TEMA 46

REDES DE AREA LOCAL

Una red de área local o Local Area Network (LAN) es una red que se utiliza para conectar equipos
de una compañía u organización. Con una LAN, un concepto que se remonta a 1970, los empleados
de una compañía pueden:
• intercambiar información;
• comunicarse;
• acceder a diversos servicios.
Por lo general, una red de área local conecta equipos (o recursos, como impresoras) a través de un
medio de transmisión cableado (frecuentemente pares trenzados o cables coaxiales) dentro de un
perímetro de unos cien metros. Para espacios más grandes, la red se considera como parte de una
red denominada MAN (red de área metropolitana), en la que el medio de transmisión está mejor
preparado para enviar señales a través de grandes distancias.

Componentes de hardware de una red de área local

Una red de área local está compuesta por equipos conectados mediante un conjunto de elementos de
software y hardware. Los elementos de hardware utilizados para la conexión de los equipos son:
• Tarjeta de red : Se trata de una tarjeta que se conecta a la placa madre del equipo y que se
comunica con el medio físico, es decir, con las líneas físicas a través de las cuales viaja la
información.
• El adaptador de red: Se utiliza para transformar las señales que viajan por el soporte físico
en señales lógicas que la tarjeta de red puede manejar, tanto para enviar como para recibir
datos.
• Socket : Es el elemento utilizado para conectar mecánicamente la tarjeta de red con el
soporte físico.
• Soporte físico de interconexión: Es el soporte (generalmente cableado, es decir que es un
cable) utilizado para conectar los equipos entre sí. Los principales medios de soporte físicos
utilizados son el cable coaxial, el par trenzado y la fibra óptica.

Topologías de red de área local

Los dispositivos de hardware solos no son suficientes para crear una red de área local que pueda
utilizarse. También es necesario fijar un método de acceso estándar entre los equipos, para que
sepan cómo los equipos intercambian datos, en especial cuando más de dos equipos comparten el
mismo soporte físico. Este método de acceso se denomina topología lógica. La topología lógica se
lleva a cabo mediante un protocolo de acceso. Los protocolos de acceso más comunes son:
• Ethernet : Es un estándar de transmisión de datos para redes de área local que se basa en el
principio de que todos las PCs dentro de una red envíen y reciban datos de una forma en que
se evite cualquier tipo de superposición, lo que sería desastroso. Es por ello que los datos
que se envían o reciben mediante este estándar deben ser fragmentados en fracciones más
pequeñas y enviados a través de un método conocido como “Conmutación de paquetes”.
• Red en anillo
La manera en la que los equipos se encuentran físicamente interconectados se denomina topología
física. Las topologías físicas básicas son: Topología en anillo Topología de bus Topología de
estrella
Sistemas de interconexión
Una red de área local se utiliza para conectar los equipos de una organización entre sí. Sin embargo,
una sola organización generalmente incluye diversas redes de área local, con lo cual a veces es
necesario conectar estas redes entre sí. En tal caso, se necesita equipo especializado.
Cuando se trata de dos redes del mismo tipo, lo único que se necesita hacer es enviar las tramas de
datos de una red a otra. De lo contrario, es decir, cuando las redes utilizan diferentes protocolos,
será necesario convertir el protocolo antes de enviar las tramas. Por esta razón, el equipo que debe
instalarse varía según la configuración de que se dispone.

Equipo de interconexión
El hardware principal que debe instalarse en redes de área local es:
• repetidores, utilizados para regenerar una señal;
• concentradores (hubs), utilizados para conectar múltiples hosts;
• puentes (bridges), utilizados para conectar redes de área local del mismo tipo;
• conmutadores (switches), utilizados para conectar varios elementos mientras segmentan la
red;
• pasarelas (gateways), utilizadas para conectar redes de área local de diferentes tipos;
• routers, utilizados para conectar varias redes de área local y permitir que los datos viajen de
manera óptima entre las redes;
• puente/router, que combina las características de un router y de un puente.

Repetidores
En una línea de transmisión, la señal sufre distorsiones y se vuelve más débil a medida que la
distancia entre los dos elementos activos se vuelve más grande. Dos nodos en una red de área local,
generalmente, no se encuentran a más de unos cientos de metros de distancia. Es por ello que se
necesita equipo adicional para ubicar esos nodos a una distancia mayor.
Un repetidor es un dispositivo sencillo utilizado para regenerar una señal entre dos nodos de una
red. De esta manera, se extiende el alcance de la red. El repetidor funciona solamente en el nivel
físico (capa 1 del modelo OSI), es decir que sólo actúa sobre la información binaria que viaja en la
línea de transmisión y que no puede interpretar los paquetes de información.
Por otra parte, un repetidor puede utilizarse como una interfaz entre dos medios físicos de tipos
diferentes, es decir que puede, por ejemplo, conectar un segmento de par trenzado a una línea de
fibra óptica.

Concentrador (Hub)
Un concentrador (hub) es un elemento de hardware que permite concentrar el tráfico de red que
proviene de múltiples hosts y regenerar la señal. El concentrador es una entidad que cuenta con
determinada cantidad de puertos (posee tantos puertos como equipos a conectar entre sí,
generalmente 4, 8, 16 ó 32). Su único objetivo es recuperar los datos binarios que ingresan a un
puerto y enviarlos a los demás puertos. Al igual que un repetidor, el concentrador funciona en el
nivel 1 del modelo OSI. Es por ello que a veces se lo denomina repetidor multipuertos.

El concentrador (hub) conecta diversos equipos entre sí, a veces dispuestos en forma de estrella, de
donde deriva el nombre de HUB (que significa cubo de rueda en inglés; la traducción española
exacta es repartidor) para ilustrar el hecho de que se trata del punto por donde se cruza la
comunicación entre los diferentes equipos.
Existen diferentes categorías de concentradores (hubs):
• concentradores "activos": Están conectados a una fuente de alimentación eléctrica y
permiten regenerar la señal que se envía a los diferentes puertos;
• puertos "pasivos": Simplemente envían la señal a todos los hosts conectados, sin
amplificarla.

Conexión de múltiples concentradores

Es posible conectar varios concentradores (hubs) entre sí para centralizar un gran número de
equipos. Esto se denomina conexión en cadena margarita (daisy chains en inglés). Para ello, sólo es
necesario conectar los concentradores mediante un cable cruzado, es decir un cable que conecta los
puertos de entrada/salida de un extremo a aquéllos del otro extremo.
Los concentradores generalmente tienen un puerto especial llamado "enlace ascendente" para
conectar dos concentradores mediante un cable de conexión. Algunos concentradores también
pueden cruzar o descruzar automáticamente sus puertos, en función de que se encuentren
conectados a un host o a un concentrador.

Se pueden conectar en cadena hasta tres concentradores.

Si desea conectar varios equipos a su conexión de Internet, un hub no será suficiente. Necesitará un
router o un conmutador, o dejar el equipo conectado directamente como una pasarela (permanecerá
encendido mientras los demás equipos de la red deseen acceder a Internet).

Puentes (Bridges)
Un puente es un dispositivo de hardware utilizado para conectar dos redes que funcionan con el
mismo protocolo. A diferencia de un repetidor, que funciona en el nivel físico, el puente funciona en
el nivel lógico (en la capa 2 del modelo OSI). Esto significa que puede filtrar tramas para permitir
sólo el paso de aquellas cuyas direcciones de destino se correspondan con un equipo ubicado del
otro lado del puente.
El puente, de esta manera, se utiliza para segmentar una red, ya que retiene las tramas destinadas a
la red de área local y transmite aquellas destinadas para otras redes. Esto reduce el tráfico (y
especialmente las colisiones) en cada una de las redes y aumenta el nivel de privacidad, ya que la
información destinada a una red no puede escucharse en el otro extremo.
Sin embargo, el filtrado que lleva a cabo el puente puede provocar una leve demora al ir de una red
a otra, razón por la cual los puentes deben ubicarse con buen criterio dentro de una red.

La función normal de un puente es enviar paquetes entre dos redes del mismo tipo.
Un puente cuenta con dos conexiones a dos redes distintas. Cuando el puente recibe una trama en
una de sus interfaces, analiza la dirección MAC del emisor (dirección única de la tarjeta de red) y
del destinatario. Si un puente no reconoce al emisor, almacena su dirección en una tabla para
"recordar" en qué lado de la red se encuentra el emisor. De esta manera, el puente puede averiguar
si el emisor y el destinatario se encuentran del mismo lado o en lados opuestos del puente. Si se
encuentran en el mismo lado, el puente ignora el mensaje; si se encuentran en lados opuestos, el
puente envía la trama a la otra red.
Un puente funciona en la capa de enlace de datos del modelo OSI, es decir que funciona con las
direcciones físicas de los equipos. En realidad, el puente está conectado a varias redes de área local,
denominadas segmentos. El puente crea una tabla de correspondencia entre las direcciones de los
equipos y los segmentos a los que pertenecen, y "escucha" los datos que circulan por los segmentos.
Al momento de realizarse la transmisión de datos, el puente controla en la tabla de correspondencia
el segmento al que pertenecen los equipos remitentes y destinatarios (utiliza su dirección física,
denominada dirección MAC, y no su dirección IP). Si pertenecen al mismo segmento, el puente no
hace nada; de lo contrario, conmuta los datos al segmento del equipo destinatario
Un puente se utiliza para segmentar una red, es decir, (en el caso presentado anteriormente) para
que la comunicación entre los tres equipos de la parte superior no bloquee las líneas de la red que
pasa a través de los tres equipos de la parte inferior. La información sólo se transmite cuando un
equipo de un lado del puente envía datos a un equipo del lado opuesto.
Además, estos puentes pueden conectarse a un módem para que también puedan funcionar con una
red de área local remota.

Conmutadores
Un conmutador (switch) es un puente con múltiples puertos, es decir que es un elemento activo
que trabaja en el nivel 2 del modelo OSI.
El conmutador analiza las tramas que ingresan por sus puertos de entrada y filtra los datos para
concentrarse solamente en los puertos correctos (esto se denomina conmutación o redes
conmutadas). Por consiguiente, el conmutador puede funcionar como puerto cuando filtra los datos
y como concentrador (hub) cuando administra las conexiones. A continuación, encontrará el
diagrama de un conmutador:

El conmutador utiliza un mecanismo de filtrado y de conmutación que redirige el flujo de datos a

los equipos más apropiados, en función de determinados elementos que se encuentran en los
paquetes de datos.
Un conmutador de nivel 4, que funciona en la capa de transporte del modelo OSI, inspecciona las
direcciones de origen y de destino de los mensajes y crea una tabla que le permite saber qué equipo
está conectado a qué puerto del conmutador (en general, el proceso se realiza por autoaprendizaje,
es decir automáticamente, aunque el administrador del conmutador puede realizar ajustes
complementarios
Una vez que conoce el puerto de destino, el conmutador sólo envía el mensaje al puerto correcto y
los demás puertos quedan libres para otras transmisiones que pueden llevarse a cabo de manera
simultánea. Por consiguiente, cada intercambio de datos puede ejecutarse a la velocidad de
transferencia nominal (más uso compartido de ancho de banda) sin colisiones. El resultado final
será un aumento significativo en el ancho de banda de la red (a una velocidad nominal equivalente).
Los conmutadores más avanzados, denominados conmutadores de nivel 7 (que corresponden a la
capa de aplicación del modelo OSI), pueden redirigir los datos en base a los datos de aplicación
avanzada contenidos en los paquetes de datos, como las cookies para el protocolo HTTP, el tipo de
archivo que se envía para el protocolo FTP, etc. Por esta razón, un conmutador de nivel 7 puede, por
ejemplo, permitir un equilibrio de carga al enrutar el flujo de datos que entra en la empresa hacia a
los servidores más adecuados: los que poseen menos carga o que responden más rápido.

Pasarelas de aplicaciones (gateway)

Una pasarela de aplicación (gateway) es un sistema de hardware/software para conectar dos redes
entre sí y para que funcionen como una interfaz entre diferentes protocolos de red.
Cuando un usuario remoto contacta la pasarela, ésta examina su solicitud. Si dicha solicitud
coincide con las reglas que el administrador de red ha configurado, la pasarela crea una conexión
entre las dos redes. Por lo tanto, la información no se transmite directamente, sino que se traduce
para garantizar una continuidad entre los dos protocolos.
El sistema ofrece (además de una interfaz entre dos tipos de redes diferentes), seguridad adicional,
dado que toda la información se inspecciona minuciosamente (lo cual puede generar demora) y en
ocasiones se guarda en un registro de eventos.
La principal desventaja de este sistema es que debe haber una aplicación de este tipo disponible
para cada servicio (FTP, HTTP, Telnet, etc.).

Router
Un router es un dispositivo de interconexión de redes informáticas que permite asegurar el
enrutamiento de paquetes entre redes o determinar la ruta que debe tomar el paquete de datos.
Cuando un usuario accede a una URL, el cliente web (navegador) consulta al servidor de nombre de
dominio, el cual le indica la dirección IP del equipo deseado.
La estación de trabajo envía la solicitud al router más cercano, es decir, a la pasarela
predeterminada de la red en la que se encuentra. Este router determinará así el siguiente equipo al
que se le enviarán los datos para poder escoger la mejor ruta posible. Para hacerlo, el router cuenta
con tablas de enrutamiento actualizadas, que son verdaderos mapas de los itinerarios que pueden
seguirse para llegar a la dirección de destino. Existen numerosos protocolos dedicados a esta tarea.
Además de su función de enrutar, los routers también se utilizan para manipular los datos que
circulan en forma de datagramas, para que puedan pasar de un tipo de red a otra. Como no todas las
redes pueden manejar el mismo tamaño de paquetes de datos, los routers deben fragmentar los
paquetes de datos para que puedan viajar libremente.
Diseño físico de los routers
Los primeros routers eran simplemente equipos con diversas tarjetas de red, cada una conectada a
una red diferente. La mayoría de los routers actuales son hardwares dedicados a la tarea de
enrutamiento y que se presentan generalmente como servidores 1U.
Un router cuenta con diversas interfaces de red, cada una conectada a una red diferente. Por lo
tanto, posee tantas direcciones IP como redes conectadas.
Un router inalámbrico comparte el mismo principio que un router tradicional. La diferencia es que
aquél permite la conexión de dispositivos inalámbricos (como estaciones WiFi) a las redes a las que
el router está conectado mediante conexiones por cable (generalmente Ethernet).

Algoritmos de enrutamiento
Existen dos tipos de algoritmos de enrutamiento principales:
• Los routers del tipo vector de distancias generan una tabla de enrutamiento que calcula el
"costo" (en términos de número de saltos) de cada ruta y después envían esta tabla a los
routers cercanos. Para cada solicitud de conexión el router elige la ruta menos costosa.
• Los routers del tipo estado de enlace escuchan continuamente la red para poder identificar
los diferentes elementos que la rodean. Con esta información, cada router calcula la ruta más
corta (en tiempo) a los routers cercanos y envía esta información en forma de paquetes de
actualización. Finalmente, cada router confecciona su tabla de enrutamiento calculando las
rutas más cortas hacia otros routers

Servidores proxy
Un servidor proxy es en principio un equipo que actúa como intermediario entre los equipos de una
red de área local (a veces mediante protocolos, con excepción del protocolo TCP/IP) e Internet.
Generalmente el servidor proxy se utiliza para la Web. Se trata entonces de un proxy HTTP. Sin
embargo, puede haber servidores proxy para cada protocolo de aplicación (FTP, etc.).
El principio operativo básico de un servidor proxy es bastante sencillo: se trata de un servidor que
actúa como "representante" de una aplicación efectuando solicitudes en Internet en su lugar. De esta
manera, cuando un usuario se conecta a Internet con una aplicación del cliente configurada para
utilizar un servidor proxy, la aplicación primero se conectará con el servidor proxy y le dará la
solicitud. El servidor proxy se conecta entonces al servidor al que la aplicación del cliente desea
conectarse y le envía la solicitud. Después, el servidor le envía la respuesta al proxy, el cual a su vez
la envía a la aplicación del cliente.
En los sucesivo, con la utilización de TCP/IP dentro de redes de área local, la función de
retransmisión del servidor proxy está directamente asegurada por pasarelas y routers. Sin embargo,
los servidores proxy siguen utilizándose ya que cuentan con cierto número de funciones que poseen
otras características.

Seguridad de redes
La seguridad de redes es un nivel de seguridad que garantiza que el funcionamiento de todas las
máquinas de una red sea óptimo y que todos los usuarios de estas máquinas posean los derechos que
les han sido concedidos:
Esto puede incluir:
• evitar que personas no autorizadas intervengan en el sistema con fines malignos
• evitar que los usuarios realicen operaciones involuntarias que puedan dañar el sistema
• asegurar los datos mediante la previsión de fallas
• garantizar que no se interrumpan los servicios

¿Cómo es posible protegerse?

• manténganse informado
• conozca su sistema operativo
• limite el acceso a la red (firewall)
• limite el número de puntos de entrada (puertos)
• defina una política de seguridad interna (contraseñas, activación de archivos ejecutables)
• haga uso de utilidades de seguridad (registro)
La amenaza representa el tipo de acción que tiende a ser dañina, mientras que la vulnerabilidad
(conocida a veces como falencias (flaws) o brechas (breaches)) representa el grado de exposición a
las amenazas en un contexto particular. Finalmente, la contramedida representa todas las acciones
que se implementan para prevenir la amenaza.
Las contramedidas que deben implementarse no sólo son soluciones técnicas, sino también reflejan
la capacitación y la toma de conciencia por parte del usuario, además de reglas claramente
definidas.

Objetivos de la seguridad informática

Generalmente, los sistemas de información incluyen todos los datos de una compañía y también en
el material y los recursos de software que permiten a una compañía almacenar y hacer circular estos
datos. Los sistemas de información son fundamentales para las compañías y deben ser protegidos.
Generalmente, la seguridad informática consiste en garantizar que el material y los recursos de
software de una organización se usen únicamente para los propósitos para los que fueron creados y
dentro del marco previsto.
La seguridad informática se resume, por lo general, en cinco objetivos principales:
• Integridad: garantizar que los datos sean los que se supone que son
• Confidencialidad: asegurar que sólo los individuos autorizados tengan acceso a los recursos
que se intercambian
• Disponibilidad: garantizar el correcto funcionamiento de los sistemas de información
 • Evitar el rechazo: garantizar de que no pueda negar una operación realizada.
• Autenticación: asegurar que sólo los individuos autorizados tengan acceso a los recursos

Cómo implementar una política de seguridad

Generalmente, la seguridad de los sistemas informáticos se concentra en garantizar el derecho a
acceder a datos y recursos del sistema configurando los mecanismos de autentificación y control
que aseguran que los usuarios de estos recursos sólo posean los derechos que se les han otorgado.
Los mecanismos de seguridad pueden sin embargo, causar inconvenientes a los usuarios. Con
frecuencia, las instrucciones y las reglas se vuelven cada vez más complicadas a medida que la red
crece. Por consiguiente, la seguridad informática debe estudiarse de modo que no evite que los
usuarios desarrollen usos necesarios y así puedan utilizar los sistemas de información en forma
segura.
Por esta razón, uno de los primeros pasos que debe dar una compañía es definir una política de
seguridad que pueda implementar en función a las siguientes cuatro etapas:
• Identificar las necesidades de seguridad y los riesgos informáticos que enfrenta la compañía
así como sus posibles consecuencias
• Proporcionar una perspectiva general de las reglas y los procedimientos que deben
implementarse para afrontar los riesgos identificados en los diferentes departamentos de la
organización
• Controlar y detectar las vulnerabilidades del sistema de información, y mantenerse
informado acerca de las falencias en las aplicaciones y en los materiales que se usan
• Definir las acciones a realizar y las personas a contactar en caso de detectar una amenaza
La seguridad informática de una compañía depende de que los empleados (usuarios) aprendan las
reglas a través de sesiones de capacitación y de concientización. Sin embargo, la seguridad debe ir
más allá del conocimiento de los empleados y cubrir las siguientes áreas:
• Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la compañía y
al uso de los empleados
• Un procedimiento para administrar las actualizaciones
• Una estrategia de realización de copias de seguridad (backup) planificada adecuadamente
• Un plan de recuperación luego de un incidente
• Un sistema documentado actualizado
Generalmente, la inseguridad se puede dividir en dos categorías:
• Un estado de inseguridad activo; es decir, la falta de conocimiento del usuario acerca de
las funciones del sistema, algunas de las cuales pueden ser dañinas para el sistema (por
ejemplo, no desactivar los servicios de red que el usuario no necesita)
• Un estado de inseguridad pasivo; es decir, la falta de conocimiento de las medidas de
seguridad disponibles (por ejemplo, cuando el administrador o usuario de un sistema no
conocen los dispositivos de seguridad con los que cuentan)

Firewall
Cada ordenador que se conecta a internet (y, básicamente, a cualquier red de ordenadores) puede ser
víctima del ataque de un hacker. La metodología que generalmente usan los hackers consiste en
analizar la red (mediante el envío aleatorio de paquetes de datos) en busca de un ordenador
conectado. Una vez que encuentra un ordenador, el hacker busca un punto débil en el sistema de
seguridad para explotarlo y tener acceso a los datos de la máquina.
Por muchas razones, esta amenaza es aún mayor cuando la máquina está permanente conectada a
internet:
• Es probable que la máquina elegida esté conectada pero no controlada.
• Generalmente, la máquina conectada que se elige posee un ancho de banda más elevado.
• La máquina elegida no cambia las direcciones IP o lo hace muy ocasionalmente.
Por lo tanto, es necesario que tanto las redes de las compañías como los usuarios de internet con
conexiones por cable o ADSL se protejan contra intrusiones en la red instalando un dispositivo de
protección.

¿Qué es un Firewall?
Un firewall es un sistema que protege a un ordenador o a una red de ordenadores contra intrusiones
provenientes de redes de terceros (generalmente desde internet). Un sistema de firewall filtra
paquetes de datos que se intercambian a través de internet. Por lo tanto, se trata de una pasarela de
filtrado que comprende al menos las siguientes interfaces de red:
• una interfaz para la red protegida (red interna)
• una interfaz para la red externa.

El sistema firewall es un sistema de software, a menudo sustentado por un hardware de red

dedicada, que actúa como intermediario entre la red local (u ordenador local) y una o más redes
externas. Un sistema de firewall puede instalarse en ordenadores que utilicen cualquier sistema
siempre y cuando:
• La máquina tenga capacidad suficiente como para procesar el tráfico
• El sistema sea seguro
• No se ejecute ningún otro servicio más que el servicio de filtrado de paquetes en el servidor
En caso de que el sistema de firewall venga en una caja negra (llave en mano), se aplica el término
"aparato".
Un sistema firewall contiene un conjunto de reglas predeterminadas que le permiten al sistema:
• Autorizar la conexión (permitir)
• Bloquear la conexión (denegar)
• Rechazar el pedido de conexión sin informar al que lo envió (negar)
Todas estas reglas implementan un método de filtrado que depende de la política de seguridad
adoptada por la organización. Las políticas de seguridad se dividen generalmente en dos tipos que
permiten:
• la autorización de sólo aquellas comunicaciones que se autorizaron explícitamente
• el rechazo de intercambios que fueron prohibidos explícitamente
El primer método es sin duda el más seguro. Sin embargo, impone una definición precisa y
restrictiva de las necesidades de comunicación.
Filtrado de paquetes Stateless
Un sistema de firewall opera según el principio del filtrado simple de paquetes, o filtrado de
paquetes stateless. Analiza el encabezado de cada paquete de datos (datagrama) que se ha
intercambiado entre un ordenador de red interna y un ordenador externo.
Así, los paquetes de datos que se han intercambiado entre un ordenador con red externa y uno con
red interna pasan por el firewall y contienen los siguientes encabezados, los cuales son analizados
sistemáticamente por el firewall:
• La dirección IP del ordenador que envía los paquetes
• La dirección IP del ordenador que recibe los paquetes
• El tipo de paquete (TCP, UDP, etc.)
• El número de puerto (recordatorio: un puerto es un número asociado a un servicio o a una
aplicación de red).
Las direcciones IP que los paquetes contienen permiten identificar el ordenador que envía los
paquetes y el ordenador de destino, mientras que el tipo de paquete y el número de puerto indican el
tipo de servicio que se utiliza.
Los puertos reconocidos (cuyos números van del 0 al 1023) están asociados con servicios ordinarios
(por ejemplo, los puertos 25 y 110 están asociados con el correo electrónico y el puerto 80 con la
Web). La mayoría de los dispositivos de firewall se configuran al menos para filtrar comunicaciones
de acuerdo con el puerto que se usa. Normalmente, se recomienda bloquear todos los puertos que no
son fundamentales (según la política de seguridad vigente).

Filtrado Dinámico
El Filtrado de paquetes Stateless sólo intenta examinar los paquetes IP independientemente, lo cual
corresponde al nivel 3 del modelo OSI (Interconexión de sistemas abiertos). Sin embargo, la
mayoría de las conexiones son admitidas por el protocolo TCP, el cual administra sesiones, para
tener la seguridad de que todos los intercambios se lleven a cabo en forma correcta. Asimismo,
muchos servicios (por ejemplo, FTP) inician una conexión en un puerto estático. Sin embargo,
abren un puerto en forma dinámica (es decir, aleatoria) para establecer una sesión entre la máquina
que actúa como servidor y la máquina cliente.
De esta manera, con un filtrado de paquetes stateless, es imposible prever cuáles puertos deberían
autorizarse y cuáles deberían prohibirse Para solucionar este problema, el sistema de filtrado
dinámico de paquetes se basa en la inspección de las capas 3 y 4 del modelo OSI, lo que permite
controlar la totalidad de las transacciones entre el cliente y el servidor. El término que se usa para
denominar este proceso es "inspección stateful" o "filtrado de paquetes stateful".
Un dispositivo de firewall con "inspección stateful" puede asegurar el control de los intercambios.
Esto significa que toma en cuenta el estado de paquetes previos cuando se definen reglas de filtrado.
De esta manera, desde el momento en que una máquina autorizada inicia una conexión con una
máquina ubicada al otro lado del firewall, todos los paquetes que pasen por esta conexión serán
aceptados implícitamente por el firewall.

Filtrado de aplicaciones
El filtrado de aplicaciones permite filtrar las comunicaciones de cada aplicación. El filtrado de
aplicaciones opera en el nivel 7 (capa de aplicaciones) del modelo OSI, a diferencia del filtrado
simple de paquetes (nivel 4). El filtrado de aplicaciones implica el conocimiento de los protocolos
utilizados por cada aplicación.
Como su nombre lo indica, el filtrado de aplicaciones permite filtrar las comunicaciones de cada
aplicación. El filtrado de aplicaciones implica el conocimiento de las aplicaciones en la red y un
gran entendimiento de la forma en que en ésta se estructuran los datos intercambiados (puertos,
etc.).
Un firewall que ejecuta un filtrado de aplicaciones se denomina generalmente "pasarela de
aplicaciones" o ("proxy"), ya que actúa como relé entre dos redes mediante la intervención y la
realización de una evaluación completa del contenido en los paquetes intercambiados. Por lo tanto,
el proxy actúa como intermediario entre los ordenadores de la red interna y la red externa, y es el
que recibe los ataques. Además, el filtrado de aplicaciones permite la destrucción de los
encabezados que preceden los mensajes de aplicaciones, lo cual proporciona una mayor seguridad.
Este tipo de firewall es muy efectivo y, si se ejecuta correctamente, asegura una buena protección de
la red. Por otra parte, el análisis detallado de los datos de la aplicación requiere una gran capacidad
de procesamiento, lo que a menudo implica la ralentización de las comunicaciones, ya que cada
paquete debe analizarse minuciosamente.
Además, el proxy debe interpretar una gran variedad de protocolos y conocer las vulnerabilidades
relacionadas para ser efectivo.
Finalmente, un sistema como este podría tener vulnerabilidades debido a que interpreta pedidos que
pasan a través de sus brechas. Por lo tanto, el firewall (dinámico o no) debería disociarse del proxy
para reducir los riesgos de comprometer al sistema.
El término firewall personal se utiliza para los casos en que el área protegida se limita al ordenador
en el que el firewall está instalado.
Un firewall personal permite controlar el acceso a la red de aplicaciones instaladas en el ordenador
y prevenir notablemente los ataques de programas como los troyanos, es decir, programas dañinos
que penetran en el sistema para permitir que un hacker controle el ordenador en forma remota. Los
firewalls personales permiten subsanar y prevenir intrusiones de aplicaciones no autorizadas a
conectarse a su ordenador.

Introducción a SSL
SSL (Secure Socket Layers) es un proceso que administra la seguridad de las transacciones que se
realizan a través de Internet. El estándar SSL fue desarrollado por Netscape, junto con Mastercard,
Bank of America, MCI y Silicon Graphics. Se basa en un proceso de cifrado de clave pública que
garantiza la seguridad de los datos que se envían a través de Internet. Su principio consiste en el
establecimiento de un canal de comunicación seguro (cifrado) entre dos equipos (el cliente y el
servidor) después de una fase de autenticación.
El sistema SSL es independiente del protocolo utilizado; esto significa que puede asegurar
transacciones realizadas en la Web a través del protocolo HTTP y también conexiones a través de
los protocolos FTP, POP e IMAP. SSL actúa como una capa adicional que permite garantizar la
seguridad de los datos y que se ubica entre la capa de la aplicación y la capa de transporte ( por
ejemplo, el protocolo TCP).
De esta forma, SSL es transparente para el usuario (es decir, el usuario puede no conocer que está
usando SSL). Por ejemplo, un usuario que utiliza un navegador de Internet para conectarse a una
página Web de comercio electrónico protegido por SSL enviará datos cifrados sin tener que realizar
ninguna operación especial.
Actualmente, casi todos los navegadores soportan el protocolo SSL. Se muestra un candado cerrado
para indicar la conexión a un sitio Web con seguridad SSL.
Un servidor de Web seguro tiene una dirección URL que empieza con https://, en el que la "s"
obviamente significa secured, seguro.
A mediados de 2001, la patente SSL ,que hasta ese momento había pertenecido a Netscape, fue
adquirida por IETF (Internet Engineering Task Force) y adoptó el nombre de TLS (Transport
Layer Security).

Cómo funciona SSL 2.0

La seguridad de las transacciones a través de SSL 2.0 se basa en el intercambio de claves entre un
cliente y un servidor. Una transacción segura SSL se realiza de acuerdo al siguiente modelo:
• Primero, el cliente se conecta al servidor comercial protegido por SSL y pide la
autenticación. El cliente también envía la lista de los criptosistemas que soporta, clasificada
en orden descendente por la longitud de la clave.
• El servidor que recibe la solicitud envía un certificado al cliente que contiene la clave
pública del servidor firmado por una entidad de certificación (CA), y también el nombre del
criptosistema que está más alto en la lista de compatibilidades (la longitud de la clave de
cifrado - 40 o 128 bits - será la del criptosistema compartido que tiene el tamaño de clave de
mayor longitud).
• El cliente verifica la validez del certificado (y por consiguiente, la autenticidad del
vendedor), luego crea una clave secreta al azar (más precisamente un supuesto bloque
aleatorio), cifra esta clave con la clave pública del servidor y envía el resultado del servidor
(clave de sesión).
• El servidor es capaz de descifrar la clave de sesión con su clave privada. De esta manera,
hay dos entidades que comparten una clave que sólo ellos conocen. Las transacciones
restantes pueden realizarse utilizando la clave de sesión, garantizando la integridad y la
confidencialidad de los datos que se intercambian.

Introducción a Wi-Fi (802.11)

La especificación IEEE 802.11 (ISO/IEC 8802-11) es un estándar internacional que define las
características de una red de área local inalámbrica (WLAN). Wi-Fi (que significa "Fidelidad
inalámbrica", a veces incorrectamente abreviado WiFi) es el nombre de la certificación otorgada por
la Wi-Fi Alliance, anteriormente WECA (Wireless Ethernet Compatibility Alliance), grupo que
garantiza la compatibilidad entre dispositivos que utilizan el estándar 802.11. Por el uso indebido de
los términos (y por razones de marketing) el nombre del estándar se confunde con el nombre de la
certificación. Una red Wi-Fi es en realidad una red que cumple con el estándar 802.11.
Con Wi-Fi se pueden crear redes de área local inalámbricas de alta velocidad siempre y cuando el
equipo que se vaya a conectar no esté muy alejado del punto de acceso. En la práctica, Wi-Fi admite
ordenadores portátiles, equipos de escritorio, asistentes digitales personales (PDA) o cualquier otro
tipo de dispositivo de alta velocidad con propiedades de conexión también de alta velocidad (11
Mbps o superior) dentro de un radio de varias docenas de metros en ambientes cerrados (de 20 a 50
metros en general) o dentro de un radio de cientos de metros al aire libre.
Los proveedores de Wi-Fi están comenzando a cubrir áreas con una gran concentración de usuarios
(como estaciones de trenes, aeropuertos y hoteles) con redes inalámbricas. Estas áreas se
denominan "zonas locales de cobertura".
El estándar 802.11 establece los niveles inferiores del modelo OSI para las conexiones inalámbricas
que utilizan ondas electromagnéticas, por ejemplo:
• La capa física (a veces abreviada capa "PHY") ofrece tres tipos de codificación de
información.
• La capa de enlace de datos compuesta por dos subcapas: control de enlace lógico (LLC) y
control de acceso al medio (MAC).
La capa física define la modulación de las ondas de radio y las características de señalización para
la transmisión de datos mientras que la capa de enlace de datos define la interfaz entre el bus del
equipo y la capa física, en particular un método de acceso parecido al utilizado en el estándar
Ethernet, y las reglas para la comunicación entre las estaciones de la red.
Cualquier protocolo de nivel superior puede utilizarse en una red inalámbrica Wi-Fi de la misma
manera que puede utilizarse en una red Ethernet.

Los distintos estándares Wi-Fi

El estándar 802.11 en realidad es el primer estándar y permite un ancho de banda de 1 a 2 Mbps. El
estándar original se ha modificado para optimizar el ancho de banda (incluidos los estándares
802.11a, 802.11b y 802.11g, denominados estándares físicos 802.11) o para especificar
componentes de mejor manera con el fin de garantizar mayor seguridad o compatibilidad.
Existen varias clases de hardware que se pueden utilizar para implementar una red inalámbrica
WiFi:
• Los adaptadores inalámbricos o controladores de la interfaz de red (en inglés wireless
adaptaters o network interface controller, abreviado NIC) son tarjetas de red que cumplen
con el estándar 802.11 que les permiten a un equipo conectarse a una red inalámbrica. Los
adaptadores inalámbricos están disponibles en diversos formatos, como tarjetas PCI, tarjetas
PCMCIA, adaptadores USB y tarjetas Compact Flash. Una estación es cualquier dispositivo
que tenga este tipo de tarjeta.
• Los puntos de acceso (abreviado PA y a veces denominados zonas locales de cobertura)
pueden permitirles a las estaciones equipadas con WiFi cercanas acceder a una red
conectada a la que el punto de acceso se conecta directamente.
El estándar 802.11 define dos modos operativos:
• El modo de infraestructura en el que los clientes de tecnología inalámbrica se conectan a un
punto de acceso. Éste es por lo general el modo predeterminado para las tarjetas 802.11b.
• El modo ad-hoc en el que los clientes se conectan entre sí sin ningún punto de acceso.

Modo de infraestructura
En el modo de infraestructura, cada estación informática (abreviado EST) se conecta a un punto
de acceso a través de un enlace inalámbrico. La configuración formada por el punto de acceso y las
estaciones ubicadas dentro del área de cobertura se llama conjunto de servicio básico o BSS. Estos
forman una célula. Cada BSS se identifica a través de un BSSID (identificador de BSS) que es un
identificador de 6 bytes (48 bits). En el modo infraestructura el BSSID corresponde al punto de
acceso de la dirección MAC.
Es posible vincular varios puntos de acceso juntos (o con más exactitud, varios BSS) con una
conexión llamada sistema de distribución (o SD) para formar un conjunto de servicio extendido o
ESS. El sistema de distribución también puede ser una red conectada, un cable entre dos puntos de
acceso o incluso una red inalámbrica.

Un ESS se identifica a través de un ESSID (identificador del conjunto de servicio extendido), que
es un identificador de 32 caracteres en formato ASCII que actúa como su nombre en la red. El
ESSID, a menudo abreviado SSID, muestra el nombre de la red y de alguna manera representa una
medida de seguridad de primer nivel ya que una estación debe saber el SSID para conectarse a la
red extendida.
Cuando un usuario itinerante va desde un BSS a otro mientras se mueve dentro del ESS, el
adaptador de la red inalámbrica de su equipo puede cambiarse de punto de acceso, según la calidad
de la señal que reciba desde distintos puntos de acceso. Los puntos de acceso se comunican entre sí
a través de un sistema de distribución con el fin de intercambiar información sobre las estaciones y,
si es necesario, para transmitir datos desde estaciones móviles. Esta característica que permite a las
estaciones moverse "de forma transparente" de un punto de acceso al otro se denomina itinerancia.

Comunicación con un punto de acceso

Cuando una estación se une a una célula, envía una solicitud de sondeo a cada canal. Esta solicitud
contiene el ESSID que la célula está configurada para usar y también el volumen de tráfico que su
adaptador inalámbrico puede admitir. Si no se establece ningún ESSID, la estación escucha a la red
para encontrar un SSID.
Cada punto de acceso transmite una señal en intervalos regulares (diez veces por segundo
aproximadamente). Esta señal, que se llama señalización, provee información de su BSSID, sus
características y su ESSID, si corresponde. El ESSID se transmite automáticamente en forma
predeterminada, pero se recomienda que si es posible se deshabilite esta opción.
Cuando se recibe una solicitud de sondeo, el punto de acceso verifica el ESSID y la solicitud del
volumen de tráfico encontrado en la señalización. Si el ESSID dado concuerda con el del punto de
acceso, éste envía una respuesta con datos de sincronización e información sobre su carga de
tráfico. Así, la estación que recibe la respuesta puede verificar la calidad de la señal que envía el
punto de acceso para determinar cuán lejos está. En términos generales, mientras más cerca un
punto de acceso esté, más grande será su capacidad de transferencia de datos.
Por lo tanto, una estación dentro del rango de muchos puntos de acceso (que tengan el mismo SSID)
puede elegir el punto que ofrezca la mejor proporción entre capacidad de carga de tráfico y carga de
tráfico actual.

Si la estación se encuentra dentro del rango de varios puntos de acceso, elegirá a cuál
conectarse.

Modo ad hoc
En el modo ad hoc los equipos cliente inalámbricos se conectan entre sí para formar una red punto
a punto, es decir, una red en la que cada equipo actúa como cliente y como punto de acceso
simultáneamente.
La configuración que forman las estaciones se llama conjunto de servicio básico independiente o
IBSS.
Un IBSS es una red inalámbrica que tiene al menos dos estaciones y no usa ningún punto de acceso.
Por eso, el IBSS crea una red temporal que le permite a la gente que esté en la misma sala
intercambiar datos. Se identifica a través de un SSID de la misma manera en que lo hace un ESS en
el modo infraestructura.
En una red ad hoc, el rango del BSS independiente está determinado por el rango de cada estación.
Esto significa que si dos estaciones de la red están fuera del rango de la otra, no podrán
comunicarse, ni siquiera cuando puedan "ver" otras estaciones. A diferencia del modo
infraestructura, el modo ad hoc no tiene un sistema de distribución que pueda enviar tramas de
datos desde una estación a la otra. Entonces, por definición, un IBSS es una red inalámbrica
restringida.