Beruflich Dokumente
Kultur Dokumente
Equipo de interconexión
El hardware principal que debe instalarse en redes de área local es:
• repetidores, utilizados para regenerar una señal;
• concentradores (hubs), utilizados para conectar múltiples hosts;
• puentes (bridges), utilizados para conectar redes de área local del mismo tipo;
• conmutadores (switches), utilizados para conectar varios elementos mientras segmentan la
red;
• pasarelas (gateways), utilizadas para conectar redes de área local de diferentes tipos;
• routers, utilizados para conectar varias redes de área local y permitir que los datos viajen de
manera óptima entre las redes;
• puente/router, que combina las características de un router y de un puente.
Repetidores
En una línea de transmisión, la señal sufre distorsiones y se vuelve más débil a medida que la
distancia entre los dos elementos activos se vuelve más grande. Dos nodos en una red de área local,
generalmente, no se encuentran a más de unos cientos de metros de distancia. Es por ello que se
necesita equipo adicional para ubicar esos nodos a una distancia mayor.
Un repetidor es un dispositivo sencillo utilizado para regenerar una señal entre dos nodos de una
red. De esta manera, se extiende el alcance de la red. El repetidor funciona solamente en el nivel
físico (capa 1 del modelo OSI), es decir que sólo actúa sobre la información binaria que viaja en la
línea de transmisión y que no puede interpretar los paquetes de información.
Por otra parte, un repetidor puede utilizarse como una interfaz entre dos medios físicos de tipos
diferentes, es decir que puede, por ejemplo, conectar un segmento de par trenzado a una línea de
fibra óptica.
Concentrador (Hub)
Un concentrador (hub) es un elemento de hardware que permite concentrar el tráfico de red que
proviene de múltiples hosts y regenerar la señal. El concentrador es una entidad que cuenta con
determinada cantidad de puertos (posee tantos puertos como equipos a conectar entre sí,
generalmente 4, 8, 16 ó 32). Su único objetivo es recuperar los datos binarios que ingresan a un
puerto y enviarlos a los demás puertos. Al igual que un repetidor, el concentrador funciona en el
nivel 1 del modelo OSI. Es por ello que a veces se lo denomina repetidor multipuertos.
El concentrador (hub) conecta diversos equipos entre sí, a veces dispuestos en forma de estrella, de
donde deriva el nombre de HUB (que significa cubo de rueda en inglés; la traducción española
exacta es repartidor) para ilustrar el hecho de que se trata del punto por donde se cruza la
comunicación entre los diferentes equipos.
Existen diferentes categorías de concentradores (hubs):
• concentradores "activos": Están conectados a una fuente de alimentación eléctrica y
permiten regenerar la señal que se envía a los diferentes puertos;
• puertos "pasivos": Simplemente envían la señal a todos los hosts conectados, sin
amplificarla.
Si desea conectar varios equipos a su conexión de Internet, un hub no será suficiente. Necesitará un
router o un conmutador, o dejar el equipo conectado directamente como una pasarela (permanecerá
encendido mientras los demás equipos de la red deseen acceder a Internet).
Puentes (Bridges)
Un puente es un dispositivo de hardware utilizado para conectar dos redes que funcionan con el
mismo protocolo. A diferencia de un repetidor, que funciona en el nivel físico, el puente funciona en
el nivel lógico (en la capa 2 del modelo OSI). Esto significa que puede filtrar tramas para permitir
sólo el paso de aquellas cuyas direcciones de destino se correspondan con un equipo ubicado del
otro lado del puente.
El puente, de esta manera, se utiliza para segmentar una red, ya que retiene las tramas destinadas a
la red de área local y transmite aquellas destinadas para otras redes. Esto reduce el tráfico (y
especialmente las colisiones) en cada una de las redes y aumenta el nivel de privacidad, ya que la
información destinada a una red no puede escucharse en el otro extremo.
Sin embargo, el filtrado que lleva a cabo el puente puede provocar una leve demora al ir de una red
a otra, razón por la cual los puentes deben ubicarse con buen criterio dentro de una red.
La función normal de un puente es enviar paquetes entre dos redes del mismo tipo.
Un puente cuenta con dos conexiones a dos redes distintas. Cuando el puente recibe una trama en
una de sus interfaces, analiza la dirección MAC del emisor (dirección única de la tarjeta de red) y
del destinatario. Si un puente no reconoce al emisor, almacena su dirección en una tabla para
"recordar" en qué lado de la red se encuentra el emisor. De esta manera, el puente puede averiguar
si el emisor y el destinatario se encuentran del mismo lado o en lados opuestos del puente. Si se
encuentran en el mismo lado, el puente ignora el mensaje; si se encuentran en lados opuestos, el
puente envía la trama a la otra red.
Un puente funciona en la capa de enlace de datos del modelo OSI, es decir que funciona con las
direcciones físicas de los equipos. En realidad, el puente está conectado a varias redes de área local,
denominadas segmentos. El puente crea una tabla de correspondencia entre las direcciones de los
equipos y los segmentos a los que pertenecen, y "escucha" los datos que circulan por los segmentos.
Al momento de realizarse la transmisión de datos, el puente controla en la tabla de correspondencia
el segmento al que pertenecen los equipos remitentes y destinatarios (utiliza su dirección física,
denominada dirección MAC, y no su dirección IP). Si pertenecen al mismo segmento, el puente no
hace nada; de lo contrario, conmuta los datos al segmento del equipo destinatario
Un puente se utiliza para segmentar una red, es decir, (en el caso presentado anteriormente) para
que la comunicación entre los tres equipos de la parte superior no bloquee las líneas de la red que
pasa a través de los tres equipos de la parte inferior. La información sólo se transmite cuando un
equipo de un lado del puente envía datos a un equipo del lado opuesto.
Además, estos puentes pueden conectarse a un módem para que también puedan funcionar con una
red de área local remota.
Conmutadores
Un conmutador (switch) es un puente con múltiples puertos, es decir que es un elemento activo
que trabaja en el nivel 2 del modelo OSI.
El conmutador analiza las tramas que ingresan por sus puertos de entrada y filtra los datos para
concentrarse solamente en los puertos correctos (esto se denomina conmutación o redes
conmutadas). Por consiguiente, el conmutador puede funcionar como puerto cuando filtra los datos
y como concentrador (hub) cuando administra las conexiones. A continuación, encontrará el
diagrama de un conmutador:
Router
Un router es un dispositivo de interconexión de redes informáticas que permite asegurar el
enrutamiento de paquetes entre redes o determinar la ruta que debe tomar el paquete de datos.
Cuando un usuario accede a una URL, el cliente web (navegador) consulta al servidor de nombre de
dominio, el cual le indica la dirección IP del equipo deseado.
La estación de trabajo envía la solicitud al router más cercano, es decir, a la pasarela
predeterminada de la red en la que se encuentra. Este router determinará así el siguiente equipo al
que se le enviarán los datos para poder escoger la mejor ruta posible. Para hacerlo, el router cuenta
con tablas de enrutamiento actualizadas, que son verdaderos mapas de los itinerarios que pueden
seguirse para llegar a la dirección de destino. Existen numerosos protocolos dedicados a esta tarea.
Además de su función de enrutar, los routers también se utilizan para manipular los datos que
circulan en forma de datagramas, para que puedan pasar de un tipo de red a otra. Como no todas las
redes pueden manejar el mismo tamaño de paquetes de datos, los routers deben fragmentar los
paquetes de datos para que puedan viajar libremente.
Diseño físico de los routers
Los primeros routers eran simplemente equipos con diversas tarjetas de red, cada una conectada a
una red diferente. La mayoría de los routers actuales son hardwares dedicados a la tarea de
enrutamiento y que se presentan generalmente como servidores 1U.
Un router cuenta con diversas interfaces de red, cada una conectada a una red diferente. Por lo
tanto, posee tantas direcciones IP como redes conectadas.
Un router inalámbrico comparte el mismo principio que un router tradicional. La diferencia es que
aquél permite la conexión de dispositivos inalámbricos (como estaciones WiFi) a las redes a las que
el router está conectado mediante conexiones por cable (generalmente Ethernet).
Algoritmos de enrutamiento
Existen dos tipos de algoritmos de enrutamiento principales:
• Los routers del tipo vector de distancias generan una tabla de enrutamiento que calcula el
"costo" (en términos de número de saltos) de cada ruta y después envían esta tabla a los
routers cercanos. Para cada solicitud de conexión el router elige la ruta menos costosa.
• Los routers del tipo estado de enlace escuchan continuamente la red para poder identificar
los diferentes elementos que la rodean. Con esta información, cada router calcula la ruta más
corta (en tiempo) a los routers cercanos y envía esta información en forma de paquetes de
actualización. Finalmente, cada router confecciona su tabla de enrutamiento calculando las
rutas más cortas hacia otros routers
Servidores proxy
Un servidor proxy es en principio un equipo que actúa como intermediario entre los equipos de una
red de área local (a veces mediante protocolos, con excepción del protocolo TCP/IP) e Internet.
Generalmente el servidor proxy se utiliza para la Web. Se trata entonces de un proxy HTTP. Sin
embargo, puede haber servidores proxy para cada protocolo de aplicación (FTP, etc.).
El principio operativo básico de un servidor proxy es bastante sencillo: se trata de un servidor que
actúa como "representante" de una aplicación efectuando solicitudes en Internet en su lugar. De esta
manera, cuando un usuario se conecta a Internet con una aplicación del cliente configurada para
utilizar un servidor proxy, la aplicación primero se conectará con el servidor proxy y le dará la
solicitud. El servidor proxy se conecta entonces al servidor al que la aplicación del cliente desea
conectarse y le envía la solicitud. Después, el servidor le envía la respuesta al proxy, el cual a su vez
la envía a la aplicación del cliente.
En los sucesivo, con la utilización de TCP/IP dentro de redes de área local, la función de
retransmisión del servidor proxy está directamente asegurada por pasarelas y routers. Sin embargo,
los servidores proxy siguen utilizándose ya que cuentan con cierto número de funciones que poseen
otras características.
Seguridad de redes
La seguridad de redes es un nivel de seguridad que garantiza que el funcionamiento de todas las
máquinas de una red sea óptimo y que todos los usuarios de estas máquinas posean los derechos que
les han sido concedidos:
Esto puede incluir:
• evitar que personas no autorizadas intervengan en el sistema con fines malignos
• evitar que los usuarios realicen operaciones involuntarias que puedan dañar el sistema
• asegurar los datos mediante la previsión de fallas
• garantizar que no se interrumpan los servicios
Firewall
Cada ordenador que se conecta a internet (y, básicamente, a cualquier red de ordenadores) puede ser
víctima del ataque de un hacker. La metodología que generalmente usan los hackers consiste en
analizar la red (mediante el envío aleatorio de paquetes de datos) en busca de un ordenador
conectado. Una vez que encuentra un ordenador, el hacker busca un punto débil en el sistema de
seguridad para explotarlo y tener acceso a los datos de la máquina.
Por muchas razones, esta amenaza es aún mayor cuando la máquina está permanente conectada a
internet:
• Es probable que la máquina elegida esté conectada pero no controlada.
• Generalmente, la máquina conectada que se elige posee un ancho de banda más elevado.
• La máquina elegida no cambia las direcciones IP o lo hace muy ocasionalmente.
Por lo tanto, es necesario que tanto las redes de las compañías como los usuarios de internet con
conexiones por cable o ADSL se protejan contra intrusiones en la red instalando un dispositivo de
protección.
¿Qué es un Firewall?
Un firewall es un sistema que protege a un ordenador o a una red de ordenadores contra intrusiones
provenientes de redes de terceros (generalmente desde internet). Un sistema de firewall filtra
paquetes de datos que se intercambian a través de internet. Por lo tanto, se trata de una pasarela de
filtrado que comprende al menos las siguientes interfaces de red:
• una interfaz para la red protegida (red interna)
• una interfaz para la red externa.
Filtrado Dinámico
El Filtrado de paquetes Stateless sólo intenta examinar los paquetes IP independientemente, lo cual
corresponde al nivel 3 del modelo OSI (Interconexión de sistemas abiertos). Sin embargo, la
mayoría de las conexiones son admitidas por el protocolo TCP, el cual administra sesiones, para
tener la seguridad de que todos los intercambios se lleven a cabo en forma correcta. Asimismo,
muchos servicios (por ejemplo, FTP) inician una conexión en un puerto estático. Sin embargo,
abren un puerto en forma dinámica (es decir, aleatoria) para establecer una sesión entre la máquina
que actúa como servidor y la máquina cliente.
De esta manera, con un filtrado de paquetes stateless, es imposible prever cuáles puertos deberían
autorizarse y cuáles deberían prohibirse Para solucionar este problema, el sistema de filtrado
dinámico de paquetes se basa en la inspección de las capas 3 y 4 del modelo OSI, lo que permite
controlar la totalidad de las transacciones entre el cliente y el servidor. El término que se usa para
denominar este proceso es "inspección stateful" o "filtrado de paquetes stateful".
Un dispositivo de firewall con "inspección stateful" puede asegurar el control de los intercambios.
Esto significa que toma en cuenta el estado de paquetes previos cuando se definen reglas de filtrado.
De esta manera, desde el momento en que una máquina autorizada inicia una conexión con una
máquina ubicada al otro lado del firewall, todos los paquetes que pasen por esta conexión serán
aceptados implícitamente por el firewall.
Filtrado de aplicaciones
El filtrado de aplicaciones permite filtrar las comunicaciones de cada aplicación. El filtrado de
aplicaciones opera en el nivel 7 (capa de aplicaciones) del modelo OSI, a diferencia del filtrado
simple de paquetes (nivel 4). El filtrado de aplicaciones implica el conocimiento de los protocolos
utilizados por cada aplicación.
Como su nombre lo indica, el filtrado de aplicaciones permite filtrar las comunicaciones de cada
aplicación. El filtrado de aplicaciones implica el conocimiento de las aplicaciones en la red y un
gran entendimiento de la forma en que en ésta se estructuran los datos intercambiados (puertos,
etc.).
Un firewall que ejecuta un filtrado de aplicaciones se denomina generalmente "pasarela de
aplicaciones" o ("proxy"), ya que actúa como relé entre dos redes mediante la intervención y la
realización de una evaluación completa del contenido en los paquetes intercambiados. Por lo tanto,
el proxy actúa como intermediario entre los ordenadores de la red interna y la red externa, y es el
que recibe los ataques. Además, el filtrado de aplicaciones permite la destrucción de los
encabezados que preceden los mensajes de aplicaciones, lo cual proporciona una mayor seguridad.
Este tipo de firewall es muy efectivo y, si se ejecuta correctamente, asegura una buena protección de
la red. Por otra parte, el análisis detallado de los datos de la aplicación requiere una gran capacidad
de procesamiento, lo que a menudo implica la ralentización de las comunicaciones, ya que cada
paquete debe analizarse minuciosamente.
Además, el proxy debe interpretar una gran variedad de protocolos y conocer las vulnerabilidades
relacionadas para ser efectivo.
Finalmente, un sistema como este podría tener vulnerabilidades debido a que interpreta pedidos que
pasan a través de sus brechas. Por lo tanto, el firewall (dinámico o no) debería disociarse del proxy
para reducir los riesgos de comprometer al sistema.
El término firewall personal se utiliza para los casos en que el área protegida se limita al ordenador
en el que el firewall está instalado.
Un firewall personal permite controlar el acceso a la red de aplicaciones instaladas en el ordenador
y prevenir notablemente los ataques de programas como los troyanos, es decir, programas dañinos
que penetran en el sistema para permitir que un hacker controle el ordenador en forma remota. Los
firewalls personales permiten subsanar y prevenir intrusiones de aplicaciones no autorizadas a
conectarse a su ordenador.
Introducción a SSL
SSL (Secure Socket Layers) es un proceso que administra la seguridad de las transacciones que se
realizan a través de Internet. El estándar SSL fue desarrollado por Netscape, junto con Mastercard,
Bank of America, MCI y Silicon Graphics. Se basa en un proceso de cifrado de clave pública que
garantiza la seguridad de los datos que se envían a través de Internet. Su principio consiste en el
establecimiento de un canal de comunicación seguro (cifrado) entre dos equipos (el cliente y el
servidor) después de una fase de autenticación.
El sistema SSL es independiente del protocolo utilizado; esto significa que puede asegurar
transacciones realizadas en la Web a través del protocolo HTTP y también conexiones a través de
los protocolos FTP, POP e IMAP. SSL actúa como una capa adicional que permite garantizar la
seguridad de los datos y que se ubica entre la capa de la aplicación y la capa de transporte ( por
ejemplo, el protocolo TCP).
De esta forma, SSL es transparente para el usuario (es decir, el usuario puede no conocer que está
usando SSL). Por ejemplo, un usuario que utiliza un navegador de Internet para conectarse a una
página Web de comercio electrónico protegido por SSL enviará datos cifrados sin tener que realizar
ninguna operación especial.
Actualmente, casi todos los navegadores soportan el protocolo SSL. Se muestra un candado cerrado
para indicar la conexión a un sitio Web con seguridad SSL.
Un servidor de Web seguro tiene una dirección URL que empieza con https://, en el que la "s"
obviamente significa secured, seguro.
A mediados de 2001, la patente SSL ,que hasta ese momento había pertenecido a Netscape, fue
adquirida por IETF (Internet Engineering Task Force) y adoptó el nombre de TLS (Transport
Layer Security).
Modo de infraestructura
En el modo de infraestructura, cada estación informática (abreviado EST) se conecta a un punto
de acceso a través de un enlace inalámbrico. La configuración formada por el punto de acceso y las
estaciones ubicadas dentro del área de cobertura se llama conjunto de servicio básico o BSS. Estos
forman una célula. Cada BSS se identifica a través de un BSSID (identificador de BSS) que es un
identificador de 6 bytes (48 bits). En el modo infraestructura el BSSID corresponde al punto de
acceso de la dirección MAC.
Es posible vincular varios puntos de acceso juntos (o con más exactitud, varios BSS) con una
conexión llamada sistema de distribución (o SD) para formar un conjunto de servicio extendido o
ESS. El sistema de distribución también puede ser una red conectada, un cable entre dos puntos de
acceso o incluso una red inalámbrica.
Un ESS se identifica a través de un ESSID (identificador del conjunto de servicio extendido), que
es un identificador de 32 caracteres en formato ASCII que actúa como su nombre en la red. El
ESSID, a menudo abreviado SSID, muestra el nombre de la red y de alguna manera representa una
medida de seguridad de primer nivel ya que una estación debe saber el SSID para conectarse a la
red extendida.
Cuando un usuario itinerante va desde un BSS a otro mientras se mueve dentro del ESS, el
adaptador de la red inalámbrica de su equipo puede cambiarse de punto de acceso, según la calidad
de la señal que reciba desde distintos puntos de acceso. Los puntos de acceso se comunican entre sí
a través de un sistema de distribución con el fin de intercambiar información sobre las estaciones y,
si es necesario, para transmitir datos desde estaciones móviles. Esta característica que permite a las
estaciones moverse "de forma transparente" de un punto de acceso al otro se denomina itinerancia.
Si la estación se encuentra dentro del rango de varios puntos de acceso, elegirá a cuál
conectarse.
Modo ad hoc
En el modo ad hoc los equipos cliente inalámbricos se conectan entre sí para formar una red punto
a punto, es decir, una red en la que cada equipo actúa como cliente y como punto de acceso
simultáneamente.
La configuración que forman las estaciones se llama conjunto de servicio básico independiente o
IBSS.
Un IBSS es una red inalámbrica que tiene al menos dos estaciones y no usa ningún punto de acceso.
Por eso, el IBSS crea una red temporal que le permite a la gente que esté en la misma sala
intercambiar datos. Se identifica a través de un SSID de la misma manera en que lo hace un ESS en
el modo infraestructura.
En una red ad hoc, el rango del BSS independiente está determinado por el rango de cada estación.
Esto significa que si dos estaciones de la red están fuera del rango de la otra, no podrán
comunicarse, ni siquiera cuando puedan "ver" otras estaciones. A diferencia del modo
infraestructura, el modo ad hoc no tiene un sistema de distribución que pueda enviar tramas de
datos desde una estación a la otra. Entonces, por definición, un IBSS es una red inalámbrica
restringida.