SWITCHES Y RUTEADORES

Tecnologa de SWITCH
Tecnologa de RUTEADOR
Donde usar Switch?
Donde usar un ruteador?
Segmentando con Switches Ruteadores
o Segmentando !A"s con Switch
o Segmentando Su#redes con Ruteadores
o Seleccionando un Switch o un Ruteador $ara Segmentar
Dise%ando Redes con Switches Ruteadores
Dise%ando Redes $ara &ru$os de Tra#a'o
o (e)ue%os &ru$os de Tra#a'o
Opcin #1: Solucin con Ruteador
Opcin #2: Solucin con Switch
o &ru$os de Tra#a'o De$artamentales
Respecto al trfico de Broadcast
o Ruteo como (oltica Segura
Segmentacin Fsica
Segmentacin gica
Dise%ando $ara Am#ientes de *ac+#one
o *a'a Densidad, Alta -elocidad en el Enlace Dentro de la Central de Datos
o Alta Densidad, Enlace de Alta -elocidad a la Central de Datos
o AT. $ara el Cam$us o el *ac+#one del Edi/icio
o *ac+#one Redundantes, &aranti0an Dis$oni#ilidad de la Red
Dise%ando $ara Acceso a WA"
El 1uturo de los Switches
o So$orte .ultimedia
1uturo del Ruteo
o Inter/aces !A" WA"
Sumario
Tecnologa de SWITCH
Un switch es un dis$ositi2o de proposito especial dise%ado $ara resol2er $ro#lemas de
rendimiento en la red, de#ido a anchos de #anda $e)ue%os em#otellamientos3 El switch
$uede agregar maor ancho de #anda, acelerar la salida de $a)uetes, reducir tiem$o de
es$era #a'ar el costo $or $uerto3 O$era en la ca$a 4 del modelo OSI reen2ia los
$a)uetes en #ase a la direcci5n .AC3
El switch segmenta econ5micamente la red dentro de $e)ue%os dominios de colisiones,
o#teniendo un alto $orcenta'e de ancho de #anda $ara cada estaci5n /inal3 "o estan
dise%ados con el $ro$osito $rinci$al de un control ntimo so#re la red o como la /uente
6ltima de seguridad, redundancia o mane'o3
Al segmentar la red en $e)ue%os dominios de colisi5n, reduce o casi elimina )ue cada
estaci5n com$ita $or el medio, dando a cada una de ellas un ancho de #anda
com$arati2amente maor3
Tecnologa de RUTEADOR
Un ruteador es un dis$ositi2o de proposito general dise%ado $ara segmentar la red, con la
idea de limitar tr7/ico de #rodcast $ro$orcionar seguridad, control redundancia entre
dominios indi2iduales de #rodcast, tam#i8n $uede dar ser2icio de /irewall un acceso
econ5mico a una WA"3
El ruteador o$era en la ca$a 9 del modelo OSI tiene m7s /acilidades de so/tware )ue un
switch3 Al /uncionar en una ca$a maor )ue la del switch, el ruteador distinge entre los
di/erentes $rotocolos de red, tales como I(, I(:, A$$leTal+ o DECnet3 Esto le $ermite
hacer una decisi5n m7s inteligente )ue al switch, al momento de reen2iar los $a)uetes3
El ruteador reali0a dos /unciones #asicas;
<3 El ruteador es res$onsa#le de crear mantener ta#las de ruteo $ara cada ca$a de
$rotocolo de red, estas ta#las son creadas a sea est7ticamente o din7micamente3
De esta manera el ruteador e=trae de la ca$a de red la direcci5n destino reali0a
una decisi5n de en2io #asado so#re el contenido de la es$eci/icaci5n del $rotocolo
en la ta#la de ruteo3
43 !a inteligencia de un ruteador $ermite seleccionar la me'or ruta, #asandose so#re
di2ersos /actores, m7s )ue $or la direccion .AC destino3 Estos /actores $ueden
incluir la cuenta de saltos, 2elocidad de la linea, costo de transmisi5n, retra0o
condiciones de tr7/ico3 !a des2enta'a es )ue el $roceso adicional de $rocesado de
/rames $or un ruteador $uede incrementar el tiem$o de es$era o reducir el
desem$e%o del ruteador cuando se com$ara con una sim$le ar)uitectura de
switch3
Donde usar Switch?
Uno de los $rinci$ales /actores )ue determinan el e=ito del dise%o de una red, es la
ha#ilidad de la red $ara $ro$orcionar una satis/actoria interacci5n entre cliente>ser2idor,
$ues los usuarios 'u0gan la red $or la r7$ide0 de o#tener un $rom$t la con/ia#ilidad del
ser2icio3
Ha di2ersos /actores )ue in2olucran el incremento de ancho de #anda en una !A";
El ele2ado incremento de nodos en la red3
El continuo desarrollo de $rocesadores mas r7$idos $oderosos en estaciones de
tra#a'o ser2idores3
!a necesidad inmediata de un nue2o ti$o de ancho de #anda $ara a$licaciones
intensi2as cliente>ser2idor3
Culti2ar la tendencia hacia el desarrollo de gran'as centrali0adas de ser2idores
$ara /acilitar la administraci5n reducir el n6mero total de ser2idores3
!a regla tradicional ?@>4@ del dise%o de redes, donde el ?@A del tr7/ico en una !A"
$ermanece local, se in2ierte con el uso del switch3
!os switches resuel2en los $ro#lemas de anchos de #anda al segmentar un dominio de
colisiones de una !A", en $e)ue%os dominios de colisiones3
En la /igura la segmentaci5n cas elimina el concurso $or el medio da a cada estaci5n
/inal m7s ancho de #anda en la !A"3
Donde usar un ruteador?
!as /unciones $rimarias de un ruteador son;
Segmentar la red dentro de dominios indi2iduales de #rodcast3
Suministrar un en2io inteligente de $a)uetes3 B
So$ortar rutas redundantes en la red3
Aislar el tr7/ico de la red auda a diagnosticar $ro#lemas, $uesto )ue cada $uerto del
ruteador es una su#red se$arada, el tr7/ico de los #rodcast no $asaran a tra28s del
ruteador3
Otros im$ortantes #ene/icios del ruteador son;
(ro$orcionar seguridad a tra28s de sotis/icados /iltros de $a)uetes, en am#iente
!A" WA"3
Consolidar el legado de las redes de main/rame I*., con redes #asadas en (Cs a
tra28s del uso de Data !in+ Switching CD!SwD3
(ermitir dise%ar redes 'erar)uicas, )ue delegen autoridad $uedan /or0ar el
mane'o local de regiones se$aradas de redes internas3
Integrar di/erentes tecnologas de enlace de datos, tales como Ethernet, 1ast
Ethernet, To+en Ring, 1DDI AT.3
Segentando con Switches ! Ruteadores
(ro#a#lemente el 7rea de maor con/usi5n so#re switch ruteador, es su ha#ilidad $ara
segmentar la red o$erar en di/erentes ca$as del modelo OSI, $ermitiendo asi, un ti$o
6nico de dise%o de segmentaci5n3
Segentando "A#s con Switch
(odemos de/inir una !A" como un dominio de colisiones, donde el switch esta dise%ado
$ara segmentar estos dominios en dominios m7s $e)ue%os3 (uede ser 2entago0o, $ues
reduce el n6mero de estaciones a com$etir $or el medio3
En la /igura cada dominio de colisi5n re$resenta un ancho de #anda de <@ .#$s, mismo
)ue es com$artido $or todas las estaciones dentro de cada uno de ellos3 A)u el switch
incrementa dram7ticamente la e/iciencia, agregando E@ .#$s de ancho de #anda3
Es
im$ortante notar )ue el tr7/ico originado $or el #roadcast en un dominio de colisiones,
ser7 reen2iado a todos los dem7s dominios, asegurando )ue todas las estaciones en la red
se $uedan comunicar entre si3
Segentando Su$redes con Ruteadores
Una su#red es un $uente o un switch com$uesto de dominios de #roadcast con dominios
indi2iduales de colisi5n3 Un ruteador esta dise%ado $ara interconectar de/inir los limites
de los dominios de #roadcast3
!a /igura muestra un dominio de #roadcast )ue se segmento en dos dominios de
colisiones $or un switch, a)u el tr7/ico de #roadcast originado en un dominio es
reen2iado al otro dominio3
En la siguiente /igura muestra la misma red, des$u8s )ue /u8 segmentada con un ruteador
en dos dominios di/erentes de #roadcast3 En este medio el tr7/ico generado de #roadcast
no /lue a tra28s del ruteador al otro dominio3
Seleccionando un Switch o un Ruteador %ara Segentar
Al tra#a'ar un ruteador en la ca$a 9 del modelo OSI, $uede tam#i8n e'ecutar /unciones de
la ca$a 4, es decir el ruteador crea dominios de #roadcast de colisiones se$arados en
cada inter/ace3 Esto sgni/ica )ue tanto el switch como el ruteador $ueden usarse $ara
segmentar una !A" adicionar ancho de #anda3
Entonces, cual es la selecci5n m7s 5$tima $ara el dise%o de la red?
Si la a$licaci5n re)uiere so$orte $ara rutas redundantes, en2io inteligente de
$a)uetes o accesar la WA", se de#e seleccionar un ruteador3
Si la a$licaci5n s5lo re)uiere incrementar ancho de #anda $ara descongestionar el
tr7/ico, un switch $ro#a#lemente es la me'or selecci5n3
Dentro de un am#iente de gru$os de tra#a'o, el costo inter2iene en la decisi5n de intalar
un switch o un ruteador como el switch es de $ro$osito general tiene un #a'o costo $or
$uerto en com$araci5n con el ruteador3
Adem7s el dise%o de la red determina cuales son otros re)uerimientos C redundancia,
seguridad o limitar el tr7/ico de #roadcastD )ue 'usti/i)ue el gasto e=tra la com$le'idad
de instalar un ruteador dentro de dicho am#iente3
Dise&ando Redes con Switches ! Ruteadores
Cuando se dise%a e/icientemente una red de comunicaci5n de datos, $uede ser la $arte
central de una organi0aci5n de negocios3 (ero si se dise%a mal, la red $uede ser un
o#st7culo $ara el 8=ito de la organi0aci5n3
El dise%o a#arca todos los as$ectos del sistema de comunicaci5n, desde el ni2el
indi2idual de enlace hasta el mane'o glo#al de la red, tam#i8n un dise%o e=itoso de#e
/i'arse dentro de los lmites $resu$uestales de la organi0aci5n3
Se mostrar7n di/erentes dise%os de red con switches ruteadores, sus #ene/icios
limitaciones en gru$os de tra#a'o, #ac+#one am#iente WA", en ellos se usa la siguiente
t8cnologia;
Estos dise%os no de#en de ser 2istos como una soluci5n, $ues cada uno de ellos tiene sus
$ro$ias $rioridades, t5$ologia o#'eti2os3
Dise&ando Redes %ara 'ru%os de Tra$a(o
Un gru$o de tra#a'o es una colecci5n de usuarios /inales )ue com$arten recursos de
c5m$utoF $ueden ser grandes o $e)ue%os, locali0ados en un edi/icio o un cam$us ser
$ermanente o un $roecto3
)e*ue&os 'ru%os de Tra$a(o
En la /igura se 2e un t$ico am#iente de gru$os de tra#a'o en una red interna3 Tiene dos
concentradores $uede crecer hasta 4@, con 4@@ usuarios3
A)u el administrador )uiere m7=imi0ar el ancho de #anda de los ser2idores di2idir las
(Cs en $e)ue%os dominios de colisiones )ue com$artan <@ .#$s s5lo un n6mero
lmitado de usuarios $oderosos re)ueriran <@ .#$s dedicados $ara sus a$licaciones3
Opcin #1: Solucin con Ruteador
El ruteador es con/igurado con una inter/ace dedicada de alta 2elocidad al ser2idor un
n6mero grande de inter/aces ethernet, las cuales son asignadas a cada uno de los
concentradores usuarios $oderosos3 B $ara instalarlo, el administrador de red di2ide los
dominios grandes de #roadcast colisiones en dominios $e)ue%os3
!a selecci5n del ruteador no se #aso en lo econ5mico o en la tecnologa3 Desde una
$ers$ecti2a de costo, el ruteador tiene un alto costo $or $uerto un gasto a largo $la0o en
su mane'o, maor )ue el de un switch3 Desde una $ers$ecti2a tecnol5gica el ruteador
$ro$orciona $ocos $a)uetes de salida3 (ro#a#lemente tam#i8n los ni2eles de tr7/ico de
#roadcast no 'usti/i)uen la com$le'idad adicional de se$ararlos3
Opcin #2: Solucin con Switch
!a /igura muestra el mismo gru$o de tra#a'o, $ero con un switch3 En este am#iente el
dominio de #roadcast se di2ide en G dominios de colisiones, donde los usuarios atados a
dichos dominios com$arten <@ .#$s3 !os accesos dedicados a ser2idores usuarios
$oderosos, eliminan la com$etencia $or accesar el medio el ser2idor local tiene una
inter/ace de alta 2elocidad $ara eliminar $osi#les cuellos de #otella3 Adem7s de
garanti0ar )ue los $a)uetes no se $erder7n $or la limitaci5n del #u//er, cuando el tr7/ico
de 2arios $uertos sea en2iado a un s5lo $uerto destino3
(or e'em$lo, su$ongamos un am#iente ethernet, donde cada uno de los H $uertos del
switch es de <@ .#$s, en2iando EG $a)uetes hacia el ser2idor en un rango de G,@@@ $$s,
la carga total $or $uerto sera de 4@,@@@ $$s3 Este 2alor so#re $asa al est7ndar ethernet de
<G,??@ $$s, Clmite $or /rames de EGIoctetosD3 Este $ro#lema se elimina con una inter/ace
1ast Ethernet, donde su ca$acidad es hasta <G?,?@@ $$s3 $ara /rames de EGIoctetos3
Si se tiene un dis$ositi2o #ac+#one cola$sado en la central de datos de alta 2elocidad, se
$uede adicionar un segundo modulo al switch, $ara acomodarse a esa tecnologa e ir
emigrando sua2emente3
Si 6nicamente se )uiere dar hancho de #anda a los gru$os de tra#a'o, el switch es la
me'or soluci5n, $ues sus 2enta'as son maores a las del ruteador $ara este ti$o de
a$licaciones dado )ue;
El switch o/rece maor 2elocidad, al en2iar su salida a todos los $uertos a la 2e03
El rendimiento de su salida $uede ser crtico, cuando el cliente el ser2idor son
$uestos en segmentos di/erentes, $ues la in/ormaci5n de#e $asar $or di2ersos
dis$ositi2os de la red interna3
El switch da maor rendimiento $or $uerto en termino de costos )ue un ruteador3
Un switch ethernet tiene un costo a$ro=imado de J4@@ D!!S3 $or $uerto,
mientras )ue un ruteador ethernet tiene un costo a$ro=imado de J4,@@@ D!!S3 El
costo es un /actor im$ortante, $ues lmita la com$ra de dis$ositi2os el $oder
adicionar segmentos a la red3
Un switch es m7s /acil de con/igurar, mane'ar re$arar )ue un ruteador3 Cuando
el n6mero de dis$ositi2os de la red se incrementa, generalmente es m7s desea#le
tener unos cuantos dis$ositi2os com$le'os, )ue un gran n6mero de dis$ositi2os
sim$les3
'ru%os de Tra$a(o De%artaentales
Un gru$o de tra#a'o de$artamental, es un gru$o com$uesto de 2arios gru$os $e)ue%os de
tra#a'o3 !a /igura ilustra un t$ico gru$o de tra#a'o de$artamental, donde los gru$os de
tra#a'o indi2iduales son com#inados con un switch )ue $ro$orciona inter/aces de alta
2elocidad I1ast ethernet, 1DDI o AT.3 B todos los usuarios tenen acceso a la gran'a de
ser2idores, 2a una inter/ace com$artida de alta 2elocidad al switch de$artamental3
!a e/iciencia del switch de$artamental, de#e ser igual a los switches indi2iduales,
o/reciendo adem7s un rico con'unto de /acilidades, 2ersatilidad modular una /orma de
migraci5n a tecnologas de alta 2elocidad3 En general un switch a ni2el de$artamental es
la #ase de los dis$ositi2os del gru$o de tra#a'o3
Si los usuarios necesitan m7s ancho de #anda, selecti2amente $ueden reem$la0ar la #ase
instalada de concentradores $or switches de <@ .#$s de #a'o costo3
Respecto al trfico de Broadcast
Dado el alto rendimiento )ue o/recen los switches, algunas organi0aciones se intere0an
$or los altos ni2eles de tr7/ico de #roadcast multicast3 Es im$ortante com$render )ue
algunos $rotocolos como I(, generan una cantidad limitada de tr7/ico de #roadcast, $ero
otros como I(:, hacen un a#undante uso de tr7/ico de #roadcast $or re)uerimientos de
RI(, SA(, &et"earestSer2er similares3
(ara ali2iar la $reocu$aci5n del consumidor, algunos 2endedores de switches tienen
im$lementado un KreguladorK de #roadcast, $ara lmitar el n6mero de $a)uetes en2iados
$or el switch no a/ectar la e/iciencia de algunos dis$ositi2os de la red3 El so/tware
conta#ili0a el n6mero de $a)uetes en2iados de #roadcast multicast en un la$so de
tiem$o es$ec/ico, una 2e0 )ue el um#ral a sido alcan0ado, ning6n $a)uete de este estilo
es en2iado, hasta el momento de iniciar el siguiente inter2alo de tiem$o3
Ruteo coo )oltica Segura
Cuando el n6mero de usuarios en los gru$os de tra#a'o se incrementa, el crecimiento de
los #roadcast $uede e2entualmente causar una legtima $reocu$aci5n so#re lo siguiente;
Redimiento en la red3
(ro#lemas de aislamiento3
!os e/ectos de radiar el #roadcast en el rendimiento del C(U de la estaci5n /inal3
Seguridad en la red3
!a desici5n de instalar un ruteador $ara $re2enir estos $ro#lemas $otenciales, es a
menudo #asado en el ni2el de con/ort $sicol5gico de la organi0aci5n3
&eneralmente la cantidad de tra/ico de #roadcast en un gru$o de tra#a'o con switches de
<@@ a 4@@ usuarios, no es un $ro#lema signi/icati2o a menos )ue halla un mal
/uncionamiento en el e)ui$o o un $rotocolo se com$orte mal3 !os /actores de riesgo
dominantes en gru$os de tra#a'o grandes, es la seguridad el costo del negocio $or una
tormenta de #roadcast u otro ti$o de com$ortamiento )ue tire la red3
El ruteador $uede $ro$orcionar un #a'o costo $or usuario en $oliticas de seguridad en
contraste con este ti$o de $ro#lemas3 Ho da un ruteador 1ast Ehternet C<@@ .#$sD, tiene
un costo $or $uerto de a$ro=imadamente JE,@@@ D!!S3 Si se desea mantener el dominio
de #roadcast de 4@@ usuarios, un $uerto del ruteador $ro$orciona la $rotecci5n re)uerida
$or un costo de s5lo J9@ D!!S3 $or usuario3 Considerando )ue el ruteador tiene una 2ida
media de H a%os, esta cantidad se reduce a JE D!!S usuario>a%o3 (ero adem7s, $uede
$ro$orcionar dicha seguridad, tanto $or la segmentaci5n /sica como l5gica3
Segmentacin Fsica
!a /igura ilustra como un ruteador segmenta /sicamente la red dentro de dominios de
#roadcast3 En este e'em$lo, el administrador de red instala un ruteador como $oltica de
seguridad, adem7s $ara e2itar los e/ectos del #roadcast, )ue alentan la red3
"otar )ue el ruteador tiene una inter/ace dedicada $ara cada de$artamento o switch del
gru$o de tra#a'o3 Esta dis$osici5n da al ruteador un dominio de colisi5n $ri2ado )ue aisla
el tr7/ico de cada cliente>ser2idor dentro de cada gru$o de tra#a'o3 Si el $atron del tra/ico
esta entendido la red esta $ro$iamente dise%ada, los switches haran todo el reen2io
entre clientes ser2idores3 S5lo el tr7/ico )ue alcance al ruteador necesitar7 ir entre
dominios indi2iduales de #roadcast o a tra28s de una WA"3
Segmentacin gica
Algunas metas $ueden alcan0arse de una manera m7s /le=i#le al usar ruteadores
switches, $ara conectar !A"s 2irtuales se$aradas C-!A"sD3 Una -!A" es una /orma
sencilla de crear dominios 2irtuales de #roadcast dentro de un am#iente de switches
inde$endiente de la estructura /sica tiene la ha#ilidad $ara de/inir gru$os de tra#a'o
#asados en gru$os l5gicos estaciones de tra#a'o indi2iduales, m7s )ue $or la
in/raestructura /sica de la red3 El tr7/ico dentro de una -!A" es switcheado $or medios
r7$idos entre los miem#ros de la -!A" el tr7/ico entre di/erentes -!A"s es reen2iado
$or el ruteador3
En la /igura los $uertos de cada switch son con/igurados como miem#ros a sea de la
-!A" A o la -!A" *3 Si la estaci5n /inal transmite tr7/ico de #roadcast o multicast, el
tr7/ico es reen2iado a todos los $uertos miem#ros3 El tr7/ico )ue /lue entre las dos
-!A"s es reen2iado $or el ruteador, dando as seguridad mane'o del tr7/ico3
Dise&ando %ara A$ientes de +ac,$one
Durante a%os las organi0aciones #ienen usando en su central de datos la ar)uitectura de
#ac+#one cola$sado, en dicho am#iente una gran cantidad de datos de la em$resa se
transmite a tra28s de cada dis$ositi2o del #ac+#one3
El #ac+#one cola$sado de la /igura tiene 2arios #ene/icios si se com$ara con la
ar)uitectura tradicional de #ac+#one distri#uido3
Un dise%o de #ac+#one cola$sado centrali0a la com$le'idad, incrementa la /uncionalidad,
reduce costos so$orta el modelo de gran'a de ser2idores3 "o o#stante tiene limitaciones,
$ues los dis$ositi2o $uede ser un $otencial cuello de #otella $osi#lemente un $unto
sim$le de /alla3
Si la /unci5n $rimaria del #ac+#one es $uramente la /uncionalidad entonces se selecciona
un switch3 Si la meta es /uncionalidad seguridad entonces se selecciona un ruteador3
+a(a Densidad- Alta .elocidad en el Enlace Dentro de la Central de Datos
En la /igura los switches de gru$o de tra#a'o son $uestos en cada $iso3 Ellos tienen
enlaces dedicados com$artidos de <@ .#$s $ara los usuarios /inales, una inter/ace de
alta 2elocidad $ara el ser2idor del gru$o de tra#a'o un enlace a la central de datos3
!os ser2idores en la central de datos son $uestos a una sola inter/ace del ruteoador de alta
2elocidad, com$artiendo el ancho de #anda3 "otar )ue la /uncionalidad de cada ser2idor
en el edi/icio es o$timi0ada al conectarlo a una inter/ace de alta 2elocidad, a sea directa
o com$artida3
El ruteador $ro$orciona conecti2idad entre los switches de los gru$os de tra#a'o de cada
$iso, la gran'a de ser2idores, el #ac+#one de cam$us la WA"3 Algunas de las
o$eraciones de ruteo en la ca$a de red, di2iden los edi/icios en dominios se$arados de
#roadcast en cada una de las inter/aces da la seguridad re)uerida entre las su#redes
indi2iduales3 En esta con/iguraci5n, el ruteador es la $arte central $ara la o$eraci5n de la
red, mientras el switch $ro$orciona ancho de #anda adicional $ara el usuario Kner2iosoK3
Alta Densidad- Enlace de Alta .elocidad a la Central de Datos
Si la organi0aci5n esta dis$uesta a ace$tar un s5lo dominio de #roadcast $ara todo el
edi/icio, el siguiente $aso en el $roceso de migraci5n ser7 la introducci5n de un switch
!A" de alta 2elocidad en la central de datos, esto es ilustrado en la siguiente /igura
"ote )ue la introducci5n del switch cam#ia la t5$ologia l5gica de la red interna esto
im$acta en las direcciones del usuario3
El switch de alta 2elocidad $ermite la conecti2idad de los $isos e incrementa la
/uncionalidad, al $ro$orcionar cone=iones switcheadas entre los ser2idores cada uno de
los switches de los gru$os de tra#a'o3 !os switch adicionales $ueden ser integrados 2a
concentradores3
Aun)ue en la /igura muestra un switch dedicado de alta 2elocidad un solo ruteador, la
/uncionalidad indi2idual de cada uno de ellos $uede ser com#inada dentro de una
$lata/orma switch>ruteador3 "o o#stante al integrar los dis$ositi2os, no o/recera el
so$5rte com$leto, ni las /acilidades de un ruteador dedicado, en terminos de las ca$as de
$rotocolos de red CI(, I(:, A$$leTal+, DECnet, -I"ES, etc3D $rotocolos de ruteo CRI(,
OS(1, .OS(1, "!S(, *&(IG otrosD3 Adem7s un switch>ruteador generalmente no
dis$one de acceso WA"3
Si la organi0aci5n no ace$ta un s5lo dominio de #roadcast $ara el edi/icio, se necesitar7
instalar una inter/ace multi$le de ruteo de alta 2elocidad $ara so$ortar un switch en la
central de datos, $ara cada dominio de #roadcast3 .ientras esta con/iguraci5n $ermite
conectar m7s $isos, no $ro2ee la misma /uncionalidad hacia arri#a, $or)ue no ha
cone=i5n directa entre la gran'a de ser2idores cada uno de los switch de los gru$os de
tra#a'o3 Esto se muestra en la siguiente /igura;
AT/ %ara el Ca%us o el +ac,$one del Edi0icio
Si tanto el #ac+#one del cam$us como los edi/icios comien0an a e=$erimentar
congestionamiento, se $uede reem$la0ar el #ac+#one de alta 2elocidad con un switch
AT.3
!a /igura muestra como un modulo AT. a$ro$iado se integra a la central de datos, notar
)ue los switches de los gru$os de tra#a'o $ermanecen sin cam#ios el acceso a la gran'a
de ser2idores es 2ia una inter/ace AT. directa al switch de cam$us3
+ac,$one Redundantes- 'aranti1an Dis%oni$ilidad de la Red
En cada uno de los e'em$los $re2ios, los switches ruteadores tra#a'an con'untamente en
el dise%o del #ac+#one3 A menudo se $asa $or alto, la ha#ilidad del ruteador $ara
so$ortar rutas redundantes3
!os #ac+#one son $arte esencial de la in/raestructura de comunicaci5n )ue de#e de
$rotegerse de /allas3 !a /igura ilustra como los ruteadores $ermiten la construcci5n de
#ac+#ones redundantes, garanti0ando la con/ia#ilidad de la o$eraci5n, dis$oni#ilidad
mantenimiento en das criticos de la red3 Un #uen dise%o de red es tal )ue si, el #ac+#one
$rimario /alla, un #ac+#one secundario esta dis$oni#le como un inmediato autom7tico
res$aldo3
Dise&ando %ara Acceso a WA#
Si la organi0aci5n tiene o/icinas locali0adas en di/erentes 7reas geogr7/icas, el so$orte a
la red metro$olitana o de 7rea am$lia ser7 un re)uerimiento cla2e, donde el ruteador da
esa soluci5n3
!a /igura muestra como los ruteadores dan acceso a las o/icinas regionales3
Cuando se com$ara el ancho de #anda de la !A" con una WA", se 2era )ue es un
recurso escaso de#e ser cuidadosamente mane'ado3 !a tecnologa de ruteo elimina
tr7/ico de #roadcast so#re la WA", de lo contrario, si un dominio de #roadcast consiste
de E@ usuarios cada uno de ellos genera 4 $a)uetes de #roadcast $or segundo, la
ca$acidad de una WA" de EG L#$s sera consumida3 (or ello el ruteador so$orta di2ersas
/acilidades adicionales;
El sotis/icado /iltreo de $a)uetes $ermite al ruteador la construcci5n de un
/irewall en la red interna dar seguridad control de acceso a la organi0aci5n3
!os accesos no autori0ados $ueden ser $erdidas $ara el negocio, /uga de secretos,
datos corru$tos #a'a $roducti2idad de los em$leados, adem7s reduce $otenciales
res$onsa#ilidades legales otros costos asociados con encu#rir la acti2idad del
hac+er3
El ruteador o/rece di2ersas o$ciones $ara conectar o/icinas en di/erentes 7reas
geogr7/icas, tomando en cuenta la tecnologa e=itente en el mercado C:34H,
1rameRela, S.DS, AT., (OTS, ISD"D los costos de uso, lo )ue $ermite a
cada organi0aci5n seleccionar la me'or en 2alor econ5mico3
El ruteador $ermite consolidar la red tradicional terminalIhost, con su $ro$io
crecimiento de red interna !A"IaI!A", so$orte $ara D!Sw, enca$sular ta#las
rutea#les tr7/ico "et*IOS en $a)uetes I(3 En suma, el so$orte A(("
mane'ando ruteo de a$licaci5n S"A !U E34I#ase3
!os ruteadores so$ortan com$resi5n de $a)uetes a ni2el enlace, lo cual reduce el
tama%o del enca#e0ado los datos, $ermitiendo lineas seriales $ara acarreo de 4 a
G 2eces m7s tr7/ico con res$ecto a las lneas sin descom$rimir, sin un gasto
adicional3
Un ruteador reconoce cada $rotocolo, $ermitiendo $riori0ar tr7/ico so$orte $ara
$rotocolos sensi#les al tiem$o $ara enlaces lentos en la WA"3
El 2uturo de los Switches
El $recio de la tecnologa del switch continua desendiendo, como resultado del desarrollo
ASIC unido con la e/iciencia de la manu/actura t8cnicas de distri#uci5n3 Como el costo
$or $uerto del switch se a$ro=ima al de los hu#s, muchos usuarios eligen el switch3
!a e=tensa dis$oni#ilidad de la tecnologa de switch de #a'o costo tiene im$licaciones
$ara las redes de los edi/icios el #ac+#one de cam$us3 Ha#ra una demanda creciente
$ara switches de #ac+#one de alta densidad, con un n6mero grande de $uertos de alta
2elocidad, $ara enla0ar gru$os de tra#a'o indi2iduales3
E2entualmente el e)ui$o de escritorio sera dedicado a enlaces de <@ .#$s, la maoria de
los ser2idores estaran conectados a los switch de alta 2elocidad AT. se usara en
enlaces internos del edi/icios al #ac+#one de cam$us3
So%orte /ultiedia
"adie $uede sa#er con certe0a el /uturo de las a$licaciones multimedia, como ser7n o
como se e=$lotar7n3 En un medio !A" un enlace $ri2ado de <@ .#$s $ro2ee #astante
ancho de #anda $ara so$ortar 2ideo com$rimido $ara 2ideocon/erencias3 (ero el ancho de
#anda no es #astante3
Tienen $ensado $oner alta $rioridad al tr7/ico de multimedia, tal )ue el tr7/ico tradicional
de datos en un camino de datos multimedia no tenga un tiem$o sensiti2o3 En resumen,
ha m7s $reguntas concernientes a la ha#ilidad de distri#uir a$licaciones multimedia a
tra28s de la WA"3
Un #uen des$liege de a$licaciones multimedia re)uiere )ue la red tenga altos ni2eles de
/uncionalidad calidad /i'a en el ser2icio3 Ha di2ersas ino2aciones )ue se integran
dentro de la tecnologa del switch $ara real0ar el so$orte de /uturas a$licaciones
multimedia;
So#re segmentos $ri2ados ethernet G@A o H@A del ancho de #anda utili0ado, es
considerado /uncionalmente e=celente, de#ido a los tiem$os muertos de
colisiones, lagunas de inter/rame otros3 So#re una inter/ace !A" $ri2ada, una
tecnologa tal como (ACE, asegura un acceso im$arcial al ancho de #anda,
mantiene /uncionalidad /luida crea multi$les ni2eles de ser2icio3 (ACE $ermite
tiem$o real, multimedia las a$licaciones de datos tradicionales $ueden coI
e=istir3 Con esta tecnologa, la utili0aci5n del ancho de #anda $uede
incrementarse hasta un M@A3
El I&.( es un est7ndar IET1 )ue $ermite a un host $artici$ar en un gru$o de I(
multicast3 Ahora los switches son re)ueridos $ara en2iar tr7/ico I( multicast so#re
todas las inter/aces, des$o'ando el ancho de #anda so#re esas inter/aces )ue no
tienen miem#ros del gru$o multicast3 Switches $e)ue%os $ueden curiosear so#re
mensa'es I&.( $ara crear din7micamente /iltros $ara limitar el /lu'o de multicast
en la red de switches3
2uturo del Ruteo
El ruteo es la lla2e $ara desarrollar redes internas3 El desa/io es integrar el switch con
ruteo $ara )ue el sistema a$ro2eche el dise%o de la red3 Cada uno de los grandes
2endedores de ruteadores tiene in2estigando m7s de 9@@ millones de dolares en
hora>hom#re, desarrollando lineas de c5digo $ara sus $roductos3 Cada li#eraci5n de
so/tware re$resenta un tremendo es/uer0o de ingenieria, $ara asegurar )ue el ruteador
so$orte la 6ltima tecnologa direcci5n de dise%o en redes internas3
Inicialmente los switches estar7n en todas las organi0aciones )ue re)uieran incrementar
el ancho de #anda o#tener la /uncionalidad )ue necesitan3 "o o#stante al incrementar la
com$le'idad de la red, los administradores necesitar7n controlar el am#iente de switch,
usando segmentaci5n, redundancia, /irewall seguridad3 En este $unto, la dis$oni#ilidad
de ruteo sotis/icado esencialmente crecer7 la red se escalar7 en grandes redes de
switches3
El usuario demandar7 )ue los 2endedores de ruteadores hagan sus $roductos /aciles de
instalar con/igurar3
Inter0aces "A# ! WA#
En general el ruteo dentro de los edi/icios se esta mo2iendo hacia un $e)ue%o n6mero de
inter/aces de alta /uncionalidad $ara conectar switches de alta densidad en los ruteadores3
Este es el 2erdadero modelo costoIe/ecti2idad, es$ecialmente cuando un gran n6mero de
inter/aces !A" 2an de 2elocidades #a'a a media3
Como el n6mero de inter/aces !A" decrementa, la 2enta $ara inter/aces WA" so#re la
o/icina central de ruteadores es mo2ida a dos di/erentes direcciones3 Algunos usuarios
re)ueriran un incremento en el n6mero de inter/aces WA" de #a'a 2elocidad $ara
conectar sus sitios remotos con arrendamiento de lineas cone=iones tele/5nicas3 Otros
usuarios re)ueriran unas cuantas inter/aces /sicas como 1rameRela ISD",
$ro$orcionando la /uncionalidad de lineas dedicadas arrendadas $or /racci5n de costo3
Suario
Antes de seleccionar entre switch ruteador, los dise%adores de red de#en com$render
como com#inar estas tecnologas $ara construir e/icientes redes escala#les3 Un
administrador de red ser7 e=tremadamente esc8$tico de cual)uier 2endedor )ue sugiera
una soluci5n de alta /uncionalidad )ue $ueda ser construida usando s5lo tecnologa de
switch o de ruteador3
!os switches ruteadores son tecnologas com$lemetarias )ue $ermiten a las redes
escalar a tama%os mucho m7s all7 de lo )ue se $uede lograr usando s5lo alguna de estas
tecnologas3 El ruteo $ro$orciona un n6mero de lla2es de ca$acidad )ue no o/rece un
switch, tal como control de #roadcast, redundancia, control de $rotocolos acceso a
WA"3 El switch $ro$orciona mane'o de la red con un costo e/ecti2o de migraci5n )ue
elimina anchos de #anda $e)ue%os3 !os switches $ueden ser integrados /acilmente dentro
de redes de ruteadores como reem$la0o de la #ase instalada de re$etidores, hu#s
$uentes3
Cuando AT. es e2entualmente im$lementado en el #ac+#one, el ruteo ser7 un
re)uerimiento tecnol5gico $ara comunicarse entre -!A"s3
TABLA COMPARATIVA DE RUTEADORES VIGOR
Modelo magen VoP VPN tunnel WLAN
Modem
ntegrado
ADSL
USB
Printer
Precio (Usd dll) Comentarios
VGORTALK
\ X X X X $86 + VA
*Requiere un modem
xDSL o cable (por
ejemplo de nfinitum)
Vigor2200EP
X
16
(soporta 16 tuneles
simultaneos pero se
pueden configurar
hasta 32)
X X X $129.00 + VA
Requiere un modem
xDSL o cable (por
ejemplo de nfinitum)
Vigor2100V
\
\
(slo configurable
como Dial-Out)
X X X $149 + VA
*Requiere un modem
xDSL o cable (por
ejemplo de nfinitum)
Vigor2900VG
\ 32 11G X \ $259 + VA
*Requiere un modem
xDSL o cable (por
ejemplo de nfinitum)
Vigor2600V
\ 16 X \ \ $259 + VA
*Requiere una conexin
xDSL (tipo telefnica).
*Sustituye al equipo
proporcionado por el
proveedor (ya sea
modem o ruteador).
*No es compatible con
cable.
Vigor2600VG
\ 16 11G \ \ $280 + VA
*Requiere una conexin
xDSL (tipo telefnica).
*Sustituye al equipo
proporcionado por el
proveedor (ya sea
modem o ruteador).
*No es compatible con
cable.
Regstrese Nuevos Publicar Toolbar Foros Ayuda

Recomendamos:
Cursos y Masters
NnODF P i/ C $lugin D Q document3writeCO
na2igator3a$$"ame3inde=O/CK"etsca$eKDRS@ TT na2igator3a$$-ersion3inde=O/CK43KDRS@DD Qdocument3writeCO
ODF P >>IIR
Compare
precios
Consulte a los
expertos
Recomenda
r
Buscar:
Avanzad
a
En indice En texto completo En nternet
Bajar
Trabajo
(Descargar)
Agregar a
favoritos
Recomendar mprimir

Anlisis de los reqerimien!os
!ecnol"#icos $ara la
im$lemen!aci"n de ser%idores &e'
se#ros
Indice
() O'*e!i%os
+) Anlisis , resl!ados
-) Tecnolo#.as de se#ridad
/) T0cnicas de $ro!ecci"n
1) Consideraciones !0cnicas
2) Conclsiones
3) Bi'lio#ra4.a
5) Ane6os
() O'*e!i%os
Objetivo General
Orientar sobre el mejor curso de accin para la puesta en marcha de un servidor
Web que garantice la seguridad de la informacin.
Objetivos Especficos
<3 Evaluar y seleccionar un Sistema Operativo adecuado para la implementacin de
herramientas de seguridad informtica en servidores de Web.
43 Enunciar los requerimientos del equipo necesarios para el desarrollo del Sistema
Operativo seleccionado.
<3 Establecer mecanismos y mtodos eficaces con enfoque activo hacia la seguridad para
ser implementados al sistema.
<3 Proporcionar tcnicas de proteccin que brinden soluciones ptimas a la
vulnerabilidad de los servidores Web.
1. Presentar una serie de recomendaciones para el desempeo satisfactorio del
sistema mencionado, as como para su correcta instalacin.
Justificacin
La extensin de la microinformtica y de las redes de mbito mundial que
interconectan recursos informticos de todo tipo, ha hecho que los peligros que
sufre la informacin almacenada en los diversos sistemas crezcan
considerablemente y se diversifiquen, y que las medidas adoptadas
internamente sean insuficientes.
En los ltimos aos no slo la prensa especializada en informtica, sino todos
los medios de difusin han hecho eco del futuro de las autopistas de la
informacin, cuyo embrin est representado por la red nternet. Que con el gran
crecimiento que ha tenido permite mayores formas de ataque a la seguridad en
red, incluyendo los virus, Caballos de Troya y penetracin de las redes internas.
A raz de la interconexin del mundo empresarial a esta red, viaja por ella y se
almacena informacin de todo tipo, que abarca desde noticias o cotilleos,
documentos, normas y aplicaciones informticas de libre distribucin hasta
complejas transacciones que requieren medidas de seguridad que garanticen la
confidencialidad, la integridad y el origen de los datos. La escucha electrnica,
que permite la obtencin y posible manipulacin de informacin privada, y los
sabotajes realizados tanto por atacantes externos como internos, estn
causando ltimamente la prdida de grandes cantidades de dinero.
Los servidores Web son designados para recibir solicitudes annimas desde
autnticos hosts en la nternet y a liberar las solicitudes de informacin en una
manera rpida y eficiente. De tal forma, ellos proveen un portal que puede ser
usado por amigos y enemigos igualmente. Por su naturaleza, son complicados
programas que demandan un alto nivel de seguridad. El tipo de tecnologa que
mejor cumple con estas demandas se deduce a travs de estudios que se
realizan para la implementacin de servidores Web seguros. El presente trabajo
pretende contribuir a este fin.
Resumen
Los Servidores Web suministran pginas Web a los navegadores (como por
ejemplo, Netscape Navigator, nternet Explorer de Microsoft) que lo solicitan. En
trminos ms tcnicos, los servidores Web soportan el Protocolo de
Transferencia de Hypertexto conocido como HTTP (HyperText
Transfer Protocol), el estndar de nternet para comunicaciones Web. Usando
HTTP, un servidor Web enva pginas Web en HTML y CG, as como otros
tipos de scripts a los navegadores o browsers cuando stos lo requieren.
Cuando un usuario hace clic sobre un enlace (link) a una pgina Web, se
enva una solicitud al servidor Web para localizar los datos nombrados por ese
enlace. El servidor Web recibe esta solicitud y suministra los datos que le han
sido solicitados (una pgina HTML, un script interactivo, una pgina Web
generada dinmicamente desde una base de datos,...) o bien devuelve
un mensaje de error.
Seguridad
La seguridad en redes de telecomunicaciones est fundamentada en tres
elementos:
La ntegridad.- Se refiere a que el contenido y el significado de la informacin no se
altere al viajar por una red, no obstante el nmero y tipo de equipos que se encuentren
involucrados; la infraestructura utilizada debe ser transparente para el usuario.
La Confiabilidad.- mplica que el servicio debe estar disponible en todo momento.
La Confidencialidad.- Es quiz la parte ms estratgica del negocio, ya que contribuye a
impedir que personas no autorizadas lean y conozcan la informacin que se transmite.
La verdadera seguridad de un sistema va ms all de la instalacin de la
actualizacin ms reciente, la configuracin de un cierto fichero, o la cuidadosa
administracin del acceso de los usuarios a los recursos de sistema. Es una
manera de ver las diferentes amenazas que acechan su sistema y lo que se est
dispuesto a hacer para evitarlas.
Ningn sistema es totalmente seguro a menos que est apagado (y an as, es
posible que se lo roben). Cada vez que el sistema est encendido puede ser
atacado, desde una broma inocua a un virus capaz de destruir el hardware, a la
posibilidad que los datos sean borrados. Pero no todo est perdido. Con una
actitud apropiada adems de algunas buenas herramientas, se puede gozar de
un sistema sano sin problemas de seguridad.
El Dilema De Seguridad nevitable
Todo usuario de cualquier sistema operativo se enfrenta a un dilema en comn
al construir un paradigma de seguridad para su sistema. Por un lado, intenta
evitar hacer el sistema tan seguro que nada en l funcionar correctamente.
Pero por otro lado, tambin trata de evitar dejar el sistema tan inseguro que
cualquiera podra (y lo hara seguramente) hacerle lo que se le antoje, incluido
borrar el trabajo de otros o cosas peores. No existe una manera exacta para
resolver este dilema. Algunos sistemas, ya sea por la naturaleza de su utilidad o
la importancia de los datos que protegen, caen por un lado del dilema mientras
que otros sistemas, ya sea por la amplia variedad de usuarios que los utilizan o
el hecho de ser mquinas de prueba, caen por el otro lado.
Enfoque Activo Contra Pasivo
Los enfoques relativos a la seguridad se pueden siempre separar en dos tipos
diferentes: activo o pasivo. Un enfoque activo hacia la seguridad cubre todas las
actividades ideadas para prevenir que se abra una brecha en el modelo de
seguridad de su sistema. Un enfoque pasivo hacia la seguridad se refiere a las
actividades desempeadas para supervisar la seguridad de su sistema
basndose en ese modelo de seguridad.
Seguridad De Redes
Si usa su sistema en una red (como una red de rea local, red de rea amplia o
nternet), deber ser consciente de que su sistema estar a un nivel ms alto de
riesgo que si no estuviese conectado a una. Adems de atentados brutales a los
ficheros de contraseas y usuarios sin acceso apropiado, la presencia de su
sistema en una red ms grande aumenta la oportunidad de que ocurra
un problema de seguridad y la forma posible en que pueda ocurrir.
Posibles Problemas De Seguridad:
Bsqueda entre los datos de autenticacin muchos mtodos de
autenticacin por defecto en los sistemas operativos dependen de enviarle su
informacin de autentificacin "en abierto" donde su nombre de usuario y
contrasea se le envan por medio de la red en texto comn o sin encriptar.
Existen herramientas a disposicin para quienes tengan accesos a su red (o
nternet, si obtiene acceso a su sistema mientras la usa) para "husmear" o
detectar su contrasea grabando todos los datos transferidos por medio de la
red y examinarlos para encontrar declaraciones de inicios de sesin comunes.
Este mtodo se puede usar para encontrar cualquier informacin enviada sin
encriptar, hasta su contrasea de root. Es esencial que utilice herramientas
(utilidades) para evitar que contraseas y otros datos delicados se enven sin
encriptacin. Si por cualquier motivo no es posible utilizar estas herramientas
con su sistema, entonces asegrese de no iniciar nunca sesiones como root a
menos que no est presente delante de la mquina.
Ataque frontal ataques de denegacin de servicio (DoS) y su tipo pueden
daar hasta un sistema seguro inundndolo con peticiones inapropiadas o mal
formuladas que aplastaran su sistema o crearan procesos que pondran en
peligro su sistema o sus datos, adems de otros sistemas que comuniquen con
l. Existe una cantidad de protecciones diferentes a disposicin para ayudar
a detener el ataque y minimizar el dao, como los firewalls que filtran los
paquetes. Sin embargo, los ataques frontales se encaran con una mirada
exhaustiva a la manera en que los sistemas no fiables se comunican con sus
sistemas fiables, erigiendo barreras protectoras entre los dos y
desarrollando una forma de reaccionar velozmente ante cualquier evento para
que la irrupcin y los posibles daos sean limitados.
Aprovechndose de un bug de seguridad o de un loophole (rendija) de vez
en cuando se encuentran errores en el software que, si son explotados, podran
causar graves daos a un sistema no protegido. Por este motivo trate de
ejecutar procedimientos desde el root lo menos posible. Use todas las
herramientas que estn a su disposicin, como actualizaciones de paquetes
de Network y alertas de seguridad, para resolver problemas de seguridad tan
pronto como sean descubiertos. Por ltimo, asegrese que su sistema no tenga
programas innecesarios que inicien a la hora del arranque. Mientras menos
programas se ejecuten, menos probabilidades hay que un bug o error de
seguridad le afecte.
El Desarrollo De Polticas De Seguridad
Todo sistema, desde una mquina usada slo por una persona a un servidor en
el mbito empresarial utilizado por miles de usuarios, debera tener polticas de
seguridad. Las polticas de seguridad son un conjunto de pautas utilizadas para
medir si una determinada actividad o aplicacin debiese o no ser desempeada
o utilizada en un sistema, basndose en los particulares objetivos para ese
sistema.
Las polticas de seguridad entre sistemas diferentes pueden variar mucho, pero
lo ms importante es que exista una para su sistema no importa si est escrita
en el manual de polticas de la empresa o simplemente se recuerda.
Criptografa
La Criptografa proporciona comunicaciones seguras en canales inseguros. Se
divide en Sistemas de Clave Secreta, donde el emisor y el receptor utilizan la
misma clave secreta; y Sistemas de Clave Pblica donde cada usuario posee un
par de claves una secreta y otra pblica. DES (Data Encryption Standard) es el
sistema de clave secreta ms utilizado, desarrollado por BM es un algoritmo de
cifrado-descifrado de bloques de 64 bits basado en permutaciones, mediante
una clave de 64 bits. RSA (Rivest, Shamir y Adleman) es el ms extendido de
los sistemas de Clave Pblica en el que la clave pblica y la privada se
componen de un exponente y un mdulo que es producto de dos nmeros
primos grandes. Este modo de cifrado requiere de una identificacin de usuario,
Firma Digital. Actualmente se han desarrollado otros sistemas ms eficientes
como Gamal y Curvas Elpticas.
SO define los siguientes Servicios de Seguridad en las Redes: 1.Autenticacin
de Entidad Par; 2.Control de Acceso; 3.Confidencialidad de Datos; 4.ntegridad
de Datos, 5.No Repudio, con Prueba de Origen y 6. No Repudio con Prueba de
Entrega.
Requieren incorporar en el Nivel apropiado del modelo OS Mecanismos de
Seguridad:
Cifrado: tcnicas criptogrficas que se aplican extremo a extremo o a cada
enlace;
Firma Digital: conjunto de datos que se aaden a una unidad de Datos para
protegerlos contra la falsificacin, utiliza el esquema criptogrfico.
Se necesita realizar una autenticacin a travs de un Certificado firmado por la
Autoridad de Certificacin vlido durante un tiempo lmite.
Firewalls (Muros de Fuego)
Estas entidades han proliferado debido a nternet. Limitan la exposicin de la red
privada con el mundo exterior restringiendo accesos. Pueden monitorear toda la
actividad hacia la llamada red de redes de forma efectiva, adems de ayudar a
mantener las polticas de seguridad, ya que son puntos centrales. Cabe destacar
que no protege contra malas intenciones de personas dentro de la red privada,
ni resguarda conexiones que no sean controladas por l y tampoco contra virus.
Virus
Los virus informticos son programas, generalmente destructivos, que se
introducen en la computadora (al leer un disco o acceder a una red informtica)
y pueden provocar prdida de la informacin (programas y datos) almacenada
en el disco duro. Existen programas antivirus que los reconocen y son capaces
de 'inmunizar' o eliminar el virus del ordenador.
+) Anlisis , resl!ados
ntroduccin
Los Servidores Web son aqullos que permiten a los clientes compartir datos,
documentos y multimedia en formato Web. Aunque es parte de la tecnologa
Cliente-Servidor, el servidor Web aporta algunas ventajas adicionales; como
acceso ms simple a la informacin (con un simple clic).
En el sentido ms estricto, el trmino cliente/servidor describe un sistema en el
que una mquina cliente solicita a una segunda mquina llamada servidor que
ejecute una tarea especfica. El programa cliente cumple dos funciones distintas:
por un lado gestiona la comunicacin con el servidor, solicita un servicio y recibe
los datos enviados por aqul. Por otro, maneja la interfaz con el usuario:
presenta los datos en el formato adecuado y brinda las herramientas y
comandos necesarios para que el usuario pueda utilizar las prestaciones del
servidor de forma sencilla. El programa servidor en cambio, bsicamente slo
tiene que encargarse de transmitir la informacin de forma eficiente. No tiene
que atender al usuario. De esta forma un mismo servidor puede atender a varios
clientes al mismo tiempo.
La mayora de servidores aaden algn nivel de seguridad a sus tareas. Por
ejemplo, si usted ha ido a alguna pgina y el navegador presenta una ventana
de dilogo que pregunta su nombre de usuario y contrasea, ha encontrado una
pgina protegida por contraseas. El servidor deja que el dueo o el
administrador del servidor mantenga una lista de nombres y contraseas para
las personas a las que se les permite ver la pgina, y el servidor deja que slo
esas personas quienes saben la contrasea tengan acceso.
Los servidores ms avanzados aaden seguridad para permitir una conexin
encriptada entre el servidor y el navegador as la informacin de suma
importancia como nmeros de tarjetas de crdito pueda ser enviada por nternet.
Sistemas Operativos
UNX
Caractersticas
Es un sistema operativo multiusuario, con capacidad de simular multiprocesamiento y
procesamiento no interactivo
Est escrito en un lenguaje de alto nivel: C
Dispone de un lenguaje de control programable llamado SHELL
Ofrece facilidades para la creacin de programas y sistemas y el ambiente adecuado
para las tareas de diseos de software
Emplea manejo dinmico de memoria por intercambio o paginacin
Tiene capacidad de interconexin de procesos
Permite comunicacin entre procesos
Emplea un sistema jerrquico de archivos, con facilidades de proteccin de archivos,
cuentas y procesos
Tiene facilidad para redireccionamiento de Entradas/Salidas
Contiene 4 aportaciones importantes que han aumentado la viabilidad de los sistemas
UNX como base para los sistemas distribuidos:
Conectores Berkely
Los Streams de AT&T
El sistema de archivos de red NFS
El sistema de archivos remoto RFS de AT&T
Seguridad
Para poder identificar a las personas, UNX realiza un proceso denominado
ingreso (login). Cada archivo en UNX tiene asociados un grupo de permisos.
Estos permisos le indican al sistema operativo quien puede leer, escribir o
ejecutar como programa determinado archivo. UNX reconoce tres tipos
diferentes de individuos: primero, el propietario del archivo; segundo, el "grupo";
por ltimo, est el "resto" que no son ni propietarios ni pertenecen al grupo,
denominados "otros".
Una computadora UNX ofrece generalmente una serie de servicios a la red,
mediante programas que se ejecutan continuamente llamados daemon
(demonio). Por supuesto, para usar estos programas hay que tener primero
permiso para usar tal puerto o protocolo, y luego acceso a la mquina remota, es
decir, hay que ''autentificarse'', o identificarse como un usuario autorizado de la
mquina. Algunos de estos programas son telnet, rlogin, rsh, ftp, etc.
Microsoft Windows NT
Caractersticas de Windows NT Server
Soporta Sistemas ntel y los basados en RSC.
ncorpora un NOS (Sistema Operativo de Red) de 32 bits.
Ofrece una solucin de red punto a punto.
Requiere un mnimo de 16MB en RAM, por lo que es ms caro de instalar que la mayor
parte de los NOS.
Soporta multitarea simtrica.
Puede usar hasta 4 procesadores concurrentes.
Adems de ser multitarea, el Windows NT Server tambin es de lectura mltiple o
multilectura.
Soporta administracin centralizada y control de cuenta de usuarios individuales.
Las multitareas, priorizadas permiten que se ejecute simultneamente varias
aplicaciones.
Las operaciones de red adquieren prioridad sobre otros procesos menos crticos.
ncluye extensos servicios para Mac.
Una computadora Mac puede acceder a Windows NT Server, como si accesara al
servidor Appleshare.
Los archivos se traducen automticamente de un formato a otro.
Los usuarios de PC y Mac tienen acceso a las mismas impresoras.
ncluso una Mac puede imprimir trabajos Postscript en una impresora PC que no sea
Postscript.
Windows NT Server soporta integracin con otras redes (Con Software adicional), que
incluyen: NetWare, VNES, Lan Manager OS/2, UNX, VMS y redes SNA.
Es tolerante a fallas. Posee el reflejado a sistema espejo y separacin de discos.
Proporciona utileras para administracin y control fcil de usar.
Proporciona acceso remoto por marcacin telefnica.
Seguridad
Windows NT ofrece gran seguridad por medio del acceso por cuentas y
contraseas. Es decir un usuario debe tener su cuenta asignada y una
contrasea para poder tener acceso al sistema.
Contiene protecciones para directorios, archivos, y perifricos, es decir que todo
esto se encuentra con una contrasea para poder ser utilizados.
CONCEPTO DE DERECHOS.- Permite a un grupo de usuarios efectuar
determinadas operaciones.
CUENTA ADMNSTRADOR.- Controla todos los permisos y con ellas se puede:
Dar de alta
Asignar cuentas
Cancelar derechos
Novell Netware
Caractersticas de NetWare
Multitarea
Multiusuario
No requiere demasiada memoria RAM, y por poca que tenga el sistema no se ve limitado
por ej. Netware 4.0 (Requiere 6 Mb de RAM)
Brinda soporte y apoyo a la MAC
Apoyo para archivos de DOS y MAC en el servidor
El usuario puede limitar la cantidad de espacio en el disco duro
Permite detectar y bloquear intrusos
Soporta mltiples protocolos
Soporta acceso remoto
Permite instalacin y actualizacin remota
Muestra estadsticas generales del uso del sistema
Brinda la posibilidad de asignar diferentes permisos a los diferentes tipos de usuarios
Permite realizar auditoras de acceso a archivos, conexin y desconexin, encendido y
apagado del sistema, etc.
Soporta diferentes arquitecturas
Desventajas de NetWare
No cuenta con listas de control de acceso (ACLs) administradas en base a cada archivo.
Algunas versiones no permiten criptografa de llave pblica ni privada.
No carga automticamente algunos manejadores en las estaciones de trabajo.
No ofrece mucha seguridad en sesiones remotas.
No permite el uso de mltiples procesadores.
No permite el uso de servidores no dedicados.
Para su instalacin se requiere un poco de experiencia.
Seguridad del Sistema.
Aunque los fabricantes que se dedican exclusivamente a los sistemas de
seguridad de redes pueden ofrecer sistemas ms elaborados, NetWare de
Novell ofrece los sistemas de seguridad integrados ms importantes del
mercado. NetWare proporciona seguridad de servidores de archivos en cuatro
formas diferentes:
1.- Procedimiento de registro de entrada
2.- Derechos encomendados
3.- Derechos de directorio
4.- Atributos de archivo
Linux
Caractersticas
Es un clon del sistema operativo UNX por tanto es Multitarea y Multiusuario
Se puede correr la mayora del software popular para UNX, incluyendo el Sistema X-
Window
Cumple los estndares POSX y de Sistemas Abiertos, esto es que tiene la capacidad de
comunicarse con sistemas distintos a l.
Ventajas de Linux
Precio. Es una implementacin de UNX sin costo
Estabilidad
Libre de virus, es muy difcil que sea infectado por virus
Seguridad, es mucho ms seguro que otros servidores
Compatibilidad, reconoce la mayora de los otros sistemas operativos en una red
Velocidad, es mucho ms veloz para realizar las tareas
Posee el apoyo de miles de programadores a nivel mundial
El paquete incluye el cdigo fuente, lo que permite modificarlo de acuerdo a las
necesidades del usuario
Se puede usar en casi cualquier computadora, desde una 386
Puede manejar mltiples procesadores. ncluso hasta 16 procesadores
Maneja discos duros de hasta 16 TeraBytes
Soporta acceso remoto
Soporte nativo de TCP/P (Fcil conexin a nternet y otras redes)
Desventajas de Linux
Carencia de soporte tcnico.
nconvenientes de hardware, no soporta todas las plataformas, y no es compatible con
algunas marcas especficas.

Sistema
Operativo
Conectividad Confiabilidad Estabilidad Escalabilidad
Multi-
usuario
Multi-
plataforma
POSX Propietario
UNX Excelente Muy Alta Excelente Muy Alta Si Si Mltiple Si Si
Windows
NT
Muy Buena Baja Regular Media nseguro Parcial Limitada Si
Netware Excelente Alta Excelente Alta Si Si No Si
Linux Excelente Muy Alta Excelente Muy Alta Si Si Mltiple Si No
Tabla No.1 Comparacin de las Caractersticas Generales de los Sistemas
Operativos
Sistema Operativo Propietario Precio
UNX
Mac OS X Server 10.2
Apple
US $499.00 (10 usuarios)
US $999.00 (sin limite de usuarios)
Windows 2000 Advanced
Server
Microsoft
US $809 (5 usuarios)
US $1,129 (10 Usuarios)
Netware 6.0 Novell
US $1,395 (5 usuarios)
US $47,995 (1000 usuarios)
Linux Red Hat 8.0
Gratis o sobre US $49.95 para una
distribucin en CD-ROM
Tabla No.2 Precio de Algunas Versiones de los Sistemas Operativos
Sistema
Operativo
Seguridad
UNX
Realiza un proceso denominado ingreso (login). Cada archivo en UNX
tiene asociados un grupo de permisos. Hay que ''autentificarse'', o
identificarse como un usuario autorizado de la mquina. UNX reconoce
tres tipos diferentes de individuos: primero, el propietario del archivo;
segundo, el "grupo"; por ltimo, el "resto" que no son ni propietarios ni
pertenecen al grupo, denominados "otros".
Windows NT
El usuario debe tener su cuenta asignada y una contrasea para poder
tener acceso al sistema. El sistema est protegido del acceso ilegal a las
aplicaciones en las diferentes configuraciones. Ofrece la deteccin de
intrusos. Permite cambiar peridicamente las contraseas.
No permite criptografa de llave pblica ni privada.
Netware
Brinda la posibilidad de asignar diferentes permisos a los diferentes tipos
de usuarios. Permite detectar y bloquear intrusos.
Algunas versiones no permiten criptografa de llave pblica ni privada.
Linux
Presenta las mismas caractersticas que UNX lo que lo hace mucho ms
seguro que otros servidores.
Tabla No.3 Comparacin de la Seguridad de los Sistemas Operativos
LNUX RED HAT 8.0
Red Hat puso en el mercado la versin 8.0 de su sistema operativo de fuente
abierta que ofrece un interfaz grfico ms agradable. El nuevo interfaz de
Bluecurve, basado en Gnome 2,0, ofrece temas, barras, mens y muchas ms
nuevas opciones grficas. La nueva versin tambin contiene un buen nmero
de aplicaciones actualizadas incluyendo la suite de fuente abierta para la oficina,
Open Office, as como el cliente de E-mail Evolution, y el browser Mozilla 1.0.1.
Tambin se incluye una suite de herramientas de configuracin para configurar
diversos servicios del sistema incluyendo los servidores de Apache, samba,
ajustes de la red, firewall, y los perifricos. La compaa tambin ha incluido
versiones mejoradas de su compilador de C y del kernel del sistema operativo.
Herramientas Bsicas De Seguridad En Red Hat
Mdulos de Autentificacin Conectables (PAM)
Los programas que ofrecen privilegios a los usuarios deben autentificar (verificar
la identidad de) adecuadamente cada usuario. Al iniciar una sesin en un
sistema, el usuario proporciona su nombre de usuario y contrasea y el
procedimiento de inicio de sesin usa el nombre de usuario y la contrasea para
autentificar el inicio de sesin para verificar que el usuario es quien dice ser. Son
posibles otras formas de autentificacin adems de las contraseas.
Los Pluggable Authentication Modules (PAM) son una manera de permitir que el
administrador de sistema establezca una poltica de autentificacin sin tener que
recompilar programas de autentificacin.
Las ventajas de PAM
Cuando se usa correctamente, PAM provee muchas ventajas para un
administrador de sistema, como las siguientes:
Un esquema de autentificacin comn que se puede usar con una gran variedad de
aplicaciones.
PAM puede ser ejecutado con varias aplicaciones sin tener que recompilar las
aplicaciones para soportar PAM especficamente.
Gran flexibilidad y control sobre la autentificacin para el administrador y para el
desarrollador de aplicaciones.
Los desarrolladores de aplicaciones no necesitan desarrollar su programa para usar un
determinado esquema de autentificacin. En su lugar, pueden concentrarse puramente en los
detalles de su programa.
Kerberos
Kerberos era el perro de tres cabezas de la mitologa griega que por ser quien
cuidaba las puertas del infierno, representa seguridad.
Kerberos Es un servicio de autenticacin desarrollado en MT (Massachusetts
nstitute of Technology) en colaboracin con BM y con Digital Equipment
Corporation y diseado por Miller y Neuman en el contexto del Proyecto Athena
en 1987. Esta basado en el protocolo de distribucin de claves presentado por
Needham y Schroeder en 1978.
El objetivos principal de Kerberos es el de proporcionar un sistema de
autenticacin entre clientes y servidores que evite que las passwords de los
usuarios viajen continuamente por la red. El sistema se basa en una serie de
intercambios cifrados, denominados "tickets" o vales, que permiten controlar el
acceso desde las estaciones de trabajo a los servidores. Kerberos proporciona,
asimismo, una serie de verificaciones criptogrficas para garantizar que los
datos transferidos entre estaciones y servidores no estn corrompidos, bien por
accidente o bien por ataques intencionados.
Fig.1 Funcionamiento de Kerberos
Por qu no se usa en todas las redes?
Kerberos elimina una amenaza de seguridad comn pero debido a que se deben
configurar y sincronizar algunos parmetros puede ser difcil de implementar.
Tripwire
El software Tripwire puede ayudar a asegurar la integridad de ficheros y
directorios de sistema esenciales identificando todos los cambios hechos a ellos.
Las opciones de configuracin de Tripwire incluyen la capacidad de recibir
alertas por medio de correo electrnico si hay ficheros especficos que han sido
modificados y el control de integridad automatizado a travs de un trabajo cron.
El uso de Tripwire para detectar intrusiones y fijar daos le ayuda a mantenerlo
al tanto de los cambios del sistema y puede agilizar el restablecimiento de una
entrada forzada reduciendo el nmero de ficheros que hay que restablecer para
reparar el sistema. Compara los ficheros y directorios con una base de datos de
la ubicacin de los ficheros, las fechas en que han sido modificados y otros
datos. Tripwire genera la base tomando una instantnea de ficheros y directorios
especficos en estado conocido como seguro. (Para mxima seguridad, Tripwire
debera ser instalado y la base debera ser creada antes que el sistema sea
expuesto al riesgo de intrusin.) Despus de haber creado la base de datos de
base, Tripwire compara el sistema actual con la base y proporciona informacin
sobre cualquier modificacin, aadidura, o supresin.
SSH
SSH (o Secure SHell) es un protocolo para crear conexiones seguras entre dos
sistemas. Usando SSH, la mquina del cliente inicia una conexin con una
mquina de servidor. SSH proporciona los siguientes tipos de proteccin:
Despus de la conexin inicial, el cliente puede verificar que se est conectando al
mismo servidor durante sesiones ulteriores.
El cliente puede transmitir su informacin de autentificacin al servidor, como el nombre
de usuario y la contrasea, en formato cifrado.
Todos los datos enviados y recibidos durante la conexin se transfieren por medio de
encriptacin fuerte, lo cual los hacen extremamente difcil de descifrar y leer.
El cliente tiene la posibilidad de usar X11 aplicaciones lanzadas desde el indicador de
comandos de la shell. Esta tcnica proporciona una interfaz grfica segura (llamada reenvo por
X11).
El servidor tambin obtiene beneficios por parte de SSH, especialmente si
desempea una cierta cantidad de servicios. Si usa el reenvo por puerto, los
protocolos que en otros casos seran considerados inseguros (POP, por
ejemplo) se pueden cifrar para garantizar comunicacin segura con mquinas
remotas. SSH hace relativamente sencilla la tarea de cifrar tipos diferentes de
comunicacin que normalmente se enva en modo inseguro a travs de redes
pblicas.
Uso de Apache como servidor Web Seguro (https)
La combinacin del servidor Apache World Wide Web (WWW o Web) con el
mdulo de seguridad mod_ssl y con las libreras y el kit de herramientas
OpenSSL proporcionados por Red Hat Linux, es lo que se conoce como secure
Web server o simplemente como servidor seguro.
El servidor Web Apache est diseado de forma modular; consiste en muchas
porciones de cdigo que hacen referencia a diferentes aspectos o
funcionalidades del servidor Web. Esta modularidad es intencionada, con lo cual,
cada desarrollador puede escribir su propia porcin de cdigo para cubrir una
necesidad en particular. Su cdigo, llamado mdulo, puede ser integrado en el
servidor Web
Apache con relativa facilidad.
El mdulo mod_ssl es un mdulo de seguridad para el Servidor Web Apache. El
mdulo mod_ssl usa las herramientas suministradas por el OpenSSL Project
para aadir una caracterstica muy importante al Apache, la posibilidad de
encriptar las comunicaciones. A diferencia de las comunicaciones entre un
navegador y un servidor web usando HTTP "normal", en la que se enva el texto
ntegro, pudiendo ser interceptado y ledo a lo largo del camino entre servidor y
navegador.
El OpenSSL Project incluye un kit de herramientas que implementa los
protocolos SSL (Secure Sockets Layer) y TLS (Transport Layer Security), as
como una librera de codificacin de propsito general. El protocolo SSL se usa
actualmente para la transmisin de datos segura sobre nternet; El protocolo
TLS es un estndar de nternet para comunicaciones privadas (seguras) y
fiables a travs de
nternet. Las herramientas OpenSSL son usadas por el mdulo mod_ssl para
aportar seguridad en las comunicaciones Web.
Requerimientos Mnimos De nstalacin
Procesador: Pentium-class
RAM: 32MB para modo texto; 128MB para modo grfico
Disco Duro: 650MB de espacio
Monitor: SVGA (1024x768) para ambiente grfico
CD ROM: 12x o superior que soporte auto inicializacin
Requerimientos Recomendados
Procesador: Pentium-class 200 MHz o superior
RAM: 192MB para modo grfico
Disco Duro: 2.5GB de espacio; 4.5GB para instalacin completa
Monitor: SVGA (1028x1024) para ambiente grfico
CD ROM: 32x con auto inicializacin
-) Tecnolo#.as de se#ridad
Firewalls
Qu es un firewall?
"Un firewall es un sistema o grupo de sistemas que establece una poltica de
control de acceso entre dos redes".
Tienen las siguientes propiedades:
Todo el trfico de adentro hacia afuera, y viceversa debe pasar a travs de l.
Slo el trfico autorizado, definido por la poltica de seguridad es autorizado para pasar
por l.
El sistema es realmente resistente a la penetracin.
Trfico en nternet
Cuando nos referimos a que todo el trfico de adentro hacia afuera y viceversa,
debe pasar por un firewall, esto es respecto al protocolo TCP/P. Para controlar
el trfico de TCP/P se debe tener una clara idea de cmo funciona el protocolo.
Un Protocolo es una descripcin formal de cmo sern intercambiados los
mensajes y las reglas que deben seguir dos o ms sistemas para transferirlos de
tal forma que ambos puedan entenderse.
TCP (Protocolo de transmisin de datos), divide los datos en partes, llamados
paquetes, y le da a cada uno un nmero. Estos paquetes pueden representar
texto, grficas, sonido o vdeo; o cualquier elemento que la red pueda transmitir.
La secuencia de nmeros ayuda a asegurar que los paquetes puedan ser re
ensamblados una vez recibidos. Entonces cada paquete consiste en contenido,
o datos, y la informacin que el protocolo necesita para hacerlo funcionar,
llamado protocolo encabezado.
Software
SPX
Es la arquitectura de seguridad desarrollada por Digital E. C. y propuesta para
su eleccin como estndar dentro de la iniciativa DCE del llamado "Grupo de
Gibraltar". Usa claves asimtricas RSA certificadas segn la norma X.509
combinadas con el uso de DES como algoritmo de cifrado con claves de sesin.
Al igual que Kerberos dispone de un centro de autenticacin ante el que se
identifican los usuarios (LEAF: Login Enrollment Agent Facility). El otro
componente bsico es un Centro de Distribucin de Certificados (CDC) que
gestiona un repositorio con los certificados de las claves pblicas de clientes y
servidores.
El proceso de autenticacin se basa en el uso inicial de una clave privada RSA
por parte del usuario que se autentica, esta clave se sustituye por una clave
temporal llamada clave de delegacin disminuyendo la exposicin de la clave
privada del usuario.
El uso de una jerarqua de certificados de clave pblica permite solucionar los
problemas de escalabilidad que presenta Kerberos.
PSec
Es una extensin del protocolo P. Proporciona servicios criptogrficos de
seguridad basados en estndares definidos por el ETF como control de acceso,
integridad, autenticacin del origen de los datos, confidencialidad. Proporciona
encriptacin y autenticacin a nivel de red. Es transparente al usuario ya que no
se tienen que modificar los sistemas finales. Los paquetes tienen la misma
apariencia que un paquete P corriente. Combina distintas tecnologas: Diffie
Hellman, encriptacin clave pblica, DES, funciones hash, certificados digitales,
entre otros.
Utiliza los Protocolos de seguridad:
AH (Authentication Header): ntegridad y autenticacin de origen (HMAC, MD5, SHA1)
ESP (Encapsulating Security Payload): Confidencialidad (DES, 3DES, RC5, DEA)
AH y ESP proporcionan control de acceso. Pueden ser aplicados solos o en combinacin
para proporcionar la seguridad deseada
Dentro de Gestin de claves:
KE (nternet Key Exchange): Establece la comunicacin segura (Security Association y
clave DH)
Modos de funcionamiento
Modo transporte: es el host el que genera los paquetes. Solo se encriptan los datos, la
cabecera intacta aade pocos bytes. Permite ver las direcciones de origen y de destino.
Modo tnel: uno de los extremos de la comunicacin es un gateway. El paquete P se
encripta entero, para el sistema final el paquete es transparente
Firewalls internos
Alguien fuera de la empresa podra solicitar cierta informacin, pero no
necesariamente necesita accesar a toda la informacin interna. En estas
circunstancias, los firewalls juegan un papel importante forzando polticas de
control de acceso entre redes confiables protegidas y redes que no son
confiables.
En una WAN que debe ofrecer conexin de cualquier persona a cualquiera,
otras formas en el nivel de aplicacin pueden ser implementadas para proteger
datos importantes. Sin embargo, separar las redes por medio de firewalls reduce
significativamente los riesgos del ataque de un hacker desde adentro, esto es
acceso no autorizado por usuarios autorizados. Agregando encriptacin a los
servicios del firewall lo convierte en una conexin firewall a firewall muy segura.
Esto siempre permite redes grandes interconectadas por medio de internet.
Agregando autenticacin se puede aumentar el nivel de seguridad. Por ejemplo
un vendedor que necesite ver la base de datos del inventario, tendr que
comprobar que es l.
Servidores proxy
Un servidor proxy (algunas veces se hace referencia a l con el nombre de
"gateway" - puerta de comunicacin - o "forwarder" - agente de transporte -), es
una aplicacin que media en el trfico que se produce entre una red protegida e
nternet. Los proxies se utilizan a menudo, como sustitutos de routers
controladores de trfico, para prevenir el trfico que pasa directamente entre las
redes. Muchos proxies contienen logins auxiliares y soportan la autentificacin
de usuarios. Un proxy debe entender el protocolo de la aplicacin que est
siendo usada, aunque tambin pueden implementar protocolos especficos de
seguridad (por ejemplo: un proxy FTP puede ser configurado para permitir FTP
entrante y bloquear FTP saliente). Los servidores proxy, son aplicaciones
especficas. Un conjunto muy conocido de servidores proxy son los TS nternet
Firewall Toolkit "FWTK", que incluyen proxies para Telnet, rlogin, FTP, X-
Windows, http/Web, y NNTP/Usenet news. SOCKS es un sistema proxy
genrico que puede ser compilado en una aplicacin cliente para hacerla
trabajar a travs de un Firewall.
Hardware
Routers de Seleccin
Muchos routers comerciales proporcionan la capacidad de seleccionar paquetes
con base a criterios como el tipo de protocolo, los campos de direccin de origen
y direccin de destino para un tipo particular de protocolo y los campos de
control que son parte del protocolo. A esos routers se les llama routers de
seleccin. Estos pueden proporcionar un mecanismo poderoso para controlar el
tipo de trfico de red que puede existir en cualquier segmento de una red. Al
controlar ese tipo de trfico, los routers de seleccin pueden controlar el tipo de
servicios que pueden existir en un segmento de red. Por lo tanto, pueden
restringirse servicios que pueden poner en peligro la seguridad de la red.
Los routers de seleccin pueden discriminar entre el trfico de red con base en
el tipo de protocolo y en los valores de los campos del protocolo en el paquete. A
la capacidad del router para discriminar entre paquetes y restringirlos en sus
puertos con base en criterios especficos de protocolo se le denomina filtracin
de paquetes. Por esta razn, los routers de seleccin son llamados tambin
routers de filtracin de paquetes. Fabricantes de routers como Cisco, Wellfleet,
3COM, digital, Newbridge, ACC y muchos otros proporcionan routers que
pueden programarse para desarrollar funciones de filtracin de paquetes. La
filtracin de paquetes se hace para restringir el trfico de red para los servicios
que habrn de rechazarse.
Routers como Firewalls
El Router es un tipo especial de switch el cual realiza el trabajo de hacer las
conexiones externas y convertir el protocolo P a protocolos de WAN y LAN. Los
paquetes de datos transmitidos hacia internet, desde un visualizador de una PC,
pasarn a travs de numerosos ruteadores a lo largo del camino, cada uno de
los cuales toman la decisin de hacia donde dirigir el trabajo.
Los ruteadores toman sus decisiones basndose en tablas de datos y reglas, por
medio de filtros, as que, por ejemplo, slo datos de una cierta direccin pueden
pasar a travs del ruteador, esto transforma un ruteador que puede filtrar
paquetes en un dispositivo de control de acceso o firewall. Si el ruteador puede
generar un registro de accesos esto lo convierte en un valioso dispositivo de
seguridad.
Si el servidor de internet solicita informacin, o bien la suministra hacia sistemas
de bases de datos distribuidas, entonces esta conexin entre el servidor y la
estacin de trabajo debera ser protegida.
Firewalls con Encriptacin
Algunos firewalls proveen servicios de seguridad adicionales. Como encriptacin
y desencriptacin, ambas deben usar sistemas compatibles de encriptacin.
Existen varios fabricantes que ofrecen dichos sistemas. Encriptacin de firewall
a firewall es la forma que se usa en el nternet de hoy. Verificar la autenticidad
del usuario as como el sistema que est usando tambin es importante, y los
firewalls pueden hacerlo, usando tarjetas inteligentes, fichas y otros mtodos.
Las firewalls, pueden incluso proteger otras redes exteriores. Una compaa
puede aplicar las mismas restricciones de trfico, mejorado con autenticacin.
/) T0cnicas de $ro!ecci"n
Aplicacin Gateway
Para contar algunas de las debilidades asociadas con el ruteador de filtrado de
paquetes, los desarrolladores han creado aplicaciones de software que
adelantan y filtran conexiones para servicios tal como telnet y ftp. Las
aplicaciones referidas son servidores proxy, tambin conocido como aplicacin
gateway. Las mquinas host corriendo los servidores proxy se conocen como
firewalls de aplicacin gateway. Trabajando junto, firewalls de aplicacin
gateway y el ruteador de filtrado de paquetes pueden potencialmente dar ms
altos niveles de seguridad y flexibilidad que una sola. Por ejemplo, considera un
sitio que bloquea todas las conexiones de gateway telnet y ftp que usan un
ruteador de filtrado de paquetes permite a los paquetes de telnet y ftp ir a un
host solamente. Un usuario quien desea conectarse a travs del sistema debe
tener que conectar primero a la aplicacin gateway, y entonces al host de
destino. Los firewalls de aplicacin gateway nicamente permiten esos servicios
para cuales hay un proxy. En otras palabras, si un gateway de aplicacin
contiene proxy para ftp y telnet, entonces solo ftp y telnet puede permitirse en la
subred protegida y todos los otros servicios son completamente bloqueados.
Para algunos sitios, este grado de seguridad es importante, como garantiza que
slo los servicios considerados confiables se permiten mediante el firewall. Esto
tambin previene que otros servicios intrusos estn siendo implementados a
espaldas de los administradores del firewall.
Las aplicaciones gateway ofrecen un nmero de ventajas generales sobre el
modo default de permitir que la aplicacin trafique directamente para hosts
internos. Estas ventajas incluyen:
Ocultamiento de la informacin. Los nombres de sistemas internos no necesariamente
necesitan ser conocidos por medio del DNS para los sistemas externos, desde la aplicacin
gateway puede ser el host el nico cuyo nombre debe hacerse conocido afuera de los sistemas.
Robusta autenticacin y registro. La gateway puede autentificar el trfico de la aplicacin
antes que este llegue a los hosts internos. El trnsito puede entonces ser registrado ms
efectivamente que con el registro estndar del host.
Costo - eficacia. La tercera parte de software o hardware para la autenticacin o registro
necesario puede ser ubicada slo en la aplicacin gateway.
Menos complejas las reglas de filtrado. Las reglas en el ruteador de filtrado de paquetes
sern menos complejas que aquellas que seran si el ruteador necesitara el filtrar el trfico de la
aplicacin y dirigir ste a un nmero de sistemas especficos. El ruteador necesita solo permitir
trfico destinado para la aplicacin gateway y rechaza el resto.
El Monitoreo De Paquetes
Otro punto de vista que gana aceptacin es la inspeccin de paquetes que no
slo los filtra, esto es, considerar su contenido tanto como sus direcciones. Los
firewalls de este tipo emplean una inspeccin de mdulos, aplicable a todos los
protocolos que comprenden los datos de los paquetes destinados desde el nivel
network (P) hasta el nivel de aplicacin. Esta estrategia puede proveer
seguridad sensitiva al contexto para complejas aplicaciones y puede ser ms
efectiva que la tecnologa que slo tiene acceso a los datos en ciertos niveles.
Por ejemplo las aplicaciones gateway slo acceden a los datos de nivel
aplicacin, los ruteadores tienen acceso solamente a niveles bajos, el enfoque
de la inspeccin de paquetes integra toda la informacin reunida de todos los
niveles en un simple punto de inspeccin.
Algunos firewall de inspeccin tambin toman en cuenta el estado de la
conexin, por ejemplo, la legtima entrada de paquetes puede ser probada con la
peticin de salida para ese paquete y se le permite entrar. Por el contrario, un
paquete de entrada se enmascara con su respuesta a una inexistente peticin
de salida, este ser bloqueado. Esto lleva el enfoque de tan llamado estado
(stateful) ms all del filtrado de paquetes. La inspeccin de mdulos usa
previas comunicaciones para derivar el estado actual de la comunicacin que se
est realizando. El filtrado inteligente puede efectivamente combinarse con la
habilidad del rastreo de la sesin de red. Para usar la informacin acerca del
inicio y fin de la sesin en la decisin de filtrado. Esto es conocido como filtrando
sesin (sesin filtering). Los filtros usan reglas inteligentes, as aumenta el
proceso de filtrado y controlando el rastreo de sesiones de la network que
controla los paquetes individuales.
Firewalls Hbridos
En la prctica, muchos de los firewalls comerciales de hoy usan una
combinacin de estas tcnicas. Por ejemplo, un producto que se origin como
un firewall filtrador de paquetes puede haber sido mejorado con filtrado
inteligente a nivel de aplicacin. Las aplicaciones proxy en reas establecidas
como ftp pueden agregar una inspeccin de filtrado en base a su esquema.
Nota: Agregando los mtodos de seguridad no significa necesariamente un
aumento en la seguridad. Los mecanismos adicionales pueden aumentar,
disminuir, o dejar establecida la postura de seguridad del firewall.
1) Consideraciones !0cnicas
Particiones Del Disco Duro
Definicin de la Particin de Discos
Particin nica
Mltiples Particiones en un slo disco
Mltiples Discos con una particin por disco
Mltiples Discos con mltiples particiones por disco
Cuntas particiones?
Llegados a este punto en el proceso de preparacin de la instalacin de Red Hat
Linux, tendr que considerar el nmero y el tamao de las particiones que sern
utilizadas por el nuevo sistema operativo. Le aconsejamos crear, a menos que
no tenga una razn para hacerlo de forma distinta, las particiones siguientes:
Particin swap: Las particiones swap son utilizadas para soportar la memoria virtual. En
otras palabras, los datos son escritos en la swap cuando no hay bastante memoria disponible
para contener los datos que su ordenador est procesando. Si su ordenador tiene 16 Megas de
RAM o incluso menos, tiene que crear una particin swap. Tambin si tiene ms memoria, se
recomienda la utilizacin de una particin swap. El tamao mnimo para una particin de swap
tendra que ser igual a la cantidad de memoria RAM presente en su ordenador, o por lo menos
16MB (entre las dos se aconseja elegir la cantidad mayor).
Una /boot particin: La particin que se crea bajo /boot contiene el kernel del sistema
operativo (que permite el arranque de su sistema con Red Hat Linux), junto con algunos ficheros
utilizados durante el proceso de arranque. Debido a las limitaciones de la mayora de BOSes de
PCs, es una buena idea crear una particin pequea para estos ficheros. Esta particin no
debera superar los 32 MB.
Particin root (/): La particin root es donde se encuentra / (el directorio de root). En esta
configuracin de las particiones, todos los ficheros (excepto los que residen en /boot) estn en la
particin de root. Por ello sera una buena eleccin hacer lo ms grande posible el tamao de su
particin de root. Una particin root de 1.2 GB es equivalente a la que es instalada por una
instalacin de clase estacin de trabajo (con poqusimo espacio libre), mientras que una particin
root de 2.4 GB le permitir instalar todos los paquetes. Es obvio que cuanto ms espacio pueda
darle a la particin root mejor.
Arreglo de Discos Duros
RAD
Los discos duros son menos eficaces que el rendimiento general del sistema,
provocando una descompensacin entre el tratamiento de la informacin del
sistema (muy rpido) y la lectura grabacin de datos en el disco duro (muy
lenta). Para ello se invento un sistema para guardar informacin en varios discos
duros a la vez por lo que el acceso se hace mas rpido ya que la carga se
distribua entre los diferentes discos duros, a esto se le llamo RAD Redundant
Arrays of nexpensive Disks (Arreglo redundante de discos baratos).
Los arreglos RAD se pueden lograr en dos formas: por hardware y por software.
Los arreglos basados en software ocupan memoria y consumen ciclos del CPU.
Como compiten con las dems aplicaciones de la computadora, degradan el
desempeo total del host. En arreglos por hardware el CPU se puede encargar
de las aplicaciones mientras el procesador del arreglo se encarga de sus propias
funciones al mismo tiempo. Adems no ocupa memoria ni depende del sistema
operativo.
Niveles de RAD
RAD-0 RAD nivel 0 no es redundante, o sea que no es tolerante a fallas y en
realidad no va de acuerdo con las especificaciones "RAD". En este nivel,
los datos estn repartidos en los diferentes discos, lo cual nos da una alta
transferencia de datos. Como no se graba ningn tipo de informacin
redundante, el desempeo es muy bueno, sin embargo una falla en
cualquier disco significa la perdida total de la informacin. Este nivel es
comnmente referido como "Striping".
RAD-1 RAD nivel 1 nos provee de informacin redundante ya que graba todos
los datos en dos o ms discos. El desempeo del nivel 1 tiende a ser ms
rpido en lectura y ms lento en escritura comparado con la de un slo
disco. Sin embargo, si un disco falla no se pierde la informacin. Este es
un buen sistema redundante bsico, ya que slo requiere de dos discos
duros; sin embargo, un disco es usado para duplicar los datos, lo cual
significa que se pierde un 50% de capacidad y que el costo por MB es
muy alto. Por ejemplo dos discos de 30GB cada uno, dara un total de
30GB de espacio utilizable en vez de 60GB si no se hace este arreglo. A
este nivel se le conoce como "Mirroring" (Espejo).
RAD-2 RAD nivel 2 usa correccin de errores segn el cdigo Hamming, y est
pensado para discos que no tienen correccin de errores integrada.
Todos los discos duros SCS tienen correccin de errores integrada, de
manera que no hay mucho uso para este nivel si usas discos SCS.
RAD-3 RAD nivel 3 graba los datos a nivel de bytes entre varios discos,
grabando la paridad en un slo disco. Es similar al arreglo de nivel 4 y
requiere de un hardware especial.
RAD-4 RAD nivel 4 graba los datos a nivel de blocks entre varios discos,
grabando la paridad en uno slo. La paridad permite recuperar los datos
en caso de que algn disco falle. El desempeo de nivel 4 es muy bueno
para lecturas. La escritura es ms lenta pues requiere la grabacin
adicional de la paridad. El costo por MB no es tan caro ya que slo un
disco graba la paridad.
RAD-5 RAD nivel 5 es similar al nivel 4, pero distribuye la informacin de paridad
entre todos los discos. Esto hace que la grabacin de datos pequeos en
sistemas multiproceso sea ms rpida, ya que el disco de paridad ya no
es el cuello de botella. La lectura de informacin es un poco ms lenta
que en el nivel 4 ya que la paridad debe ser leda de varios discos. El
costo por MB es igual al del nivel 4.
Soluciones hbridas o alternativas
Hay otros tipos de arreglos que son hbridos o variaciones de RADs estndar.
Muchos de estos RADs han sido definidos por marcas como Compaq o BM.
RAD-10 Este arreglo es un hbrido entre RAD-0 "Striping" y RAD-1 "Mirroring".
Es pues un mirror de dos RAD-0, o un RAD-1 de dos RAD-0. De esta forma
tienes un backup completo del RAD-0 y garantizas la integridad de datos.
RAD-7 Definido por Compaq e BM como "Hotspare", es un arreglo RAD-5 al
que se le agrega un disco extra que slo entra a funcionar automticamente
cuando uno de los discos del arreglo falla.
Proteccin Fsica Del Servidor
En esta parte no se pretende dar especificaciones sobre el diseo de edificios
resistentes a terremotos, ni complicadas alarmas de seguridad electrnica, ya
que cada sitio es diferente y por tanto lo son tambin sus necesidades de
seguridad; de esta forma, no se pueden dar recomendaciones especficas sino
pautas generales a tener en cuenta, que pueden variar desde el simple sentido
comn (como es el cerrar con llave el cuarto de servidores cuando salimos de l)
hasta medidas mucho ms complejas, como la prevencin de radiaciones
electromagnticas de los equipos o la utilizacin de degaussers. En entornos
habituales suele ser suficiente con un poco de sentido comn para conseguir
una mnima seguridad fsica. El conocimiento y anlisis de estas pautas es
responsabilidad de todo Administrador de sistemas informticos por lo que han
sido incluidas para ser ledas detenidamente (Anexo 2).
La "seguridad fsica" de los sistemas son todas aquellas medidas y mecanismos
de proteccin y deteccin que sirven para proteger cualquier recurso del
sistema, desde un simple teclado hasta un disco de backup con toda la
informacin que hay en el sistema, pasando por la propia CPU de la mquina.
Se dividen en varias categoras:
o
o Proteccin del hardware
Acceso fsico
Prevencin
Deteccin
Desastres naturales
Terremotos
Tormentas elctricas
nundaciones y humedad
Desastres del entorno
Electricidad
Ruido elctrico
ncendios y humo
Temperaturas extremas
o Proteccin de los datos
Eavesdropping
Backups
Otros elementos
o Radiaciones electromagnticas
2) Conclsiones
Todos los Sistemas Operativos analizados en el presente trabajo representan
opciones viables para la implementacin de seguridad en los servidores. Red
Hat Linux es un Sistema Operativo que debe considerarse seriamente ya que
presenta numerosas ventajas, adems de lo econmico de su adquisicin, las
herramientas de seguridad que incluye hacen factible su configuracin como
servidor Web.
Los Requerimientos de Hardware para la nstalacin de Red Hat son otra
ventaja en la utilizacin de este Software ya que demanda pocos recursos para
un funcionamiento ptimo. Por tanto los costos de adquisicin de Hardware
disminuyen considerablemente en relacin a otro Sistema Operativo. Aunque
debe verificarse la Lista de Compatibilidad de Hardware previamente a su
adquisicin Anexo 3.
Las tcnicas de proteccin estudiadas son soluciones eficientes a los problemas
de seguridad, ya que son una combinacin de Hardware y Software capaces de
detectar, prevenir y atenuar cualquier situacin de peligro para el sistema. La
decisin sobre su implantacin al sistema est en dependencia de las
necesidades de la empresa o del grado de seguridad que se desee adquirir.
7Agregando mtodos de seguridad no significa necesariamente un aumento en
la seguridad".
Para un desempeo ptimo del servidor deben tomarse muy en cuenta las
consideraciones tcnicas enunciadas ya que proporcionan un incremento en el
rendimiento del sistema segn las caractersticas de ste. Debe darse mucha
importancia a la "seguridad fsica" del sistema ya que si no se analizan los
factores fsicos que puedan ocurrir todos los esfuerzos por asegurar un sistema
con la tecnologa ms eficiente no van a servir de nada; se debe pensar ms all
de las maneras elementales de sobrepasar los mtodos de seguridad, no se
debe poner nfasis en una sola manera en que el sistema puede ser atacado.
Recomendaciones
La seguridad de un sistema no slo est en dependencia de la calidad del
software o del hardware que se utiliza, es parte fundamental seguir ciertas
recomendaciones que garantizarn la verdadera seguridad de los sistemas.
El desarrollo de polticas de seguridad
Cualquier poltica de seguridad debera estar construida con estas
caractersticas como pautas:
Sencilla y no compleja, mientras ms sencilla y clara la poltica de seguridad, ms fcil
ser que las pautas sean respetadas y el sistema permanezca seguro.
Fcil de mantener y no difcil, como todo, los mtodos y herramientas de
seguridad pueden cambiar dependiendo de necesidades y retos nuevos. La poltica de seguridad
debera construirse con un enfoque hacia la minimizacin del impacto que los cambios tendrn
en su sistema y en sus usuarios.
Promover la libertad a travs de la confianza en la integridad del sistema en vez de
una sofocante utilizacin de sistema, evitar mtodos y herramientas de seguridad que limiten
innecesariamente la utilidad del sistema. Los mtodos y herramientas de seguridad de calidad
son casi siempre una ventaja segura y ofrecen ms elecciones a los usuarios cada vez que sea
posible.
El reconocimiento de la falibilidad en vez de una falsa sensacin de seguridad, una de
las maneras ms exitosas de atraer un problema de seguridad es a travs de la creencia que el
sistema no podra tener un problema como ese. En vez de dormirse en los laureles, hay que
estar siempre alerta.
El enfoque debera estar en los problemas reales en vez de en problemas tericos.
Emplear tiempo y esfuerzo ocupndose de los problemas reales ms grandes y luego proseguir
con los menores.
La inmediatez en vez de la desidia, resolver los problemas como vayan surgiendo y
determinar que equivalen a un riesgo. No creer que es posible ocuparse del problema ms tarde.
En realidad no hay mejor momento que ahora mismo, especialmente cuando se trata de una
amenaza a la incolumidad del sistema.
La importancia de contraseas seguras
Una buena contrasea debe tener las siguientes cualidades:
Tener por lo menos ocho caracteres
Estar hecha de caracteres, nmeros y smbolos
Ser nica
Se deben evitar contraseas que:
sean palabras que se encuentran en el diccionario
tengan que ver con sus datos personales
no pueda ser escrita rpidamente
3) Bi'lio#ra4.a
Gibbs Mark. Redes Para Todos. Editorial Prentice Hall. Primera Edicin. Ao 1997.
Mxico.
Harvey. M. Deitel. ntroduccin a los Sistemas Operativos. Editorial Addison-Wessley.
Segunda Edicin. Ao 1993. E.U.A.
Official Red Hat Linux 8.0 nstallation Guide
Sheldon Tom. Novell NetWare Manual De Referencia. Editorial McGraw-Hill. Primera
Edicin. Ao 1992. Mxico
Siyan Karanhit. Windows NT Server Professional Reference. Editorial New Riders. Ao
1995. E.U.A.
Tackett Jack, Gunter David & Brown Lance. Edicin Especial Linux. Editorial Prentice
Hall. Primera Edicin. Ao 1996. Mxico.
Tanenbaum Andrew. S. Redes de Computadoras. Editorial Prentice Hall. Tercera
Edicin. Ao 1997. Mxico.
Tanenbaum Andrew. S. Sistemas Operativos Modernos. Editorial Prentice Hall. Primera
Edicin. Ao 1995. Mxico.
Travis Dewire Dawn. Client/Server Computing. Editorial Mc Graw-Hill. Primera Edicin.
Ao 1993. E.U.A.
FRANCO, J.P., SARASA L., M.A. Criptografa Digital. Prensas Universitarias de
Zaragoza, 1 Edicin, 1998.
SCHNEER, B. Criptograma. Nmero 20. 15 de Diciembre de 1999
5) Ane6os
Anexo 1. GLOSARO
ALGORTMO
Conjunto de reglas claramente definidas para la resolucin de una determinada
clase de problemas. La escritura de un programa es sencillamente la
elaboracin de un algoritmo adecuado para la resolucin del problema
planteado. Un programa de software es la transcripcin, en lenguaje de
programacin, de un algoritmo.
ALMACENAR
ncluir los datos en una memoria, externa o interna a la computadora, adecuada
para conservarlos. Sinnimos de este trmino son escribir, guardar, grabar y
salvar.
ANS
Siglas de American National Standard nstitute (instituto nacional americano de
estndares). Se trata de una organizacin americana que se encarga de la
formulacin de normas en diversos sectores tcnicos. En Windows es el juego
de cdigos empleado para definir los caracteres que se introducen en los
documentos.
ANTVRUS
Programa que busca y eventualmente elimina los virus informticos que pueden
haber infectado un disco rgido o disquete.
APLCACN
Es el problema o conjunto de problemas para los que se disea una solucin
mediante computadora. Ejemplos de aplicaciones son los procesadores de texto
(procesamiento o tratamiento de la palabra), las bases de datos (organizacin y
procesamiento de datos) y las hojas de clculo (organizacin y procesamiento
de nmeros). En Windows se emplea este trmino indistintamente con el de
programa.
ARCHVO
Es un conjunto de datos relacionados de manera lgica, como puede ser el
conjunto de los nombres, direcciones y telfonos de los empleados de una
empresa determinada.
ARRANCAR
Poner en marcha una computadora o un programa.
AT&T
American Telephone and Telegraph Corporation. (Corporacin Americana de
Telefona y Telegrafa.)
AU
Asociacin de usuarios de nternet.
BACKUP
Copia de seguridad. Se hace para prevenir una posible prdida de informacin.
BNARO
Es un sistema de numeracin en el que los dgitos se representan utilizando
nicamente dos cifras, 0 y 1. Como adjetivo
indica dos opciones alternativas.
BOS
Siglas de Basic nput/Output System (sistema bsico de entrada/salida). Es un
programa cargado en ROM por el fabricante que gestiona la configuracin
bsica del sistema. Entre otras cosas, se emplea para controlar los procesos de
entrada y salida entre una computadora y sus perifricos.
BOOT
(butear): cargar el sistema operativo de una computadora.
CABECERA
Encabezamiento de un impreso o documento. Tambin se aplica a la
informacin preliminar incluida al comienzo de un bloque de datos relativa al
bloque siguiente. En comunicaciones es un bloque de caracteres que indica las
caractersticas del mensaje
CD-ROM
Siglas de Compact Disc Read Only Memory (memoria de slo lectura en disco
compacto). Es un soporte de almacenamiento masivo de datos basado en los
discos compactos de audio, que registran la informacin en el disco mediante
lser. No permite la modificacin de los datos registrados.
CG
Computer Graphics. Grficos de Computador.
CG
Common Gateway nterface. nterfaz de Acceso Comn. Programas usados
para hacer llamadas a rutinas o controlar otros programas o bases de datos
desde una pgina Web. Tambin pueden generar directamente HTML.
CDGO
Es un conjunto de smbolos y reglas que sirven para representar datos de forma
que puedan ser reconocidos por una computadora.
CDGO HAMMNG
Es un sistema de deteccin y correccin automtica de errores en informacin
electrnica. De lo que se trata, explicado bsicamente, es de asociar una serie
de bits de validacin o paridad a los bits de datos, de tal forma que una
alteracin en cualquiera de esos bits de datos pueda ser detectada y corregida
adecuadamente.
COMANDO
Trmino que define una instruccin, mandato u orden dado a la computadora
mediante el cual el usuario le informa de las operaciones o tareas que quiere
realizar con su ayuda.
CONFGURACN
Es un conjunto de opciones que se seleccionan antes de empezar a trabajar con
un dispositivo y que sirven para especificar precisamente su modo de
funcionamiento, adaptndolo a las especiales condiciones de su hardware.
CONFGURAR:
Desde el punto de vista de software, se refiere a establecer, desde un programa
especial, las caractersticas de un dispositivo perifrico; desde el punto de vista
de hardware, consiste en personalizar fsicamente dichas caractersticas.
CPU
Siglas de Central Processing Unit (unidad central de proceso). Tambin llamado
procesador, es el ncleo y componente principal de una computadora y permite
controlar y procesar todas las operaciones realizadas. Parte de la computadora
que contiene el procesador central. Tambin se aplica este trmino al mismo
procesador.
CRACKER
ndividuo con amplios conocimientos informticos que desprotege/piratea
programas o produce daos en sistemas o redes.
CRC
Son las siglas de Cyclic Redundancy Control (control de redundancia cclica). Es
un mtodo de comprobar si una transmisin de datos se ha producido o no
correctamente
DATO
Es un trmino genrico empleado para designar nmeros, letras u otros
caracteres existentes en una computadora o en su memoria y sobre los cuales
actan los programas.
DATOS
Cualquier informacin que pueda ser usada para clculo, comparacin u otro
procesamiento o que requiera ser recordada para un uso futuro. Algunas veces,
se usa para referirse a registros u otra informacin involucrada en un programa a
diferencia del programa mismo.
DRECTORO RAZ
Es el directorio de nivel superior de un disco que se crea en el momento de dar
formato al disco. A partir de este directorio se pueden crear otros directorios y
subdirectorios, as como ficheros. Tambin llamado directorio principal.
DSCO
Placa recubierta de material magntico que permite almacenar informacin. Se
le llama as por su forma.
DSCO DURO
Tambin llamado disco rgido o disco fijo. Es el soporte de almacenamiento de
informacin ms utilizado en las computadoras, por su gran capacidad.
Normalmente suele ser interno a la computadora. Es un dispositivo muy delicado
formado por una serie de discos apilados uno encima del otro y acomodados en
un compartimiento estanco en los que se graban los datos.
DSCO PTCO
Es un tipo de soporte de informacin que no emplea tcnicas de grabacin
magntica. En l la lectura y escritura de datos se realiza mediante rayos de luz
lser. Tienen una capacidad de almacenamiento muy superior a la de los discos
flexibles, pero son bastante ms caros y mucho menos fiables.
DOS
Siglas de Disk Operating System (sistema operativo de disco). Es uno de los
tipos de sistema operativo ms utilizado en computadoras. Se emplea
generalmente para el control de las unidades de disco.
FCHERO
Un fichero es la unidad mnima de almacenamiento de informacin. Los archivos
son un tipo de ficheros, es decir, son ficheros que pueden albergar otros
ficheros. En general, archivo y fichero se consideran sinnimos, a excepcin del
entorno Windows, donde a los ficheros se les denomina archivos, es decir, todo
documento en Windows se almacena en un archivo. Sin embargo, en este
entorno se denomina Fichero a una utilidad incluida que es una sencilla base de
datos de dos campos.
FTP
File Transfer Protocol. Protocolo de Transferencia de Archivos. Uno de los
potocolos de tranferencia de ficheros mas usado en nternet.
HACKER
Experto en informtica capaz de de entrar en sistemas cuyo acceso es
restringido. No necesariamente con malas
intenciones.
HARDWARE
Es el trmino que indica todas las partes fsicas, elctricas y mecnicas de una
computadora. Significa literalmente "partes duras" y se emplea en contraposicin
al trmino software, que significa "partes blandas", es decir, los programas de
una computadora. A los componentes que es posible ver y tocar se les llama en
jerga computacional "hardware", palabra inglesa cuyo significado es mquina o
"cosa dura".
HEADER
Cabecera. Primera parte de un paquete de datos que contiene informacin sobre
las caractersticas de este.
HERRAMENTA
Trmino aplicado a un programa que desarrolla servicios especficos.
HPERTEXTO
Programa de generacin de documentos con un sistema de acceso que puede
jerarquizar el mismo usuario que crea el documento. Los documentos creados
con un programa de este tipo han sido habitualmente orientados a su utilizacin
en multimedia, debido a su asombrosa versatilidad.
HOST
Anfitrin. Computador conectado a nternet. Computador en general.
HTML
Hyper Text Markup Language. Lenguaje de Marcas de Hipertexto. Lenguaje
para elaborar pginas Web actualmente se encuentra en su versin 3. Fue
desarrollado en el CERN (Conseil Europeen pour la Recherche
Nucleaire.Consejo Europeo para la nvestigacin Nuclear).
HTTPS
URL creada por Netscape Communications Corporation para designar
documentos que llegan desde un servidor WWWseguro. Esta seguridad es dada
por el protocolo SSL (Secure Sockets Layer) basado en la tecnologa de
encriptacin y autentificacin desarrollada por la RSA Data Security nc.
ETF
nternet Engineering Task Force (Fuerza de Trabajo de ngeniera de nternet.)
MPLEMENTACN
Es una forma de llevar a la prctica un determinado concepto de diseo bajo
unas ciertas circunstancias.
NFORMTCA
Contraccin de NFORmacin autoMTCA. Es un campo de conocimientos que
abarca todos los aspectos relacionados con computadoras y con el tratamiento
automtico de la informacin.
NTERNET
Conjunto de redes y ruteadores que utilizan el protocolo TCP/P y que funciona
como una sola gran red. Es la red de redes. Nacida como experimento del
ministerio de defensa americano.
NTRANET
Se llaman as a las redes tipo nternet pero que son de uso interno, por ejemplo,
la red corporativa de una empresa que utilizara protocolo TCP/P y servicios
similares como WWW. P nternet Protocol. Protocolo de nternet. Bajo este se
agrupan los protocolos de internet. Tambien se refiere a las direcciones de red
nternet.
P
Protocolo nternet. Es un protocolo de bajo nivel para redes que describe la
manera cmo el usuario puede comunicarse con
los miembros nternet. Es la misma P de TCP/P
SO
nternational Standard Organization. Organizacin nternacional de Estndares.
SP
nternet Service Provider. Proveedor de Servicios nternet.
JAVA
Lenguaje de programacin orientado a objeto parecido al C++. Usado en WWW
para la telecarga y telejecucion de programas
en el computador cliente. Desarrollado por Sun microsystems, con el propsito
de mejorar las capacidades de las pginas de Web. Los programas en JAVA son
llamados Applets.
JAVASCRPT
Formalmente llamado LiveScript, este lenguaje fue desarrollado por Netscape.
Concebido despus del JAVA; su principal diferencia radica en que el programa
se halla embebido en un archivo HTML, en lugar de ser un ejecutable que se
carga cuando Ud.carga una pgina de Web.
LAN
Local Area Network. Red de Area Local. Una red de area local es un sistema de
comunicacin de alta velocidad de transmisin. Estos sistemas estn diseados
para permitir la comunicacin y transmisin de datos entre estaciones de trabajo
inteligentes, comunmente conocidas como Computadoras Personales. Todas las
PCs, conectadas a una red local, pueden enviar y recibir informacin. Como su
mismo nombre lo indica, una red local es un sistema que cubre distancias
cortas. Una red local se limita a una planta o un edificio.
LNK
Enlace. Unin. Hiperenlace. Se llama as a las partes de una pgina WEB que
nos llevan a otra parte de la misma o nos enlaza con otro servidor.
LOGN
Entrada de identificacin, conexin. gual que logon.
MAL
El correo electrnico es el servicio ms bsico, antiguo, y ms utilizado dentro
de nternet. La mensajera electrnica es el medio ms eficaz y ms rpido de
comunicacin, permite intercambiar adems de mensajes, programas, audio,
video e imgenes.
MANFRAME
Trmino ingls empleado para designar computadoras de grandes dimensiones.
MAN
Metropolitan Area Network. Red de Area Metropolitana.
MEMORA
Se designa de este modo a un rea de almacenamiento de una computadora
que contiene datos e instrucciones.
MEMORA
Aquella parte de un sistema computador, a menudo un sistema de
almacenamiento a base de ncleos magnticos, que almacena el programa y los
datos en proceso y que proporciona un acceso rpido y directo a ella. Algunas
veces, se le denomina "memoria principal" para distinguirla de los sistemas
auxiliares de almacenamiento.
MEMORA CACH
Es un tipo de memoria especial de alta velocidad que se utiliza como memoria
intermedia o buffer entre la memoria central y la CPU. Su objetivo principal es
reducir los tiempos de acceso.
MCROPROCESADOR
Es un componente electrnico de una computadora, tambin llamado circuito
integrado o chip, que contiene las partes fundamentales de una computadora y
los circuitos necesarios para que la computadora lleve a cabo sus clculos.
MDULO
Trmino referido a componentes de un programa o sistema que se pueden
identificar por separado y a los que es posible dirigirse tambin separadamente.
Es equivalente al trmino segmento.
MULTMEDA
Tratamiento informtico avanzado de las tecnologas ms recientes de sonido e
imagen que engloba e integra funciones como la animacin grfica, la
manipulacin y digitalizacin de imgenes y sonido.
MULTPROCESO
Sistema en el que se utilizan varios procesadores funcionando simultneamente
y compartiendo tanto las memorias centrales como las auxiliares y los
perifricos.
OS
Open Systems nterconnection. nterconexin de Sistemas Abiertos. Modelo de
referencia de interconexin de sistemas abiertos propuesto por la SO. Divide las
tareas de la red en siete niveles.
PACKET
Paquete Cantidad mnima de datos que se transmite en una red o entre
dispositivos. Tiene una estructura y longitud distinta segn el protocolo al que
pertenezca. Tambin llamado TRAMA.
PAP
Password Authentication Protocol. Protocolo de Autentificacion por Password.
Protocolo que permite al sistema verificar la identidad del otro punto de la
conexin mediante password.
PARTCN DE DSCO
Es una zona de un disco duro formada por reas de memoria consecutivas; y
separada de forma lgica de otras reas que tambin lo forman.
POSX
Estndar universal que define cmo debe ser un sistema operativo de "tipo
UNX" y que especifica una serie de normas para operacin de las aplicaciones
que se ejecutan en ste sistema operativo.
PROCESADOR
La parte central de un sistema computador que proporciona y controla las
funciones aritmticas, lgicas y de transferencias requeridas para comparar,
mover, calcular y, de cualquier manera, manipular y procesar datos.
RAM
Random Access Memory. Memoria de Acceso Aleatorio. Varios son los tipos de
memoria que se usa en las computadoras. La ms conocida son las RAM. Se
les llama as porque es posible dirigirse directamente a la clula donde se
encuentra almacenada la informacin. Su principal caracterstica es que la
informacin se almacena en ellas provisoriamente, pudiendo ser grabadas una y
otra vez, al igual que un casette de sonido. La memoria RAM se puede comparar
a un escritorio, donde se coloca los papeles con que se va a trabajar. Mientras
ms grande el escritorio ms papeles soporta simultneamente para ser
procesados.
ROOT
Raz. En sistemas de ficheros se refiere al directorio raz. En Unix se refiere al
usuario principal.
ROUTER
Dispositivo conectado a dos o ms redes que se encarga nicamente de tareas
de comunicaciones
SHELL
Es un procedimiento mediante el cual se puede acceder temporalmente al
sistema operativo desde el interior de un programa.
En Windows es una ventana de aplicacin especial que permite lanzar otras
aplicaciones.
SNFFER
Literalmente "Husmeador". Pequeo programa que busca una cadena numrica
o de caracteres en los paquetes que atraviesan un nodo con objeto de conseguir
alguna informacin. Normalmente su uso es ilegal.
SOFTWARE
Esta palabra inglesa que significa "cosa suave", tiene dos significados:
(a) uno amplio, de "procedimientos lgicos, para la cooperacin armnica de un
grupo de personas y mquinas, persiguiendo un objetivo comn";
(b) el otro restringido, de "programas de computadora", o conjunto de
instrucciones, que se pone en la memoria de una computadora para dirigir sus
operaciones.
Es un conjunto de instrucciones que cargadas en el hardware de una
computadora hacen que este pueda funcionar y realizar tareas. Puede traducirse
en castellano como "partes blandas" y es el trmino contrario a HARDWARE,
"partes duras".
SSL
Secure Sockets Layer. Capa de Socket Segura. Protocolo que ofrece funciones
de seguridad a nivel de la capa de transporte para TCP.
TCP/P
Transmission Control Protocol / nternet Protocol. El trmino describe dos
mecanismos de software empleados para posibilitar la mltiple comunicacin
entre computadoras de manera libre de error. TCP/P es el lenguaje comn de la
nternet, el que permite que diferentes tipos de computadoras utilicen la red y
comuniquen unas con otras, indiferentemente de la plataforma o sistema
operativo que usen.
TELNET
Protocolo y aplicaciones que permiten conexin como terminal remota a una
computadora anfitriona, en una localizacin remota
URL
Universal Resource Locator. Nombre genrico de la direccin en nternet, ndica
al usuario dnde localizar un archivo HTML determinado, en la Web.
UTLDAD
Programa que desempea una tarea especfica de uso general. Forma parte del
software del sistema.
WAN
Siglas de Wide Area Network (red de rea global). Es una red de computadoras
heterognea sin limitacin de distancia en la que sus componentes pueden estar
conectados de muy diversos modos, no solamente mediante cables.
WEB
Site. Sitio en el World Wide Web. Conjunto de pginas Web que forman una
unidad de presentacin, como una revista o libro. Un sitio est formado por una
coleccin de pginas Web
WWW (World Wide Web)
Servidor de informacin, desarrollado en el CERN (Laboratorio Europeo de
Fsica de Partculas), buscando construir un sistema distribuido hipermedia e
hipertexto. Tambin llamado WEB y W3. Existen gran cantidad de clientes
WWW para diferentes plataformas.
Anexo 2. SEGURDAD FSCA DE LOS SSTEMAS
Proporcionado por RedRS 1994-2002
1. Proteccin Del Hardware
El hardware es frecuentemente el elemento ms caro de todo sistema
informtico.
Son muchas las amenazas al hardware de una instalacin informtica; aqu se
van a presentar algunas de ellas, sus posibles efectos y algunas soluciones, si
no para evitar los problemas s al menos para minimizar sus efectos.
1.1 Acceso Fsico
La posibilidad de acceder fsicamente a una mquina, a cualquier sistema
operativo hace intiles casi todas las medidas de seguridad que hayamos
aplicado sobre ella: hemos de pensar que si un atacante puede llegar con total
libertad hasta una estacin puede por ejemplo abrir la CPU y llevarse un disco
duro; sin necesidad de privilegios en el sistema, sin importar la robustez de
nuestros cortafuegos.
1.1.1 Prevencin
Cmo prevenir un acceso fsico no autorizado a un determinado punto? Hay
soluciones para todos los gustos, y tambin de todos los precios: desde
analizadores de retina hasta videocmaras, pasando por tarjetas inteligentes o
control de las llaves que abren determinada puerta. Todos los modelos de
autenticacin de usuarios son aplicables, aparte de para controlar el acceso
lgico a los sistemas, para controlar el acceso fsico; de todos ellos, quizs los
ms adecuados a la seguridad fsica sean los biomtricos y los basados en algo
posedo.
Pero con normas tan elementales como cerrar las puertas con llave al salir de un
laboratorio o un despacho o bloquear las tomas de red que no se suelan utilizar
y que estn situadas en lugares apartados son en ocasiones ms que
suficientes para prevenir ataques. Tambin el cableado de red es un elemento
importante para la seguridad, por lo que es recomendable apartarlo del acceso
directo.
Un estricto control de acceso similar a instalaciones militares mediante tarjetas
inteligentes, analizadores de retina o verificadores de la geometra de la mano;
suenan a ciencia ficcin y son demasiado caros para la mayor parte de entornos
(recordemos que si el sistema de proteccin es ms caro que lo que se quiere
proteger tenemos un grave error en nuestros planes de seguridad), otros se
pueden aplicar, y se aplican, en muchas organizaciones. Concretamente, el uso
de lectores de tarjetas para poder acceder a ciertas dependencias es algo muy a
la orden del da; no sera tan descabellado instalar pequeos lectores de cdigos
de barras conectados a una mquina Linux en las puertas de muchas reas,
especialmente en las que se maneja informacin ms o menos sensible. Estos
lectores podran leer una tarjeta que todos los miembros de la organizacin
poseeran, conectar con la base de datos de usuarios, y autorizar o denegar la
apertura de la puerta. Se tratara de un sistema sencillo de implementar, no muy
caro, y que cubre de sobra las necesidades de seguridad en la mayora de
entornos: incluso se podra abaratar si en lugar de utilizar un mecanismo para
abrir y cerrar puertas el sistema se limitara a informar al administrador del rea o
a un guardia de seguridad mediante un mensaje en pantalla o una luz
encendida: de esta forma los nicos gastos seran los correspondientes a los
lectores de cdigos de barras, ya que como equipo con la base de datos se
puede utilizar una mquina vieja o un servidor de propsito general.
1.1.2 Deteccin
Cuando la prevencin es difcil por cualquier motivo (tcnico, econmico,
humano...) es deseable que un potencial ataque sea detectado cuanto antes,
para minimizar as sus efectos. Aunque en la deteccin de problemas,
generalmente accesos fsicos no autorizados, intervienen medios tcnicos, como
cmaras de vigilancia de circuito cerrado o alarmas, en entornos ms normales
el esfuerzo en detectar estas amenazas se ha de centrar en las personas que
utilizan los sistemas y en las que sin utilizarlos estn relacionadas de cierta
forma con ellos; un simple puedo ayudarte en algo? suele ser ms efectivo que
un guardia solicitando una identificacin formal. Esto es especialmente
recomendable en lugares de acceso restringido, como laboratorios de
investigacin o centros de clculo, donde los usuarios habituales suelen
conocerse entre ellos y es fcil detectar personas ajenas al entorno.
1.2 Desastres Naturales
Un problema que no suele ser tan habitual, pero que en caso de producirse
puede acarrear gravsimas consecuencias, es el derivado de los desastres
naturales y su (falta de) prevencin.
1.2.1 Terremotos
De cualquier forma, aunque algunas medidas contra terremotos son
excesivamente caras para la mayor parte de organizaciones, no cuesta nada
tomar ciertas medidas de prevencin; por ejemplo, es muy recomendable no
situar nunca equipos delicados en superficies muy elevadas (aunque tampoco
es bueno situarlos a ras del suelo, como veremos al hablar de inundaciones);
puede incluso ser conveniente (y barato) utilizar fijaciones para los elementos
ms crticos, como las CPUs, los monitores o los routers. De la misma forma.
Para evitar males mayores ante un terremoto, tambin es muy importante no
situar equipos cerca de las ventanas: si se produce un temblor pueden caer por
ellas, y en ese caso la prdida de datos o hardware pierde importancia frente a
los posibles accidentes - incluso mortales - que puede causar una pieza
voluminosa a personas a las que les cae encima. Adems, situando los equipos
alejados de las ventanas estamos dificultando las acciones de un potencial
ladrn que se descuelgue por la fachada hasta las ventanas, ya que si el equipo
estuviera cerca no tendra ms que alargar el brazo para llevrselo. Las
vibraciones, incluso las ms imperceptibles, pueden daar seriamente cualquier
elemento electrnico de nuestras mquinas, especialmente si se trata de
vibraciones continuas: los primeros efectos pueden ser problemas con los
cabezales de los discos duros o con los circuitos integrados que se daan en las
placas. Para hacer frente a pequeas vibraciones podemos utilizar plataformas
de goma donde situar a los equipos, de forma que la plataforma absorba la
mayor parte de los movimientos; incluso sin llegar a esto, una regla comn es
evitar que entren en contacto equipos que poseen una electrnica delicada con
hardware ms mecnico, como las impresoras: estos dispositivos no paran de
generar vibraciones cuando estn en funcionamiento, por lo que situar una
pequea impresora encima de la CPU de una mquina es una idea nefasta.
1.2.2 Tormentas Elctricas
Las tormentas con aparato elctrico, especialmente frecuentes en verano
(cuando mucho personal se encuentra de vacaciones, lo que las hace ms
peligrosas) generan subidas sbitas de tensin infinitamente superiores a las
que pueda generar un problema en la red elctrica, como veremos a
continuacin. Si cae un rayo sobre la estructura metlica del edificio donde estn
situados nuestros equipos es casi seguro que podemos ir pensando en comprar
otros nuevos; sin llegar a ser tan dramticos, la cada de un rayo en un lugar
cercano puede inducir un campo magntico lo suficientemente intenso como
para destruir hardware incluso protegido contra voltajes elevados. Sin embargo,
las tormentas poseen un lado positivo: son predecibles con ms o menos
exactitud, lo que permite a un administrador parar sus mquinas y
desconectarlas de la lnea elctrica.
Otra medida de proteccin contra las tormentas elctricas hace referencia a la
ubicacin de los medios magnticos, especialmente las copias de seguridad; se
han de almacenar lo ms alejados posible de la estructura metlica de los
edificios. Un rayo en el propio edificio, o en un lugar cercano, puede inducir un
campo electromagntico lo suficientemente grande como para borrar de golpe
todas nuestras cintas o discos, lo que aade a los problemas por daos en el
hardware la prdida de toda la informacin de nuestros sistemas.
1.2.3 nundaciones Y Humedad
Cierto grado de humedad es necesario para un correcto funcionamiento de
nuestras mquinas: en ambientes extremadamente secos el nivel de electricidad
esttica es elevado, lo que, como veremos ms tarde, puede transformar un
pequeo contacto entre una persona y un circuito, o entre diferentes
componentes de una mquina, en un dao irreparable al hardware y a la
informacin. No obstante, niveles de humedad elevados son perjudiciales para
los equipos porque pueden producir condensacin en los circuitos integrados, lo
que origina cortocircuitos que evidentemente tienen efectos negativos sobre
cualquier elemento electrnico de una mquina.
Controlar el nivel de humedad en los entornos habituales es algo innecesario, ya
que por norma nadie ubica estaciones en los lugares ms hmedos o que
presenten situaciones extremas; no obstante, ciertos equipos son especialmente
sensibles a la humedad, por lo que es conveniente consultar los manuales de
todos aquellos de los que tengamos dudas. Quizs sea necesario utilizar
alarmas que se activan al detectar condiciones de muy poca o demasiada
humedad, especialmente en sistemas de alta disponibilidad o de altas
prestaciones, donde un fallo en un componente puede ser crucial.
Cuando ya no se habla de una humedad ms o menos elevada sino de
completas inundaciones, los problemas generados son mucho mayores. Casi
cualquier medio (una mquina, una cinta, un router...) que entre en contacto con
el agua queda automticamente inutilizado, bien por el propio lquido o bien por
los cortocircuitos que genera en los sistemas electrnicos.
Evidentemente, contra las inundaciones las medidas ms efectivas son las de
prevencin (frente a las de deteccin); podemos utilizar detectores de agua en
los suelos o falsos suelos de las salas de operaciones, y apagar
automticamente los sistemas en caso de que se activen. Tras apagar los
sistemas podemos tener tambin instalado un sistema automtico que corte la
corriente: algo muy comn es intentar sacar los equipos - previamente apagados
o no - de una sala que se est empezando a inundar; esto, que a primera vista
parece lo lgico, es el mayor error que se puede cometer si no hemos
desconectado completamente el sistema elctrico, ya que la mezcla de corriente
y agua puede causar incluso la muerte a quien intente salvar equipos. Por muy
caro que sea el hardware o por muy valiosa que sea la informacin a proteger,
nunca sern magnitudes comparables a lo que supone la prdida de vidas
humanas. Otro error comn relacionado con los detectores de agua es situar a
los mismos a un nivel superior que a los propios equipos a salvaguardar
(<incluso en el techo, junto a los detectores de humo!); evidentemente, cuando
en estos casos el agua llega al detector poco se puede hacer ya por las
mquinas o la informacin que contienen.
Medidas de proteccin menos sofisticadas pueden ser la instalacin de un falso
suelo por encima del suelo real, o simplemente tener la precaucin de situar a
los equipos con una cierta elevacin respecto al suelo, pero sin llegar a situarlos
muy altos por los problemas que ya hemos comentado al hablar de terremotos y
vibraciones.
1.3 Desastres Del Entorno
1.3.1 Electricidad
Quizs los problemas derivados del entorno de trabajo ms frecuentes son los
relacionados con el sistema elctrico que
alimenta nuestros equipos; cortocircuitos, picos de tensin, cortes de flujo...a
diario amenazan la integridad tanto de nuestro hardware como de los datos que
almacena o que circulan por l.
El problema menos comn en las instalaciones modernas son las subidas de
tensin, conocidas como `picos' porque generalmente duran muy poco: durante
unas fracciones de segundo el voltaje que recibe un equipo sube hasta
sobrepasar el lmite aceptable que dicho equipo soporta. Lo normal es que estos
picos apenas afecten al hardware o a los datos gracias a que en la mayora de
equipos hay instalados fusibles, elementos que se funden ante una subida de
tensin y dejan de conducir la corriente, provocando que la mquina
permanezca apagada. Disponga o no de fusibles el equipo a proteger (lo normal
es que s los tenga) una medida efectiva y barata es utilizar tomas de tierra para
asegurar an ms la integridad; estos mecanismos evitan los problemas de
sobretensin desviando el exceso de corriente hacia el suelo de una sala o
edificio, o simplemente hacia cualquier lugar con voltaje nulo. Una toma de tierra
sencilla puede consistir en un buen conductor conectado a los chasis de los
equipos a proteger y a una barra maciza, tambin conductora, que se introduce
lo ms posible en el suelo; el coste de la instalacin es pequeo, especialmente
si lo comparamos con las prdidas que supondra un incendio que afecte a todos
o a una parte de nuestros equipos.
ncluso teniendo un sistema protegido con los mtodos anteriores, si la subida
de tensin dura demasiado, o si es demasiado rpida, podemos sufrir daos en
los equipos; existen acondicionadores de tensin comerciales que protegen de
los picos hasta en los casos ms extremos, y que tambin se utilizan como filtros
para ruido elctrico. Aunque en la mayora de situaciones no es necesario su
uso, si nuestra organizacin tiene problemas por el voltaje excesivo quizs sea
conveniente instalar alguno de estos aparatos.
Un problema que los estabilizadores de tensin o las tomas de tierra no pueden
solucionar es justamente el contrario a las subidas de tensin: las bajadas,
situaciones en las que la corriente desciende por debajo del voltaje necesario
para un correcto funcionamiento del sistema, pero sin llegar a ser lo
suficientemente bajo para que la mquina se apague. En estas situaciones la
mquina se va a comportar de forma extraa e incorrecta, por ejemplo no
aceptando algunas instrucciones, no completando escrituras en disco o
memoria, etc. Es una situacin similar a la de una bombilla que pierde intensidad
momentneamente por falta de corriente, pero trasladada a un sistema que en
ese pequeo intervalo ejecuta miles o millones de instrucciones y transferencias
de datos.
Otro problema, muchsimo ms habituales que los anteriores en redes elctricas
modernas, son los cortes en el fluido elctrico que llega a nuestros equipos.
Aunque un simple corte de corriente no suele afectar al hardware, lo ms
peligroso (y que sucede en muchas ocasiones) son las idas y venidas rpidas de
la corriente; en esta situacin, aparte de perder datos, nuestras mquinas
pueden sufrir daos.
La forma ms efectiva de proteger nuestros equipos contra estos problemas de
la corriente elctrica es utilizar una SA (Servicio de Alimentacin ninterrumpido)
conectada al elemento que queremos proteger. Estos dispositivos mantienen un
flujo de corriente correcto y estable de corriente, protegiendo as los equipos de
subidas, cortes y bajadas de tensin; tienen capacidad para seguir alimentando
las mquinas incluso en caso de que no reciban electricidad (evidentemente no
las alimentan de forma indefinida, sino durante un cierto tiempo - el necesario
para detener el sistema de forma ordenada). Por tanto, en caso de fallo de la
corriente el SA informar a la mquina Unix, que a travs de un programa como
/sbin/powerd recibe la informacin y decide cuanto tiempo de corriente le queda
para poder pararse correctamente; si de nuevo vuelve el flujo la SA vuelve a
informar de este evento y el sistema desprograma su parada. As de simple: por
poco ms de diez mil pesetas podemos obtener una SA pequea, ms que
suficiente para muchos servidores, que nos va a librar de la mayora de los
problemas relacionados con la red elctrica.
Un ltimo problema contra el que ni siquiera las SAs nos protegen es la
corriente esttica, un fenmeno extrao del que la mayora de gente piensa que
no afecta a los equipos, slo a otras personas. Nada ms lejos de la realidad:
simplemente tocar con la mano la parte metlica de teclado o un conductor de
una placa puede destruir un equipo completamente. Se trata de corriente de muy
poca intensidad pero un altsimo voltaje, por lo que aunque la persona no sufra
ningn dao - slo un pequeo calambrazo - el ordenador sufre una descarga
que puede ser suficiente para destrozar todos sus componentes, desde el disco
duro hasta la memoria RAM. Contra el problema de la corriente esttica existen
muchas y muy baratas soluciones: spray antiesttico, ionizadores
antiestticos...No obstante en la mayora de situaciones slo hace falta un poco
de sentido comn del usuario para evitar accidentes: no tocar directamente
ninguna parte metlica, protegerse si debe hacer operaciones con el hardware,
no mantener el entorno excesivamente seco...
1.3.2 Ruido Elctrico
Dentro del apartado anterior podramos haber hablado del ruido elctrico como
un problema ms relacionado con la electricidad; sin embargo este problema no
es una incidencia directa de la corriente en nuestros equipos, sino una incidencia
relacionada con la corriente de otras mquinas que pueden afectar al
funcionamiento de la nuestra. El ruido elctrico suele ser generado por motores
o por maquinaria pesada, pero tambin puede serlo por otros ordenadores o por
multitud de aparatos y se transmite a travs del espacio o de lneas elctricas
cercanas a nuestra instalacin.
Para prevenir los problemas que el ruido elctrico puede causar en nuestros
equipos lo ms barato es intentar no situar hardware cercano a la maquinaria
que puede causar dicho ruido; si no tenemos ms remedio que hacerlo,
podemos instalar filtros en las lneas de alimentacin que llegan hasta los
ordenadores. Tambin es recomendable mantener alejados de los equipos
dispositivos emisores de ondas, como telfonos mviles, transmisores de radio o
walkie-talkies; estos elementos puede incluso daar permanentemente a nuestro
hardware si tienen la suficiente potencia de transmisin, o influir directamente en
elementos que pueden daarlo como detectores de incendios o cierto tipo de
alarmas.
1.3.3 ncendios Y Humo
Una causa casi siempre relacionada con la electricidad son los incendios, y con
ellos el humo; aunque la causa de un fuego puede ser un desastre natural, lo
habitual en muchos entornos es que el mayor peligro de incendio provenga de
problemas elctricos por la sobrecarga de la red debido al gran nmero de
aparatos conectados al tendido. Un simple cortocircuito o un equipo que se
calienta demasiado pueden convertirse en la causa directa de un incendio en el
edificio, o al menos en la planta, donde se encuentran invertidos millones de
pesetas en equipamiento.
Un mtodo efectivo contra los incendios son los extintores situados en el techo,
que se activan automticamente al detectar humo o calor. Algunos de ellos, los
ms antiguos, utilizaban agua para apagar las llamas, lo que provocaba que el
hardware no llegara a sufrir los efectos del fuego si los extintores se activaban
correctamente, pero que quedara destrozado por el agua expulsada. Visto este
problema, a mitad de los ochenta se comenzaron a utilizar extintores de haln;
este compuesto no conduce electricidad ni deja residuos, por lo que resulta ideal
para no daar los equipos. Sin embargo, tambin el haln presentaba
problemas: por un lado, resulta excesivamente contaminante para la atmsfera,
y por otro puede asfixiar a las personas a la vez que acaba con el fuego. Por eso
se han sustituido los extintores de haln (aunque se siguen utilizando mucho hoy
en da) por extintores de dixido de carbono, menos contaminante y menos
perjudicial. De cualquier forma, al igual que el haln el dixido de carbono no es
precisamente sano para los humanos, por lo que antes de activar el extintor es
conveniente que todo el mundo abandone la sala; si se trata de sistemas de
activacin automtica suelen avisar antes de expulsar su compuesto mediante
un pitido.
Aparte del fuego y el calor generado, en un incendio existe un tercer elemento
perjudicial para los equipos: el humo, un potente abrasivo que ataca
especialmente los discos magnticos y pticos. Quizs ante un incendio el dao
provocado por el humo sea insignificante en comparacin con el causado por el
fuego y el calor, pero hemos de recordar que puede existir humo sin necesidad
de que haya un fuego: por ejemplo, en salas de operaciones donde se fuma.
Aunque muchos no apliquemos esta regla y fumemos demasiado - siempre es
demasiado - delante de nuestros equipos, sera conveniente no permitir esto;
aparte de la suciedad generada que se deposita en todas las partes de un
ordenador, desde el teclado hasta el monitor, generalmente todos tenemos el
cenicero cerca de los equipos, por lo que el humo afecta directamente a todos
los componentes; incluso al ser algo ms habitual que un incendio, se puede
considerar ms perjudicial - para los equipos y las personas - el humo del tabaco
que el de un fuego.
En muchos manuales de seguridad se insta a los usuarios, administradores, o al
personal en general a intentar controlar el fuego y salvar el equipamiento; esto
tiene, como casi todo, sus pros y sus contras. Evidentemente, algo lgico
cuando estamos ante un incendio de pequeas dimensiones es intentar utilizar
un extintor para apagarlo, de forma que lo que podra haber sido una catstrofe
sea un simple susto o un pequeo accidente. Sin embargo, cuando las
dimensiones de las llamas son considerables lo ltimo que debemos hacer es
intentar controlar el fuego nosotros mismos, arriesgando vidas para salvar
hardware; como suceda en el caso de inundaciones, no importa el precio de
nuestros equipos o el valor de nuestra informacin: nunca sern tan importantes
como una vida humana. Lo ms recomendable en estos casos es evacuar el
lugar del incendio y dejar su control en manos de personal especializado.
1.3.4 Temperaturas Extremas
No hace falta ser un genio para comprender que las temperaturas extremas, ya
sea un calor excesivo o un fro intenso, perjudican gravemente a todos los
equipos. Es recomendable que los equipos operen entre 10 y 32 grados Celsius,
aunque pequeas variaciones en este rango tampoco han de influir en la
mayora de sistemas.
Para controlar la temperatura ambiente en el entorno de operaciones nada mejor
que un acondicionador de aire, aparato que tambin influir positivamente en el
rendimiento de los usuarios (las personas tambin tenemos rangos de
temperaturas dentro de los cuales trabajamos ms cmodamente). Otra
condicin bsica para el correcto funcionamiento de cualquier equipo que ste
se encuentre correctamente ventilado, sin elementos que obstruyan los
ventiladores de la CPU. La organizacin fsica del computador tambin es
decisiva para evitar sobrecalentamientos: si los discos duros, elementos que
pueden alcanzar temperaturas considerables, se encuentran excesivamente
cerca de la memoria RAM, es muy probable que los mdulos acaben
quemndose.
2. Proteccin De Los Datos
La seguridad fsica tambin implica una proteccin a la informacin de nuestro
sistema, tanto a la que est almacenada en l como a la que se transmite entre
diferentes equipos. Aunque los apartados comentados en la anterior seccin son
aplicables a la proteccin fsica de los datos (ya que no olvidemos que si
protegemos el hardware tambin protegemos la informacin que se almacena o
se transmite por l), hay ciertos aspectos a tener en cuenta a la hora de disear
una poltica de seguridad fsica que afectan principalmente, aparte de a los
elementos fsicos, a los datos de nuestra organizacin; existen ataques cuyo
objetivo no es destruir el medio fsico de nuestro sistema, sino simplemente
conseguir la informacin almacenada en dicho medio.
2.1 Eavesdropping
La interceptacin o eavesdropping, tambin conocida por passive wiretapping es
un proceso mediante el cual un agente capta informacin - en claro o cifrada -
que no le iba dirigida; esta captacin puede realizarse por muchsimos medios
(por ejemplo, capturando las radiaciones electromagnticas, como veremos
luego). Aunque es en principio un ataque completamente pasivo, lo ms
peligroso del eavesdropping es que es muy difcil de detectar mientras que se
produce, de forma que un atacante puede capturar informacin privilegiada y
claves para acceder a ms informacin sin que nadie se de cuenta hasta que
dicho atacante utiliza la informacin capturada, convirtiendo el ataque en activo.
Un medio de interceptacin bastante habitual es el sniffing, consistente en
capturar tramas que circulan por la red mediante un programa ejecutndose en
una mquina conectada a ella o bien mediante un dispositivo que se engancha
directamente el cableado. Estos dispositivos, denominados sniffers de alta
impedancia, se conectan en paralelo con el cable de forma que la impedancia
total del cable y el aparato es similar a la del cable solo, lo que hace difcil su
deteccin. Contra estos ataques existen diversas soluciones; la ms barata a
nivel fsico es no permitir la existencia de segmentos de red de fcil acceso,
lugares idneos para que un atacante conecte uno de estos aparatos y capture
todo nuestro trfico. No obstante esto resulta difcil en redes ya instaladas,
donde no podemos modificar su arquitectura; en estos existe una solucin
generalmente gratuita pero que no tiene mucho que ver con el nivel fsico: el uso
de aplicaciones de cifrado para realizar las comunicaciones o el almacenamiento
de la informacin (hablaremos ms adelante de algunas de ellas). Tampoco
debemos descuidar las tomas de red libres, donde un intruso con un porttil
puede conectarse para capturar trfico; es recomendable analizar regularmente
nuestra red para verificar que todas las mquinas activas estn autorizadas.
Como soluciones igualmente efectivas contra la interceptacin a nivel fsico
podemos citar el uso de dispositivos de cifra (no simples programas, sino
hardware), generalmente chips que implementan algoritmos como DES; esta
solucin es muy poco utilizada ya que es muchsimo ms cara que utilizar
implementaciones software de tales algoritmos y en muchas ocasiones la nica
diferencia entre los programas y los dispositivos de cifra es la velocidad.
Tambin se puede utilizar, como solucin ms cara, el cableado en vaco para
evitar la interceptacin de datos que viajan por la red: la idea es situar los cables
en tubos donde artificialmente se crea el vaco o se inyecta aire a presin; si un
atacante intenta `pinchar' el cable para interceptar los datos, rompe el vaco o el
nivel de presin y el ataque es detectado inmediatamente. Como decimos, esta
solucin es enormemente cara y solamente se aplica en redes de permetro
reducido para entornos de alta seguridad.
Antes de finalizar este punto debemos recordar un peligro que muchas veces se
ignora: el de la interceptacin de datos emitidos en forma de sonido o simple
ruido en nuestro entorno de operaciones. maginemos una situacin en la que
los responsables de la seguridad de nuestra organizacin se renen para
discutir nuevos mecanismos de proteccin; todo lo que en esa reunin se diga
puede ser capturado por multitud de mtodos, algunos de los cuales son tan
simples que ni siquiera se contemplan en los planes de seguridad. Por ejemplo,
una simple tarjeta de sonido instalada en un PC situado en la sala de reuniones
puede transmitir a un atacante todo lo que se diga en esa reunin; mucho ms
simple y sencillo: un telfono mal colgado - intencionada o inintencionadamente -
tambin puede transmitir informacin muy til para un potencial enemigo. Para
evitar estos problemas existen numerosos mtodos: por ejemplo, en el caso de
los telfonos fijos suele ser suficiente un poco de atencin y sentido comn, ya
que basta con comprobar que estn bien colgados...o incluso desconectados de
la red telefnica. El caso de los mviles suele ser algo ms complejo de
controlar, ya que su pequeo tamao permite camuflarlos fcilmente; no
obstante, podemos instalar en la sala de reuniones un sistema de aislamiento
para bloquear el uso de estos telfonos: se trata de sistemas que ya se utilizan
en ciertos entornos (por ejemplo en conciertos musicales) para evitar las
molestias de un mvil sonando, y que trabajan bloqueando cualquier transmisin
en los rangos de frecuencias en los que trabajan los diferentes operadores
telefnicos. Otra medida preventiva (ya no para voz, sino para prevenir la fuga
de datos va el ruido ambiente) muy til - y no muy cara - puede ser sustituir
todos los telfonos fijos de disco por telfonos de teclado, ya que el ruido de un
disco al girar puede permitir a un pirata deducir el nmero de telfono marcado
desde ese aparato.
2.2 Backups
En este apartado no vamos a hablar de las normas para establecer una poltica
de realizacin de copias de seguridad correcta, ni tampoco de los mecanismos
necesarios para implementarla o las precauciones que hay que tomar para que
todo funcione correctamente; el tema que vamos a tratar en este apartado es la
proteccin fsica de la informacin almacenada en backups, esto es, de la
proteccin de los diferentes medios donde residen nuestras copias de seguridad.
Hemos de tener siempre presente que si las copias contienen toda nuestra
informacin tenemos que protegerlas igual que protegemos nuestros sistemas.
Un error muy habitual es almacenar los dispositivos de backup en lugares muy
cercanos a la sala de operaciones, cuando no en la misma sala; esto, que en
principio puede parecer correcto (y cmodo si necesitamos restaurar unos
archivos) puede convertirse en un problema: imaginemos simplemente que se
produce un incendio de grandes dimensiones y todo el edificio queda reducido a
cenizas. En este caso extremo tendremos que unir al problema de perder todos
nuestros equipos - que seguramente cubrir el seguro, por lo que no se puede
considerar una catstrofe - el perder tambin todos nuestros datos, tanto los
almacenados en los discos como los guardados en backups (esto
evidentemente no hay seguro que lo cubra). Como podemos ver, resulta
recomendable guardar las copias de seguridad en una zona alejada de la sala
de operaciones, aunque en este caso descentralicemos la seguridad y tengamos
que proteger el lugar donde almacenamos los backups igual que protegemos la
propia sala o los equipos situados en ella, algo que en ocasiones puede resultar
caro.
Tambin suele ser comn etiquetar las cintas donde hacemos copias de
seguridad con abundante informacin sobre su contenido (sistemas de ficheros
almacenados, da y hora de la realizacin, sistema al que corresponde...); esto
tiene una parte positiva y una negativa. Por un lado, recuperar un fichero es
rpido: slo tenemos que ir leyendo las etiquetas hasta encontrar la cinta
adecuada. Sin embargo, si nos paramos a pensar, igual que para un
administrador es fcil encontrar el backup deseado tambin lo es para un intruso
que consiga acceso a las cintas, por lo que si el acceso a las mismas no est
bien restringido un atacante lo tiene fcil para sustraer una cinta con toda
nuestra informacin; no necesita saltarse nuestro cortafuegos, conseguir una
clave del sistema o chantajear a un operador: nosotros mismos le estamos
poniendo en bandeja toda nuestros datos. No obstante, ahora nos debemos
plantear la duda habitual: si no etiqueto las copias de seguridad, cmo puedo
elegir la que debo restaurar en un momento dado? Evidentemente, se necesita
cierta informacin en cada cinta para poder clasificarlas, pero esa informacin
nunca debe ser algo que le facilite la tarea a un atacante; por ejemplo, se puede
disear cierta codificacin que slo conozcan las personas responsables de las
copias de seguridad, de forma que cada cinta vaya convenientemente
etiquetada, pero sin conocer el cdigo sea difcil imaginar su contenido. Aunque
en un caso extremo el atacante puede llevarse todos nuestros backups para
analizarlos uno a uno, siempre es ms difcil disimular una carretilla llena de
cintas de 8mm que una pequea unidad guardada en un bolsillo. Y si an
pensamos que alguien puede sustraer todas las copias, simplemente tenemos
que realizar backups cifrados...y controlar ms el acceso al lugar donde las
guardamos.
2.3 Otros Elementos
En muchas ocasiones los responsables de seguridad de los sistemas tienen muy
presente que la informacin a proteger se encuentra en los equipos, en las
copias de seguridad o circulando por la red (y por lo tanto toman medidas para
salvaguardar estos medios), pero olvidan que esa informacin tambin puede
encontrarse en lugares menos obvios, como listados de impresora, facturas
telefnicas o la propia documentacin de una mquina.
maginemos una situacin muy tpica en los sistemas Unix: un usuario, desde su
terminal o el equipo de su despacho, imprime en el servidor un documento de
cien pginas, documento que ya de entrada ningn operador comprueba - y
quizs no pueda comprobar, ya que se puede comprometer la privacidad del
usuario - pero que puede contener, disimuladamente, una copia de nuestro
fichero de contraseas. Cuando la impresin finaliza, el administrador lleva el
documento fuera de la sala de operaciones, pone como portada una hoja con los
datos del usuario en la mquina (login perfectamente visible, nombre del fichero,
hora en que se lanz...) y lo deja, junto a los documentos que otros usuarios han
imprimido - y con los que se ha seguido la misma poltica - en una estantera
perdida en un pasillo, lugar al que cualquier persona puede acceder con total
libertad y llevarse la impresin, leerla o simplemente curiosear las portadas de
todos los documentos. As, de repente, a nadie se le escapan bastante
problemas de seguridad derivados de esta poltica: sin entrar en lo que un
usuario pueda imprimir - que repetimos, quizs no sea legal, o al menos tico,
curiosear -, cualquiera puede robar una copia de un proyecto o un examen,
obtener informacin sobre nuestros sistemas de ficheros y las horas a las que
los usuarios suelen trabajar, o simplemente descubrir, simplemente pasando por
delante de la estantera, diez o veinte nombres vlidos de usuario en nuestras
mquinas; todas estas informaciones pueden ser de gran utilidad para un
atacante, que por si fuera poco no tiene que hacer nada para obtenerlas,
simplemente darse un paseo por el lugar donde depositamos las impresiones.
Esto, que a muchos les puede parecer una exageracin, no es ni ms ni menos
la poltica que se sigue en muchas organizaciones hoy en da, e incluso en
centros de proceso de datos, donde a priori ha de haber una mayor
concienciacin por la seguridad informtica.
Evidentemente, hay que tomar medidas contra estos problemas. En primer
lugar, las impresoras, plotters, faxes, teletipos, o cualquier dispositivo por el que
pueda salir informacin de nuestro sistema ha de estar situado en un lugar de
acceso restringido; tambin es conveniente que sea de acceso restringido el
lugar donde los usuarios recogen los documentos que lanzan a estos
dispositivos. Sera conveniente que un usuario que recoge una copia se acredite
como alguien autorizado a hacerlo, aunque quizs esto puede ser imposible, o al
menos muy difcil, en grandes sistemas (imaginemos que en una mquina con
cinco mil usuarios obligamos a todo aqul que va a recoger una impresin a
identificarse y comprobamos que la identificacin es correcta antes de darle su
documento...con toda seguridad necesitaramos una persona encargada
exclusivamente de este trabajo), siempre es conveniente demostrar cierto grado
de inters por el destino de lo que sale por nuestra impresora: sin llegar a
realizar un control frreo, si un atacante sabe que el acceso a los documentos
est mnimamente controlado se lo pensar dos veces antes de intentar
conseguir algo que otro usuario ha imprimido.
Elementos que tambin pueden ser aprovechados por un atacante para
comprometer nuestra seguridad son todos aquellos que revelen informacin de
nuestros sistemas o del personal que los utiliza, como ciertos manuales
(proporcionan versiones de los sistemas operativos utilizados), facturas de
telfono del centro (pueden indicar los nmeros de nuestros mdems) o
agendas de operadores (revelan los telfonos de varios usuarios, algo muy
provechoso para alguien que intente efectuar ingeniera social contra ellos).
Aunque es conveniente no destruir ni dejar a la vista de todo el mundo esta
informacin, si queremos eliminarla no podemos limitarnos a arrojar documentos
a la papelera: en el captulo siguiente hablaremos del basureo, algo que aunque
parezca sacado de pelculas de espas realmente se utiliza contra todo tipo de
entornos. Es recomendable utilizar una trituradora de papel, dispositivo que
dificulta muchsimo la reconstruccin y lectura de un documento destruido; por
poco dinero podemos conseguir uno de estos aparatos, que suele ser suficiente
para acabar con cantidades moderadas de papel.
3. Radiaciones Electromagnticas
Este es un tema que ha cobrado especial importancia (especialmente en
organismos militares) a raz del programa TEMPEST, un trmino (Transient
ElectroMagnetic Pulse Emanation STandard) que identifica una serie de
estndares del gobierno estadounidense para limitar las radiaciones elctricas y
electromagnticas del equipamiento electrnico, desde estaciones de trabajo
hasta cables de red, pasando por terminales, mainframes, ratones...
La idea es sencilla: la corriente que circula por un conductor provoca un campo
electromagntico alrededor del conductor, campo que vara de la misma forma
que lo hace la intensidad de la corriente. Si situamos otro conductor en ese
campo, sobre l se induce una seal que tambin vara proporcionalmente a la
intensidad de la corriente inicial; de esta forma, cualquier dispositivo electrnico
(no slo el informtico) emite continuamente radiaciones a travs del aire o de
conductores, radiaciones que con el equipo adecuado se pueden captar y
reproducir remotamente con la consiguiente amenaza a la seguridad que esto
implica. Conscientes de este problema - obviamente las emisiones de una
batidora no son peligrosas para la seguridad, pero s que lo pueden ser las de un
dispositivo de cifrado o las de un teclado desde el que se enven mensajes
confidenciales - en la dcada de los 50 el gobierno de Estados Unidos introdujo
una serie de estndares para reducir estas radiaciones en los equipos
destinados a almacenar, procesar o transmitir informacin que pudiera
comprometer la seguridad nacional. De esta forma, el hardware certificado
TEMPEST se suele usar con la informacin clasificada y confidencial de algunos
sistemas gubernamentales para asegurar que el eavesdropping
electromagntico no va a afectar a privacidad de los datos.
Casi medio siglo despus de las primeras investigaciones sobre emanaciones
de este tipo, casi todos los pases desarrollados y organizaciones militares
internacionales tienen programas similares a TEMPEST con el mismo fin:
proteger informacin confidencial. Para los gobiernos, esto es algo reservado a
informaciones militares, nunca a organizaciones `normales' y mucho menos a
particulares (la NRO, National Reconnaissance Office, elimin en 1992 los
estndares TEMPEST para dispositivos de uso domstico); sin embargo, y como
ejemplo - algo extremo quizs - de hasta que punto un potencial atacante puede
llegar a comprometer la informacin que circula por una red o que se lee en un
monitor, vamos a dar aqu unas nociones generales sobre el problema de las
radiaciones electromagnticas.
Existen numerosos tipos de seales electromagnticas; sin duda las ms
peligrosas son las de video y las de transmisin serie, ya que por sus
caractersticas no es difcil interceptarlas con el equipamiento adecuado y. Otras
seales que a priori tambin son fciles de captar, como las de enlaces por
radiofrecuencia o las de redes basadas en infrarrojos, no presentan tantos
problemas ya que desde un principio los diseadores fueron conscientes de la
facilidad de captacin y las amenazas a la seguridad que una captura implica;
esta inseguridad tan palpable provoc la rpida aparicin de mecanismos
implementados para dificultar el trabajo de un atacante, como el salto en
frecuencias o el espectro disperso o simplemente el uso de protocolos cifrados.
Este tipo de emisiones quedan fuera del alcance de TEMPEST, pero son
cubiertas por otro estndar denominado NONSTOP, tambin del Departamento
de Defensa estadounidense.
Sin embargo, nadie suele tomar precauciones contra la radiacin que emite su
monitor, su impresora o el cable de su mdem. Y son justamente las radiaciones
de este hardware desprotegido las ms preocupantes en ciertos entornos, ya
que lo nico que un atacante necesita para recuperarlas es el equipo adecuado.
Dicho equipo puede variar desde esquemas extremadamente simples y baratos
- pero efectivos hasta complejos sistemas que en teora utilizan los servicios de
inteligencia de algunos pases. La empresa Consumertronics (www.tsc-
global.com) fabrica y vende diversos dispositivos de monitorizacin.
Pero, cmo podemos protegernos contra el eavesdropping de las radiaciones
electromagnticas de nuestro hardware? Existe un amplio abanico de
soluciones, desde simples medidas de prevencin hasta complejos y caros
sistemas para apantallar los equipos. La solucin ms barata y simple que
podemos aplicar es la distancia: las seales que se transmiten por el espacio
son atenuadas conforme aumenta la separacin de la fuente, por lo que si
definimos un permetro fsico de seguridad lo suficientemente grande alrededor
de una mquina, ser difcil para un atacante interceptar desde lejos nuestras
emisiones. No obstante, esto no es aplicable a las seales inducidas a travs de
conductores, que aunque tambin se atenan por la resistencia e inductancia del
cableado, la prdida no es la suficiente para considerar seguro el sistema.
Otra solucin consiste en la confusin: cuantas ms seales existan en el mismo
medio, ms difcil ser para un atacante filtrar la que est buscando; aunque
esta medida no hace imposible la interceptacin, s que la dificulta
enormemente. Esto se puede conseguir simplemente manteniendo diversas
piezas emisoras (monitores, terminales, cables...) cercanos entre s y emitiendo
cada una de ellas informacin diferente (si todas emiten la misma, facilitamos el
ataque ya que aumentamos la intensidad de la seal inducida). Tambin existe
hardware diseado explcitamente para crear ruido electromagntico,
generalmente a travs de seales de radio que enmascaran las radiaciones
emitidas por el equipo a proteger; dependiendo de las frecuencias utilizadas,
quizs el uso de tales dispositivos pueda ser ilegal: en todos los pases el
espectro electromagntico est dividido en bandas, cada una de las cuales se
asigna a un determinado uso, y en muchas de ellas se necesita una licencia
especial para poder transmitir. En Espaa estas licencias son otorgadas por la
Secretara General de Comunicaciones, dependiente del Ministerio de Fomento.
Por ltimo, la solucin ms efectiva, y ms cara, consiste en el uso de
dispositivos certificados que aseguran mnima emisin, as como de
instalaciones que apantallan las radiaciones. En el hardware hay dos
aproximaciones principales para prevenir las emisiones: una es la utilizacin de
circuitos especiales que apenas emiten radiacin (denominados de fuente
eliminada, source suppressed), y la otra es la contencin de las radiaciones, por
ejemplo aumentando la atenuacin; generalmente ambas aproximaciones se
aplican conjuntamente. En cuanto a las instalaciones utilizadas para prevenir el
eavesdropping, la idea general es aplicar la contencin no slo a ciertos
dispositivos, sino a un edificio o a una sala completa. Quizs la solucin ms
utilizada son las jaulas de Faraday sobre lugares donde se trabaja con
informacin sensible; se trata de separar el espacio en dos zonas
electromagnticamente aisladas (por ejemplo, una sala y el resto del espacio) de
forma que fuera de una zona no se puedan captar las emisiones que se
producen en su interior. Para implementar esta solucin se utilizan materiales
especiales, como algunas clases de cristal, o simplemente un recubrimiento
conductor conectado a tierra.
Antes de finalizar este punto quizs es recomendable volver a insistir en que
todos los problemas y soluciones derivados de las radiaciones
electromagnticas no son aplicables a los entornos o empresas normales, sino
que estn pensados para lugares donde se trabaja con informacin altamente
confidencial, como ciertas empresas u organismos militares o de inteligencia.
Aqu simplemente se han presentado como una introduccin para mostrar hasta
donde puede llegar la preocupacin por la seguridad en esos lugares. La
radiacin electromagntica no es un riesgo importante en la mayora de
organizaciones ya que suele tratarse de un ataque costoso en tiempo y dinero,
de forma que un atacante suele tener muchas otras puertas para intentar
comprometer el sistema de una forma ms fcil.
Anexo 3. LSTA DE COMPATBLDAD DE HARDWARE RED HAT 8.0
http://hardware.redhat.com/hcl/?pagename=hcl&view=allhardware#form
2 the Max
3Com
3DFX
3Dvision
3Ware
4Lan
A-Trend
ACARD
ACTiSYS
AGFA
ABrain
Ali
AMD
AM
Aopen
APC
AST
AT
ATC
ATEN
AT
AT XL
Abit
Abocom
AccelStar
Accent
Accton
Acer nc.
Acorp
AdLib
Adaptec
Adaptec (Cogent)
Addtron
Adobe/Various
Advance Logic
Advanced Computer & Network Corporation
Advanced Gravis
Advaned Gravis
Advansys
Advantech
Aironet
Allied Telesis
Allied Telesyn
Alps
Alteon
AmbiCom
Analog Devices
Ansel Communications
Anvil
AnyCom
Apollo
Apple
Archtek
Argosy
Aristo
Ark
Arowana
Artec/Ultima
Asus
Atelco
Aureal
Aztec
Aztech
BEKO
Baytech
Billionton
Breezenet
Bull
BusLogic
BusLogic/Mylex
C-Media
C.toh
CADMUS
CMD
CNET
CNet (C-Net)
COMPU-SHACK
CONTEC
COPS
Cabletron
California Access
Canon
Canon
Caravelle
CeLAN
Chaintech
Chips & Technologies
Cirrus Logic
Cisco
Cisco (Aironet)
Compex
Compex Readylink
Compex/ReadyLNK
Comtrol
Connectware
Corega
Creative Labs
Creative Technology
Creative/Ensoniq
Crystal Audio
Crystal LAN
CyQve
Cyclades
Cyrix
D-Link
DEC
DEC
DTC
Danpex
DataStor
Datatrek
Dayna
Dayna Communications
Daystar Digital
Dell
Diamond
Diamond Multimedia
Digi nternational
Digicom
Digital Equipment Corporation
Digital Etherworks
Digital Mobile Media
Dot Hill
DynaLink
EFA
EONtronics
EP-210
ESS
EXP
EZLink
Eagle
Edimax Technology
Egenera
Eiger Labs
Elecom
Elsa
Ensoniq
Enterasys(Cabletron)
Epson
EtherPRME
Eurologic
Everex
ExpertColor
Explorer
Extended Systems
Farallon
FastStor
FiberLine
Fidelity nternational Technology
Flagpoint
Force Computers
Freecom
FreedomLine
Fujitsu
Fujitsu Siemens Computers
Funai
Future Domain
GVC
Gainward
Gateway
Gateway 2000
GemTek
General nstruments
Generic
Genius
Genoa
Gigabyte
Goldstar
Gravis
Greenwich
Grey Cell
H45 Technologies
Hamlet
Hawking
Hayes
Hercules
Hewlett Packard
High Point Technologies
Hitachi
Hypertec
BM
C-Card
CL
DE
DT
O DATA
ODATA
Otech
magen
nfotel
ntel
omega
Jaton
KT Technology
KT
Katron
KingByte
Kingmax Technology
Kingston
Kotobuki
LANEED
LS Logic
Lanix
Lantech
Level One
LevelOne
Lexmark
Linksys
Linksys
LinuxWizardry
Logitec
Logitech
Longshine
Lucent
Lucent
Lucent (AT&T GS, NCR)
MAST
MCD601p
MKE
Macnica
Matrox
Matushita
Maxtech
MediaTrix
MediaVision
Megahertz
Megahertz/U.S. Robotics
Melco
Melco/SMC
MiCom
MicroSolutions
MicroStar
Microcom
Microdyne
Microgate
Micron
Micronet
Microsoft
Microtech
Microtek
Midori
Miro
Mitac
Mitsubishi
Motorola
Multi-Tech Systems nc.
Mylex
NAKAGAWA METAL CO.,LTD.
NCR
NDC
NE2000
NEC
NEC Computers nternational
NEC/Bull
NOVAC
NS
NVDA
National nstruments PCMCA-485
National Semiconductor
NeoMagic
NetVin
NetVista
NetVista A21
NetVista X40
Netgear
Network General
New Media
NextCom
Noteworthy
Novadata
Novell
Novell/National
Number Nine
OPTi
Okidata
Olicom
OnSpec
Optics
Ositech
OvisLink
PDP
PSS
Packet Engines
Panasonic
Penguin Computing
Philips
Pioneer
Planet
Planex
Pony Computer
Portable Add-ons
PreMax
Precision WorkStation
Pretec
Pro Audio Spectrum
Prolink
Promise Technology nc.
Proteon
Psion
PureData
Qlogic
Quantum
Quark
Quatech
RATOC
RLX Technologies
Racal
RadioTrack
Raven
Raytheon
Real3D
Realtek
Red Creek Communications
Relia
Reliasys
Ricoh
Rover
S3
SANbloc
SCM
SDL Communications
SF16M
SG
SMC
SOHOware
STB
SVEC
Sangoma
Sanyo
SeaLevel Systems
ServeLinux
ServeLinux Rackmount
Sharp
Shuttle Technologies
SiS
Simple Technologies
Sky
Socket Communications
Sony
Sound Blaster
Soundblaster
Spacewalker/Shuttle
Star
SuperMicro
SuperSocket
Surecom
SysKonnect
TDK
TRENDnet
Tangent
Target
Teac
Tekram
Telecom Device
Thomas Conrad
Thomas-Conrad
ThrustMaster
Toshiba
Trident
Trimble Mobile
Trust
Tseng
TurboGraFX
Turtle Beach
Typhoon
UNEX
Umax
VA
VA Technologies
Various
Vegas
Volktek
WPRO
WT
WebGear
Winbond
Winchester Systems
Winmodem
Wipro
Wipro nfotech
WiseCom
X Test Testing Labs
Xerox
Xircom
Yamaha
Yellowfin
ZONET
ZZ(None)
Znyx
Zoltrix
Zynx
make
microSOUND
Anexo 4. DAGRAMAS

Fig.1 Estructura de Modelo OS y TCP/P

Fig.2 Funcionamiento del Servidor Web Fig. 3 Funcionamiento del Firewall
Fig. 4 Router de Filtrado de Paquetes
Anexo 5. HARDWARE DE SEGURDAD RECOMENDADO
Routers de acceso modular de la serie Cisco 2600
Especificaciones tcnicas
Procesador: Motorola MPC860 40 MHz
(Cisco 261X), Motorola MPC860 50 MHz (Cisco 262x)
Memoria Flash: 4 a 16 MB (32 MB mx. en Cisco 262x)
Memoria de sistema (DRAM): de 24 a 64 MB
Ranuras para tarjetas de interfaz WAN: 2
Ranuras para mdulos de red: 1
Ranura AM: 1
Consola/velocidad auxiliar: 115,2 Kbps (mxima)
Anchura: 17,5 pulgadas (44,5 cm.)
Altura: 1,69 pulgadas (4,3 cm.)
Profundidad: 11,8 pulgadas (30 cm.)
Peso (mn.): 8,85 lb. (4,02 kg)
Peso (mx.): 10,25 lb. (4,66 kg)
Disipacin de potencia: 72 W (mximo)
Voltaje de corriente alterna (CA) de entrada: de 100 240 VCA
Frecuencia: de 47 64 Hz
Tensin de entrada CA: 1,5 amperios
Voltaje de corriente continua (CC) de entrada: -38V a -75 V
Tensin CC de entrada 2 amperios
Temperatura de funcionamiento: de 32 a 104 F (de 0 a 40 C)
Temperatura de no funcionamiento: de -13 a 158 F (de -25 a 70 C)
Humedad relativa: de 5 a 95% sin condensacin
Nivel de ruido (mn.): 38 dbA
Nivel de ruido (mx.): 42 dbA
Software Cisco OS
Al ser compatible con toda la gama de conjuntos de caractersticas de software
Cisco OS disponibles, la serie Cisco 2600
puede operar la gama de servicios de red ms amplia del mercado. Los
conjuntos de caractersticas base admiten los protocolos y estndares ms
utilizados, tales como NAT, OSPF, Border Gateway Protocol (BGP), Remote
Access Dial-n User Service (RADUS), P Multicast, RMON y las caractersticas
de optimizacin de WAN (como Bandwidth on Demand; Custom, Priority and
Weighted Fair Queuing, Dial Back-up y RSVP). Los conjuntos de caractersticas
"Plus" contienen un nmero adicional de caractersticas de valor aadido, como
por ejemplo los protocolos de mainframe de legado, DLSw, L2TP, L2F,
integracin de voz/datos, modo de transferencia asncrona (ATM), VLAN,
Netflow, etc. Otros conjuntos de caractersticas incluyen cifrado PSec y 3DES,
as como capacidades de firewall certificadas CSA.
Cisco Systems tiene ms de 200 oficinas en los siguientes pases. Las
direcciones, nmeros de telfono y de fax pueden encontrarse en el
s i t i o We b C i s c o C o n n e c t i o n O n l i n e : h t t p : / / w w w. c i s c o . c o
m / o f f i c e s .
The world-leading Cisco PX 500 Series Firewalls are purpose-built
security appliances that deliver unprecedented levels of security, performance
and reliability. These platforms provide robust, enterprise-class security services
including stateful inspection firewalling, standards-based Psec Virtual Private
Networking (VPN), intrusion protection and much more in cost-effecective, easy
to deploy solutions. Ranging from compact, plug-n-play desktop firewalls for
small/home offices to carrier class gigabit firewalls for the most demanding
enterprise and service provider environments, the Cisco PX 500 Series Firewall
consists of the following five models:
The Cisco PX 535 Firewall, intended for large Enterprise and Service Provider
environments, provides over 1 Gbps of firewall throughput with the ability to handle up to 500,000
concurrent connections. Certain PX 535 models include stateful high-availability capabilities, as
well as integrated hardware acceleration for VPN, providing up to 95 Mbps of 3DES VPN and
support for 2,000 Psec tunnels. The Cisco PX 535 provides a modular chassis with support for
up to 10 10/100 Fast Ethernet interfaces or 9 Gigabit Ethernet interfaces.
The Cisco PX 525 Firewall, intended for Enterprise and Service Provider environments,
provides over 360 Mbps of firewall throughput with the ability to handle as many as 280,000
simultaneous sessions. Certain PX 525 models include stateful high-availability capabilities, as
well as integrated hardware acceleration for VPN, providing up to 70 Mbps of 3DES VPN and
support for 2,000 Psec tunnels. The PX 525 provides a modular chassis with support for up to 8
10/100 Fast Ethernet interfaces or 3 Gigabit Ethernet interfaces.
The NEW Cisco PX 515E Firewall intended for Small-to-Medium Business and
Enterprise environments, provides up to 188 Mbps of firewall throughput with the ability to handle
as many as 125,000 simultaneous sessions. Certain PX 515E models includes stateful high-
availability capabilities, as well as integrated support for 2,000 Psec tunnels. The PX 515E
provides a modular chassis with support for up to six 10/100 Fast Ethernet interfaces.
The NEW Cisco PX 506E Firewall, intended for Remote Office/Branch Office
environments, provides up to 20 Mbps of firewall throughput and 16 Mbps of 3DES VPN
throughput. The PX 506E uses a compact, desktop chassis and provides two auto-sensing
10Base-T interfaces.
The Cisco PX 501 Firewall, intended for Small Office and Enterprise Teleworker
environments, provides up to 10 Mbps of firewall throughput and 3 Mbps of 3DES VPN
throughput. The PX 501 delivers enterprise-class security in a compact, plug-n-play security
appliance, and includes an integrated 4-port Fast Ethernet (10/100) switch and one 10Base-T
interface.

Principio
del
formulari
o
Compare
Final del
formulari
o
Hide
photos
Sort by
Name
Sort by
Rating
Sort by
Price
Compare
SonicWALL PRO
Firewall , Sonic
Systems
6
reviews
Lowest price:
$1365
Compare
VPN Firewall
Firewall , Lucent
2
reviews
Lowest price:
$59194
Compare
PX Series
Firewall , Cisco
Systems
2
reviews
Lowest price:
$987
Compare
D-Link D-701
Residential Gateway
Router Gateway
Firewall , D-Link
5
reviews
Anexo 6. SOFTWARE RECOMENDADO
Productos certificados PSEC por
CSA (nternational Computer Security Association)
Programas de certificacin:
Versin 1.0 (requisitos bsicos de autenticacin, integridad y confidencialidad)
Versin 1.0A (incluye SHA1, ESP NULL)
Strong Cryto (Scr) (incluye 3DES, DH grupo 2, opcional CAST, DEA, RC5)
Enhanced Funcionality (idem v 1.0A ms compresin)
Versin 1.1 (idem v 1.0A ms certificados)
Enhanced Certificate Authority (idem Versin 1.1 ms procesamiento automatizado de
certificados)

Trabajo enviado por:
ng. Silvio A. Sandoval Ramos
silvioalx@yahoo.com
24 aos
11 de Diciembre de 2002
Titulo: Servidores Web Seguros
Categora: Computacin
Abstracto
Un anlisis de la tecnologa necesaria para la implementacin de Servidores
Web seguros. Se presentan Sistemas Operativos en los que se puede
desarrollar este tipo de tecnologa. Se mencionan las utilidades y herramientas
de seguridad que incluye Red Hat Linux 8.0 as como una breve descripcin de
Apache (https). Se explican las distintas tecnologas de seguridad ya sea
software o hardware como SPX, PSec, Firewalls, Proxyservers, Routers de
seleccin, Firewalls de Encriptacin, etc. As como tcnicas de Proteccin que
combinan este tipo de Hardware y Software. Se hace pauta en las
consideraciones para el desempeo satisfactorio del equipo: las particiones del
disco duro; los arreglos RAD y la proteccin fsica del servidor.




Nota al lector: es posible que esta pgina no contenga todos los componentes del trabajo original
(pies de pgina, avanzadas formulas matemticas, esquemas o tablas complejas, etc.).
Recuerde que para ver el trabajo en su versin original completa, puede descargarlo en formato
DOC desde el men superior.
Vol%er al inicio | Vol%er arri'a
Trminos y Condiciones - Haga Publicidad en Monografias.com - Contctenos
1997 Lucas Morea / Sinexi S.A.
8ire&alls , Se#ridad en In!erne!

() 8ire&alls , se#ridad en In!erne!
Introduccin.
La seguridad ha sido el principal concerniente a tratar cuando una
organizacin desea conectar su red privada al nternet. Sin tomar en
cuenta el tipo de negocios, se ha incrementado el numero de usuarios de
redes privadas por la demanda del acceso a los servicios de nternet tal
es el caso del World Wide Web (WWW), nternet Mail (e-mail), Telnet, y
File Transfer Protocol (FTP). Adicionalmente los corporativos buscan las
ventajas que ofrecen las paginas en el WWW y los servidores FTP de
acceso publico en el nternet.
Los administradores de red tienen que incrementar todo lo concerniente a
la seguridad de sus sistemas, debido a que se expone la organizacin
privada de sus datos as como la infraestructura de sus red a los Expertos
de nternet (Internet Crakers). Para superar estos temores y proveer el
nivel de proteccin requerida, la organizacin necesita seguir una poltica
de seguridad para prevenir el acceso no-autorizado de usuarios a los
recursos propios de la red privada, y protegerse contra la exportacin
privada de informacin. Todava, aun si una organizacin no esta
conectada al nternet, esta debera establecer una poltica de seguridad
interna para administrar el acceso de usuarios a porciones de red y
proteger sensitivamente la informacin secreta.
1. Firewalls
Un Firewall en nternet es un sistema o grupo de sistemas que
impone una poltica de seguridad entre la organizacin de red
privada y el nternet. El firewall determina cual de los servicios de
red pueden ser accesados dentro de esta por los que estn fuera,
es decir quien puede entrar para utilizar los recursos de red
pertenecientes a la organizacin. Para que un firewall sea efectivo,
todo trafico de informacin a travs del nternet deber pasar a
travs del mismo donde podr ser inspeccionada la informacin. El
firewall podr nicamente autorizar el paso del trafico, y el mismo
podr ser inmune a la penetracin. desafortunadamente, este
sistema no puede ofrecer proteccin alguna una vez que el agresor
lo traspasa o permanece entorno a este.
Ils!raci"n 9( La Pol.!ica De Se#ridad Crea Un Per.me!ro De
De4ensa)
esto es importante, ya que debemos de notar que un firewall de
nternet no es justamente un ruteador, un servidor de defensa, o
una combinacin de elementos que proveen seguridad para la red.
El firewall es parte de una poltica de seguridad completa que crea
un permetro de defensa diseada para proteger las fuentes de
informacin. Esta poltica de seguridad podr incluir publicaciones
con las guas de ayuda donde se informe a los usuarios de sus
responsabilidades, normas de acceso a la red, poltica de servicios
en la red, poltica de autenticidad en acceso remoto o local a
usuarios propios de la red, normas de dial-in y dial-out, reglas de
enciptacion de datos y discos, normas de proteccin de virus, y
entrenamiento. Todos los puntos potenciales de ataque en la red
podrn ser protegidos con el mismo nivel de seguridad. Un firewall
de nternet sin una poltica de seguridad comprensiva es como
poner una puerta de acero en una tienda.
1. Beneficios de un firewall en Internet
Los firewalls en nternet administran los accesos posibles
del nternet a la red privada. Sin un firewall, cada uno de los
servidores propios del sistema se exponen al ataque de
otros servidores en el nternet. Esto significa que la
seguridad en la red privada depende de la "Dureza" con que
cada uno de los servidores cuenta y es nicamente seguro
tanto como la seguridad en la fragilidad posible del sistema.
El firewall permite al administrador de la red definir un
"choke point" (envudo), manteniendo al margen los usuarios
no-autorizados (tal, como., hackers, crakers, vndalos, y
espas) fuera de la red, prohibiendo potencialmente la
entrada o salida al vulnerar los servicios de la red, y
proporcionar la proteccin para varios tipos de ataques
posibles. Uno de los beneficios clave de un firewall en
nternet es que ayuda a simplificar los trabajos de
administracin, una vez que se consolida la seguridad en el
sistema firewall, es mejor que distribuirla en cada uno de los
servidores que integran nuestra red privada.
El firewall ofrece un punto donde la seguridad puede ser
monitoreada y si aparece alguna actividad sospechosa ,
este generara una alarma ante la posibilidad de que ocurra
un ataque, o suceda algn problema en el transito de los
datos. Esto se podr notar al acceder la organizacin al
nternet, la pregunta general es "si" pero "cuando" ocurrir el
ataque. Esto es extremadamente importante para que el
administrador audite y lleve una bitcora del trafico
significativo a travs del firewall. Tambin, si el
administrador de la red toma el tiempo para responder una
alarma y examina regularmente los registros de base. Esto
es innecesario para el firewall, desde que el administrador
de red desconoce si ha sido exitosamente atacado!.


Concentra la seguridad Centraliza los accesos
Genera alarmas de seguridad Traduce direcciones (NAT)
Monitorea y registra el uso de Servicios de WWW y FTP.
nternet.

Ils!raci"n 9+ Bene4icios De Un 8ire&all De In!erne!)
Con el paso de algunos aos, el nternet ha experimentado
una crisis en las direcciones, logrando que el
direccionamiento P sea menos generoso en los recursos
que proporciona. Por este medio se organizan las
compaas conectadas al nternet, debido a esto hoy no es
posible obtener suficientes registros de direcciones P para
responder a la poblacin de usuarios en demanda de los
servicios. Un firewall es un lugar lgico para desplegar un
Traductor de Direcciones de Red (NAT) esto puede ayudar
aliviando el espacio de direccionamiento acortando y
eliminando lo necesario para re-enumerar cuando la
organizacin cambie del Proveedor de Servicios de nternet
(SPs) .

Un firewall de nternet es el punto perfecto para auditar o
registrar el uso del nternet. Esto permite al administrador de
red justificar el gasto que implica la coneccion al nternet,
localizando con precisin los cuellos de botella potenciales
del ancho de banda, y promueve el mtodo de cargo a los
departamentos dentro del modelo de finanzas de la
organizacin.
Un firewall de nternet ofrece un punto de reunin para la
organizacin. Si una de sus metas es proporcionar y
entregar servicios informacin a consumidores, el firewall de
nternet es ideal para desplegar servidores WWW y FTP.
Finalmente, el firewall puede presentar los problemas que
genera un punto de falla simple. Enfatizando si este punto
de falla se presenta en la conexin al nternet, aun as la red
interna de la organizacin puede seguir operando -
nicamente el acceso al nternet esta perdido - .
La preocupacin principal del administrador de red, son los
mltiples accesos al nternet, que se pueden registrar con
un monitor y un firewall en cada punto de acceso que posee
la organizacin hacia el nternet. Estos dos puntos de
acceso significa dos puntos potenciales de ataque a la red
interna que tendrn que ser monitoreados regularmente!
() Limi!aciones de n 4ire&all
Un firewall no puede protegerse contra aquellos ataques que se
efecten fuera de su punto de operacin.
Por ejemplo, si existe una coneccion dial-out sin restricciones que
permita entrar a nuestra red protegida, el usuario puede hacer una
coneccion SLP o PPP al nternet. Los usuarios con sentido comn
suelen "irritarse" cuando se requiere una autenticacin adicional
requerida por un Firewall Proxy server (FPS) lo cual se puede ser
provocado por un sistema de seguridad circunvecino que esta
incluido en una conexin directa SLP o PPP del SP.
Este tipo de conexiones derivan la seguridad provista por firewall
construido cuidadosamente, creando una puerta de ataque. Los
usuarios pueden estar consientes de que este tipo de conexiones
no son permitidas como parte de integral de la arquitectura de la
seguridad en la organizacin.
Ils!raci"n 9- Cone6i"n Circn%ecina Al 8ire&all De In!erne!)
El firewall no puede protegerse de las amenazas a que esta
sometido por traidores o usuarios inconscientes. El firewall no
puede prohibir que los traidores o espas corporativos copien datos
sensitivos en disquettes o tarjetas PCMCA y substraigan estas del
edificio.
El firewall no puede proteger contra los ataques de la "ngeniera
Social", por ejemplo un Hacker que pretende ser un supervisor o
un nuevo empleado despistado, persuade al menos sofisticado de
los usuarios a que le permita usar su contrasea al servidor del
corporativo o que le permita el acceso "temporal" a la red.
Para controlar estas situaciones, los empleados deberan ser
educados acerca de los varios tipos de ataque social que pueden
suceder, y a cambiar sus contraseas si es necesario
peridicamente.
El firewall no puede protegerse contra los ataques posibles a la red
interna por virus informativos a travs de archivos y software.
Obtenidos del nternet por sistemas operativos al momento de
comprimir o descomprimir archivos binarios, el firewall de nternet
no puede contar con un sistema preciso de SCAN para cada tipo
de virus que se puedan presentar en los archivos que pasan a
travs de el.
La solucin real esta en que la organizacin debe ser consciente
en instalar software anti-viral en cada despacho para protegerse de
los virus que llegan por medio de disquettes o cualquier otra
fuente.
Finalmente, el firewall de nternet no puede protegerse contra los
ataques posibles en la transferencia de datos, estos ocurren
cuando aparntente datos inocuos son enviados o copiados a un
servidor interno y son ejecutados despachando un ataque.
Por ejemplo, una transferencia de datos podra causar que un
servidor modificara los archivos relacionados a la seguridad
haciendo mas fcil el acceso de un intruso al sistema.
Como nosotros podemos ver, el desempeo de los servidores
Proxy en un servidor de defensa es un excelente medio de
prohibicin a las conexiones directas por agentes externos y
reduce las amenazas posibles por los ataques con transferencia de
datos.
2. Herramientas del hacker
Es difcil describir el ataque "tpico" de un hacker debido a que los
intrusos poseen diferentes niveles de tcnicos por su experiencia y
son adems son motivados por diversos factores. Algunos hackers
son intrigosos por el desafo, otros mas gozan de hacer la vida
difcil a los dems, y otros tantos substraen datos delicados para
algn beneficio propio.
() Recolecci"n de in4ormaci"n
Generalmente, el primer paso es saber en que forma se recolecta la
informacin y adems que tipo de informacin es. La meta es construir
una base de datos que contenga la organizacin de la red y colectar la
informacin acerca de los servidores residentes.
Esta es una lista de herramientas que un hacker puede usar para colectar
esta informacin:
El protocolo SNMP puede utilizarse para examinar la tabla de ruteo en un dispositivo
inseguro, esto sirve para aprender los detalles mas ntimos acerca del objetivo de la topologa de
red perteneciente a una organizacin.
El programa TraceRoute puede revelar el numero de redes intermedias y los ruteadores
en torno al servidor especifico.
El protocolo Whois que es un servicio de informacin que provee datos acerca de todos
los dominios DNS y el administrador del sistema responsable para cada dominio. No obstante
que esta informacin es anticuada.
Servidores DNS pueden accesarce para obtener una lista de las direcciones P y sus
correspondientes Nombres (Programa Nslookup).
El protocolo Finger puede revelar informacin detallada acerca de los usuarios (nombres
de Login, nmeros telefnicos, tiempo y ultima sesin, etc.) de un servidor en especifico.

El programa Ping puede ser empleado para localizar un servidor particular y determinar
si se puede alcanzar. Esta simple herramienta puede ser usada como un programa de escaneo
pequeo que por medio de llamadas a la direccin de un servidor haga posible construir una lista
de los servidores que actualmente son residentes en la red.
() Sondeo del sis!ema $ara de'ili!ar la se#ridad
Despus que se obtienen la informacin de red perteneciente a dicha
organizacin, el hacker trata de probar cada uno de los servidores para
debilitar la seguridad.
Estos son algunos usos de las herramientas que un hacker puede utilizar
automticamente para explorar individualmente los servidores residentes
en una red:
Una vez obtenida una lista no obstantemente pequea de la vulnerabilidad de servicios
en la red, un hacker bien instruido puede escribir un pequeo programa que intente conectarse a
un puerto especificando el tipo de servicio que esta asignado al servidor en cuestin. La corrida
del programa presenta una lista de los servidores que soportan servicio de nternet y estn
expuestos al ataque.
Estn disponibles varias herramientas del dominio publico, tal es el caso como el
Rastreador de Seguridad en nternet (SS) o la Herramienta para Anlisis de Seguridad para
Auditar Redes (SATAN) , el cual puede rastrear una subred o un dominio y ver las posibles fugas
de seguridad. Estos programas determinan la debilidad de cada uno de los sistemas con
respecto a varios puntos de vulnerabilidad comunes en un sistema. El intruso usa la informacin
collectada por este tipo de rastreadores para intentar el acceso no-autorizado al sistema de la
organizacin puesta en la mira.
Un administrador de redes hbil puede usar estas herramientas en su red
privada para descubrir los puntos potenciales donde esta debilitada su
seguridad y as determina que servidores necesitan ser remendados y
actualizados en el sofware.
1.
+) Acceso a sis!emas $ro!e#idos
i
El intruso utiliza los resultados obtenidos a travs de las pruebas para
poder intentar accesar a los servicios especficos de un sistema.
Despus de tener el acceso al sistema protegido, el hacker tiene
disponibles las siguientes opciones:
Puede atentar destruyendo toda evidencia del asalto y adems podr crear nuevas fugas
en el sistema o en partes subalternas con el compromiso de seguir teniendo acceso sin que el
ataque original sea descubierto.
Pueden instalar paquetes de sondeo que incluyan cdigos binarios conocidos como
"caballos de Troya" protegiendo su actividad de forma transparente. Los paquetes de sondeo
colectan las cuentas y contraseas para los servicios de Telnet y FTP permitiendo al hacker
expandir su ataque a otras maquinas.
Pueden encontrar otros servidores que realmente comprometan al sistema. Esto permite
al hacker explotar vulnerablemente desde un servidor sencillo todos aquellos que se encuentren
a travs de la red corporativa.
Si el hacker puede obtener acceso privilegiado en un sistema compartido, podr leer el
correo, buscar en archivos
1. Bases para el diseo decisivo del firewall
Cuando se disea un firewall de nternet, se tiene que tomar algunas
decisiones que pueden ser asignadas por el administrador de red:
Posturas sobre la poltica del Firewall.
La poltica interna propia de la organizacin para la seguridad total.
El costo financiero del Proyecto "Firewall".
Los componentes o la construccin de secciones del Firewall.
() Pol.!icas del 4ire&all)
Las posturas del sistema firewall describen la filosofa fundamental de la
seguridad en la organizacin. Estas son dos posturas diametralmente
opuestas que la poltica de un firewall de nternet puede tomar:
"No todo lo especficamente permitido esta prohibido"
"Ni todo lo especficamente prohibido esta permitido"
la primera postura asume que un firewall puede obstruir todo el trafico y
cada uno de los servicios o aplicaciones deseadas necesariamente para
ser implementadas bsicamente caso por caso.
Esta propuesta es recomendada nicamente a un limitado numero de
servicios soportados cuidadosamente seleccionados en un servidor. La
desventaja es que el punto de vista de "seguridad" es mas importante que
- facilitar el uso - de los servicios y estas limitantes numeran las opciones
disponibles para los usuarios de la comunidad. Esta propuesta se basa en
una filosofa conservadora donde se desconocen las causas acerca de
los que tienen la habilidad para conocerlas.
La segunda postura asume que el firewall puede desplazar todo el trafico
y que cada servicio potencialmente peligroso necesitara ser aislado
bsicamente caso por caso. Esta propuesta crea ambientes mas flexibles
al disponer mas servicios para los usuarios de la comunidad. La
desventaja de esta postura se basa en la importancia de "facilitar el uso"
que la propia - seguridad - del sistema. Tambin adems, el administrador
de la red esta en su lugar de incrementar la seguridad en el sistema
conforme crece la red. Desigual a la primer propuesta, esta postura esta
basada en la generalidad de conocer las causas acerca de los que no
tienen la habilidad para conocerlas
1. Pol.!ica in!erna de la se#ridad
Tan discutidamente escuchada, un firewall de nternet no
esta solo - es parte de la poltica de seguridad total en una
organizacin -, la cual define todos los aspectos en
competentes al permetro de defensa. Para que esta sea
exitosa, la organizacin debe de conocer que es lo se esta
protegiendo. La poltica de seguridad se basara en una
conduccin cuidadosa analizando la seguridad, la asesora
en caso riesgo, y la situacin del negocio. Si no se posee
con la informacin detallada de la poltica a seguir, aun que
sea un firewall cuidadosamente desarrollado y armado,
estar exponiendo la red privada a un posible atentado.
2. Cos!o del 4ire&all
Cuanto puede ofrecer una organizacin por su seguridad?,
un simple paquete de filtrado firewall puede tener un costo
mnimo ya que la organizacin necesita un ruteador
conectado al nternet, y dicho paquete ya esta incluido como
estndar del equipo. Un sistema comercial de firewall
provee un incremento mas a la seguridad pero su costo
puede ser de $32,000 hasta $240,000 pesos dependiendo
de la complejidad y el numero de sistemas protegidos. Si la
organizacin posee al experto en casa, un firewall casero
puede ser construido con software de dominio publico pero
este ahorro de recursos repercuten en trminos del tiempo
de desarrollo y el despliegue del sistema firewall. Finalmente
requiere de soporte continuo para la administracin,
mantenimiento general, actualizacin de software,
reparacin de seguridad, e incidentes de manejo.
-) Com$onen!es del sis!ema 4ire&all
Despus de las decisiones acerca de los ejemplos previos, la
organizacin puede determinar especficamente los componentes del
sistema. Un firewall tpico se compone de uno, o una combinacin, de los
siguientes obstculos.
Ruteador Filtra-paquetes.
Gateway a Nivel-aplicacin.
Gateway a Nivel-circuito.
por lo que resta del capitulo, se discutir cada una de las opciones para la
edificacin de obstculos y se describir como se puede trabajar junto
con ellos para construir un efectivo sistema firewall de nternet.
1. Edificando obstculos: ruteador filtrapa!uetes
Este ruteador toma las decisiones de rehusar/permitir el paso de
cada uno de los paquetes que son recibidos. El ruteador examina
cada datagrama para determinar si este corresponde a uno de sus
paquetes filtrados y que a su vez haya sido aprobado por sus
reglas. Las reglas de filtrado se basan en revisar la informacin
que poseen los paquetes en su encabezado, lo que hace posible
su desplazamiento en un proceso de P. Esta informacin consiste
en la direccin P fuente, la direccin P destino, el protocolo de
encapsulado (TCP, UDP,CMP, o P tunnel), el puerto fuente
TCP/UDP, el puerto destino TCP/UDP, el tipo de mensaje CMP, la
interface de entrada del paquete, y la interface de salida del
paquete. Si se encuentra la correspondencia y las reglas permiten
el paso del paquete, este ser desplazado de acuerdo a la
informacin a la tabla de ruteo, si se encuentra la correspondencia
y las reglas niegan el paso, el paquete es descartado. Si estos no
corresponden a las reglas, un parmetro configurable por
incumplimiento determina descartar o desplazar el paquete.
Ils!raci"n 9/ R!eador 8il!ra9Paqe!es)
()
+) Ser%icio de$endien!e del 4il!rado
Las reglas acerca del filtrado de paquetes a travs de un ruteador para
rehusar/permitir el trafico esta basado en un servicio en especifico, desde
entonces muchos servicios vierten su informacin en numerosos puertos
TCP/UDP conocidos.
Por ejemplo, un servidor Telnet esta a la espera para conexiones remotas
en el puerto 23 TCP y un servidor SMTP espera las conexiones de
entrada en el puerto 25 TCP. Para bloquear todas las entradas de
conexin Telnet, el ruteador simplemente descarta todos los paquetes
que contengan el valor del puerto destino TCP igual a 23. Para restringir
las conexiones Telnet a un limitado numero de servidores internos, el
ruteador podr rehusar el paso a todos aquellos paquetes que contengan
el puerto destino TCP igual a 23 y que no contengan la direccin destino
P de uno de los servidores permitidos.
Algunas caractersticas tpicas de filtrado que un administrador de redes
podra solicitar en un ruteador filtra-paquetes para perfecionar su
funcionamiento serian:
Permitir la entrada de sesiones Telnet nicamente a una lista especifica de servidores
internos.
Permitir la entrada de sesiones FTP nicamente a los servidores internos especificados.
Permitir todas las salidas para sesiones Telnet.
Permitir todas las salidas para sesiones FTP.
Rehusar todo el trafico UDP.
1. Ser%icio inde$endien!e del 4il!rado
Este tipo de ataques ciertamente son difciles de identificar
usando la informacin bsica de los encabezados debido a
que estos son independientes al tipo de servicio. Los
ruteadores pueden ser configurados para protegerse de este
tipo de ataques pero son mas difciles de especificar desde
entonces las reglas para el filtrado requieren de informacin
adicional que pueda ser estudiada y examinada por la tabla
de ruteo, inspeccionando las opciones especificas P,
revisando fragmentos especiales de edicin, etc. Algunos
ejemplos de este tipo de ataques incluye:
Agresiones Originadas Por El Direccionamiento P.
Para este tipo de ataque, el intruso trasmite paquetes desde
afuera pretendiendo pasar como servidor interno
- los paquetes poseen una direccin fuente P falsa de un
servidor interno del sistema -. El agresor espera que usando
este impostor se pueda penetrar al sistema para emplearlo
seguramente como direccin fuente donde los paquetes que
trasmita sean autentificados y los del otro servidor sean
descartados dentro del sistema. Los ataques por seudo-
fuentes pueden ser frustrados si descartamos la direccin
fuente de cada paquete con una direccin fuente "interno" si
el paquete arriva en una de las interfaces del ruteador
"externo".
Agresiones Originadas En El Ruteador.
En un ataque de ruteo, la estacin de origen especifica la
ruta que un paquete deber de tomar cuando cruce a travs
del nternet. Este tipo de ataques son diseados para
cuantificar las derivaciones de seguridad y encauzan al
paquete por un inesperado camino a su destino. Los
ataques originados en el ruteador pueden ser frustrados
simplemente descartando todos los paquetes que
contengan fuentes de ruteo opcionales.
Agresiones Por Fragmentacin.
Por este tipo de ataques, los intrusos utilizan las
caractersticas de fragmentacin para crear fragmentos
extremadamente pequeos y obligan a la informacin del
encabezado TCP a separarce en paquetes. Estos pequeos
fragmentos son diseados para evitar las reglas definidas
por el filtrado de un ruteador examinando los primeros
fragmentos y el resto pasa sin ser visto. Aunque si bien
nicamente es explotado por sencillos decodificadores , una
agresin pequeisima puede ser frustrada si se descartan
todos los paquetes donde el tipo de protocolo es TCP y la
fragmentacin de compensacin P es igual a 1.
2. Bene4icios del r!eador 4il!ra9$aqe!es
La mayora de sistemas firewall son desplegados usando
nicamente ruteadores filtra-paquetes. Otros que tienen
tiempo planean los filtros y configuran el ruteador, sea este
pequeo o no , el costoso para implementar la filtracin de
paquetes no es cara; desde que los componentes bsicos
de los ruteadores incluyen revisiones estndar de software
para dicho efecto. Desde entonces el acceso a nternet es
generalmente provisto a travs de interfaces WAN,
optimando la operacin del ruteador moderando el trafico y
definiendo menos filtros. Finalmente, el ruteador de filtrado
es por lo general transparente a los usuarios finales y a las
aplicaciones por lo que no se requiere de entrenamiento
especializado o software especifico que tenga que ser
instalado en cada uno de los servidores.
-) Limi!aciones del r!eador 4il!ra9$aqe!es
Definir el filtrado de paquetes puede ser una tarea compleja porque el
administrador de redes necesita tener un detallado estudio de varios
servicios de nternet, como los formatos del encabezado de los paquetes,
y los valores especficos esperados a encontrase en cada campo. Si las
necesidades de filtrado son muy complejas, se necesitara soporte
adicional con lo cual el conjunto de reglas de filtrado puede empezar a
complicar y alargar el sistema haciendo mas difcil su administracin y
comprensin. Finalmente, estas sern menos fciles de verificar para las
correcciones de las reglas de filtrado despus de ser configuradas en el
ruteador. Potencialmente se puede dejar una localidad abierta sin probar
su vulnerabilidad.
Cualquier paquete que pasa directamente a travs de un ruteador puede
ser posiblemente usado como parte inicial un ataque dirigido de datos.
Haciendo memoria este tipo de ataques ocurren cuando los datos
aparentementes inocuos se desplazan por el ruteador a un servidor
interno. Los datos contienen instrucciones ocultas que pueden causar que
el servidor modifique su control de acceso y seguridad relacionando sus
archivos facilitando al intruso el acceso al sistema.
Generalmente, los paquetes entorno al ruteador disminuyen conforme el
numero de filtros utilizados se incrementa. Los ruteadores son
optimizados para extraer la direccin destino P de cada paquete,
haciendo relativamente simple la consulta a la tabla de ruteo, y el
desplazamiento de paquetes para la interface apropiada de la
transmisin. Si esta autorizado el filtro, no nicamente podr el ruteador
tomar la decisin de desplazar cada paquete, pero tambin sucede aun
aplicando todas las reglas de filtrado. Esto puede consumir ciclos de CPU
e impactar el perfecto funcionamiento del sistema.
El filtrado de paquetes P no puede ser capaz de proveer el suficiente
control sobre el trafico. Un ruteador Filtra-Paquetes puede permitir o
negar un servicio en particular, pero no es capaz de comprender el
contexto/dato del servicio. Por ejemplo, un administrador de red necesita
filtrar el trafico de una capa de aplicacin - limitando el acceso a un
subconjunto de comandos disponibles por FTP o Telnet, bloquear la
importacin de Mail o Newsgroups concerniente a tpicos especficos.
Este tipo de control es muy perfeccionado a las capas altas por los
servicios de un servidor Proxy y en Gateways a Nivel-aplicacin.
1. Edificando obstculos: "atewa#s a nivelaplicaci$n
Los gateways nivel-aplicacin permiten al administrador de red la
implementacin de una poltica de seguridad estricta que la que
permite un ruteador filtra-paquetes. Mucho mejor que depender de
una herramienta genrica de filtra-paquetes para administrar la
circulacin de los servicios de nternet a travs del firewall, se
instala en el gateway un cdigo de proposito-especial (un servicio
Proxy) para cada aplicacin deseada. Si el administrador de red no
instala el cdigo Proxy para la aplicacin particular, el servicio no
es soportado y no podrn desplazarse a travs del firewall.
Aun cuando, el cdigo Proxy puede ser configurado para soportar
nicamente las caractersticas especificas de una aplicacin que el
administrador de red considere aceptable mientras niega todas las
otras.
Un aumento de seguridad de este tipo incrementa nuestros costos
en trminos del tipo de gateway seleccionado, los servicios de
aplicaciones del Proxy, el tiempo y los conocimientos requeridos
para configurar el gateway, y un decrecimiento en el nivel de los
servicios que podrn obtener nuestros usuarios, dando como
resultado un sistema carente de transparencia en el manejo de los
usuarios en un ambiente "amigable". Como en todos los casos el
administrador de redes debe de balancear las necesidades propias
en seguridad de la organizacin con la demanda de "fcil de usar"
demandado por la comunidad de usuarios.
Es importante notar que los usuarios tienen acceso por un servidor
Proxy, pero ellos jamas podrn seccionar en el Gateway a nivel-
aplicacin. Si se permite a los usuarios seccionar en el sistema de
firewall, la seguridad es amenazada desde el momento en que un
intruso puede potencialmente ejecutar muchas actividades que
comprometen la efectividad del sistema.
Por ejemplo, el intruso podra obtener el acceso de root, instalar un
caballo de troya para colectar las contraseas, y modificar la
configuracin de los archivos de seguridad en el filrewall.
1.
+) Ser%idor de de4ensa
Un ruteador filtra-paquetes permite la circulacin directa de los paquetes
dentro y fuera del sistema, diferente a esto el Gateway a nivel-aplicacin
deja que la informacin circule entre los sistemas pero no permite el
intercambio directo de paquetes. El principal riesgo de permitir que los
paquetes se intercambien dentro y fuera del sistema se debe a que el
servidor residente en los sistemas de proteccin de la red podr ser
asegurado contra cualquier amenaza representada por los servicios
permitidos.
Un Gateway a nivel-aplicacin por lo regular es descrito como un
"servidor de defensa" porque es un sistema diseado especficamente
blindado y protegido contra cualquier ataque. Hay varias caractersticas
de diseo que son usadas para hacer mas seguro un servidor de defensa:
La plataforma de Hardware del servidor de defensa ejecuta una versin "segura" de su
sistema operativo. Por ejemplo, si el servidor de defensa es una plataforma UNX, se ejecutara
una versin segura del sistema operativo UNX que es diseado especficamente para proteger
los sistemas operativos vulnerables y garantizar la integridad del firewall.
Unicamente los servicios que el administrador de redes considera esenciales son
instalados en el servidor de defensa. La lgica de operacin es que si el servicio no esta
instalado, este puede ser atacado. Generalmente, un conjunto limitado de aplicaciones Proxy
tales como Telnet, DNS, FTP, SMTP, y autenticacin de usuarios son instalados en este
servidor.
El servidor de defensa podr requerir de una autenticacin adicional para que el usuario
accese a los servicios Proxy. Por ejemplo, el servidor de defensa es ideal para colocar un
sistema fuerte de supervisin de autorizacin (tal como la tecnologa "una-sola vez" de
contrasea donde una tarjeta inteligente generaba un cdigo de acceso nico por medios
criptogrficos). Adicionalmente, cada servicio Proxy podr requerir de autorizacin propia
despus que el usuario tenga acceso a su sesin.
Cada Proxy es configurado para soportar nicamente un subconjunto de aplicaciones
estndar de un conjunto de comandos. Si un comando estndar no es soportado por la
aplicacin Proxy, es porque simplemente no esta disponible para el usuario.
Cada Proxy esta configurado para dejar acceder nicamente a los servidores
especificados en el sistema. Esto significa que existe un conjunto de caractersticas/comandos
que podrn ser aplicados para un subconjunto de sistemas en la red protegida.
Cada Proxy mantiene la informacin detallada y auditada de todos los registros del
trafico, cada conexin , y la duracin de cada conexin. El registro de audicin es un herramienta
esencial para descubrir y finalizar el ataque de un intruso.
Cada Proxy es un programa pequeo y sencillo especficamente diseado para la
seguridad de redes. Este permite que el cdigo fuente de la aplicacin pueda revisar y analizar
posibles intrusos y fugas de seguridad. Por ejemplo, una tpica aplicacin - UNX mail - puede
tener alrededor de 20,000 lneas de cdigo cuando un correo Proxy puede contener menos de
mil.
Cada Proxy es independiente de todas las dems aplicaciones Proxy en el servidor de
defensa. Si se sucitara un problema con la operacin de cualquier Proxy, o si se descubriera un
sistema vulnerable, este puede desinstalarse sin afectar la operacin de las dems aplicaciones.
Aun, si la poblacin de usuarios requiere el soporte de un nuevo servicio, el administrador de
redes puede fcilmente instalar el servicio Proxy requerido en el servidor de defensa.
Un Proxy generalmente funciona sin acceso al disco lo nico que hace es leer su archivo
de configuracin inicial . desde que la aplicacin Proxy no ejecuta su acceso al disco para
soporte, un intruso podr encontrar mas dificultades para instalar caballos de Troya perjudiciales
y otro tipo de archivos peligrosos en el servidor de defensa.
Cada Proxy corre como un usuario no-previlegiado en un directorio privado y seguro del
servidor de defensa.
1. E%emplo: telnet pro&#
La ilustra la operacin de un Telnet Proxy en un servidor de defensa. Para
este ejemplo, un cliente externo ejecuta una sesin Telnet hacia un
servidor integrado dentro del sistema de seguridad por el Gateway a
nivel-aplicacin.
Ils!raci"n 91 Telne! Pro6,)
El Telnet Proxy nunca permite al usuario remoto que se registre o tenga
acceso directo al servidor interno. El cliente externo ejecuta un telnet al
servidor de defensa donde es autorizado por la tecnologa "una-sola vez"
de contrasea. Despus de ser autentificado, el cliente obtiene acceso a
la interface de usuario del Telnet Proxy. Este nicamente permite un
subconjunto de comandos Telnet y adems determina cual de los
servidores son disponibles para el acceso va Telnet.


Ils!raci"n 92 Sesi"n V.a Terminal De Telne! Pro6,)
Los usuarios externos especifican el servidor de destino y el Telnet Proxy
una vez hecha la conexin, los comandos internos son desplazados hacia
el cliente externo. El cliente externo cree que el Telnet Proxy es el
servidor interno real, mientras el servidor interno cree que el Telnet proxy
es un cliente externo.
El lustracin -7 presenta la salida en pantalla de la terminal de un cliente
externo como la "conexin" a el servidor interno una vez establecida.
Ntese que el cliente no se esta registrando al servidor de defensa - el
usuario comienza su sesin autentificndose por el servidor de defensa e
intercambia respuestas, una vez que se le ha permitido seccionar se
comunica con el Telnet Proxy -. Despus de pasar el intercambio de
respuestas, el servidor Proxy limita un conjunto de comandos y destinos
que estn disponibles para los clientes externos.
La autenticacin puede basarse en "algo conocido por los usuarios"
(como una contrasea) o "algo que tengan" que posean fsicamente
(como una tarjeta electrnica) cualquiera de las dos. Ambas tcnicas
estn sujetas a plagio, pero usando una combinacin de ambos mtodos
se incrementa la probabilidad del uso correcto de la autenticacin. En el
ejemplo de Telnet, el Proxy transmite un requerimiento de registro y el
usuario, con la ayuda de su tarjeta electrnica, obtendr una respuesta de
validacin por un numero. Tpicamente, se le entrega al usuario su tarjeta
desactivada para que el introduzca un PN y se le regresa la tarjeta,
basada en parte como llave "secreta" de encriptacion y con un reloj
interno propio, una vez que se establece la sesin se obtiene un valor de
respuesta encriptado.
1. Bene4icios del #a!e&a, a ni%el9a$licaci"n
Son muchos los beneficios desplegados en un gateway a
nivel-aplicacin. Ellos dan a la administracin de red un
completo control de cada servicio desde aplicaciones proxy
limitadas por un conjunto de comandos y la determinacin
del servidor interno donde se puede accesar a los servicios.
Aun cuando, el administrador de la red tenga el completo
control acerca de que servicios que son permitidos desde la
carencia de un servicio proxy para uno en particular significa
que el servicio esta completamente bloqueado. Los
gateways a nivel-aplicacin tienen la habilidad de soportar
autenticaciones forzando al usuario para proveer
informacin detallada de registro. Finalmente, las reglas de
filtrado para un gateway de este tipo son mucho mas fciles
de configurar y probar que en un ruteador filtra-paquetes.
+) Limi!aciones del #a!e&a, a ni%el9a$licaci"n
Probablemente una de las grandes limitaciones de un gateway a nivel-
aplicacin es que requiere de modificar la conducta del usuario o requiere
de la instalacin de software especializado en cada sistema que accese a
los servicios Proxy. Por ejemplo, el acceso de Telnet va gateway a nivel-
aplicacin demanda modificar la conducta del usuario desde el momento
en que se requiere de dos pasos para hacer una conexin mejor que un
paso. Como siempre, el software especializado podr ser instalado en un
sistema terminado para hacer las aplicaciones del gateway transparentes
al permitir a los usuarios especificar el servidor de destino, mejor que el
propio, en un comando de telnet.
1. Edificando obstculos: "atewa# a nivelcircuito
Un Gateway a nivel-circuito es en si una funcin que puede ser
perfeccionada en un Gateway a nivel-aplicacin. A nivel-circuito
simplemente trasmite las conexiones TCP sin cumplir cualquier proceso
adicional en filtrado de paquetes.
Ils!raci"n 95Ga!e&a, :i%el9Circi!o)
La lustracin -9 muestra la operacin de una conexin tpica Telnet a
travs de un Gateway a nivel-circuito. Tal como se menciono
anteriormente, este gateway simplemente trasmite la conexin a travs
del firewall sin examinarlo adicionalmente, filtrarlo, o dirigiendo el
protocolo de Telnet. El gateway a nivel-circuito acciona como una cable
copiando los bytes antes y despus entre la conexin interna y la
conexin externa. De cualquier modo, la conexin del sistema externo
acta como si fuera originada por el sistema de firewall tratando de
beneficiar el encubrir la informacin sobre la proteccin de la red.
El Gateway a nivel-circuito se usa frecuentemente para las conexiones de
salida donde el administrador de sistemas somete a los usuarios internos.
La ventaja preponderante es que el servidor de defensa puede ser
configurado como un Gateway "hbrido" soportando nivel-aplicacin o
servicios Proxy para conexiones de venida y funciones de nivel-circuito
para conexiones de ida.
Esto hace que el sistema de firewall sea fcil de usar para los usuarios
internos quienes desean tener acceso directo a los servicios de nternet
mientras se proveen las funciones del firewall necesarias para proteger la
organizacin de los ataques externos.
Texto Original en ngles, por Chuck Semeria - 3Com Corp.
Traducido al espaol y Revisado por Daniel R. Elorreaga
UNAM Mexico. 3Com Global User # 010726
Fuente: http://www.3com.com/nsc/500619.html
Autor: Daniel Ramn Elorreaga Madrigal
ng. Electronico
Universidad Nacional Autonoma de Mexico
e-mail: dan_dds@yahoo.com
Nota al lector: es posible que esta pgina no contenga todos los componentes del trabajo original
(pies de pgina, avanzadas formulas matemticas, esquemas o tablas complejas, etc.).
Recuerde que para ver el trabajo en su versin original completa, puede descargarlo en formato
DOC desde el men superior.
Vol%er al inicio | Vol%er arri'a
Introduccin a las redes.
ndice
<3 Concepto.
43 Estructura Cliente Servidor.
93 Topologas Lgicas y Topologas Fsicas.
G3 Mtodos De Acceso.
H3 Tipos De Redes.
E3 Estndar Ethernet.
U3 Token Ring.
?3 Elementos nvolucrados En Un Cableado De Redes.
M3 Cableado Estructurado.
Hoe
Conce$!o
Las redes interconectan computadoras con distintos sistemas
operativos, ya sea dentro de una empresa u organizacin (LANs) o por
todo el mundo (WANs, Internet).
Anteriormente se utilizaban bsicamente para compartir los recursos
de las computadoras conectadas. oy, las redes son medios de
comunicacin internacional a trav!s de los cuales se intercambian
grandes vol"menes de datos.
Las razones ms usuales para decidir la instalacin de una red son#
$omparticin de programas, arc%ivos e impresora.
&osibilidad de utilizar so't(are de red.
$reacin de grupos de traba)o.
*estin centralizada.
+eguridad.
Acceso a otros sistemas operativos.
$ompartir recursos.
,n e)emplo de red muy sencilla se ve en la 'igura#
3ndice
Es!rc!ra Clien!e9Ser%idor)
-n las redes basadas en estructuras cliente.servidor, los servidores
ponen a disposicin de sus clientes recursos, servicios y aplicaciones.
/ependiendo de 0ue recursos o'rece el servidor y cuales se mantienen
en los clientes se pueden %acer distinciones entre distintas estructuras
cliente.servidor.
-n estas estructuras se di'erencia#
/onde se encuentran los datos.
/onde se encuentran los programas de aplicacin.
/onde se presentan los datos.
A continuacin se presentarn brevemente los distintos conceptos.
1. Sistema centralizado basado en el host (anfitrin).
A0u2, los datos, los programas de aplicacin y la presentacin se
encuentran en el servidor. La imagen 'inal se transmite a los
terminales de los usuarios. /esde los terminales, las cadenas de
caracteres de las entradas de los usuarios se reenv2an al %ost.
-ste concepto es el 0ue sirve de base para los main'rame.
3. Pc cliente y servidor host.
Los datos de aplicacin se conservan de 'orma centralizada en el
servidor. $on programas clientes de las aplicaciones, !stas se
presentan en cada estacin de traba)o. -l lugar de traba)o suele
ser una pc e)ecutando, por e)emplo (indo(s.
4. Estacin de trabajo cliente y servidor de archivo.
Los datos se encuentran en el servidor (generalmente en una
base de datos). $on una base de datos cliente se accede a esos
datos desde cual0uier computadora. -n el cliente se procesan los
datos utilizando la inteligencia del cliente. $ada computadora
contiene aplicaciones con las 0ue se puede procesar los datos.
5. Pc cliente y servidor de aplicaciones.
-n esta red se dispone al menos de dos servidores distintos. ,no
de ellos act"a meramente como servidor de base de datos y el
resto como servidor de aplicaciones. Los servidores de
aplicaciones de esta red tambi!n son los responsables de acceso
a las bases de datos. -n las estaciones de traba)o 'uncionan los
clientes de los programas de aplicacin correspondientes.
6. Sistema cliente-servidor cooperativo descentralizado.
Las bases de datos estn repartidas en distintos servidores o
incluso clientes. Las aplicaciones 'uncionan igualmente en
distintos servidores o en parte tambi!n en clientes.
3ndice
To$olo#.as L"#icas ; To$olo#.as 8.sicas)
ay varias maneras de conectar dos o ms computadoras en red.
&ara ellos se utilizan cuatro elementos 'undamentales# servidores de
arc%ivos, estaciones de traba)o, tar)etas de red y cables.
A ellos se le suman los elementos propios de cada cableado, as2 como
los manuales y el so't(are de red, a e'ectos de la instalacin y
mantenimiento.
Los cables son generalmente de dos tipos# ,7& par trenzado y coa8il.
La manera en 0ue estn conectadas no es arbitraria, sino 0ue siguen
estndares '2sicos llamados topolog2as.
/ependiendo de la topolog2a ser la distribucin '2sica de la red y
dispositivos conectados a la misma, as2 como tambi!n las
caracter2sticas de ciertos aspectos de la red como# velocidad de
transmisin de datos y con'iabilidad del cone8ionado.
TOPOO!"# $"S%&#S'-s la 'orma 0ue adopta un plano es0uemtico del
cableado o estructura '2sica de la red, tambi!n %ablamos de m!todos
de control.
TOPOO!"# (!%&#S'-s la 'orma de cmo la red reconoce a cada
cone8in de estacin de traba)o.
+e clasi'ican en#
TOPOLOGA LINEAL O BUS:
consiste en un solo cable al cual se le conectan todas las estaciones de
traba)o.
-n este sistema un sola computadora por vez puede mandar datos los
cuales son escuc%ados por todas las computadoras 0ue integran el
bus, pero solo el receptor designado los utiliza.
9enta)as# -s la ms barata. Apta para o'icinas medianas y c%icas.
/esventa)as#
+i se tienen demasiadas computadoras conectadas a la vez,
la e'iciencia ba)a notablemente.
-s posible 0ue dos computadoras intenten transmitir al
mismo tiempo provocando lo 0ue se denomina :colisin;, y
por lo tanto se produce un reintento de transmisin.
,n corte en cual0uier punto del cable interrumpe la red
TOPOLOGA ESTRELLA:
-n este es0uema todas las estaciones estn conectadas a un
concentrador o ,< con cable por computadora.
&ara 'uturas ampliaciones pueden colocarse otros ,<s en cascada
dando lugar a la estrella )err0uica.
&or e)emplo en la estructura $LI-N7-.+-=9I/>=# el servidor est
conectado al ,< activo, de este a los pasivos y 'inalmente a las
estaciones de traba)o.
9enta)as#
La ausencia de colisiones en la transmisin y dialogo directo
de cada estacin con el servidor.
La ca2da de una estacin no anula la red.
/esventa)as#
<a)a transmisin de datos.
TOPOLOGA ANILLO(TOEN RING!:
-s un desarrollo de I<? 0ue consiste en conectar cada estacin con
otra dos 'ormando un anillo.
Los servidores pueden estar en cual0uier lugar del anillo y la
in'ormacin es pasada en un "nico sentido de una a otra estacin
%asta 0ue alcanza su destino.
$ada estacin 0ue recibe el 7>@-N regenera la seAal y la transmite a
la siguiente.
&or e)emplo en esta topolog2a, esta env2a una seAal por toda la red.
+i la terminal 0uiere transmitir pide el 7>@-N y %asta 0ue lo tiene
puede transmitir.
+i no est la seAal la pasa a la siguiente en el anillo y sigue circulando
%asta 0ue alguna pide permiso para transmitir.
9enta)as#
No e8isten colisiones, &ues cada pa0uete tienen una cabecera o 7>@-N
0ue identi'ica al destino.
/esventa)as#
La ca2da de una estacin interrumpe toda la red.
Actualmente no %ay cone8iones '2sicas entre estaciones, sino
0ue e8isten centrales de cableado o ?A, 0ue implementa la
lgica de anillo sin 0ue est!n conectadas entre si evitando
las ca2das.
-s cara, llegando a costar una placa de red lo 0ue una
estacin de traba)o.
TOPOLOGA "RBOL:
-n esta topolog2a 0ue es una generalizacin del tipo bus, el rbol tiene
su primer nodo en la ra2z y se e8pande %acia 'uera utilizando ramas,
en donde se conectan las dems terminales.
-sta topolog2a permite 0ue la red se e8panda y al mismo tiempo
asegura 0ue nada ms e8iste una ruta de datos entre dos terminales
cuales0uiera.
TOPOLOGA #ES$:
-s una combinacin de ms de una topolog2a, como podr2a ser un bus
combinado con una estrella.
-ste tipo de topolog2a es com"n en lugares en donde ten2an una red
bus y luego la 'ueron e8pandiendo en estrella.
+on complicadas para detectar su cone8in por parte del servicio
t!cnico para su reparacin.
/entro de estas topolog2as encontramos#
1. TOPOLOGA ANILLO EN ESTRELLA: se utilizan con el 'in
de 'acilitar la administracin de la red. B2sicamente la red es
una estrella centralizada en un concentrador o ,<s,
mientras 0ue a nivel lgico la red es un anillo.
3. TOPOLOGA BUS EN ESTRELLA: el 'in es igual al anterior.
-n este caso la red es un bus 0ue se cable '2sicamente como
una estrella mediante el uso de
C
concentradores.
4. TOPOLOGA ESTRELLA %ER"R&UI'A: esta estructura se
utiliza en la mayor parte de las redes locales actuales. &or
medio de concentradores dispuestos en cascadas para
'ormar una red )err0uica.
(
'ON'ENTRA)OR o $UB: son e0uipos 0ue permiten estructurar el cableado de las
redes, la variedad de tipos y caracter2sticas de estos e0uipos es muy grande. $ada
vez disponen de mayor numero de capacidades como aislamiento de tramos de red,
capacidad de conmutacin de las salidas para aumentar la capacidad de la red,
gestin remonta, etc... se tiende a incorporar ms 'unciones en el concentrador.
3ndice
M0!odos De Acceso:
-n las topolog2as anteriores se comparte el medio, por parte de ms
de una &$, con lo 0ue puede ocurrir 0ue 3 o ms &$ intenten acceder
al medio al mismo tiempo produci!ndose una colisin 0ue provocar2a
errores en los datos enviados a trav!s de medio.
&ara evitar estas situaciones o corregirlas se dispone de varios
mecanismos de acceso al medio de 'orma controlada 0ue se basan en
la secuencia de bits 0ue %abilita el permiso para transmitir por el
medio '2sico.
1. +i e8iste una estacin de traba)o D)e'eD 0ue centralice el paso
de la seAal, los m!todos se llaman#
o &>LLIN*# si la topolog2a usada es bus.
o L,& $-N7=AL# si la topolog2a usada es de tipo anillo.
3. +i no e8iste esa estacin )e'e 0ue controle el paso de la seAal
o 7-+7I*>, tenemos los m!todos#
o &A+> /-L 7-+7I*> -N ANILL># usa la topolog2a en
anillo.
o 7-+7I*> -N <,+# usa la topolog2a en bus.
4. +i no utilizamos ning"n m!todo de control sobre el medio
para %abilitar permisos de transmisin de las estaciones
tenemos#
o 7E$NI$A+ /- A$$-+> +>=/A+# se transmiten sin
consultar el medio previamente, para ver si est libre.
o 7E$NI$A+ $>N -+$,$A+ /-L ?-/I># dan lugar a un
control del tipo aleatorio.
&A=A 7>&>L>*FA <,+ esta t!cnica se conoce
como $+?AG$/ t!cnica de acceso al medio con
escuc%as y deteccin de colisiones.
&A=A 7>&>L>*FA ANILL> esta t!cnica se la
conoce como IN+-=$IHN /- =-*I+7=>+.
3ndice
Ti$os De Redes
+e clasi'ican seg"n su -8tensin y 7opolog2a.
+eg"n su -8tensin tenemos redes LAN, ?AN y WAN.
LAN (Redes de "rea Local!:
+on redes de propiedad privada dentro de un solo edi'icio de %asta
unos cuantos Iilmetros de e8tensin.
LAN es un sistema de comunicacin entre computadoras, con la
caracter2stica de 0ue la distancia entre las computadoras debe ser
pe0ueAa.
+e usan ampliamente para conectar computadoras personales y
estaciones de traba)o en o'icinas de compaA2as y 'bricas con ob)eto
de compartir los recursos (impresoras, etc.) e intercambiar
in'ormacin.
Las LAN se distinguen de otro tipo de redes por las siguientes tres
caracter2sticas# tamaAo, tecnolog2a de transmisin y topolog2a.
Las LAN estn restringidas en tamaAo, las computadoras se
distribuyen dentro de la LAN para obtener mayor velocidad en las
comunicaciones dentro de un edi'icio o un con)unto de edi'icios, lo cual
signi'ica 0ue el tiempo de transmisin del peor caso est limitado y se
conoce de antemano.
$onocer este l2mite %ace posible usar ciertos tipos de diseAos 0ue de
otra manera no ser2an prcticos y tambi!n simpli'ica la administracin
de la red.
Las LAN a menudo usan una tecnolog2a de transmisin 0ue consiste en
un cable sencillo al cual estn conectadas todas las m0uinas.
Las LAN tradicionales operan a velocidades de 1J a 13 *<&+, tienen
ba)o retardo (d!cimas de microsegundos) y e8perimentan muy pocos
errores.
Las LAN pueden tener diversas topolog2as. La topolog2a o la 'orma de
cone8in de la red, depende de algunos aspectos como la distancia
entre las computadoras y el medio de comunicacin entre ellas ya 0ue
este determina la velocidad del sistema.
<sicamente e8isten tres topolog2as de red# estrella (+tar), canal (<us)
y anillo (=ing)
*AN (Redes de "rea A+,lia!:
,na WAN se e8tiende sobre un rea geogr'ica amplia, a veces un pa2s
o un continenteK contiene una coleccin de m0uinas dedicadas a
e)ecutar programas de usuario (aplicaciones), estas m0uinas se
llaman osts.
Los osts estn conectados por una subred de comunicacin. -l
traba)o de una subred es conducir mensa)es de un ost a otro.
La separacin entre los aspectos e8clusivamente de comunicacin de
la red (la subred) y los aspectos de aplicacin (osts), simpli'ica
enormemente el diseAo total de la red.
-n muc%as redes de rea amplia, la subred tiene dos componentes
distintos# las l2neas de transmisin y los elementos de conmutacin.
Las l2neas de transmisin (tambi!n llamadas circuitos o canales)
mueven los bits de una m0uina a otra.
Los elementos de conmutacin son computadoras especializadas 0ue
conectan dos o ms l2neas de transmisin.
$uando los datos llegan por una l2nea de entrada, el elemento de
conmutacin debe escoger una l2nea de salida para enviarlos.
$omo t!rmino gen!rico para las computadoras de conmutacin, les
llamaremos enrutadores.
La velocidad normal lleva un rango de los 6L @<&+ a los 166 ?<&+.
Los retardos para una WAN pueden variar de unos cuantos
milisegundos a unas decenas de segundos.
#AN (Redes de "rea #etro,olitana!:
,na ?AN es bsicamente una versin ms grande de una LAN y
normalmente se basa en una tecnolog2a similar.
&odr2a abarcar una serie de o'icinas cercanas o en una ciudad, puede
ser p"blica o privada.
,na ?AN puede mane)ar datos y voz, e incluso podr2a estar
relacionada con una red de televisin por cable local.
,na ?AN slo tiene uno o dos cables y no contiene elementos de
conmutacin, los cuales desv2an los pa0uetes por una de varias l2neas
de salida potenciales.
$omo no tiene 0ue conmutar, el diseAo se simpli'ica.
La principal razn para distinguir las ?AN como una categor2a especial
es 0ue se %a adoptado un estndar para ellas, y este se llama /M/<
(bus dual de cola distribuida).
-l /M/< consiste en dos buses (cables) unidireccionales, a los cuales
estn conectadas todas las computadoras.
$ada bus tiene una cabeza terminal (%ead.end), un dispositivo 0ue
inicia la actividad de transmisin.
-l tr'ico destinado a una computadora situada a la derec%a del emisor
usa el bus superior, el tr'ico %acia la iz0uierda usa el bus in'erior.
,n aspecto clave de las ?AN es 0ue %ay un medio de di'usin al cul
se conectan todas las computadoras.
-sto simpli'ica muc%o el diseAo comparado con otros tipos de redes.
3ndice
Es!ndar E!<erne!
-t%ernet es una tecnolog2a desarrollada para las redes LAN 0ue
permite transmitir in'ormacin entre computadoras a velocidades de
1J y 1JJ millones de bits por segundo.
-t%ernet es un estndar, por lo tanto se trata de un sistema
independiente de las empresas 'abricantes de %ard(are de red.
+i bien -t%ernet es el sistema ms popular, e8isten otras tecnolog2as
como 7oIen =ing, 1JJ 9*.
+e usa en redes 0ue no superan las 4J m0uinas, de e8ceder este
n"mero conviene usar 7oIen =ing.
,n sistema -t%ernet consiste de tres elementos bsicos#
,n medio '2sico utilizado para transportar seAales entre dos
computadoras (adaptadores de red y cableado).
,n )uego de reglas o normas de acceso al medio (al cable,
por e)emplo) 0ue le permita a las computadoras poder
arbitrar o regular el acceso al sistema -t%ernet (recordar 0ue
el medio est compartido por todas las computadoras
integrantes de la red).
,n estndar o patrn llamado trama o 'rame 0ue consiste en
un )uego determinado de bits, usados para transportar datos
a trav!s del sistema.
$ada computadora e0uipada con -t%ernet opera en 'orma
independiente de las otras estaciones de la red, es decir 0ue no %ay
una controladora central.
7odas las estaciones conectadas v2a -t%ernet se conectan a un sistema
compartido de seAales, llamado medio.
Las seAales -t%ernet se transmiten en serie, un bit por vez, a trav!s
del canal -t%ernet (llamado de seAal compartida) a cada una de las
estaciones integrantes de la red -t%ernet.
-l prembulo de un pa0uete -t%ernet se genera mediante el %ard(are
(la placa de red).
-l so't(are es responsable de establecer la direccin de origen y de
destino y de los datos.
La in'ormacin sobre la secuencia de los pa0uetes en general es tarea
del %ard(are.
,n pa0uete -t%ernet est compuesto esencialmente por las siguientes
partes#
-l prembulo# es una serie de unos y ceros, 0ue sern
utilizados por la computadora destino (receptor) para
conseguir la sincronizacin de la transmisin.
+eparador de la trama# son dos bits consecutivos utilizados
para lograr alineacin de los bytes de datos. +on dos bits
0ue no pertenecen a los datos, simplemente estn a modo
de separador entre el prembulo y el resto del pa0uete.
/ireccin de destino# es la direccin de la computadora a la
0ue se le env2a el pa0uete. La direccin de di'usin o
broadcast (se le env2a a todos los e0uipos) est compuesta
por uno solamente (son todos unos).
/ireccin de origen# es la direccin de la computadora 0ue
env2a los datos.
Longitud o tipo de datos# es el n"mero de bytes de datos o
el tipo de los mismos. Los cdigos de tipos de datos son
mayores 0ue 16JJ, ya 0ue 16JJ bytes es la m8ima longitud
de los datos en -t%ernet. -ntonces, si este campo es menor
0ue 16JJ se estar re'iriendo a la longitud de los datos y si
es mayor, se re'erir al tipo de datos. -l tipo de datos tendr
un cdigo distinto, por e)emplo para -t%ernet 0ue para Bast
-t%ernet.
/atos# su longitud m2nima es de 5L bytes y su largo m8imo
de 16JJ bytes como di)imos en el 2tem anterior.
+ecuencia de c%e0ueo de la trama# se trata de un c%e0ueo
de errores ($=$) 0ue utiliza 43 bits. -ste campo se genera
generalmente por el %ard(are (placa de red).

<asndose en lo visto, sin contar prembulo, separadores y $=$, la

longitud de los pa0uetes -t%ernet sern#
-l ms corto# L N L N 3 N 5L O LJ bytes.
-l ms largo# L N L N 3 N 16JJ O 1615 bytes.
3ndice
TO=E: RI:G
La red 7oIen.=ing es una implementacin del standard I--- PJ3.6, en
el cual se distingue ms por su m!todo de transmitir la in'ormacin
0ue por la 'orma en 0ue se conectan las computadoras.
A di'erencia del -t%ernet, a0u2 un 7oIen (Bic%a 9irtual) es pasado de
computadora a computadora como si 'uera una papa caliente.
$uando una computadora desea mandar in'ormacin debe de esperar
a 0ue le llegue el 7oIen vac2o, cuando le llega utiliza el 7oIen para
mandar la in'ormacin a otra computadora, entonces cuando la otra
computadora recibe la in'ormacin regresa el 7oIen a la computadora
0ue envi con el mensa)e de 0ue 'ue recibida la in'ormacin.
As2 se libera el 7oIen para volver a ser usado por cual0uiera otra
computadora.
A0u2 debido a 0ue una computadora re0uiere el 7oIen para enviar
in'ormacin no %ay colisiones, el problema reside en el tiempo 0ue
debe esperar una computadora para obtener el 7oIen sin utilizar.
Los datos en 7oIen.=ing se transmiten a 5 1Lmbps, depende de la
implementacin 0ue se %aga.
7odas las estaciones se deben de con'igurar con la misma velocidad
para 0ue 'uncione la red.
$ada computadora se conecta a trav!s de cable &ar 7renzado ya sea
blindado o no a un concentrador llamado ?A,(?edia Access ,nit), y
aun0ue la red 0ueda '2sicamente en 'orma de estrella, lgicamente
'unciona en 'orma de anillo por el cual da vueltas el 7oIen.
-n realidad es el ?A, el 0ue contiene internamente el anillo y si 'alla
una cone8in automticamente la ignora para mantener cerrado el
anillo.
-l 7oIen.=ing es e'iciente para mover datos a trav!s de la red.
-n redes grandes con tr'ico de datos pesado el 7oIen =ing es ms
e'iciente 0ue -t%ernet.
-Por lo tanto es con.eniente usar To/en rin0 en redes 1ue
su,eran las 23 +41uinas.-
3ndice
ELEME:TOS I:VOLUCRADOS E: U: CABLEADO DE REDES
A continuacin trataremos los componentes ms importantes de una
instalacin '2sica de redes a saber#
A/A&7A/>=-+ > 7A=Q-7A+ /- =-/.
?-/I>+ BF+I$> /- $>N-RIHN# $A<L-+ S $>N-$7>=-+.
$>N$-N7=A/>=-+ > ,<+.
Ada,tadores de red:
+i bien %asta a%ora %ablamos de las topolog2as o 'ormas de cone8in
de computadoras entre s2 por intermedio de cables, todav2a no se di)o
no se di)o nada sobre los tipos de cables e8istentes y sobre como se
conectan los cables a las computadoras.
,na tar)eta de red no es mas 0ue una placa o adaptador '2sico de red
0ue permite establecer la comunicacin entre diversas computadoras
de la red.
#edios 56sicos de cone7in (+edios de trans+isin 8
conectores!:
Los medios '2sicos para la transmisin de datos son los siguientes#
$able coa8il $able ,7& (&ar 7renzado)

Bibra Hptica.
?icroondas, usadas en redes
inalmbricas
Los elementos '2sicos para la cone8in para cable $>ARIL son los
siguientes conectores#
$onectores <N$ ( ?ac%o S embra).
7 <N$.
7erminadores <N$.
>tros elementos '2sicos para la cone8in para cable ,7& son los
siguientes#
$onector =Q 56 mac%o (&L,*).
$onector =Q 56 %embra (QA$@).
$oncentradores o ubs
3ndice
Ca'leado es!rc!rado
+i bien la palabra estructurado no es com"n 0ue 'igure en los
diccionarios 0ue no sean t!cnicos, sabemos 0ue proviene de
estructura.
La de'inicin literal de estructura es la siguiente# D/istribucin en
'orma ordenada de la partes 0ue componen un todoD.
+i traducimos esta de'inicin al rea 0ue nos respecta, podemos
empezar diciendo 0ue el cableado estructurado deber respetar a
ciertas normas de distribucin, no solo de los cables en si, sino
tambi!n de todos los dispositivos involucrados, como ser los
conectores de lo 0ue %ablamos anteriormente.
$uando nos re'erimos a distribucin, %ablamos de la disposicin '2sica
de los cables y los dems accesorios.
&ara dar un e)emplo prctico, no podemos llamar cableado
estructurado a un cableado ,7& de la instalacin de la red, en el cual
los cables est!n tendidos de cual0uier manera.
Al %abla de orden, %ablamos por un lado de la proli)idad de una
instalacin, pero tambi!n estamos diciendo 0ue las instalaciones no
podrn llevarse a cabo como se les ocurra a los instaladores, sino 0ue
debern cumplir ciertas normas t!cnicas, como la norma -IAG7IA 6PL
A.
>tra de las caracter2sticas del $ableado -structurado es 0ue debe
brindar 'le8ibilidad de cone8inK esto signi'ica 0ue no tendremos 0ue
cambiar todo el cableado o %acer comple)as e8tensiones, cuando
necesitemos agregar una computadora a la res o mudar un e0uipo de
una o'icina a otra.
9enta:as )el 'a;leado Estructurado
&ermite realizar instalaciones de cables para datos y
tele'on2a utilizando la misma estructura, es decir usando el
cable, los mismos conectores, %erramientas, etc.
+i una empresa necesita realizar el cableado para la red
(para datos) y para tele'on2a va a optar por una solucin 0ue
le o'rezca un cableado uni'icado, 0ue sirva para ambos
servicios.
>tra venta)a adicional est dada por la 'le8ibilidad del
cableado estructurado, 0ue veremos con un e)emplo# si por
una recon'iguracin de la o'icina, necesitamos conectar un
tel!'ono donde %ab2a un puesto de computacin, podremos
%acerlo mediante una operacin sencilla, sin tener 0ue
instalar nuevos cables, no agu)erear paredes.
-sta operacin, consiste solamente en desconectar un cable
y reconectarlo en otro lado.
Pasos Para La Instalacin )e Una Red 'on 'a;leado
Estructurado
Los pasos a principales 0ue deber2a seguir un instalador son los
siguientes#
1. =evisar los componentes de %ard(are de la red.
3. /eterminar el mapa del cableado.
4. -stablecer en base a lo anterior, los materiales necesarios.
5. =ealizar el cableado propiamente dic%o, y la colocacin de
accesorios.
6. &robar el 'uncionamiento del cableado.
1- Revisar Los Componentes De Hardware De La Red.
,n buen instalador debe consultar con el administrador de la red o con
el servicio 0ue mantiene el %ard(are de la empresa, si el e0uipamiento
0ue poseen va a servir para ser conectado al cableado a realizar.
-s decir 0ue debemos relevar 0ue elementos posee la empresa y ver
cules sirven y cuales no para 0ue podamos utilizar los elementos
seleccionados en la instalacin de la red.
2- Determinar El Mapa Del Cableado
-ste paso es la determinacin del mapa o plano del cableado.
-sta etapa se basa principalmente en el relevamiento lugar en el 0ue
se realizar la instalacin del cableado estructurado.
$onsiste en varias tareas en donde la comple)idad depender del
edi'icio en 0ue se va a instalar la red.
-stas tareas involucran la medicin de las distancias de los distintos
ambientes, la cantidad de agu)eros 0ue se deben realizar en las
paredes, el tipo de pared con las 0ue nos encontraremos, es decir si se
pueden agu)erearse con 'acilidad o no), la determinacion de por donde
y como van a pasar los cables y adems es ideal poseer un plano de la
planta para poder guiarse me)or y armar sobre el mismo el mapa de la
instalacin.
A continuacin podemos ver un mapa de la planta 0ue nos ser de
gran utilidad
-s importante tambi!n concluir la instalacin en el tiempo acordado,
de lo contrario le estaremos restando tiempo a otra obra 0ue ya
estaba prevista.
3- Materiales Necesarios Para El Cableado
,n buen clculo en la compra de los materiales podr a%orrar tiempo y
dinero.
-s com"n 0ue por errores en el relevamiento previo, nos demos
cuenta 0ue 'altan materiales y %aya 0ue salir corriendo de DapuroD a
conseguirlos en alg"n proveedor cercano a la obra.
-n el siguiente es0uema vemos los pasos primordiales para poder
armar un presupuesto de cableado sin pasar sorpresas inesperadas.
=elevamiento previo del edi'icio.
$lculo de materiales necesarios.
7iempo estimado de e)ecucin(costo de la mano de obra).
&resupuesto 'inal.
- Reali!aci"n Del Cableado
-sta etapa se realiza a trav!s de#
La colocacin de alo)amientos para los cables ya sean, canaletas,
zcalos, caAos, bande)as, etc.
,na vez 'i)ados los alo)amientos para sostener los cables, se procede
al tendido de los cables sobre los mismos.
S por "ltimo la colocacin en las paredes los conectores (&lugs y QaIs
=Q56) y san la terminacin 'inal del traba)o como veremos en la
siguiente 'igura#
#- Pr$eba Del Cableado
-n general la prueba del cableado se realiza, en general, 'uera del
%orario de traba)o de la empresa y consiste en la cone8in 'inal de los
e0uipos y la prueba de acceso de los mismos a los recursos de la red y
la velocidad de transmisin.
Componentes De %n Cableado Estr$ct$rado
+i bien conocemos los componentes principales, como ser el cable ,7&
y los conectores =Q56 (plug y )acI), desarrollaremos a continuacin el
resto de los elementos involucrados en este tipo de cableado.
Lista De Componentes %tili!ados&
1. $able ,7&.
3. QacI =Q56.
4. &lug =Q56.
5. -lementos para el alo)amiento de cables (canaletas de cable,
bande)as, caAos, zcalos).
6. =osetas.
L. =acIs.
T. &atc% &anels (patc%etas).
P. &atc% $ords.
3ndice
Hoe
TERMINOLOGA Y ELEMENTOS BSICOS DE REDES.
Protocolo
1. Descripcin formal de un conjunto de reglas y convenciones que rigen la forma en la que los
dispositivos de una red intercambian informacin.
2. Campo dentro de un datagrama IP que indica el protocolo de capa superior (Capa ! que env"a
el datagrama.
Protocolo Internet
Cualquier protocolo que forma parte de la pila de protocolos #CP$IP.
TCP
Protocolo de control de transporte. Protocolo de la capa de transporte orientado a cone%in que
proporciona una transmisin confiable de datos de full d&ple%. #CP 'ace parte de la pila de
protocolo #CP$IP.
TCPIP
Protocolo de control de transporteProtocolo Internet. (ombre com&n para el conjunto de
protocolos desarrollados por el DoD de los )).**. en los a+os ,-. para soportar el desarrollo de
internet/or0 a nivel mundial. #CP e IP son los dos protocolos m1s conocidos de la familia de
protocolos Internet.
Ter!"nal
Dispositivo simple en el que se pueden introducir o recuperar datos de una red. )n general2 las
terminales tienen un monitor y un teclado2 pero no tienen procesador o unidad de disco local
T#TP
Protocolo de trans$erenc"a de arc%"&os tr"&"al. 3ersin simplificada de 4#P que permite la
transferencia de arc'ivos de un computador a otro a trav5s de una red.
Topolo'(a
Disposicin f"sica de nodos de red y medios de transmisin dentro de una estructura de redes.
Nodo
1.Punto final de la cone%in de red o una unin que es com&n para dos o m1s l"neas de una red.
6os nodos pueden ser procesadores2 controladores o estaciones de trabajo. 6os nodos2 que
var"an en cuanto al enrutamiento y a otras aptitudes funcionales2 pueden estar interconectados
mediante enlaces de comunicaciones y sirven como puntos de control en la red. 6a palabra nodo a
veces se utili7a de forma gen5rica para 'acer referencia a cualquier entidad que tenga acceso a
una red y frecuentemente se utili7a de modo gen5rico con la palabra dispositivo.
2. Componente b1sico de una red y el punto en el que una o m1s unidades funcionales conectan
canales o circuitos de datos.
Ser&"dor
(odo o programa de soft/are que suministra servicios a los clientes.
IP)
Interca!*"o de pa+,etes entre redes. Protocolo (et8are de la capa de red (Capa 9! utili7ado
para transferir datos desde los servidores 'asta las estaciones de trabajo. IP: es similar a IP y
:(;.
-ost
;istema inform1tico en una red. ;imilar al t5rmino nodo 2 salvo que host normalmente implica un
computador2 mientras que nodo generalmente se aplica a cualquier dispositivo de red2 incluyendo
servidores de acceso y routers.
Enr,ta!"ento
Proceso de descubrimiento de una ruta 'acia el 'ost de destino. )l enrutamiento es sumamente
complejo en grandes redes debido a la gran cantidad de destinos intermedios potenciales que
debe atravesar un paquete antes de llegar al 'ost de destino.
Gate.a/
)n la comunidad IP2 t5rmino antiguo que se refiere a un dispositivo de enrutamiento. <ctualmente2
el t5rmino router se utili7a para describir nodos que desempe+an esta funcin y gateway se refiere
a un dispositivo especial que reali7a una conversin de capa de aplicacin de la informacin de
una pila de protocolo a otro.
Ro,ter
Dispositivo de la capa de red que usa una o m1s m5tricas para determinar la ruta ptima a trav5s
de la cual se debe enviar el tr1fico de red. )nv"a paquetes desde una red a otra bas1ndose en la
informacin de la capa de red. De ve7 en cuando denominado gateway
S."tc%
1. Dispositivo de red que filtra2 env"a e inunda la red con tramas seg&n la direccin de destino de
cada trama. )l s/itc' opera en la capa de enlace de datos del modelo =;I.
2. #5rmino general que se aplica a un dispositivo electrnico o mec1nico que permite que una
cone%in se estable7ca seg&n sea necesario y se termine cuando ya no 'aya ninguna sesin para
soportar.
P,ente
Dispositivo que conecta y transmite paquetes entre dos segmentos de red que usan el mismo
protocolo de comunicaciones







NIC. Nert.or0 Inter$ace Card. Tar1eta de red.




*na tarjeta de interfaz de red (NIC) es una placa de circuito impreso que proporciona las
capacidades de comunicacin de red 'acia y desde un computador personal. #ambi5n se
denomina adaptador de LAN> se inserta en la mot'erboard y proporciona un puerto de cone%in a
la red. )sta tarjeta se puede dise+ar como una tarjeta )t'ernet2 una tarjeta to0en ring o una tarjeta
de Interfa7 de datos distribuida por fibra (4DDI!.
*na tarjeta de red se comunica con la red a trav5s de una cone%in serial y con el computador a
trav5s de una cone%in paralela. Cada tarjeta requiere una I?@2 una direccin de )$; y una
direccin de memoria superior con D=; o 8indo/s AB$AC.
*na IRQ o lnea de peti!i"n de interrup!i"n2 es una se+al que informa a la CP* que se 'a
producido un evento al cual se debe prestar atencin. ;e env"a una I?@ a trav5s de una l"nea de
'ard/are al microprocesador. *na direccin de )$; es una ubicacin en la memoria que se utili7a
para introducir o retirar datos de un computador mediante un dispositivo au%iliar.
<l seleccionar una tarjeta de red2 debe tener en cuenta los siguientes factoresD
1. tipo de red ()t'ernet2 #o0en ?ing o 4DDI!
2. el tipo de medios (cable de par tren7ado2 cable coa%ial o fibra ptica!
9. tipo de bus del sistema (PCI o I;<!

234 ES 3NA RED5

*na red consiste en dos o mas computadoras unidas que comparten recursos (arc'ivos2 CDE?=F
Gs o impresoras! y que son capaces de reali7ar comunicaciones electrnicas. 6as redes pueden
estar unidas por cable2 l"neas de tel5fono2 ondas de radio2 sat5lites2 etc...
*na red es un sistema de objetos o personas conectados de manera intrincada. 6as redes est1n
en todas partes2 incluso en nuestros propios cuerpos. )l sistema nervioso y el sistema
cardiovascular son redes.
)l net/or0ing surgi como resultado de las aplicaciones creadas para las empresas. ;in
embargo2 en el momento en que se escribieron estas aplicaciones2 las empresas pose"an
computadores que eran dispositivos independientes y cada uno operaba de forma individual2
independientemente de los dem1s computadores. Fuy pronto se puso de manifiesto que esta no
era una forma eficiente ni rentable para operar en el medio empresarial. 6as empresas
necesitaban una solucin que resolviera con 5%ito las siguientes interrogantesD
1. Hcmo evitar la duplicacin de equipos inform1ticos y de otros recursosI
43 Hcmo comunicarse con eficienciaI
9. Hcmo configurar y administrar una redI
6as empresas se dieron cuenta de que podr"an a'orrar muc'o dinero y aumentar la productividad
con la tecnolog"a del net/or0ing. )mpe7aron agregando redes y e%pandiendo las redes e%istentes
casi tan r1pidamente como se produc"a la introduccin de nuevas tecnolog"as y productos de red.
Como resultado2 a principios de los C.2 se produjo una acelerada e%pansin del net/or0ing y sin
embargo2 el temprano desarrollo de la redes resultaba catico en varios aspectos.
< mediados de la d5cada del C.2 comen7aron a presentarse los primeros problemas emergentes
de este crecimiento desordenado. Fuc'as de las tecnolog"as de red que 'ab"an emergido se
'ab"an creado con una variedad de implementaciones de 'ard/are y soft/are distintas. Por lo
tanto2 muc'as de las nuevas tecnolog"as no eran compatibles entre s". ;e torn cada ve7 m1s
dif"cil la comunicacin entre redes que usaban distintas especificaciones.
*na de las primeras soluciones a estos problemas fue la creacin de redes de 1rea local (6<(!2
capaces de conectar todas las estaciones de trabajo2 dispositivos perif5ricos2 terminales y otros
dispositivos ubicados dentro de un mismo edificio2 las 6<( permitieron que las empresas utili7aran
la tecnolog"a inform1tica para compartir de manera eficiente arc'ivos e impresoras.
< medida que el uso de los computadores en las empresas aumentaba2 pronto result obvio que
incluso las 6<( no eran suficientes. )n un sistema de 6<(2 cada departamento2 o empresa2 era
una especie de isla electrnica.
;e necesitaba que la informacin se pudiera transferir r1pidamente y con eficiencia2 no solamente
dentro de una misma empresa sino de una empresa a otra. )ntonces2 la solucin fue la creacin
de redes de #rea $etropolitana (%AN) y redes de 1rea amplia (8<(!. Como las 8<( pod"an
conectar redes de usuarios dentro de 1reas geogr1ficas e%tensas2 permitieron que las empresas
se comunicaran entre s" a trav5s de grandes distancias.

Para facilitar su estudio2 la mayor"a de las redes de datos se 'an clasificado en redes de
#rea lo!al (LAN! o redes de #rea a$plia (&AN). 6as LAN generalmente se encuentran en
su totalidad dentro del mismo edificio o grupo de edificios y manejan las comunicaciones
entre las oficinas. 6as &AN cubren un 1rea geogr1fica m1s e%tensa y conectan ciudades
y pa"ses.
Red de 6rea Local Local Area Net.or0 7LAN8
;e trata de una red que cubre una e%tensin reducida como una empresa2 una universidad2 un
colegio2 etc. (o 'abr1 por lo general dos ordenadores que disten entre s" m1s de un 0ilmetro.
*na configuracin t"pica en una red de 1rea local cuenta con un servidor de arc'ivos en el que se
almacena todo el soft/are de control de la red as" como el soft/are que se comparte con los
dem1s ordenadores de la red. 6os ordenadores que no son servidores de arc'ivos reciben el
nombre de estaciones de trabajo. )stos suelen ser menos potentes y poseen soft/are
personali7ado por cada usuario. 6a mayor"a de las redes 6<( est1n conectadas por medio de
cables y tarjetas de red2 una en cada equipo.

*na de las primeras soluciones a estos problemas fue la creacin de redes de 1rea local (6<(!.
Como eran capaces de conectar todas las estaciones de trabajo2 dispositivos perif5ricos2
terminales y otros dispositivos ubicados dentro de un mismo edificio2 las 6<( permitieron que las
empresas utili7aran la tecnolog"a inform1tica para compartir de manera eficiente arc'ivos e
impresoras.
6as redes de 1rea local (6<(! se componen de computadores2 tarjetas de interfa7 de red2 medios
del net/or0ing2 dispositivos de control del tr1fico de red y dispositivos perif5ricos. 6as 6<( 'acen
posible que las empresas que utili7an tecnolog"a inform1tica compartan de forma eficiente
elementos tales como arc'ivos e impresoras2 y permiten la comunicacin2 por ejemplo2 a trav5s
del correo electrnico. *nen entre s"D datos2 comunicaciones2 servidores de computador y de
arc'ivo.
6as 6<( est1 dise+adas paraD
operar dentro de un 1rea geogr1fica limitada
permitir que varios usuarios accedan a medios de anc'o de banda alto
proporcionar conectividad continua con los servicios locales
conectar dispositivos f"sicamente adyacentes
Red de 6rea Metropol"tana Metropol"tan Area Net.or0 7MAN8
6as redes de 1rea metropolitana cubren e%tensiones mayores como una ciudad o un distrito.
Fediante la intercone%in de redes 6<( se distribuye la informacin a los diferentes puntos del
distrito. Jibliotecas2 universidades u organismos oficiales suelen interconectarse mediante este
tipo de redes.

Redes de 6rea E9tensa :"de Area Net.or0 7:AN8
6as redes de 1rea e%tensa cubren grandes regiones geogr1ficas como un pa"s2 un continente o
incluso el mundo. Cable transoce1nico o sat5lites se utili7an para enla7ar puntos que distan
grandes distancias entre s".
Con el uso de una 8<( se puede contactar desde )spa+a con Kapn sin tener que pagar
enormes cantidades de tel5fono. 6a implementacin de una red de 1rea e%tensa es muy
complicada. ;e utili7an multiple%adores para conectar las redes metropolitanas a redes globales
utili7ando t5cnicas que permiten que redes de diferentes caracter"sticas puedan comunicarse sin
problemas. )l mejor ejemplo de una red de 1rea e%tensa es Internet.



<lgunas de las tecnolog"as comunes de las 8<( sonD
Fdems
?D;I (?ed digital de servicios integrados!
D;6 (Digital ;ubscriber 6ine!(6"nea de suscripcin digital!
4rame relay
<#F (Fodo de transferencia as"ncrona!
;eries de portadoras # ()).** y Canada! y ) ()uropa y <merica 6atina!D #12
)12 #92 )92 etc.
;=()# (?ed ptica s"ncrona!




ANC-O DE BANDA
)s la cantidad m1%ima de bits que tericamente pueden pasar a trav5s de un 1rea determinada de
espacio en una cantidad espec"fica de tiempo (bajo las condiciones especificadas!.
6as 6<( y 8<(2 sin embargo2 siempre 'an tenido en com&n el uso del t5rmino an!ho de 'anda
para describir sus capacidades. )ste t5rmino es esencial para comprender las redes pero puede
prestarse a confusin en un primer momento2 de manera que analicemos en detalle este concepto
antes de seguir con nuestro estudio del net/or0ing.
)l anc'o de banda es la medicin de la cantidad de informacin que puede fluir desde un lugar
'acia otro en un per"odo de tiempo determinado. )%isten dos usos comunes del t5rmino anc'o de
bandaD uno se refiere a las se+ales analgicas y el otro2 a las se+ales digitales. )n este curso se
trabaja con el anc'o de banda digital2 denominado simplemente anc'o de banda.
6a unidad m1s b1sica que se utili7a para describir el flujo de informacin digital desde un lugar a
otro es el bit. )l siguiente t5rmino se usa para describir la unidad b1sica de tiempo. )s el segundo>
a'ora vemos de dnde proviene el t5rmino 'its por segundo.
(its por segundo es una unidad de anc'o de banda. Por supuesto2 si la comunicacin se
produjera a esta velocidad2 1 bit por 1 segundo2 ser"a demasiado lenta2 en la actualidad es posible
reali7ar las comunicaciones de modo m1s velo7.








<(<6=LI<; D)6 <(CM= D) J<(D<
;. El anc%o de *anda es s"!"lar al d"6!etro de ,n ca<o.






















=. El anc%o de *anda ta!*">n p,ede co!pararse a la cant"dad de carr"les de ,na a,top"sta


DI#ERENCIAS EN EL ANC-O DE BANDA DE LOS MEDIOS
)l anc'o de banda es un concepto muy &til. ;in embargo2 tiene sus limitaciones. (o importa de
qu5 manera usted env"a los mensajes2 ni cu1l es el medio f"sico que utili7a2 el anc'o de banda
siempre es limitado. )sto se debe tanto a las leyes de la f"sica como a los avances tecnolgicos
actuales.



?)(DIFI)(#= ?)<6D
Tasa de trans$erenc"a de datos en relac"?n con el anc%o de *anda d"'"tal.
Rendi$iento generalmente se refiere al anc'o de banda real medido2 en un momento espec"fico
del d"a2 usando rutas espec"ficas de Internet2 mientras se descarga un arc'ivo espec"fico.
Desafortunadamente2 por varios motivos2 el rendi$iento a menudo es muc'o menor que el anc'o
de banda digital m1%imo posible del medio que se est1 usando. <lgunos de los factores que
determinan el rendi$iento y el anc'o de banda sonD
dispositivos de internet/or0ing
tipo de datos que se transfieren
topolog"a
cantidad de usuarios
computador del usuario
computador del servidor
cortes de la alimentacin el5ctrica causados por el suministro en s" o por factores
clim1ticos
<l dise+ar una red2 es importante tener en cuenta el anc'o de banda terico. 6a red no ser1 m1s
r1pida de lo que los medios lo permiten. <l trabajar con redes reales2 deber1 medir el rendi$iento
y decidir si 5ste es adecuado para el usuario.


IFP=?#<(CI< D)6 <(CM= D) J<(D<


)n primer lugar2 el anc'o de banda es finito. )n cualquier medio2 el anc'o de banda est1 limitado
por las leyes de la f"sica. Por ejemplo2 las limitaciones del anc'o de banda (debidas a las
propiedades f"sicas de los cables telefnicos de par tren7ado que se encuentran en muc'as
casas! son lo que limita el rendimiento de los mdem convencionales a alrededor de BN 0bps. )l
anc'o de banda del espectro electromagn5tico es finitoD e%iste una cantidad limitada de
frecuencias en el espectro de microondas2 de ondas de radio e infrarrojo. )s por ello que la 4CC
posee una divisin completa para el control del anc'o de banda y de las personas que lo utili7an.
6a fibra ptica tiene un anc'o de banda pr1cticamente ilimitado. ;in embargo2 reci5n a'ora se
est1 desarrollando e implementando la tecnolog"a necesaria para crear redes de anc'o de banda
muy elevado que puedan usar plenamente el potencial de la fibra ptica.
;i se conoce de qu5 forma funciona el anc'o de banda y si se tiene en cuenta que es finito2 se
puede a'orrar muc'o dinero. Por ejemplo2 el costo de las diversas opciones de cone%in con los
proveedores de servicios de Internet depende2 en parte2 del anc'o de banda que se necesita
durante el uso normal y en 'oras de uso m1%imo. )n cierta forma2 lo que se paga es el anc'o de
banda.
Como profesional del net/or0ing2 se esperar1 que usted sepa bastante acerca del anc'o de
banda y el rendimiento. )stos son factores fundamentales al anali7ar el desempe+o de una red.
<dem1s2 como dise+ador de redes totalmente nuevas2 una de las consideraciones de dise+o m1s
importantes a tener en cuenta siempre ser1 el anc'o de banda.
)%isten dos conceptos principales que se deben entender con respecto a la Osuperautopista de la
informacinO. )l primer concepto es que cualquier forma de informacin se puede almacenar como
una larga cadena de bits. )l segundo es que2 aunque es &til guardar la informacin en forma de
bits2 esta no es una tecnolog"a realmente revolucionaria. )l 'ec'o de que podamos compartir esos
bits2 billones de bits en 1 segundo2 significa que la civili7acin moderna est1 llegando a un punto
en que cualquier computador2 desde cualquier lugar del mundo o del espacio e%terior2 se puede
comunicar con otro computador en cuestin de segundos o incluso en menos tiempo.
(o es inusual que una ve7 que una persona o una institucin comien7a a utili7ar una red2 con el
tiempo desee tener un anc'o de banda m1s grande. 6os nuevos programas de soft/are
multimediales requieren un anc'o de banda muc'o mayor que los que se utili7aban a mediados
de la d5cada del A.. 6os programadores creativos se est1n dedicando al dise+o de nuevas
aplicaciones capaces de llevar a cabo tareas de comunicacin m1s complejas2 que requieran por
lo tanto anc'os de banda m1s amplios.
El ca$leado de la red
)l cable es el medio a trav5s del cual fluye la informacin a trav5s de la red. May distintos tipos de
cable de uso com&n en redes 6<(. *na red puede utili7ar uno o m1s tipos de cable2 aunque el
tipo de cable utili7ado siempre estar1 sujeto a la topolog"a de la red2 el tipo de red que utili7a y el
tama+o de esta.
)stos son los tipos de cable m1s utili7ados en redes 6<(D
Cable de par tren7ado sin apantallar $ *#P *ns'ielded t/isted pair
Cable de par tren7ado apantallado $ ;#P ;'ielded t/isted pair
Cable coa%ial
Cable de fibra ptica
6<(Gs sin cableado
Ca*le de par tren@ado s"n apantallar 3ns%"elded T."sted Pa"r 73TP8 Ca*le
)ste tipo de cable es el m1s utili7ado. #iene una variante con apantallamiento pero la variante sin
apantallamiento suele ser la mejor opcin para una PPF).
4ig.1. *#P
6a calidad del cable y consecuentemente la cantidad de datos que es capa7 de transmitir var"an
en funcin de la categor"a del cable. 6as gradaciones van desde el cable de tel5fono2 que solo
transmite la vo7 'umana a el cable de categor"a B capa7 de transferir 1..Fegabytes por segundo.
Cate'or(as 3TP
T"po 3so
Categor"a1 3o7 (Cable de tel5fono!
Categor"a 2 Datos a Fbps (6ocal#al0!
Categor"a 9 Datos a1. Fbps ()t'ernet!
Categor"a Datos a 2. Fbps$1N Fbps #o0en ?ing
Categor"a B Datos a 1.. Fbps (4ast )t'ernet!

6a diferencia entre las distintas categor"as es la tirante7. < mayor tirante7 mayor capacidad de
transmisin de datos. )n la actualidad es conveniente utili7ar cables categor"a Be o superior ya
que estos permitir1n migraciones de tecnolog"as 1.Fb a tecnolog"a 1.. Fb.
Conector 3TP
)l estandar para conectores de cable *#P es el ?KEB. ;e trata de un conector de pl1stico similar
al conector del cable telefnico. 6a siglas ?K se refieren al estandar ?egisterd Kac02 creado por la
industria telefnica. )ste estandar define la colocacin de los cables en su pin correspondiente.

4ig.2. Conector ?KEB
Ca*le de par tren@ado pantallado S%"elded T."sted Pa"r 7STP8 Ca*le
*na de las desventajas del cable *#P es que es susceptible a las intereferencias el5ctricas. Para
entornos con este problema e%iste un tipo de cable *#P que lleva apantallamiento2 esto es2
proteccin contra interferencias el5ctricas. )ste tipo de cable se utili7a con frecuencia en redes
con topolog"a #o0en ?ing.
Ca*le Coa9"al
)l cable coa%ial contiene un conductor de cobre en su interior. )ste va envuelto en un aislante
para separarlo de un apantallado met1lico con forma de rejilla que aisla el cable de posibles
interferencias e%ternas.
4ig.9. Cable Coa%ial
<unque la instalacin del cable coa%ial es m1s complicada que la del *#P2 este tiene un alto
grado de resistencia a las interferencias. Por otra parte tambi5n es posible conectar distancias
mayores que con los cables de par tren7ado. )%isten dos tipos de cable coa%ial2 el fino y el grueso
conocidos como t'in coa%ial y t'ic0 coa%ial.
Con frecuencia se pueden escuc'ar referencias al cable coa%ial fino como t'innet o 1.Jase2. )sto
'ace referencia a una red de tipo )t'ernet con un cableado coa%ial fino2 donde el 2 significa que el
mayor segmento posible es de 2.. metros2 siendo en la pr1ctica reducido a 1CB m. )l cable
coa%ial es muy popular en las redes con topolog"a de J*;.
Con frecuencia se pueden escuc'ar referencias al cable coa%ial grueso como t'ic0net o 1.JaseB.
)sto 'ace referencia a una red de tipo )t'ernet con un cableado coa%ial grueso2 donde el B
signfica que el mayor segmento posible es de B.. metros. )l cable coa%ial es muy popular en las
redes con topolog"a de J*;. )l cable coa%ial grueso tiene una capa pl1stica adicional que protege
de la 'umedad al conductor de cobre. )sto 'ace de este tipo de cable una gran opcin para redes
de J*; e%tensas2 aunque 'ay que tener en cuenta que este cable es dif"cil de doblar.

Conector para ca*le coa9"al
)l m1s usado es el conector J(C. J(C son las siglas de JayoneE(eillEConcelman. 6os
conectores J(C pueden ser de tres tiposD normal2 terminadores y conectores en #.

4ig.. J(C connector
Ca*le de $"*ra ?pt"ca
)l cable de fibra ptica consiste en un centro de cristal rodeado de varias capas de material
protector. 6o que se transmite no son se+ales el5ctricas sino lu7 con lo que se elimina la
problem1tica de las interferencias. )sto lo 'ace ideal para entornos en los que 'aya gran cantidad
de interferencias el5ctricas. #ambi5n se utili7a muc'o en la cone%in de redes entre edificios
debido a su inmunidad a la 'umedad y a la e%posicin solar.
Con un cable de fibra ptica se pueden transmitir se+ales a distancias muc'o mayores que con
cables coa%iales o de par tren7ado. <dem1s2 la cantidad de informacin capa7 de transmitir es
mayor por lo que es ideal para redes a trav5s de las cuales se desee llevar a cabo
videoconferencia o servicios interactivos. )n algunas ocasiones escuc'aremos 1.Jase4 como
referencia a este tipo de cableado. )n realidad estas siglas 'ablan de una red )t'ernet con
cableado de fibra ptica.
4ig.B. Cable de fibra ptica
Caracter"sticasD
)l aislante e%terior est1 'ec'o de tefln o P3C.
4ibras Qevlar ayudan a dar fuer7a al cable y 'acer m1s dif"cil su ruptura.
;e utili7a un recubrimiento de pl1stico para albergar a la fibra central.
)l centro del cable est1 'ec'o de cristal o de fibras pl1sticas.
Conectores para $"*ra ?pt"ca
)l conector de fibra ptica m1s utili7ado es el conector ;#. #iene una apariencia similar a los
conectores J(C. #ambi5n se utili7an2 cada ve7 con m1s frecuencia conectores ;C2 de uso m1s
f1cil.

Res,!en de t"pos de ca*les e!pleados
Espec"$"cac"?n T"po de Ca*le Lon'"t,d M69"!a
;ABaseT * # P 1.. meters
;ABase= #'in Coa%ial 1CB meters
;ABaseB #'ic0 Coa%ial B.. meters
;ABase# 4ibra =ptica 2... meters

Redes LAN s"n ca*leado
(o todas las redes se implementan sobre un cableado. )%isten redes que utili7an se+ales de radio
de alta frecuencia o 'aces infrarrojos para comunicarse. Cada punto de la red tiene una antena
desde la que emite y recibe. Para largas distancias se pueden utili7ar tel5fonos mviles o sat5lites.
)ste tipo de cone%in est1 especialmente indicada para su uso con port1tiles o para edificios
viejos en los que es imposible instalar un cableado.
6as desventajas de este tipo de redes es sus altos costos2 su susceptibilidad a las intereferencias
electromagn5ticas y la baja seguridad que ofrecen. <dem1s son m1s lentas que las redes que
utili7an cableado.