nivel de aplicacin.-El Gateway se caracteriza por ser
un dispositivo que se filtra datos. Tanto los puentes como los
routers pueden hacer de Gateway, a travs de los cuales entran y
salen

datos.

Los

gateways

nivel-aplicacin

permiten

al

administrador de red la implementacin de una poltica de


seguridad estricta que la que permite un ruteador filtra-paquetes.
Ruteador filtra-paquetes.-Este ruteador toma las decisiones de
negar/permitir el paso de cada uno de los paquetes de datos que
son recibidos. El ruteador examina cada datagrama para
determinar si este corresponde a uno de sus paquetes filtrados y
determina si ha sido aprobado por sus reglas.
Identidad.- La identidad se refiere a la identificacin precisa y positiva de
los usuarios, hosts, aplicaciones, servicios y recursos de la red. Entre las
tecnologas estndar que permiten la identificacin podemos citar los
protocolos de autenticacin como RADIUS (Remote Access Dial-In User
Service, Servicio de usuario por acceso remoto por marcacin) y
TACACS+ (Terminal Access Controller Access Control System Plus,
Sistema plus de control de acceso al controlador de acceso al terminal),
Kerberos y las herramientas OTP (One-Time Password, contrasea de un
solo uso). Las tecnologas nuevas, como los certificados digitales, las
tarjetas inteligentes, la biometra y los servicios de directorio, estn
empezando a jugar papeles cada vez ms importantes en las soluciones de
la identidad.

Privacidad de los datos.- Cuando es preciso proteger la informacin de


las escuchas secretas, es crucial la capacidad de proporcionar una
comunicacin autenticada y confidencial. En ocasiones, la separacin de
datos utilizando tecnologas de tunneling, como GRE (Generic Routing
Encapsulation, Encapsulacin de enrutamiento genrico) o L2TP (Layer 2
Tunneling Protocol, Protocolo de Tunneling de la capa 2), ofrece una
privacidad eficaz de los datos. Sin embargo, una privacidad adicional
requiere a menudo el uso de tecnologa de cifrado y protocolos digitales,
como IPSec (Seguridad IP). Esta proteccin adicional es especialmente
importante a la hora de implementar VPN.
Administracin de la seguridad.- Para garantizar que una red sigue
siendo segura, es importante comprobar y monitorizar regularmente el
estado de la preparacin de la seguridad. Los escaneadores de
vulnerabilidades en la red pueden identificar proactivamente reas
dbiles, mientras que los sistemas de deteccin de intrusiones pueden
monitorizar y responder ante eventos de seguridad cuando estos
aparecen. Mediante las soluciones de monitorizacin de la seguridad, las
empresas pueden obtener una visibilidad significativa tanto del flujo de
datos de la red como de la actitud de la red en materia de seguridad.
Administracin de polticas
A medida que crece el tamao y la complejidad de las redes, aumenta la
necesidad de herramientas de administracin centralizada de polticas. Se
hacen necesarias herramientas ms sofisticadas que puedan analizar,
interpretar, configurar y monitorizar el estado de la seguridad. Las
herramientas con una interfaz de usuario basada en un navegador pueden
mejorar la usabilidad y la eficacia de las soluciones de seguridad en redes.

Disponibilidad intenta que los usuarios puedan acceder a los servicios


con normalidad en el horario establecido.

Integridad el objetivo es que los datos queden almacenados tal y como


espera el usuario: que no sean alterados sin su consentimiento. Los
sistemas se deben poder checar en cuanto a su integridad, esto con el fin
de detectar modificaciones que puedan afectar la seguridad. Si el sistema
se corrompe o es modificado, sera deseable detectar el origen del
problema (quien lo modific) y restituir la integridad (en muchos casos
hay que reinstalar el sistema).
Control de acceso los recursos del sistema son proporcionados o negados
de acuerdo al tipo de usuario que los solicite, y dependiendo desde donde
haga la solicitud. Algunas veces slo se permite uso parcial de los
recursos, esto es comn en sistemas de archivos, donde algunos usuarios
solamente pueden leer, algunos otros leer y escribir, etc.
Falla en posicin segura.-Los sistemas deben estar diseados para que en
caso de falla queden en un estado seguro. Por ejemplo en redes, en caso
de falla se debe suspender el acceso a Internet.
Check Point.- Se hace pasar todo el trfico de la red por un solo punto y
se enfocan los esfuerzos de seguridad en ese punto. Puede disminuir el
rendimiento.
Defensa en profundidad.-Consiste en usar tantos mecanismos de
seguridad como sea posible, colocndolos uno tras otro. Puede hacer muy
compleja la utilizacin del sistema.
Simplicidad.-Los sistemas muy complejos tienden a tener fallas y huecos
de seguridad. La idea es mantener los sistemas tan simples como sea
posible, eliminando funcionalidad innecesaria. Sistemas simples que
tienen mucho tiempo, han sido tan depurados que prcticamente no
tienen huecos de seguridad.
Seguridad por Obscuridad.-La estrategia es mantener un bajo perfil y
tratar de pasar desapercibido, de modo que los atacantes no lo detecten.

2. ELEMENTOS A PROTEGER
Los recursos que se deben proteger no estn estandarizados, los mismos
dependen de cada organizacin y de los productos o servicios a los que la misma
se dedique.
Bsicamente los recursos que se han de proteger son:
Hardware.- Que es el conjunto formado por todos los elementos fsicos de
un sistema informtico, entre los cuales estn los medios de
almacenamiento.
Software.- Que es conjunto de programas lgicos que hacen funcional al
hardware.
Datos.- Que es el conjunto de informacin lgica que maneja el software
y el hardware.
Para los tres elementos a proteger existen cuatro tipos de amenazas:
Interrupcin.- Cuando un objeto del sistema se pierde, queda inutilzale
o no disponible.
Intercepcin.- Cuando un elemento no autorizado consigue un acceso a
un determinado objeto del sistema.
Modificacin.- Es cuando se altera algn objeto del sistema, una vez
adentro del mismo.
Fabricacin.- Es cuando se cambia algn objeto del sistema por otro de
aspecto igual pero con un objetivo distinto.
Sin embargo debemos tener en cuenta que cuando nos referimos a seguridad en
redes el bien ms preciado a proteger es la informacin que circula por la
misma.

3. TIPOS DE RIESGOS
Riesgos en una Red Corporativa
Las personas son el recurso de mayor importancia al evaluar los riesgos en una
red, puesto que la seguridad en una red comienza y termina con las personas.
Para empezar, lo mejor siempre es organizar la red (y por supuesto las personas
que la incluyen) en grupos de trabajo. Por ejemplo, en un edificio de oficinas lo
correcto sera dividir la red por pisos y por departamentos; luego individualizar
los sujetos para finalmente establecer los niveles de responsabilidad de cada piso,
departamento e individuo, de acuerdo a su funcin y ocupacin. Hago especial
hincapi en este punto debido a que las cifras avalan esta posicin: el 80 % de los
problemas generados en una red son bsicamente responsabilidad de sus
integrantes, y slo el 20 % se debe a factores externos de una corporacin. Los
tres factores que alimentan esta estadstica son: Ignorancia, haraganera y
malicia. La ignorancia como factor puede ser fcilmente solucionado mediante
cursos (seminarios de seguridad internos), publicidad (pop-ups en las ventanas
de inicio de sesin, folletos, publicaciones en murales, etc.) y mediante exmenes
peridicos de las habilidades de cada miembro. La haraganera, o flojera, es un

factor muy comn en las grandes corporaciones, en las cuales las principales
brechas de seguridad se deben a la incompetencia de sus miembros, al no apagar
su equipo cuando se retira de su lugar de trabajo, olvidan cerrar su sesin, o
simplemente, dejan encendido su terminal, sin proteccin alguna de otros
individuos que buscan daar su posicin. Y en este ltimo punto saltamos al
tercer factor: la malicia. En ningn lado nos encontramos libres de las emociones
de nuestros pares, especialmente cuando tratamos con personas que trabajan par
a par con nosotros, que buscan o anhelan ascender de cualquier manera en los
niveles de una organizacin. Basta decir que evitar ambientes de rivalidad y
competencia desleal, e incentivar la lealtad entre los pares de una organizacin
logran solucionar este tipo de problemas. La participacin condicionada tambin
ayuda a incrementar la seguridad de una organizacin, al preguntar y escuchar
los diversos problemas que las personas tienen con los equipos conectados a red.
Esto permite ver las cosas desde el enfoque de aquellos que participan en la red
(usuarios).
El punto que quizs ms problemticas genera al poner en marcha un plan de
seguridad es, por supuesto, la puesta en marcha del plan. La mayora de los
usuarios tienen problemas para aclimatarse con las nuevas disposiciones de
seguridad, y tienden a desconfiar, cometer errores, y obviamente, reclamar por
los problemas que tienen. La solucin es dar por lo general un cierto perodo de
marcha blanca, en el cual la red debe ser monitoreada de manera frecuente
para ir solucionando los diferentes problemas imprevistos en el plan de
seguridad, y adems para evitar posibles ataques externos que se aprovechen de
la vulnerabilidad del sistema.
Estimacin de los niveles de riesgo en una red
No todos los recursos en una red poseen el mismo nivel de riesgo. As mismo, si
consideramos que el factor humano tiende a ser el nivel de mayor riesgo, la
manipulacin de un determinado recurso entrega un nivel diferente de riesgo

que otro. As, el dao fsico a un recurso no siempre generar una consecuencia
mayor que el que puede hacerse mediante un software o un determinado recurso
de la red. Por ejemplo, no podramos decir que el dao provocado por un
desperfecto en un cable puede ser mayor a la filtracin de cierta informacin
confidencial. De esta manera, el anlisis de riesgos debe incluir lo siguiente:

Qu se necesita proteger

De quin protegerlo

Cmo protegerlo

Del anlisis de estos puntos, es posible realizar estimaciones del riesgo de la


prdida de un determinado recurso (R) (a todo nivel) versus su importancia (I).
Si les asignamos un valor numrico, digamos de cero a diez, tendremos entonces
que para R, cero indica que no existe riesgo y diez como el nivel de riesgo ms
alto, y para I, cero indicara un recurso sin importancia, mientras que un valor
de diez indicara al recurso ms importante de la red. Estos valores tienden a ser
subjetivos a nivel global, pero si se consideran dentro del marco de funcionalidad
de una red, podemos ver, por ejemplo, que ser muy difcil encontrar un recurso
sin importancia, o que simplemente no exista riesgo de prdida. As tambin
probablemente tan slo uno o dos recursos alcanzarn los valores mximos en
ambas escalas, o quizs la funcionalidad de la red dependa de la funcionalidad
total de todos los recursos (vase, por ejemplo, el caso de una red privada que
requiera que todos sus elementos funcionen en sincrona). Como sea, la
evaluacin total del riesgo (W) estar determinada por el producto de ambos
factores, dando as:
Wi=Ri * Ei
Siendo W la importancia del riesgo de prdida de un determinado recurso, R
el riesgo de prdida del recurso, E la importancia del recurso, y el subndice
i el nmero del recurso evaluado.

Ejemplificando, supongamos una red simple con un servidor, un MODEM y un


router.
Los valores fueron entregados luego un anlisis previo
que entregaba estas cifras como las mejores para
estimar esta red (en este caso, por ejemplo, puede ser
el laboratorio de una escuela).
A cada componente se le ha asignado un cierto riesgo
y

una

cierta

importancia,

de

acuerdo

la

funcionalidad que cumpla esta red.


Tenemos entonces:
Servidor:

R1=10 E1=10

MODEM:

R3=3

E3= 3

Router:

R2=6

E2=7

El clculo del riesgo evaluado ser, por lo tanto:


Servidor: 10 x 10 = 100 (mximo valor de riesgo!!)
MODEM: 3 x 3 = 9 (nivel de seguridad bajo)
Router: 6 x 7 =42 (nivel de seguridad medio)
Mediante este mtodo, podemos evaluar cules son los principales puntos de
riesgo en una red. En este caso, vemos que el servidor muestra un valor mximo
ponderado de riesgo; la seguridad de este recurso debe ser, por tanto, prioridad
por sobre la de los dems. Al realizar cualquier anlisis de riesgo, deben ser
considerados todos los recursos (an por triviales que parezcan) cuya seguridad
est en riesgo de ser quebrantada.
Los recursos que deben ser considerados en cualquier anlisis son:

Hardware: procesadores, tarjetas, teclados, terminales, estaciones de


trabajo, computadoras personales, impresoras, unidades de disco, lneas
de comunicacin, cableado de la red, servidores de terminal, routers,
Bridges, etc.

Software: programas fuente, programas objeto, utileras, programas de


diagnstico, sistemas operativos, programas de comunicaciones.

Datos: durante la ejecucin, almacenados en lnea, archivados fuera de


lnea, back-up, bases de datos, en trnsito sobre medios de comunicacin.

Gente: usuarios, operadores, tcnicos.

Documentacin: sobre programas, hardware, sistemas, procedimientos


administrativos locales.

Accesorios: papel, formularios, cintas, informacin grabada.

Ahora bien, de todos estos recursos, el que siempre lleva estadsticamente la


delantera en cuanto a riesgo es el recurso humano, en lo que respecta al universo
de personas que pueden afectar una corporacin. Como ya habamos dicho, un
80 % corresponde a problemas generados por los mismos integrantes de la
organizacin o corporacin, y solo el 20 % restante a elementos externos.
Luego

de

notar

esta

estimacin,

se

podrn

realizar

los

diagramas

correspondientes, considerando el nmero del recurso y su grado de


responsabilidad en cuanto a nivel de acceso a los recursos no humanos de la red.
Por ejemplo:
Recurso n: 52
Nombre del recurso: Router inalmbrico (5 piso)
Identificacin del Usuario o Grupo: Oficinas de Gerencia COXXXX
Tipo de acceso: Local y remoto
Permiso(s) otorgado(s): Lectura (con seguridad habilitada), acceso a Internet.

Solucionado el problema interno, es importante abocarse a la seguridad contra


elementos externos, estimando las posibles falencias que posee nuestra red en
cuanto a accesos clandestinos y posibles ataques. Para ello se deben planificar
las acciones a seguir mediante un procedimiento de supervisin, con
herramientas de control y seguimiento de accesos que permitan verificar
peridicamente los eventos que ocurren en la corporacin. Por ejemplo, verificar
diariamente el nmero de correos recibidos y/o enviados, el nmero de
conexiones de red levantadas en las ltimas 24 hrs., etctera. Tambin es posible
extraer semanalmente un estado sobre los ingresos desde el exterior a la intranet
(si es que los hay), obtener un informe de los archivos descargados y quin los
realiz, informes de trfico en la red, etctera.
Procedimientos de seguridad a nivel de usuario
Todos lo que es recurso humano (persona) en una corporacin en general debera
al menos tener un acceso mnimo, con las limitaciones correspondientes, a la red.
En caso de que un individuo no posea acceso, ste an debera ser considerado
dentro de un informe de autorizacin. Esto para maximizar las posibilidades de
supervisin al interior de la red corporativa. Los datos del usuario deben al
menos llenar los siguientes campos:

Nombre y Apellido

Puesto que ocupa en la corporacin

Nombre del superior directo que confirme la posicin del individuo

Descripcin de los recursos a los cuales desea tener acceso y su motivo

Consentimiento de que sus actividades son susceptibles de ser


supervisadas en cualquier momento y de que conoce las normas de buen
uso de los recursos (para lo cual, se le debe dar una copia de tales
normas).

Explicaciones breves, pero claras de cmo elegir su contrasea.

Tipo de cuenta

Fecha de caducidad y/o expiracin

Datos referentes a los tipos de acceso (slo lectura, lectura y escritura, sin
acceso, acceso limitado, etc.)

Horario de uso (en general).

Con respecto a las contraseas, es importante revisar si la contrasea entregada


es segura, haciendo correr por ejemplo, un programa (crack) para determinar
cunto se demora en descifrarla.
La baja del usuario se realiza cuando un elemento de la organizacin se aleja o
cuando cesa en el cumplimiento de sus actividades por un tiempo determinado
(vacaciones, viticos prolongados, cambio de departamento, etc.). Esta debe ser
informada por el o los departamentos correspondientes a la administracin de
redes, que determina la inhabilitacin o eliminacin de la cuenta, con las
consecuencias que ello significa (respaldo o eliminacin de la informacin,
directorios y archivos de la cuenta).
Procedimientos de seguridad a nivel global
Entre los procedimientos a nivel global se encuentran:

Verificacin de accesos: Mediante aplicaciones que informen anomalas,


incluyendo fecha, hora, recurso y detalles tcnicos.

Chequeo del trfico de red: tambin mediante aplicaciones que entreguen


informes peridicos de los programas que se ejecutan, quin es el
encargado de monitorear los datos generados, los intervalos de monitoreo,
etc.

Monitoreo de los volmenes de correo: Permite entregar detalles como el


ingreso de spam a la red, posibles invasiones o mal uso de los recursos
de la red.

Monitoreo de conexiones activas: Este procedimiento se efecta con el fin


de prevenir que algn usuario deje su terminal abierta y sea posible que

alguien use su cuenta. Tambin se usan aplicaciones para monitorear la


actividad de las conexiones de los usuarios. Si la cuenta tiene cierto tiempo
inactiva, cierra la sesin y genera un informe (log) con el acontecimiento.

Monitoreo de modificacin de archivos: Permite determinar la


modificacin no autorizada de los recursos de software y/o de la
integridad de los mismos. Este es quizs el procedimiento ms importante
dentro de lo que es seguridad global, pues permite saber si, por ejemplo,
un archivo es eliminado o la presencia de algn tipo de virus en el sistema.

Respaldos de seguridad: No slo es importante respaldar la informacin


que se encuentra en la red, sino adems la configuracin de todos los
recursos de la red, incluyendo la labor que desempea cada elemento de
la red, a fin de crear una respuesta rpida en el momento de que se suscite
un problema.

Verificacin de terminales: Esto se hace mediante la revisin de los


programas instalados en los equipos terminales de la red, lo que permite
monitorear qu aplicaciones sin licencia, archivos bajados potencialmente
peligrosos (virus, programas satlite).

Monitoreo de puertos: Permite saber qu puertos estn habilitados en la


red, en los enrutadores y en el servidor. Esto se puede hacer incluso con
los mismos enrutadores, los cuales poseen aplicaciones integradas que
permiten administrar los puertos en forma ms eficiente.

Informacin de los procedimientos: Esto es la clave para cualquier sistema


que desee evitar el mayor nmero de problemas en una red. Informando
apropiadamente, mediante seminarios internos de seguridad, va e-mail y
publicaciones peridicas, se llega a ms gente de manera ms eficiente.

Determinacin de los niveles de responsabilidad y acceso: Es importante


adems identificar a cada usuario en un grupo determinado (por ejemplo,
equipo tcnico, oficina gerencial, oficina zonal, alumnos, profesor, etc.)
para determinar el nivel de acceso a los recursos de la red.

Recuperacin del sistema: En caso de un ataque o un colapso eventual del


sistema (Se quem el servidor, necesidad de actualizar todos o algunos
recursos de la red) es necesario preparar un procedimiento que regule la
forma de recuperarlo a travs de los respaldos de seguridad realizados.
Para ello se debe estimar la forma y los costos (en materiales y en tiempo)
para llevar a cabo la restauracin.

Listas de elementos a verificar (check-list): Es importante enlistar todos los


procedimientos, con el fin de asegurar la realizacin de cada uno en su
totalidad.

Tipos de Ataques y Vulnerabilidades


1. Negacin de servicio (denial of service)
Tipo de ataque cuyo propsito es negar el acceso de un determinado recurso
o de varios recursos de la red. Esto puede traer como consecuencia la prdida
de tiempo valioso para realizar una determinada operacin, incomunicacin
o finalmente, la inoperancia de uno o de varios recursos de la red. Existen 3
tipos de ataques bsicos para negar un servicio:

Consumo de recursos escasos, limitados, o no renovables: Los recursos


propios de los terminales (datos, ancho de banda de subida y/o bajada,
acceso a otros terminales) son utilizados por el atacante para su propio
beneficio,

en

su

defecto,

para

simplemente

interrumpir

la

labor/funcin/actividad de la vctima. Las maneras son, por ejemplo,


negar la conexin a la red de los terminales mediante SYN Flood;
aprovechar la conectividad de la vctima contra s misma creando una
congestin mediante el servicio UDP; consumiendo el ancho de banda
tambin mediante el envo masivo de paquetes, etc.

Destruccin o alteracin de informacin de configuracin: Simplemente,


acceder a su terminal ingresando ilcitamente al recurso (Hack) y eliminar
o desconfigurar el sistema operativo y/o datos existentes; o en forma

presencial, ingresando a su terminal directamente, obtener su contrasea


o realizar un crack de la misma, y luego realizar una operacin similar.
Tambin es posible ingresar ilcitamente a la configuracin del router,
cambiar la informacin, lo que deshabilitara a la red.

Destruccin o alteracin fsica de los componentes de la red: Es muy


importante mantener aislados los componentes fsicos de una red, limitar
los accesos a los mismos y lo ms importante, mantener un control
peridico de la integridad fsica de routers, servidores y terminales.
Prevencin: Entre las medidas a tomar, se encuentra el uso de listas de
acceso en los routers (Muchos routers poseen filtros de MAC, los cuales
permiten el acceso de slo aquellas terminales que coincidan con el
nmero de MAC correspondiente); instalar parches contra flooding de
TCP SYN (Muchos equipos vienen ya con esta ventaja incluida); invalidar
cualquier servicio de red innecesario o sin utilizar; realizar controles
regulares y establezca una lnea base de actividad de la red, lo cual
permitira detectar un aprovechamiento de ancho de banda ilcito. Instalar
boot disks (tarjetas de booteo) en los terminales importantes y servidores,
esto permite que una vez se reinicie el equipo este mantenga la
configuracin original.

2. Obtencin o uso ilcito de claves de acceso.


Existen 3 maneras de obtener una clave de acceso:

Poseer una clave de acceso: Por lo general, la poseen elementos alejados


de la corporacin, por uno u otro motivo. Dicha clave puede ser usada por
el mismo o por otro usuario, lo que generara una eventual brecha de
seguridad.

Crear una clave de acceso: Esto se logra mediante el ingreso ilcito (Hack)
a los servidores y/o terminales, mediante la creacin de un nuevo usuario
y contrasea.

Cracking de clave de acceso: Mediante un programa especfico, se obtiene


la clave de acceso del terminal y/o servidor (cracking). Adems es posible
obtener

las

listas

de

claves

mediante

ingreso

ilcito

los

servidores/terminales (incluyendo las listas encriptadas las cuales pueden


ser descifradas mediante un programa especfico (crack)).
3. E-mail bombing y spamming (ataque SMTP)

E-mail bombing: Consiste en enviar muchas veces un mensaje idntico a


una misma direccin, saturando el correo (Inbox) del destinatario.

Spamming: Se refiere a enviar el email a centenares o millares de usuarios


e, inclusive, a listas de inters. El Spamming puede resultar an ms
perjudicial si los destinatarios contestan el mail, haciendo que todos
reciban la respuesta. Esto, combinado con e-mail poofing (que altera la
identidad de la cuenta que enva el e-mail, y por consiguiente, oculta la
identidad del emisor real) hacen del spamming una de las herramientas
favoritas para iniciar ataques hacia redes desprotegidas.

En la actualidad, los servicios de mensajera (como Gmail, Yahoo o MSN)


poseen filtros de mensajes spam, los cuales deben estar bien configurados
y actualizados para evitar situaciones que puedan generar un problema
mayor a la red.
La manera en que afectan este tipo de ataques a la red es principalmente en
lo que respecta a la conectividad en s, sobrecargando las conexiones,
maximizando la utilizacin de recursos y saturando la memoria del disco. Es
muy importante procurar mantener la bandeja de entrada de los servicios de
mensajera (Inbox), limpias y vacas, y mantener un respaldo de los mensajes
importantes recibidos en otra unidad de memoria. En redes privadas, que
poseen su propio cdigo de mensajera (elnick@miempresa.com) se deben
crear o mantener en los terminales filtros anti-spam, herramientas de
deteccin de correos iterativos, y especialmente incrementar la capacidad del

log de los terminales para recibir correo, lo que evitara inicialmente los
problemas que generan este tipo de ataques. Otra manera es configurar las
listas de acceso de los enrutadores (port 25 para SMTP) para la direccin IP
del atacante (slo luego de haber identificado al atacante y siempre despus
de un ataque).
4. Ataques por FTP
Los ataques por FTP son quizs uno de los favoritos de los hackers y
crackers en la actualidad, puesto que el enlace generado ocupa un puerto
de preferencia (el 21) en los servidores y adems entrega las facilidades obvias
de transferencia de archivos, condicin muy ventajosa para un ataque. El ftp
Bounce, por ejemplo, es un recurso de ataque usado para ingresar a la
terminal de un tercero, utilizando un servidor como escudo y medio de
ocultacin a la vez. Consiste bsicamente en realizar una conexin FTP
regular con un servidor, pero con la diferencia que la eleccin del puerto
cliente no es arbitraria. La idea de usar la conexin arbitraria del puerto
cliente permite al atacante elegir un puerto que no sea el de su propio equipo,
sino que otro diferente (el puerto del terminal de la vctima). Esto permite,
entre otras cosas, realizar una conexin ilcita con el puerto de la vctima, el
servidor y el atacante ocultando la identidad de este ltimo con la del
servidor.

Entre los medios para ingresar ilcitamente a otro terminal mediante ftp se
encuentran el ftp Bounce (ya mencionado), el escaneo de puertos (ports), que
utiliza el mismo recurso de escaneo arbitrario para ubicar un puerto abierto
del servidor (o bajo el radar del firewall) que luego se utiliza para invadir el
terminal.
Para neutralizar estas medidas, es muy importante tener en cuenta que de
acuerdo a su funcionalidad hay servidores que pueden trabajar sin
conexiones arbitrarias, mientras que otros dependen de stas para cumplir su
funcin. Un caso de los primeros sera el servidor de una empresa, y un caso
de los segundos, un servidor de uso pblico. Para los segundos, existen
algunos convenios que entregan mayor seguridad a la hora de iniciar una
conexin. Por ejemplo, el comando PORT incluye parmetros que indican al
servidor cul direccin IP conectar y qu puerto abrir en aquella direccin.
Este es el medio en el cual se manejan los atacantes para organizar toda su
estrategia. Pero trabajando en exclusiva conformidad con las funciones del
RFC, se puede lograr que la mquina slo trabaje para un solo terminal por

vez, y slo con este terminal. En lneas generales, esto evita que un terminal
realice una conexin con el servidor con la intencin de crear otra conexin
alterna con diferente direccin. La otra alternativa es realizando un proceso
de condicionamiento selectivo de los terminales conectados al servidor,
suprimiendo directamente aquellos que no han realizado una conexin
inicial. En particular, el servicio ftp es un servicio de gran utilidad, puesto que
es rpido y confiable a nivel de usuario, pero sus brechas como se puede ver
son muchas, y en lo posible es importante procurar evadir su uso como
servicio pblico.

5. Ataques por WWW


En lneas generales, los ataques va web Server son variados, y los ms
aprovechan los Bugs de los scripts de las pginas para que el servidor
entregue informacin que no desea entregar. Un ejemplo muy sencillo es
ingresar al directorio raz del web Server, omitiendo la extensin
index.htm. Otra manera es cambiando los scripts de la pgina; por ejemplo,
crear un clon web con el cdigo fuente de la pgina, luego bajar los scripts
y finalmente adulterarlos para que entreguen la informacin que se solicita.

6. Otros
Existen otras formas de ataque, como lo es el uso de TFTP (trivial file transport
protocol), que a diferencia de FTP, usa el protocolo UDP; realizar un pin-log
directo usando el protocolo TELNET, el abuso de los comandos r, y el ms
comn es el uso y abuso de keyloggers, que registran los caracteres
ingresados en los terminales.

4. MECANISMOS DE SEGURIDAD: FSICA Y LGICA


SEGURIDAD FSICA.
La seguridad fsica es la aplicacin de barreras fsicas y procedimientos de
control, como medidas de prevencin y contramedidas ante amenazas a los
recursos e informacin confidencial.
La seguridad fsica se refiere a los controles y mecanismos de seguridad dentro
y alrededor del Centro de computo as como los medios de acceso remoto del
mismo; implementados para proteger el hardware y medios de almacenamiento
de datos. Es muy importante, que por ms que nuestra organizacin sea la ms
segura desde el punto de vista de ataques externos, hackers, virus, etc; la
seguridad de la misma ser nula si no se ha previsto como combatir un incendio.
La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de
un sistema informtico. Si bien algunos de los aspectos tratados a continuacin
se prevn, otros, como la deteccin de un atacante interno a la empresa que
intenta acceder fsicamente a una sala de operaciones de la misma. Esto puede
derivar en que para un atacante sea ms fcil lograr tomar y copiar una cinta de
la sala, que intentar acceder va lgica a la misma.

Tipos de desastres
Est enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por
la naturaleza del medio fsico en que se encuentra ubicado el centro.
Las principales amenazas que se prevn en la seguridad fsica son:
1.- Desastres naturales, incendios accidentales tormentas e inundaciones.
2.- Amenazas ocasionadas por el hombre.

3.- Disturbios, sabotajes internos y externos deliberados.


A continuacin se analizan los peligros ms importantes que ocurren en un
centro de procesamiento; con el objetivo de mantener una serie de acciones a
seguir en forma eficaz y oportuna para la prevencin, reduccin, recuperacin y
correccin de los diferentes tipos de riesgos.
Incendios
Los incendios son causados por el uso inadecuado de combustibles, fallas de
instalaciones elctricas defectuosas y el inadecuado almacenamiento y traslado
de sustancias peligrosas.
Los diversos factores a contemplar para reducir los riesgos de incendio a los que
se encuentra sometido un centro de cmputo son:
1. El rea en la que se encuentran las computadoras debe estar en un local
que no sea combustible o inflamable.
2. El local no debe situarse encima, debajo o adyacente a reas donde se
procesen, fabriquen o almacenen materiales inflamables, explosivos, gases
txicos o sustancias radioactivas.
3. Las paredes deben hacerse de materiales incombustibles y extenderse
desde el suelo al techo.
4. Debe construirse un falso piso instalado sobre el piso real, con
materiales incombustibles y resistentes al fuego.
5. No debe estar permitido fumar en el rea de proceso.
Seguridad del equipamiento.
Es necesario proteger los equipos de cmputo instalndolos en reas en las cuales
el acceso a los mismos, solo sea para el personal autorizado. Adems, es necesario
que estas reas cuenten con los mecanismos de ventilacin y deteccin de
incendios adecuados.

Para protegerlos se debe tener en cuenta que:


La temperatura no debe sobrepasar los 18 C y el lmite de humedad no debe
superar el 65% para evitar el deterioro.
La red debe estar provisto de equipo de para la extincin de incendios en relacin
al grado de riesgo y la clase de fuego que sea posible en ese mbito.
Deben instalarse extintores manuales (porttiles) y/o automtico (rociadores).
Inundaciones
Se define como la invasin de agua por exceso de escurrimientos superficiales o
por acumulacin en terrenos planos, ocasionada por falta de drenaje ya sea
natural o artificial. Esta es una de las causas de mayores desastres en las redes.
Adems de las causas naturales de inundaciones, puede existir la posibilidad de
una inundacin provocada por la necesidad de apagar un incendio en un piso
superior.
Para evitar este inconveniente se pueden tomar las siguientes medidas: construir
un techo impermeable para evitar el paso de agua desde un nivel superior y
acondicionar las puertas para contener el agua que bajase por las escaleras.
Instalacin elctrica
Trabajar con computadoras implica trabajar con electricidad. Por lo tanto esta es
una de las principales reas a considerar en la seguridad fsica, ya que es una
problemtica que abarca desde el usuario hogareo hasta la gran empresa.
En la medida que los sistemas se vuelven ms complicados, se hace ms necesaria
la presencia de un especialista para evaluar riesgos particulares y aplicar
soluciones que estn de acuerdo con una norma de seguridad industrial.
Cableado

Los cables que se utilizan para construir las redes locales, van desde el cable
telefnico normal al cable coaxial o la fibra ptica. Algunos edificios de oficinas
ya se construyen con los cables instalados para evitar el tiempo y el gasto
posterior, y de forma que se minimice el riesgo de un corte, rozadura u otro dao
accidental.
Los riesgos ms comunes para el cableado se pueden resumir a continuacin:
1. Interferencia: estas modificaciones pueden estar generadas por cables de
alimentacin de maquinaria pesada o por equipos de radio o microondas.
Los cables de fibra ptica no sufren el problema de alteracin (de los datos
que viajan a travs de l) por accin de campos elctricos, que si sufren los
cables metlicos.
2. Corte del cable: la conexin establecida se rompe, lo que impide que el
flujo de datos circule por el cable.
3. Daos en el cable: los daos normales con el uso pueden daar el
apantallamiento que preserva la integridad de los datos transmitidos o
daar al propio cable, lo que hace que las comunicaciones dejen de ser
fiables.
En la mayor parte de las organizaciones, estos problemas entran dentro de la
categora de daos naturales. Sin embargo, tambin se pueden ver como un
medio para atacar la red si el objetivo es nicamente interferir en su
funcionamiento.
El cable de red ofrece tambin un nuevo frente de ataque para un determinado
intruso que intentase acceder a los datos. Esto se puede hacer:
1. Desviando o estableciendo una conexin no autorizada en la red: un
sistema de administracin y procedimiento de identificacin de accesos
adecuados har difcil que se puedan obtener privilegios de usuarios en la
red, pero los datos que fluyen a travs del cable pueden estar en peligro.

2. Haciendo una escucha sin establecer conexin, los datos se pueden seguir
y pueden verse comprometidos.
Luego, no hace falta penetrar en los cables fsicamente para obtener los datos que
transportan.

SEGURIDAD LGICA
Consiste en la aplicacin de barreras y procedimientos que resguarden el acceso
a los datos y solo se permita acceder a ellos a las personas autorizadas para
hacerlo.
Despus de ver como nuestra red puede verse afectado por la falta de seguridad
fsica, es importante recalcar que la mayora de los daos que puede sufrir un
sitio de cmputo, no ser sobre los medios fsicos, sino, contra informacin por
l almacenada y procesada.
As, la seguridad fsica, solo es una parte del amplio espectro que se debe cubrir
para no vivir con una sensacin ficticia de seguridad. Como ya se ha mencionado,
el activo ms importante que se posee es la informacin, y por lo tanto deben
existir tcnicas, ms all de la seguridad fsica, que la aseguren. Estas tcnicas las
brinda la seguridad lgica.
Los objetivos que se plantean para la seguridad lgica son:
1. Restringir el acceso a los programas y archivos.
2. Asegurar que los operadores puedan trabajar sin una supervisin
minuciosa y no puedan modificar los programas ni los archivos que no
correspondan.
3. Asegurar que se estn utilizando los archivos y programas correctos en y
por el procedimiento correcto.
4. Que la informacin transmitida sea recibida slo por el destinatario al cual
ha sido enviada y no a otro.

5. Que la informacin recibida sea la misma que ha sido transmitida.


6. Que existan sistemas alternativos secundarios de transmisin entre
diferentes puntos.
7. Que se disponga de pasos alternativos de emergencia para la transmisin
de informacin.
Controles de acceso.
Estos pueden implementarse en el sistema operativo, sobre los sistemas de
aplicacin, en bases de datos, en un paquete especfico de seguridad o en
cualquier otro utilitario.
Constituyen una importante ayuda para proteger al sistema operativo de la red,
al sistema de aplicacin y dems software de la utilizacin o modificaciones no
autorizadas; para mantener la integridad de la informacin (restringiendo la
cantidad de usuarios y procesos con acceso permitido) y para resguardar la
informacin confidencial de accesos no autorizados. As mismo, es conveniente
tener en cuenta otras consideraciones referidas a la seguridad lgica, como por
ejemplo las relacionadas al procedimiento que se lleva a cabo para determinar si
corresponde un permiso de acceso (solicitado por un usuario) a un determinado
recurso.
Identificacin y autenticacin.
Es la primera lnea de defensa para la mayora de los sistemas computarizados,
permitiendo prevenir el ingreso de personas no autorizadas. Es la base para la
mayor parte de los controles de acceso y para el seguimiento de las actividades
de los usuarios.
Se denomina identificacin al momento en que el usuario se da a conocer en el
sistema; y autenticacin a la verificacin que realiza el sistema sobre esta
identificacin.

Al igual que se consider para la seguridad fsica, y basada en ella, existen 4 tipos
de tcnicas que permiten realizar la autenticacin de la identidad del usuario, las
cuales pueden ser utilizadas individualmente o combinadas:
1. Algo que solamente el individuo conoce: por ejemplo una clave secreta de
acceso password, una clave criptogrfica, un nmero de identificacin
personal o PIN, etc.
2. Algo que la persona posee: por ejemplo una tarjeta magntica.
3. Algo que el individuo es y que lo identifica unvocamente: por ejemplo las
huellas digitales o la voz.
4. Algo que el individuo es capaz de hacer: por ejemplo los patrones de
escritura.
Para cada una de estas tcnicas vale lo mencionado en el caso de la seguridad
fsica en cuanto a sus ventajas y desventajas. Se destaca que en los dos primeros
casos enunciados, es frecuente que las claves sean olvidadas o que las tarjetas o
dispositivos se pierdan, mientras que por el otro lado, los controles de
autenticacin biomtricos seran los ms apropiados y fciles de administrar,
resultando ser tambin, los ms costosos por lo dificultosos de su
implementacin eficiente.
Desde los puntos de vista de la eficiencia, es conveniente que los usuarios sean
identificados y autenticados solamente una vez, pudiendo acceder a partir de ah,
a todas las aplicaciones y datos a los que su perfil les permita, tanto en sistemas
locales como en sistemas a los que deba acceder en forma remota. Esto se
denomina single log-in o sincronizacin de passwords.
Una de las posibles tcnicas para implementar esta nica identificacin de
usuarios sera la utilizacin de un servidor de autenticaciones sobre el cual los
usuarios se identifican, y que se encarga luego de autenticar al usuario sobre los
restantes equipos a los que ste pueda acceder. Este servidor de autenticaciones

no debe ser necesariamente un equipo independiente y puede tener sus


funciones distribuidas tanto geogrfica como lgicamente, de acuerdo con los
requerimientos de carga de tareas.
La seguridad informtica se basa, en gran medida, en la efectiva administracin
de los permisos de acceso a los recursos informticos, basados en la
identificacin, autenticacin y autorizacin de accesos. Esta administracin
abarca:
1. Proceso de solicitud, establecimiento, manejo, seguimiento y cierre de las
cuentas de usuarios. Es necesario considerar que la solicitud de habilitacin
de un permiso de acceso para un usuario determinado, debe provenir de su
superior y de acuerdo con sus requerimientos especficos de acceso, debe
generarse el perfil en el sistema de seguridad, en el sistema operativo o en la
aplicacin segn corresponda.
2. Adems, la identificacin de los usuarios debe definirse de acuerdo con una
norma homognea para toda la organizacin.
3. Revisiones peridicas sobre la administracin de las cuentas y los permisos
de acceso establecidos. Las mismas deben encararse desde el punto de vista
del sistema operativo, y aplicacin por aplicacin, pudiendo ser llevadas a
cabo por el personal de auditora o por la gerencia propietaria del sistema;
siempre sobre la base de que cada usuario disponga de mnimo permiso
requiera de acuerdo con sus funciones.
4. Las revisiones deben orientarse a verificar la adecuacin de los permisos de
acceso de cada individuo de acuerdo con sus necesidades operativas, la
actividad de las cuentas de usuarios o la autorizacin de cada habilitacin de
acceso. Para esto, deben analizarse las cuentas en busca de periodos de
inactividad o cualquier otro aspecto anormal que permita una redefinicin de
la necesidad de acceso.

5. Deteccin de las actividades no autorizadas. Adems de realizar auditoras o


efectuar el seguimiento de los registro de transacciones (pistas), existen otras
medidas que ayudan a detectar la ocurrencia de actividades no autorizadas.
Algunas de ellas se basan en evitar la dependencia hacia personas
determinadas, estableciendo la obligatoriedad de tomar vacaciones o
efectuando rotaciones peridicas a las funciones asignadas a cada una.
6. Nuevas consideraciones relacionadas con cambios en la asignacin de
funciones del empleado. Para implementar la rotacin de funciones, o en caso
de reasignar funciones por ausencias temporales de algunos empleados, es
necesario considerar la importancia de mantener actualizados los permisos
de acceso.
7. Procedimientos a tener en cuenta en caso de desvinculaciones de personal con
la organizacin, llevadas a cabo en forma amistosa o no. Los despidos del
personal de sistemas presentan altos riesgos ya que en general se trata de
empleados con capacidad para modificar aplicaciones o la configuracin del
sistema, dejando bombas lgicas o destruyendo sistemas o recursos
informticos. No obstante, el personal de otras reas usuarias de los sistemas,
tambin puede causar daos, por ejemplo, introduciendo informacin
errnea a las aplicaciones intencionalmente.
Para evitar estas situaciones, es recomendable anular los permisos de acceso
a las personas que se desvincularn de la organizacin, lo antes posible. En
caso de despido, el permiso de acceso debera anularse previamente a la
notificacin de la persona sobre la situacin.

ELEMENTOS DE PROTECCIN PERIMETRAL


Las tecnologas de proteccin perimetral y de red sirven para proteger la red de
la organizacin de amenazas y vulnerabilidades externas. Adems, tambin se
pueden usar para administrar y controlar el trfico de red interno dirigido hacia

un destino fuera de la red. Existen seis elementos fundamentales relacionados


con la proteccin perimetral y de red que deben tenerse en cuenta a la hora de
disear la infraestructura.
Creacin de zonas de seguridad
La creacin de zonas de seguridad contribuye a la proteccin de recursos de red
de una compaa segn el nivel de seguridad que necesite. Por ejemplo, las
aplicaciones y servicios de red principales pueden estar dentro de una zona de
seguridad y, de esta manera, protegidos frente al uso generalizado de los
usuarios.

TechCenter de IPsec de Microsoft Windows


Informacin general, implementacin y solucin de problemas de
recursos de IPsec de Windows.

TechCenter de proteccin de acceso a redes


Recursos para la proteccin de los equipos de la red.

Redes cableadas con autenticacin 802.1x


El estndar IEEE 802.1X de redes cableadas ofrece proteccin de
autorizacin y autenticacin en el permetro de la red en donde un host se
conecta a la red.

Enfoque estndar de la autenticacin de usuario en el acceso a la red


802.11
Informacin sobre los esfuerzos de IEEE e IETF para usar un acceso
inalmbrico seguro y anlisis comparativo del protocolo PEAP con otros
esquemas de propietario y basados en otros estndares.

Proteccin de LAN inalmbricas con Servicios de Certificate Server


Se describe cmo usar Servicios de Certificate Server para proteger la red
inalmbrica.

Proteccin

de

LAN

inalmbricas

con

PEAP

contraseas

Gua sobre el ciclo de vida completo de planeacin, implementacin,

pruebas y administracin de una opcin de seguridad inalmbrica para la


pequea y mediana empresa.
Creacin de firewall de red y proxy web
Los firewall de red y los servidores proxy web permiten a las organizaciones
controlar el acceso a los recursos de la red corporativa y de Internet. Un firewall
de red y un proxy web no slo protegen, sino que registran y notifican todas las
conexiones realizadas a travs del firewall y del proxy web.

TechCenter de Internet Security and Acceleration Server (ISA)


Informacin tcnica acerca del uso de ISA Server en la red.

Redes VPN SSL


Las redes privadas virtuales (VPN) de capa de sockets seguros (SSL) permiten el
acceso global seguro a aplicaciones web y aplicaciones no web as como a
recursos de informacin corporativa en Internet. La aplicacin de la directiva
completa integrada contribuye a garantizar la compatibilidad con las directrices
legales y comerciales en el control de la informacin confidencial. La
administracin de seguridad de extremos permite el control de acceso, la
autorizacin y la inspeccin de contenido en aplicaciones de lnea de negocio.

Intelligent Application Gateway (IAG) 2007


Se describe la puerta de enlace de acceso remoto que proporciona
proteccin y acceso a aplicaciones basadas en SSL (Capa de sockets
seguros) con administracin de seguridad de extremos.

Deteccin y prevencin de intrusiones


Los mecanismos de proteccin y deteccin de intrusiones permiten a los
administradores de seguridad de la red estar alerta ante amenazas activas y
mitigarlas en tiempo real. Algunas caractersticas adicionales como la proteccin

frente a ataques "flood" de congestin del servidor y frente a gusanos pueden


detectar intrusiones predominantes y bloquearlas.

Pgina principal de tecnologas de seguridad de Microsoft Forefront


Informacin acerca del funcionamiento de Microsoft Forefront en diversos
niveles para proteger la empresa y las capacidades de otras caractersticas
y productos de seguridad.

Microsoft Forefront Client Security


Recursos para el uso de la solucin Forefront Client Security para ofrecer
proteccin unificada frente a software malintencionado para sistemas
operativos de equipos escritorio, equipos porttiles y servidores de la
empresa.

Microsoft Forefront Server Security


Recursos para el uso de Microsoft Forefront para aumentar la eficacia y el
control de la seguridad de la red.

VPN en el nivel de red


VPN en el nivel de red permite que equipos remotos se conecten a la red
corporativa y obtengan acceso a recursos como si una estacin de trabajo se
conectara directamente a la red.

Servicio VPN de Microsoft


Conozca la amplia compatibilidad de tecnologas VPN (red privada
virtual) en Windows Server 2003 y Windows Server 2008.

Implementacin de servicios de cuarentena con redes privadas virtuales


de Microsoft
Gua de planeacin para ayudar a las organizaciones a usar servicios de
cuarentena VPN al ofrecer a los empleados la posibilidad de conectarse a
redes corporativas desde ubicaciones remotas (por ejemplo, desde casa,
sucursales, hoteles, cibercafs o desde las instalaciones del cliente).

Aislamiento de dominio IPsec


El protocolo de seguridad de Internet (IPsec) es un protocolo de Internet estndar
que permite a los administradores aislar y proteger servidores y dominios de red
con cifrado y autenticacin del mismo nivel. Proporciona un slido mecanismo
de segmentacin de red y cuarentena de cliente sin la necesidad de instalar
hardware nuevo.

Aislamiento de servidor y dominio IPsec


La solucin de aislamiento de servidor y dominio basada en el protocolo
de seguridad de Internet (IPsec) de Microsoft Windows y el servicio de
directorio de Active Directory permite a los administradores segmentar
de forma dinmica un entorno Windows en redes lgicas aisladas y ms
seguras basadas en directivas y sin cambios costosos de las aplicaciones o
la infraestructura de redes.

5. HERRAMIENTAS DE SEGURIDAD: CORTAFUEGOS Y


SISTEMAS DE DETECCIN DE ERRORES
As como existen herramientas para la auditoria y anlisis de la seguridad en
redes, tambin hay herramientas para modificar parmetros en nuestro sistema
y con esto asegurarlo contra diversos ataques.
El firewall o cortafuego, construye una de las herramientas ms importantes de
la seguridad de redes, pero tambin existen otros sistemas de proteccin como
son la criptografa y kerberos.

CORTAFUEGOS
Un cortafuego es una de las varias formas de proteger una red de otra red no
fiable desde el punto de vista de la seguridad.

La razn para la instalacin de cortafuegos es proteger una red privada de


intrusos, pero permitiendo a su vez el acceso autorizado desde y hacia el exterior.
Una situacin peligrosa se produce si alguien es capaz de entrar en la maquina
cortafuegos y reconfigurarla de modo que toda la red protegida quede accesible.
Este tipo de ataque se suele denominar destruccin del cortafuego. Los daos
derivados de este tipo de ataque resultan muy difciles de evaluar.

Tipos de Cortafuegos
En la configuracin de un cortafuegos, la principal decisin consiste en elegir
entre seguridad o facilidad de uso. Este tipo de decisin es tornado en general
por las direcciones de las compaas. Algunos cortafuegos solo permiten trfico
de correo electrnico a travs de ellos, y por lo tanto protegen a la red contra
cualquier ataque que no sea a travs del servicio de correo. Otros son menos
estrictos y solo bloquean aquellos servicios que se sake que presentan problemas
de seguridad.
Existen dos aproximaciones bsicas:

Todo lo que no es expresamente permitido est prohibido.


Todo lo que no es expresamente prohibido est permitido.

En el primer caso, el cortafuegos se disea para bloquear todo el trfico, y los


distintos servicios deben ser activados de forma individual tras el anlisis del
riesgo que representa su activacin y la necesidad de su uso. Esta poltica incide
directamente sobre los usuarios de las comunicaciones, que pueden ver el
cortafuegos como un estorbo.
En el segundo caso, el administrador del sistema debe predecir qu tipo de
acciones pueden realizar los usuarios que pongan en entredicho la seguridad del
sistema, y preparar defensas contra ellas. Esta estrategia penaliza al
administrador frente a los usuarios. Los usuarios pueden comprometer
inadvertidamente la seguridad del sistema si no conocen y cumplen unas
consideraciones de seguridad mnimas. El problema se magnifica si existen
usuarios que tengan cuenta en la propia mquina que hace de cortafuegos
(situacin muy poco recomendable). En este tipo de estrategia hay un segundo

peligro latente, y es que el administrador debe conocer todos los posibles


agujeros de seguridad existentes en los protocolos y las aplicaciones que estn
ejecutando los usuarios. El problema se agrava debido al hecho de que los
fabricantes no suelen darse prisa en notificar los riesgos de seguridad que
presentan sus productos.

SISTEMAS DE DETECCIN DE INTRUSOS


Un IDS es un software que monitorea el trfico de una red y los sistemas de una
organizacin en busca de seales de intrusin, actividades de usuarios no
autorizados y la ocurrencia de malas prcticas, como en el caso de los usuarios
autorizados que intentan sobrepasar sus lmites de restriccin de acceso a la
informacin.
Algunas de las caractersticas deseables para un IDS son:
Deben estar continuamente en ejecucin con un mnimo de supervisin.
Se deben recuperar de las posibles cadas o problemas con la red.
Debe poderse analizar l mismo y detectar si ha sido modificado por un
atacante.
Debe utilizar los mnimos recursos posibles.
Debe estar configurado acorde con la poltica de seguridad seguida por la
organizacin.
Debe de adaptarse a los cambios de sistemas y usuarios y ser fcilmente
actualizable.
Tipos de IDS
Existen varios tipos de IDS, clasificados segn el tipo de situacin fsica, del tipo
de deteccin que posee o de su naturaleza y reaccin cuando detecta un posible
ataque.
Clasificacin por situacin
Segn la funcin del software IDS, estos pueden ser:

NIDS (Network Intrusion Detection System)


HIDS (Host Intrusion Detection System)
Los NIDS analizan el trfico de la red completa, examinando los paquetes
individualmente, comprendiendo todas las diferentes opciones que pueden
coexistir dentro de un paquete de red y detectando paquetes armados
maliciosamente y diseados para no ser detectados por los cortafuegos. Pueden
buscar cual es el programa en particular del servidor de web al que se est
accediendo y con qu opciones y producir alertas cuando un atacante intenta
explotar algn fallo en este programa. Los NIDS tienen dos componentes:

Un sensor: situado en un segmento de la red, la monitoriza en busca de


trfico sospechoso

Una Consola: recibe las alarmas del sensor o sensores y dependiendo de


la configuracin reacciona a las alarmas recibidas.

Las principales ventajas del NIDS son:

Detectan accesos no deseados a la red.

No necesitan instalar software adicional en los servidores en produccin.

Fcil instalacin y actualizacin por que se ejecutan en un sistema


dedicado.

Como principales desventajas se encuentran:

Examinan el trfico de la red en el segmento en el cual se conecta, pero no


puede detectar un ataque en diferentes segmentos de la red. La solucin
ms sencilla es colocar diversos sensores.

Pueden generar trfico en la red.

Ataques con sesiones encriptadas son difciles de detectar.

En cambio, los HIDS analizan el trfico sobre un servidor o un PC, se preocupan


de lo que est sucediendo en cada host y son capaces de detectar situaciones

como los intentos fallidos de acceso o modificaciones en archivos considerados


crticos.
Las ventajas que aporta el HIDS son:

Herramienta potente, registra comandos utilizados, ficheros abiertos,...

Tiende a tener menor nmero de falsos-positivos que los NIDS,


entendiendo falsos-positivos a los paquetes etiquetados como posibles
ataques cuando no lo son.

Menor riesgo en las respuestas activas que los IDS de red.

Los inconvenientes son:

Requiere instalacin en la mquina local que se quiere proteger, lo que


supone una carga adicional para el sistema.

Tienden a confiar en las capacidades de auditoria y logging de la mquina


en s.

Clasificacin segn los modelos de detecciones


Los dos tipos de detecciones que pueden realizar los IDS son:
Deteccin del mal uso.
Deteccin del uso anmalo.
La deteccin del mal uso involucra la verificacin sobre tipos ilegales de trfico
de red, por ejemplo, combinaciones dentro de un paquete que no se podran dar
legtimamente. Este tipo de deteccin puede incluir los intentos de un usuario
por ejecutar programas sin permiso (por ejemplo, sniffers). Los modelos de
deteccin basada en el mal uso se implementan observando cmo se pueden
explotar los puntos dbiles de los sistemas, describindolos mediante unos

patrones o una secuencia de eventos o datos (firma) que sern interpretados


por el IDS.
La deteccin de actividades anmalas se apoya en estadsticas tras comprender
cul es el trfico normal en la red del que no lo es. Un claro ejemplo de
actividad anmala sera la deteccin de trfico fuera de horario de oficina o el
acceso repetitivo desde una mquina remota (rastreo de puertos). Este modelo
de deteccin se realiza detectando cambios en los patrones de utilizacin o
comportamiento del sistema. Esto se consigue realizando un modelo estadstico
que contenga una mtrica definida y compararlo con los datos reales analizados
en busca de desviaciones estadsticas significantes.
Clasificacin segn su naturaleza
Un tercer y ltimo tipo bsico de clasificacin sera respecto a la reaccin del IDS
frente a un posible ataque:
Pasivos.
Reactivos.
Los IDS pasivos detectan una posible violacin de la seguridad, registran la
informacin y genera una alerta.
Los IDS reactivos estn diseados para responder ante una actividad ilegal, por
ejemplo, sacando al usuario del sistema o mediante la reprogramacin del
cortafuegos para impedir el trfico desde una fuente hostil.
Los IDS y las polticas de Seguridad
Los IDS deben ser tratados como un elemento complementario en las polticas de
seguridad de las organizaciones, pero antes de implementar o instalar un sistema
de deteccin de intrusiones se recomienda analizar la poltica de seguridad y ver
cmo encajara el IDS en ella:

Se recomienda una poltica de seguridad bien definida y a alto nivel, que


cubra lo que est y lo que no est permitido en nuestro sistema y nuestras
redes.

Procedimientos documentados para que proceda el personal si se detecta


un incidente de seguridad.

Auditoras regulares que confirmen que nuestras polticas estn en


vigencia y nuestras defensas son adecuadas.

Personal capacitado o soporte externo cualificado.

6. SERVICIOS DE SEGURIDAD EN REDES (NAT, VPN, SSL,


IPsec)
NAT (Network Address Translation)
Internet en sus inicios no fue pensado para ser una red tan extensa, por ese
motivo se reservaron slo 32 bits para direcciones, el equivalente
a 4.294.967.296 direcciones nicas, pero el hecho es que el nmero de mquinas
conectadas a Internet aument exponencialmente y las direcciones IP se
agotaban. Por ello surgi la NAT o Network Address Translation (en castellano,
Traduccin de Direcciones de Red)
La idea es sencilla, hacer que redes de ordenadores utilicen un rango de
direcciones especiales (IPs privadas) y se conecten a Internet usando una nica
direccin IP (IP pblica). Gracias a este parche, las grandes empresas slo
utilizaran una direccin IP y no tantas como mquinas hubiese en dicha
empresa. Tambin se utiliza para conectar redes domsticas a Internet.

Cmo funciona?
En la NAT existen varios tipos de funcionamiento:
Esttica
Una direccin IP privada se traduce siempre en una misma direccin IP pblica.
Este modo de funcionamiento permitira a un host dentro de la red ser visible
desde Internet.
Dinmica
El router tiene asignadas varias direcciones IP pblicas, de modo que cada
direccin IP privada se mapea usando una de las direcciones IP pblicas que el
router tiene asignadas, de modo que a cada direccin IP privada le corresponde
al menos una direccin IP pblica.
Cada vez que un host requiera una conexin a Internet, el router le asignar una
direccin IP pblica que no est siendo utilizada. En esta ocasin se aumenta la
seguridad ya que dificulta que un host externo ingrese a la red ya que las
direcciones IP pblicas van cambiando.

Sobrecarga
La NAT con sobrecarga o PAT (Port Address Translation) es el ms comn de
todos los tipos, ya que es el utilizado en los hogares. Se pueden mapear mltiples
direcciones IP privadas a travs de una direccin IP pblica, con lo que evitamos
contratar ms de una direccin IP pblica. Adems del ahorro econmico,
tambin se ahorran direcciones IPv4, ya que aunque la subred tenga muchas
mquinas, todas salen a Internet a travs de una misma direccin IP pblica.
Para poder hacer esto el router hace uso de los puertos. En los
protocolos TCP y UDP se disponen de 65.536 puertos para establecer conexiones.
De modo que cuando una mquina quiere establecer una conexin, el
router guarda su IP privada y el puerto de origen y los asocia a la IP pblica y
un puerto al azar. Cuando llega informacin a este puerto elegido al azar, el
router comprueba la tabla y lo reenva a la IP privada y puerto que
correspondan.

Solapamiento
Cuando una direccin IP privada de una red es una direccin IP pblica en uso,
el router se encarga de reemplazar dicha direccin IP por otra para evitar el
conflicto de direcciones.

Ventajas de la NAT

El uso de la NAT tiene varias ventajas:

La primera y ms obvia, el gran ahorro de direcciones IPv4 que supone,


recordemos que podemos conectar mltiples mquinas de una red a Internet
usando una nica direccin IP pblica.

Seguridad. Las mquinas conectadas a la red mediante NAT no son visibles


desde el exterior, por lo que un atacante externo no podra averiguar si una
mquina est conectada o no a la red.

Mantenimiento de la red. Slo sera necesario modificar la tabla de reenvo


de un router para desviar todo el trfico hacia otra mquina mientras se
llevan a cabo tareas de mantenimiento.

Desventajas de la NAT
Recordemos que la NAT es solo un parche, no una solucin al verdadero
problema, por tanto tambin tiene una serie de desventajas asociadas a su uso:

Checksums TCP y UDP: El router tiene que volver a calcular el checksum


de cada paquete que modifica. Por lo que se necesita mayor potencia de
computacin.

No todas las aplicaciones y protocolos son compatibles con NAT. Hay


protocolos que introducen el puerto de origen dentro de la zona de datos de
un paquete, por lo que el router no lo modifica y la aplicacin no funciona
correctamente.

VPN SSL IPsec


Una red privada virtual (VPN) es una red privada construida dentro de una
infraestructura de red pblica, tal como la red mundial de Internet. Las empresas
pueden usar redes privadas virtuales para conectar en forma segura oficinas y
usuarios remotos a travs de accesos a Internet econmicos proporcionados por
terceros, en vez de costosos enlaces WAN dedicados o enlaces de marcacin
remota de larga distancia.
Las organizaciones pueden usar redes privadas virtuales para reducir los costos
de ancho de banda de redes WAN, y a la vez aumentar las velocidades de

conexin a travs de conectividad a Internet de alto ancho de banda, tal como


DSL, Ethernet o cable.
Las redes privadas virtuales proporcionan el mayor nivel posible de seguridad
mediante seguridad IP (IPsec) cifrada o tneles VPN de Secure Sockets Layer
(SSL) y tecnologas de autenticacin. Estas tecnologas protegen los datos que
pasan por la red privada virtual contra accesos no autorizados. Las empresas
pueden aprovechar la infraestructura estilo Internet de la red privada virtual,
cuya sencillez de abastecimiento permite agregar rpidamente nuevos sitios o
usuarios. Tambin pueden aumentar drsticamente el alcance de la red privada
virtual sin expandir significativamente la infraestructura.
Las redes privadas virtuales extienden la seguridad a los usuarios remotos
Las redes VPN SSL y VPN IPsec se han convertido en las principales soluciones
de redes privadas virtuales para conectar oficinas remotas, usuarios remotos y
partners comerciales, porque:

Proporcionan comunicaciones seguras con derechos de acceso adaptados a


usuarios individuales, tales como empleados, contratistas y partners

Aumentan la productividad al ampliar el alcance de las redes y aplicaciones


empresariales

Reducen los costos de comunicacin y aumentan la flexibilidad

Los dos tipos de redes virtuales privadas cifradas:

VPN IPsec de sitio a sitio: Esta alternativa a Frame Relay o redes WAN de
lnea arrendada permite a las empresas extender los recursos de la red a las
sucursales, oficinas en el hogar y sitios de los partners comerciales.

VPN de acceso remoto: Esto extiende prcticamente todas las aplicaciones


de datos, voz o video a los escritorios remotos, emulando los escritorios de la
oficina central. Las redes VPN de acceso remoto pueden desplegarse usando
redes VPN SSL, IPsec o ambas, dependiendo de los requisitos de
implementacin.

7. TOPOLOGA DE RED
Para esta prctica vamos a plantear una topologa sencilla donde
utilizaremos equipos de networking utilizando servicios de seguridad VPN
IPSec, ara esto haremos uso del software packet tracer.

En esta topologa mostraremos los envos de mensajes cifrados desde una


wan a otra.
El primer paso que precederemos a hacer es configurar los pc con sus
respectivos ip y mscaras y puerta de enlace. Cabe mencionar que para esta
prctica usamos Router 2811 y switch 2950 y dos pc.

Configuraremos la pc0 con las ip de la red 1 que es 192.168.10.0

Configuraremos la pc0 con las ip de la red 2 que es 192.168.20.0

Ahora procederemos a configurar los Router de las dos redes para configurar
las direcciones de las interfaces es decir fa 0/0 y fa0/1.

Unas ves configurados los interface procederemos a el debido enrutamiento


dinmico para establecer las rutas con las que se va a comunicar los routers,
para esto haremos uso del protocolo Router rip. En esta parte tambin
configuraremos la encriptacin de los paquetes para que Router 0 y Router
tengan una integridad y confidencialidad de toda la comunicacin que se
esto realizando para esto utilizaremos servicios de seguridad vpn.
Trabajaremos vamos los siguientes comandos
crypto isakmp policy 10.- Crear una nueva poltica IKE. Cada poltica se
identifica por su nmero de prioridad (de 1 a 10.000; 1 la ms prioridad ms
alta).
encryption ae.- Especificar el algoritmo de cifrado a utilizar.
hash sha.- Elegir el algoritmo de hash a usar: Message Digest 5 (MD5 [md5]
) o Secure Hash Algorithm (SHA [sha]).
authentication pre-share.- Determinar el mtodo de autenticacin: preshared keys(pre-share), RSA1 encrypted nonces (rsa-encr), o RSA signatures
(rsa-slg).
group 2 Especificar el identificador de grupo Diffie-Hellman: 768-bit DiffieHellman (1) o 1024-bit Diffie-Hellman (2)

lifetime 86400 Determinar el tiempo de vide de la Asociacin de Seguridad


(SA) en segundos. 86400 segundos = 1 da
access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255.- cifrar
todo el trfico IP que salga de la primera direccin hacia la segunda direccin.
A continuacin, creamos un IPsec conjunto de transformacin que llamamos
TRANSFORM. Se especifica el protocolo de encriptacin IPsec para la carga
de seguridad encapsuladora (ESP).
set peer 10.0.0.2.- extremo del tnel
match address 101 .-origen-destino de paquetes
set transform-set TRANSFORM.-cual set de transformacin de paquetes
utilizar
Este mismo proceso lo realizamos con los routers simplemente cambiando
las direcciones ip a las que se hagan referencia

Ahora solo nos queda comprobar el resultado de nuestra configuraciones


antes planteadas para eso enviaremos un mensaje en este caso de la p1 a la
pc0.

Ahora nos dirigiremos al Router 0 y por medio del comando show crypto
isakmp sa, revelaremos si esta asociaciones de seguridad, como lo podemos
apreciar en la imagen de abajo.

Ahora por medio del comando show crypto ipsec sa nos mostrara los
paquetes que fueron enviados desde la pc1 a la pco y podremos comprobar
que si se produjo un cifrado en el envio de los paquetes.

Administracin de Redes
Catedrtico:
Ing. Michelle Zambrano
Responsables:

Gonzlez Loor Angie Lissely


Mendoza Lpez Xavier Israel
Molina Moreira Kelvin Stalin
Ostaiza Pinargote Harry Daniel
Romero Ponce Karla Liscet

Curso:
Sexto A
octubre 2014 febrero 201

SISTEMAS DE MONITOREO DE RED


Es el uso de un sistema que constantemente monitoriza una red de
computadoras en busca de componentes defectuosos o lentos, para luego
informar a los administradores de redes mediante correo electrnico, pager u
otras alarmas. Es un subconjunto de funciones de la administracin de redes.
Estas herramientas de supervisin pueden enviar automticamente las
actualizaciones o activar copias de seguridad en caso de interrupciones
causadas por accidentes o sobrecargas del servidor, conexiones de red y otros
factores. Por ejemplo, para averiguar el estado de un servidor web, el software
de monitoreo de vez en cuando puede enviar una peticin HTTP a buscar una
pgina. Para los servidores de correo electrnico, un mensaje de prueba puede
ser enviado a travs de SMTP y trado por IMAP o POP3. En el caso de solicitar el
estado de las fallas, el software de monitoreo puede enviar un mensaje de
alarma al administrador de sistemas, a su vez en sistemas de conmutacin por
error para eliminar la problemtica del servidor hasta que pueda ser corregida,
o hacer otras acciones imperativas.

WIRESHARK
Wireshark, antes conocido como Ethereal, es un analizador de
protocolos utilizado para realizar anlisis y solucionar problemas en redes de
comunicaciones, para desarrollo de software y protocolos, y como una
herramienta didctica. Cuenta con todas las caractersticas estndar de un
analizador de protocolos de forma nicamente hueca.
Permite ver todo el trfico que pasa a travs de una red (usualmente una
red Ethernet, aunque es compatible con algunas otras) estableciendo la
configuracin en modo promiscuo.
Permite examinar datos de una red viva o de un archivo de captura salvado en
disco. Se puede analizar la informacin capturada, a travs de los detalles y
sumarios por cada paquete. Wireshark incluye un completo lenguaje para filtrar
lo que queremos ver y la habilidad de mostrar el flujo reconstruido de una sesin
de TCP.
Wireshark es software libre, y se ejecuta sobre la mayora de sistemas operativos
Unix y compatibles,incluyendo Linux,Solaris, FreeBSD, NetBSD, OpenBSD, Android,
y Mac OS X, as como en Microsoft Windows.

Caractersticas de WireShark

Mantenido bajo la licencia GPL.

Muy robusto, tanto en modo promiscuo como en modo no promiscuo.

Puede capturar datos de la red o leer datos almacenados en un archivo (de


una captura previa).

Basado en la librera pcap.

Tiene una interfaz muy flexible.

Gran capacidad de filtrado.

Admite el formato estndar de archivos tcpdump.

Reconstruccin de sesiones TCP

Se ejecuta en ms de 20 plataformas.

Es compatible con ms de 480 protocolos.

Puede leer archivos de captura de ms de 20 productos.

Puede traducir protocolos TCP IP

HYPERIC
Es una herramienta Open Source para monitorear cualquier tipo de aplicacin
y sistema. Diseado para proporcionar todas las capacidades fundamentales
de gestin y de supervisin para las aplicaciones web y las infraestructuras de TI.
Monitorea y administra aplicaciones Web, en la nube y locales, con alertas,
especial para entornos que se deben monitorizar las 24 horas.
CARACTERSTICAS DE HYPERIC HQ
Rpida implementacin.
Trabaja correctamente en mltiples plataformas como Unix, Linux, Windows,
Solaris, AIX, HPUX, VMware, y Amazon Web Services.
Monitorea todo tipo de aplicaciones: Monitoreo de hardware, mtricas de
rendimiento, accesos, cambios de configuracin, SLAs y ms.
Diagnsticos incorporados: Diagnstico de plataformas remotas desde HQ,
utilizando diagnsticos de sistema operativo o sus herramientas programadas en
casa.
Control Completo: Ejecuta comandos remotos, reinicia servidores, y hace el
mantenimiento en plataformas remotas.

FUNCIONES DE HYPERIC
Es capaz de administrar aplicaciones locales y aplicaciones Web.
Administrar el inventario de software.
Permite ejecutar diagnsticos en los recursos remotos.
Log y eventos de seguimiento: HQ-captura eventos de registro, cambios de
configuracin y alertas, y automticamente se correlaciona con el rendimiento
y la disponibilidad.

NAGIOS
Nagios es considerado como uno de los ms populares, si no el ms popular
sistema de monitorizacin de red de cdigo abierto disponible. Fue diseado
originalmente para ejecutarse en Linux, pero otras variantes de Unix son
soportadas tambin. Nagios proporciona supervisin de los servicios de red
(SMTP, POP3, HTTP, NNTP, ICMP, SNMP, FTP, SSH) y recursos de host (carga del
procesador, uso de disco, los registros del sistema), entre otros. El control remoto
es manejado a travs de tneles SSH o SSL cifrado. Nagios tiene un diseo simple
que ofrece a los usuarios la libertad para desarrollar sus chequeos de servicio sin
esfuerzo propio basado en las necesidades y mediante el uso de cualquiera de
las herramientas de apoyo que guste. Para detectar y diferenciar entre hosts
que estn abajo y los que son inalcanzables, Nagios permite definir jerarqua de
la red de acogida con los hosts "padre". Cuando los servicios o los problemas de
acogida se plantean, la notificacin ser enviada a la persona que est a cargo
de la red a travs del correo electrnico, SMS, etc.

ZABBIX
Zabbix es una clase de mecanismo de vigilancia tipo empresarial que est
completamente equipado y tiene soporte comercial. Es capaz de monitorear y
dar seguimiento de la situacin de los diferentes tipos de servicios de red,
servidores y otro hardware de red. Zabbix tiene grandes funcionalidades de
visualizacin incluidas las vistas definidas por el usuario, zoom, y la cartografa.
Tiene un mtodo de comunicacin verstil que permite una configuracin
rpida y sencilla de los diferentes tipos de notificaciones de eventos
predefinidos. Zabbix cuenta con tres mdulos principales: el servidor, los
agentes, y el usuario. Para almacenar los datos de seguimiento, puede utilizar
MySQL, PostgreSQL, Oracle o SQLite como base de datos. Sin necesidad de
instalar ningn software en el host de seguimiento, Zabbix permite a los usuarios
comprobar la disponibilidad y capacidad de respuesta de los servicios estndar,
como SMTP o HTTP. Para supervisar las estadsticas, tales como carga de la CPU,
utilizacin de la red y espacio en disco, un agente de Zabbix debe estar
instalado en la mquina host. Zabbix incluye soporte para el monitoreo a travs

de SNMP, TCP y controles ICMP, IPMI y parmetros personalizados como una


opcin para instalar un agente en los hosts.

CACTI
Cacti es una herramienta web de grficas que est diseada como una interfaz
completa para almacenamiento de datos de RRDtool y la utilidad grfica que
permite a los usuarios monitorear y graficar la carga de la CPU, la utilizacin de
ancho de banda de red, el trfico de red, y mucho ms. Puede ser utilizado
para configurar la recopilacin de datos en s, lo que permite configuraciones
particulares, a controlar sin ningn tipo de configuracin manual de RRDtool.
Cacti permite sondear los servicios en el perodo preestablecido y el grfico de
los datos resultantes. Se utiliza principalmente para representar grficamente los
datos de series temporales de parmetros tales como la carga de la CPU y la
utilizacin de ancho de banda de red. Cacti se puede ampliar para controlar
cualquier fuente a travs de scripts de shell y ejecutables. Tambin es
compatible con arquitectura de plugins y tiene una comunidad grande y activa
que se ha reunido en torno a los foros de Cacti para proporcionar scripts,
plantillas y consejos sobre creacin de plugins.
ISRAEL

HERRAMIENTA DE MONITOREO DE REDES


El monitoreo de redes es esencial para compaas de cualquier tamao.
La herramienta de monitoreo apropiada no slo asegura que el usuario sea
notificado cuando ocurren averas, sino que tambin aumenta la eficiencia de
la red al rastrear el consumo de recurso y de ancho de banda.

El monitoreo de red ofrece los siguientes beneficios:


Reduce ineficiencia y tiempo de inactividad: no ms fallas de sistema sin
descubrir
Mejora la satisfaccion del cliente a travs de un rpido y confiable sistema.
Paz mental: siempre y cuando no haya notificicaciones de la herramienta de
monitoreo, usted sabe que todos sus sistemas estn corriendo perfectamente.
Los principales beneficios de PRTG Network Monitor son:

Se evitan las prdidas causadas por fallos en la red sin detectar.


Reduccin de costes ya que podemos comprar el ancho de banda y
hardware segn las necesidades reales.
Un rendimiento mejor ya que el monitoreo de red nos ayuda a evitar la
saturacin de la red.

Medir el ancho de banda y optimizar la red con PRTG Network Monitor


El monitoreo de ancho de banda se refiere a la medicin del ancho de
banda de lneas alquiladas, conexiones de red y equipos (routers, switches,
etc.). PRTG Network Monitor permite enviar notificaciones si hay cargas
excesivas en la red, o si un umbral de utilizacin de ancho de banda se haya
traspasado.

PRTG Network Monitor permite:


Medir cunto ancho de banda se est utilizando (por ejemplo para fines de
facturacin) y por qu aplicaciones y servidores / usuarios
Ver tendencias de utilizacin
Encontrar cuellos de botella y errores de conectividad para evitarlos en el futuro
Balancear y optimizar el trfico de red
Mejorar el flujo de datos en su red
Reducir costes comprando el ancho de banda y hardware segn la carga
efectiva
Ofrecer un servicio mejor a los usuarios ya que podemos actuar de manera
proactiva

CMO MEDIR EL ANCHO DE BANDA CON PRTG?

PRTG Network Monitor mide el trfico de red y proporciona resultados detallados


en tablas y grficos.
As podemos verificar el ancho de banda y analizar su uso basado en varios
parmetros, como, por ejemplo, direcciones IP, nmero de puerto, protocolos,
etc. Para ello, PRTG usa las siguientes tecnologas:

Qu funcionalidades debera tener una buena herramienta de monitoreo de


redes.
Un buen monitor de red debera ser fcil de instalar y usar. Adems, debera
contar con las siguientes funcionalidades:
Administracin remota a travs de navegador web, dispositivos mviles,
y aplicacin de Windows
Notificaciones sobre fallos a travs de correo electrnico, mensajera
instantnea, SMS, etc.
Amplia seleccin de sensores.
Posibilidad de monitorear varios sitios con una sola instalacin.
Soporte de todos los mtodos comunes de adquisicin de datos de
utilizacin (SNMP, sniffer de paquetes, NetFlow, sFlow, jFlow).
El monitoreo de la disponibilidad de red comprueba si los servicios ofrecidos
estn en funcionamiento y si tantos los usuarios internos como externos (si
apropiado) pueden acceder a ellos. Incluye el monitoreo de pginas web,
servidores de correo electrnico, y conexiones de Internet.
El monitoreo del ancho de banda y de la velocidad de red evita que nuestros
pginas web y servicios de red pierden visitantes debido a pginas, ficheros o
imgenes que tardan mucho en cargar.
El monitoreo de la actividad de red nos sirve para evaluar las cargas que los
equipos de red tienen que sostener y para ver las tendencias de utilizacin.
DESCUBRIMIENTO AUTOMTICO DE RED
Despus de registrarse a la interfaz web seleccione el botn Pg. princ. del men
principal.
Aparecer la pantalla de bienvenida.

Selecione Ejecutar descubrimiento automtico de red para automticamente


escanear sured. PRTG tratara de detectar todos los aparatos conectados en tan
solo dos pasos.
Descubrimiento automtico - primer paso
En el primer paso se desplegara el rbol con todas las sondas y grupos de su
configuracin.

Seleccione Sonda local del rbol de aparatos. Haga clic en el botn


Continuar. Descubrimiento automtico - segundo paso
En el segundo paso se requiere informacin adicional de su red.

Con la seleccin de mtodo de IP puede seleccionar si desea insertar una IP


base clase C, una lista de IPs individuales, IP y subnet o una IP con rango de
octets. Todos estos mtodos resultan en un rango de direcciones IP que sern
escaneados durante el proceso de descubrimiento automtico. Dependiendo

de la seleccin se activaran diferentes campos de selecin.2011-11-24 11 3


Descubrimiento automtico de red
Recomendamos usar la opcin IP base clase C. En el campo IP base introduzca
los primeros tres octetos del rango de la IP de su red IPv4, por ejemplo 192.168.0
10.0.0 cualquier rango de direccin IP que est usando. Si no cambia los
valores de los campos IPv4 inicio de rango y fin de rango PRTG
automticamente completara la base de la IP le escaneara todas las
direcciones de IP terminando con .1 a .254.

Luego esperamos que se cargue al 100% para que carguen todos los dispositivos
que se encuentran en la red
Monitoreo de red -ip privada 192.168.70.1

Dispositivo 192.168.70.100

Dispositivo 192.168.70.102

Dispositivo 192.168.70.106

Dispositivo nova-pc

Dispositivo 192.168.70.112

Monitoreo de red ip pblica 190.214.193.110


Seleccionamos el grupo donde estar el aparato

Colocamos el nombre del aparato y la ip respectiva en este caso usamos una


ip publica de la red a la que vamos a monitorear.

Agregamos un sensor ping para establecer la conectividad

Luego verificaremos la conectividad en el grafico del sensor ping

Monitoreo de red- ip privada 192.168.1.1

Dispositivos conectados en esta red


Dispositivo 192.168.1.1

Dispositivo 192.168.1.5

Dispositivo pc1

Se aade un sensor http para monitorear el tiempo de acceso a la url


http//www.utm.edu.ec

Monitoreo de red ip publica 186.178.13.225


Seleccionamos el grupo donde estar el nuevo aparato

Seleccionamos el nombre y la direccin ip del aparato en este caso la direccin


publica 186.178.13.225

Agregamos sensores para verificar la conectividad y monitorear el tiempo de


acceso a una url en este caso www.utm.edu.ec

Verificamos las grficas de los sensores

ANEXOS

BIBLIOGRAFIA
http://www.es.paessler.com/network_monitoring
http://es.wikipedia.org/wiki/Monitoreo_de_red#Comparaci.C3.B3n_de_los_Sist
emas_de_Monitoreo_de_Redes
http://www.es.paessler.com/netflow_monitoring
http://es.slideshare.net/VanesaPercy/plataforma-de-monitoreo
http://www.es.paessler.com/bandwidth_monitoring
http://es.wikipedia.org/wiki/Tcpdump
http://fraterneo.blogspot.com/2010/12/5-aplicaciones-libres-para-monitoreode.htm

TOPOLOGIA DE RED

ETAPA 4
Conclusiones y
recomendaciones

UNIVERSIDAD TCNICA DE MANAB


FACULTAD DE CIENCIAS INFORMTICAS

CARRERA DE INGENIERA EN SISTEMAS INFORMTIVOS


Forma profesionales investigadores en el campo de las Ciencias Informticas, al servicio de la sociedad, que
aporten con soluciones innovadoras al desarrollo tecnolgico del pas

Conclusiones
Durante el curso ADMINISTRACIN DE REDES pude adquirir las
destrezas de agilidad mental, retentivas e intelectuales las cuales son
importantes para mi desempeo como profesional. De los trabajos
asignados en el curso, los talleres en el aula de clases fueron de gran
ayuda para mejorar y estimular en forma continua el aprendizaje y la
comunicacin efectiva entre compaeros.
En ocasiones se me complico el curso ya que hubo clase que no pude
comprender con facilidad pero con mi esfuerzo y mi perseverancia logre
dominar los temas no como esperaba pero si lo suficiente como para
resolver las pruebas que me hacia el docente.
Las lecciones y los talleres que el docente facilitador me tomo los pude
resolver con poco un de complicacin pero analizndolos pude dar con
las respuestas requeridas.
Los trabajos enviados para la casa fueron muy interesantes ya que
tuvimos que poner en prctica lo aprendido dentro del aula de clases
para poder resolver cada uno de los ejercicios.
En conclusin de este curso fue muy bueno ya que el objetivo principal
era aprender acerca de las ADMINISTRACIN DE REDES y lo logre.

Recomendaciones
Se recomienda a los estudiantes a practicar mucho los ejercicios
realizados en clases ya que con estudio y dedicacin se puede lograr
comprender de mejor manera los diferentes ejercicios que el docente
propone el los trabajos.
Adems de cumplir a tiempo con todas las tareas encomendadas por el
docente gua.

ETAPA 5
Resumen de cierre

UNIVERSIDAD TCNICA DE MANAB


FACULTAD DE CIENCIAS INFORMTICAS

CARRERA DE INGENIERA EN SISTEMAS INFORMTIVOS


Forma profesionales investigadores en el campo de las Ciencias Informticas, al servicio de la sociedad, que
aporten con soluciones innovadoras al desarrollo tecnolgico del pas

RESUMEN DE CIERRE
Durante el curso de ADMINISTRACIN DE REDES pude adquirir las
destrezas de agilidad mental, retentivas e intelectuales las cuales son
importantes para mi desempeo como profesional. De los trabajos
asignados en el curso, los talleres en el aula de clases fueron de gran
ayuda para mejorar y estimular en forma continua el aprendizaje y la
comunicacin efectiva entre compaeros.
En ocasiones se me complico el curso ya que hubo clase que no pude
comprender con facilidad pero con mi esfuerzo y mi perseverancia logre
dominar los temas no como esperaba pero si lo suficiente como para
resolver las pruebas que me hacia el docente.
Las lecciones en pizarra y los talleres que el docente facilitador me tomo
los pude resolver con poco un de complicacin pero analizndolos pude
dar con las respuestas requeridas.
Los trabajos enviados para la casa fueron muy interesantes ya que
tuvimos que poner en prctica lo aprendido dentro del aula de clases
para poder resolver cada uno de los ejercicios.
En conclusin de este curso fue muy bueno ya que el objetivo principal
era aprender acerca de la ADMINISTRACIN DE REDES y lo logre.

ETAPA 6
Anexos

Das könnte Ihnen auch gefallen