Beruflich Dokumente
Kultur Dokumente
INFORME ESCRITO
PRESENTADO POR:
JEFFER JAVIER PEREZ
Se tendrá en cuenta los siguientes factores para lograr un mejor avance en cada
una de las dependencias que se tendrán y el usuario logre acceder fácilmente a
nuestros servicios.
“Hoy en día la interconexión entre redes es más común de lo que parece, desde
una simple conexión a internet, ya estamos sumergidos en un sin fin de
conexiones, de las que muchas veces como usuarios ni nos damos cuenta de todo
lo que acontece detrás de un simple cable de red.
Precisamente para mantener un orden detrás de ese cable existe algo que permite
la comunicación entre redes, que permite una mejor distribución de todos los datos
que por allí viajan, permite un mejor manejo del ancho de banda utilizado por cada
usuario en la red, a esa distribución la llamamos Segmentación de Redes.”
Hay dos motivos fundamentales para dividir una red en segmentos. La primera es
aislar el tráfico entre segmentos. La segunda razón es lograr más ancho de banda
por usuario mediante la creación de dominios de colisión más pequeños.
Sin la segmentación, las redes más grandes que un pequeño grupo de trabajo
podría atascarse rápidamente con el tráfico y las colisiones.
“Cabe destacar que el tipo de red común hoy en día es la red basada en IPV4, es
la versión 4 del protocolo IP, debido a su implementación a gran escala, su
crecimiento se desbordo al que inicialmente se esperaba en su diseño, cuyo límite
en el número de direcciones de red admisibles está empezando a restringir el
crecimiento de Internet y su uso, debido a este auge y dado que el requerimiento
de grandes velocidades en internet en mayor dado el contenido que se maneja
actualmente (multimedia, vos sobre ip, video sobre ip, telefonía por ip etc.), es que
hoy en día le está dando paso a una versión mejorada que distribuye y maneja
mejor el número de direcciones para el mejor uso de la Internet, el llamado IPV6,
que no es más el reemplazo mejorado de su antecesor IPV4.
Volviendo a IPV4 que es la usada actualmente en la mayoría de las redes
mundiales, especialmente en redes LAN, esto hace que se requiera un buen
diseño estructural de las redes, que permitan definir grupos, acceso y, por ende
controlar el ancho de banda para cada nodo de la red, esto se hace por medio de
la segmentación, la cual como hemos mencionado hace que esto sea posible.
Autenticación clásica
En un sistema Unix habitual cada usuario posee un nombre de entrada al sistema
o logan y una clave o password; ambos datos se almacenan generalmente en el
fichero /etc./passwd. Este archivo contiene una línea por usuario donde se indica
la
información necesaria para que los usuarios puedan conectar al sistema y donar
por medio del mismo, separando los diferentes campos mediante
Al contrario de lo que mucha gente cree, Unix no es capaz de distinguir a sus
usuarios por su nombre de entrada al sistema. Para el sistema operativo lo que
realmente distingue a una persona de otra (o al menos a un usuario de otro) es el
UID del usuario en cuestión; el login es algo que se utiliza principalmente para
comodidad de las personas (obviamente es más fácil acordarse de un nombre de
entrada como tono que de un UID como 2643, sobre todo si se tienen cuentas en
varias máquinas, cada una con un UID diferente).
Para cifrar las claves de acceso de sus usuarios, el sistema operativo Unix emplea
un criptosistema irreversible que utiliza la función estándar de C crypt, basada en
el algoritmo DES. Para una descripción exhaustiva del funcionamiento de crypt.
Esta función toma como clave los ocho primeros caracteres de la contraseña
elegida por el usuario (si la longitud de ésta es menor, se completa con ceros)
para cifrar un bloque de texto en claro de 64 bits puestos a cero; para evitar que
dos passwords iguales resulten en un mismo texto cifrado, se realiza una
permutación durante el proceso de cifrada elegida de forma automática y aleatoria
para cada usuario, basada en un campo formado por un número de 12 bits (con lo
que conseguimos 4096 permutaciones diferentes) llamado Salt. El cifrado
resultante se vuelve a cifrar utilizando la contraseña del usuario de nuevo como
clave, y permutando con el mismo Salt, repitiéndose el proceso 25 veces. El
bloque cifrado final, de 64 bits, se concatena con dos bits cero, obteniendo 66 bits
que se hacen representables en 11 caracteres de 6 bits cada uno y que, junto con
el Salt, pasan a constituir el campo password del fichero de contraseñas,
usualmente /etc./passwd. Así, los dos primeros caracteres de este campo estarán
constituidos por el salt y los 11 restantes por la contraseña cifrada.
Otro método cada día más utilizado para proteger las contraseñas de los usuarios
el denominado Shadow Password u oscurecimiento de contraseñas. La idea
básica de este mecanismo es impedir que los usuarios sin privilegios puedan leer
el fichero donde se almacenan las claves cifradas.
En casi todas las implementaciones de Shadow Password actuales se suele incluir
la implementación para otro mecanismo de protección de las claves denominado
envejecimiento de contraseñas (Password Aging). La idea básica de este
mecanismo es proteger los passwords de los usuarios dándoles un determinado
periodo de vida: una contraseña sólo va a ser válida durante un cierto tiempo,
pasado el cual expirará y el usuario deberá cambiarla.
Realmente, el envejecimiento previene más que problemas con las claves
problemas con la transmisión de éstas por la red: cuando conectamos mediante
mecanismos como telnet, ftp o rlogin a un sistema Unix, cualquier equipo entre el
nuestro y el servidor puede leer los paquetes que enviamos por la red, incluyendo
aquellos que contienen nuestro nombre de usuario y nuestra contraseña.
usuario.
posteriores al inicio del servicio mismo (pueden ser cosas como montar
un directorio, activar logueos, etc.).
El tercer campo control especifica que hacer si falla el control
aplicado. Existen dos sintaxis para este campo, una sencilla de un
campo y otra que especifica más de un campo dentro de corchetes
rectos [] Para la básica, las opciones son:
3DES
Triple DES (3DES) es una mejora del simple DES que aplica el método de cifrado
DES a los mismos datos tres veces para aumentar el nivel de cifrado. Triple DES
aumenta la longitud de la clave de cifrado de 192 bits, pero es más lento que otros
métodos de cifrado. Sin embargo, 3DES reemplazó a DES como el algoritmo de
cifrado simétrico en el año 1999, de acuerdo con Federal Información Processing
Stand Ards (FIPS).
AES
Advanced Encryption Standard (AES), que en realidad es una implementación de
un algoritmo de cifrado simétrica conocida como Rjindael, es el último estándar
recomendado por el NIST. AES utiliza una clave de cifrado que varía en longitud
de 128 bits a 256 bits y cifra los datos en bloques de 128 bits. El algoritmo AES es
aplicado a los datos 10, 12, o 14 veces, conocido como "rondas", lo que es muy
seguro. De hecho, sólo un ataque de fuerza bruta, en el que la atacante prueba
todas las combinaciones posibles de la clave de cifrado, ha demostrado ser eficaz
contra AES. Sin embargo, AES es rápido, flexible y puede ser implementado en
una variedad de diferentes plataformas.
accesible
desde el explorador, como campos ocultos o cookies. Por ejemplo, no
almacene una contraseña en una cookie. Tener acceso seguro a bases de datos
Normalmente, las bases de datos tienen sus propios sistemas de seguridad. Un
aspecto importante de una aplicación Web protegida es diseñar un modo de que
ésta pueda tener acceso a la base de datos de forma segura. Siga estas
instrucciones:
situaciones que sean propensas a los errores, como el acceso a las bases
de datos. Para obtener más información, vea Control de errores en
aplicaciones y páginas ASP.NET.
el
servidor, plantéese utilizar el protocolo SSL (Secure Sockets Layer). Para
obtener detalles sobre cómo asegurar un sitio con SSL, vea el artículo
Q307267 end ingles, "HOW TO: Secure XML Web Services with Secure
Socket Layer in Windows 2000" end Microsoft Knowledge Base en el sitio
http://support.microsoft.com.