ESCUELA POLITÉCNICA NACIONALbibdigital.epn.edu.ec/bitstream/15000/5207/1/T1540.pdfHorario de...
Transcript of ESCUELA POLITÉCNICA NACIONALbibdigital.epn.edu.ec/bitstream/15000/5207/1/T1540.pdfHorario de...
-
ESCUELA POLITÉCNICA NACIONAL
FACULTAD DE INGENIERÍA ELÉCTRICA
ESTUDIO DE ALTERNATIVAS DE NIVELES DE SEGURIDAD
PARA LA RED LAN DEL MINISTERIO DE FINANZAS.
TESIS PREVIA A LA OBTENCIÓN DEL TITULO DE
INGENIERO ELECTRÓNICO EN TELECOMUNICACIONES
FRANCISCO XAVIER CANO SERRANO
Dr. Luis corralesDIRECTOR
QUITO, DICIEMBRE 1999
-
CERTIFICO:
QUE EL PRESENTE TRABAJO
HA SIVO REALIZADO
SU TOTALIVAV POR EL
SR. FRANCISCO XAVIER
CANO SERRANO.
* LUIS CORRALESVIRECTOR
-
ESTE TRA-BAJO FUE rosigue REALIZARLO GRACIAS A LA VALIOSACOLABORACIÓN VE VARIAS PERSONAS E INSTITUCIONES PARA QUIENES
EXPRESO MI PÚBLICO AGRAVECIMIENTO.
MI AGRAVECIMIENTO A LA ESCUELA POLITÉCNICA NACIONAL, POR
HABERME Pt-RMlTIVO UMA fOKMACIÓN VE CALIVAV, A MIS PKOFeSOntS
-DE LA FACULTAV VE I^^imÍA tLtCTmCA V EW ESPACIAL AL VK. LUIS
COK-RALES VIKECTOK VE LA TESIS, POK SU VALIOSA COLA^OKACIÓ^ Y
APOYO COtiSTAMTE-DUKANTE LA ELA^OKACIÓ^J VE LA MISMA.
AL MINISTERIO VE fltoAÜZAS, POR HABERME -BRItiVAVO LA
OPORTUÜIVAV VE REALIZAR ESTE ESTUDIO, Y POR LAS FACILIVAVESPROPORCIONAVAS POR LA VIRECCIÓti VE SISTEMAS.
VE MANERA ESPECIAL ABRAVEZCO A VIOS POR APOYARME Y PORHABERME VAVO UNOS PAVRES Y HERMANOS MARAVILLOSOS, QUIENESME HAN VRINVAVO SU APOYO INCONVICIONALA LO LARGO VE Mi VIVA.
GRACIAS A TOVOS LOS QUE VE ALGUNA U OTRA MANERA MEACOMPAÑARON EN ESTA VURA EMPRESA, KRINVÁNVOME APOYO, AMOR YCOMPRENSIÓN.
EL AUTOR
-
ÍNDICE
Página
CAPITULO I
CONCEPTOS GENERALES
1.1. BREVE HISTORIA DEL INTERNET 5
Orígenes y Evolución 5
Internic 6
Internet en la actualidad 6
1.2. ESTABLECIMIENTO DE LA CONEXIÓN 7
Internet Access Provider 8
Flujo de información y conexión Dial Up 9
El Access Server 1 o
Servidor Proxy 10
Protocolo de Comunicación TCP/IP 11
World Wide Web 11
1.3. DIRECCIONES 12
Sistema de Nombres de Dominio DNS 12
1.4. PROTOCOLOS 14
1.5. CONJUNTO DE PROTOCOLOS TCP/IP 15
Origen de TCP/IP 15
TCP/IP y su relación con el modelo OSI 17
- Capa Aplicación 18
Capa de Transporte 18
- Capa Internet 19
- Capa de Host Red 19
Direcciones IP 19
Clases de direcciones IP 20
- Subredes en direcciones IP 23
Protocolo ARP 24
¿Cómo Funciona? 25
Protocolo RARP 25
Protocolo Internet IP 26
-
Protocolo ICMP 28
Protocolo UDP 28
Protocolo TCP 29
1.6. ENRUTAMIENTO 30
Tipos de enrutamiento 30
Enrutamiento Directo 30
- Enrutamiento Indirecto 31
Enrutamiento entre compuertas núcleo 31
Rutas por defautt- 31
Propagación automática de rutas 32
- Vector de distancia 32
1.7. RESUMEN DEL CAPITULO 33
CAPITULO II
FIREWALLS Y LA SEGURIDAD EN LA RED
2.1. ¿QUE ES LA SEGURIDAD DE COMPUTADORAS? 36
2.2. FIREWALLS 41
¿Qué no puede hacer un Firewall? 42
¿Cuál tipo de Firewall se necesita? 43
2.3. MECANISMOS DE DEFENSA . 44
Mecanismo de Filtrado de Paquetes 45
Mecanismo de Traducción de Direcciones 46
Mecanismo de Nivel de Circuitos 47
Mecanismo Proxy de Aplicación 48
Mecanismos Híbridos 50
Firewall de Bastión de "N" bases 50
Host de Bastión con más de un ¡nterfaz de red 51
2.4. SEGURIDAD EN LAS TRANSACCIONES 53
Protocolo^SSL ' 53
- Protocolo SSL Handshake 54
- Protocolo SSL Record 56
S - HTTP 56
2.5. ANÁLISIS DE LOS NIVELES DE SEGURIDAD 57
-
Nivel D1 57
Nivel C1 57
Nivel C2 58
Nivel B1 58
Nivel B2 59
Nivel B3 59
Nivel A 59
2.6. ENCRIPTACIÓN DE DATOS 59
Criptografía 60
Cifrado de Datos 61
Estándar de Encriptación de Datos DES 61
- Técnicas de cifrado en DES 62
2.7. AUTENTICACIÓN 62
Firmas Digitales 62
Sistema de autenticación Kerberos 63
2.8. PROBLEMÁTICA DE SEGURIDAD EN INTERNET 64
Quienes "atacan" en internet? 64
Cómo "adivinan las contraseñas los hackers? 66
Qué se trata de proteger? 67
Cómo estar seguro de un servidor seguro? 68
2.9. EL ARCHIVO PASSWORD 69
El archivo Shadow Password 70
2.10. RESUMEN DEL CAPITULO 70
CAPITULO III
EVALUACIÓN Y DESCRIPCIÓN DE PRODUCTOS FIREWALLS
3.1. LISTA DE PRODUCTOS EVALUADOS FIREWALLS 76
Check Point Firewall - 1 78
Watchdog Pe Seguridad de Datos Ver. 7.0.2 de Fischer International 80
AS/400 V3R2 Código 1920 Ver. 2 Hardware de International
Business Machines Corporation 82
Lucent Management Firewall De Lucent Technologies 84
WINDOWS NT Versión 3.5 de MICROSOFT 86
-
Firewall Black Hole de Milkiway Networks 87
Oracle 7 de Oracle Corporation 88
Trusted Irix/B Versión 4.0.5 De Silicon Graphics Inc 89
Secure Sql Server Versión 11.0.6 de Sybase, Inc. 90
Guardian - 90w Con Safeguard de Tándem Computers Inc 91
Trusted Xenix 4.0 de Trusted Information Systems, Inc 93
3.2. RESUMEN DEL CAPITULO 94
CAPITULO IV
DISEÑO DE UNA POLÍTICA DE RED
4.1. PLANEACIÓN DE LA SEGURIDAD EN LA RED 96
Política de seguridad del sitio 97
4.2. PLANTEAMIENTO DE LA POLÍTICA DE SEGURIDAD 98
Análisis de riesgos 99
Cómo identificar recursos 99
4.3. DEFINICIÓN DE ACCESO NO AUTORIZADO 100
Servicio Denegado " 101
4.4. USO DE RED Y RESPONSABILIDADES 101
A quién se le permite utilizar los recursos de la red? ' 102
Cuál es el uso correcto de un recurso? , 102
Quién está autorizado a otorgar acceso y aprobar el uso? • 103
Cuáles son los derechos y las responsabilidades del usuario? 104
Cuáles son las responsabilidades de los administradores del sistema? 105
Qué hacer con la información delicada? 105
4.5. PLAN DE ACCIÓN CUANDO LA POLÍTICA DE SEGURIDAD
HA SIDO VIOLADA 106
Cómo responder a las violaciones de la política 106
Estrategias de respuesta 107
4.6. IDENTIFICACIÓN Y PREVENCIÓN DE PROBLEMAS DE SEGURIDAD 108
Puntos de acceso 109
Sistemas mal configurados 109
Problemas de Software 11 o
Amenazas de usuarios Internos 110
-
Seguridad Física 110
4.7. IMPLANTACIÓN DE CONTROLES COSTEARLES A LA POLÍTICA 111
Selección de la política de control 112
4.8. VIGILANCIA DEL USO DEL SISTEMA 112
Cómo vigilar los mecanismos? 112
Horario de vigilancia 113
Procedimientos para informar 113
Procedimientos para manejo de cuentas 114
Respaldos 114
Cómo proteger las conexiones en la red 115
4.9. RESUMEN DEL CAPITULO 116
CAPITULO V
PROPUESTA DE APLICACIÓN PARA EL MINISTERIO DE FINANZAS
5.1. ANTECEDENTES 119
Datos Técnicos 121
5.2. ANÁLISIS DE RIESGOS EXISTENTES 123
5.3. PROPUESTA 124
Diseño del punto de Presencia de Internet . 125
5.4. ESTUDIO DE LA MEJOR ALTERNATIVA FIREWALL 127
Serie Cisco Secure Pix Firewall 128
- Capacidad de Ampliación de la Plataforma 128
- Gestión e instalación gráfica 129
- Administración de la seguridad 130
- Servicios Gestionados 131
- Características y Ventajas de PIX Firewall, Software V.4.1.5 131
- Especificaciones y Plataformas Hardware de Cisco PIX 133
- Opciones de licencia de software disponibles 135
- Soporte para NIC 135
- Protocolo TCP/IP y soporte de aplicaciones 136
Cheek Point Firewall - 1 136
- Control de conexión 137
- E-l servidor de carga 138
-
- Access Control 139
Definir una política de seguridad 139
- Administración de Seguridad Abierta 140
- Características 141
- OPEN SECURITY MANAGER - Requerimientos del Sistema 142
- FIREWALL -1 versión 4.1 - Requerimientos Del Sistema 142
Análisis competitivo Firewall - 1 vs. Cisco PIX 143
Conclusión 144
Costos 145
5.5. POLÍTICA DE SEGURIDAD 146
Políticas y Reglamentos para la Red del Ministerio de Finanzas 146
- Introducción 146
- Objetivos 147
Política de Seguridad Física 147
- Información Confidencial 147
- Tratamiento de información confidencial 147
- Protección de la información confidencial 147
- Puntos clave 148
Política de Seguridad Informática 149
- Conceptos / Términos 149
- Términos de Uso de la Red 150
- Piratería de Software 152
- Virus 153
- Términos de uso para el Acceso Remoto y Dial-ln 153
5.6. RESUMEN DEL CAPITULO 154
CAPITULO VI
CONCLUSIONES Y RECOMENDACIONES
6.1. CONCLUSIONES 156
Conclusión General 156
Conclusiones Específicas 156
6.2. RECOMENDACIONES 158
Recomendación General 158
-
Recomendaciones Específicas 158
ANEXOS
I. Check Point Firewail - 1 White Paper
II. Open Security Extensión
I I I . Glosario
IV. Bibliografía
-
Durante las primeras décadas de su existencia, las redes de computadoras fueron
usadas principalmente por investigadores universitarios para el envío de correo
electrónico, y por empleados corporativos para compartir impresoras. En estas
condiciones, la seguridad no recibió mucha atención. Pero ahora, cuando millones
de ciudadanos comunes usan redes para sus transacciones bancarias, compras y
declaraciones de impuestos, la seguridad de las redes aparece en el horizonte
como un problema potencial de grandes proporciones.
La seguridad es un tema muy amplio que cubre una multitud de pecados. En su
forma más sencilla, la seguridad se ocupa de garantizar que los curiosos no puedan
leer, o peor aún, modificar mensajes dirigidos a otros destinatarios; se preocupa por
la gente que intenta acceder a servicios remotos no autorizados; también se ocupa
de mecanismos para verificar que el mensaje supuestamente enviado por la
autoridad fiscal que indica: "Pague el viernes o aténgase a las consecuencias"
realmente viene de ella y no de un timador. La seguridad también se ocupa del
problema de la ruptura y reproducción de mensajes legítimos, y de la gente que
intenta negar que envió ciertos mensajes.
El objetivo de esta tesis es analizar alternativas y proponer un sistema de seguridad
para la red LAN del Ministerio de Finanzas, mediante el uso de Firewalls por
Hardware y Software, para garantizar la confidencialidad de la información que será
utilizada por Organismos Gubernamentales a nivel nacional cuando el Ministerio
provea una página WEB.
Cuando usted conecta una LAN con Internet, permite a sus usuarios explorar y
comunicarse con el mundo exterior. A! mismo tiempo, sin embargo, también habilita
al mundo exterior a extenderse e interactuar con la LAN. Las barreras de protección,
en su sentido más puro, son enrutadores (conductos) a través de los cuales fluye
tráfico de datos. Si algún intruso intentara tener acceso sin autorización a su red, se
detendría en la barrera y no se le permitiría avanzar hacia el sistema.
-
La mayoría de ios problemas de seguridad son causados intencionalmente por
gente maliciosa que intenta ganar algo o hacerle daño a alguien. Esto a la vez ha
conducido a una conciencia elevada de la necesidad de: proteger los datos y los
recursos de divulgación, garantizar la autenticidad de los datos y mensajes, y
proteger los sistemas de los ataques.
Este estudio va dirigido en especial ai Departamento de Sistemas del Ministerio de
Finanzas y a! Administrador de la Red, con el propósito de sugerir una alternativa
para mejorar la seguridad existente. Esta tesis ayudará también a estudiantes de
nivel superior, que cursan materias relacionadas con redes, a comprender qué
sucede con la información al momento de soltarla en la red, qué estructura toma,
cuáles caminos escoge, qué tan vulnerable puede ser y qué tan importante es su
seguridad.
En este capítulo, se verá a grandes rasgos lo que es Internet, presentando su breve
historia, la situación actual y las expectativas de su evolución, y los organismos que
la regulan. A partir de aquí, el capítulo se concentra en Internet y en su popular
protocolo, el TCP/IP, examinando el formato de direcciones, sus subprotocolos,
características e implementaciones, sus variantes y complementos. Para finalizar se
hace un breve repaso sobre los tipos de enrutamiento y la forma de cómo se dirige
la información a través de la red.
El capítulo II, estudia a detalle la seguridad en !as computadoras, cómo protegerse
a sí mismo y con qué se cuenta para realizar estas tareas de seguridad. Se tratan
los distintos mecanismos de defensa que se pueden tener para resguardar la
información y brindar seguridad en la red, se analizan los protocolos que proveen
una buena seguridad en las transacciones económicas y comerciales, brindando
tanto privacidad como autenticación; se analizan los niveles de segundad existentes
y la problemática de seguridad en Internet, al final, se hace referencia a la
encriptacíón de datos y técnicas de cifrado DES.
-
En el capítulo III se realiza una descripción de los distintos tipos de Firewalls
ex¡stentes] los más populares. Se presenta un listado que contiene los resultados
de evaluación de los Firewalls más vendidos en e! mercado, obtenidos luego de
haber sido sometidos a rigurosas pruebas, determinando su debilidad y
clasificándolos de acuerdo al nivel de seguridad que pueden ofrecer.
El capítulo IV analiza el primer paso para diseñar una política de red para su
Internet. Entre los asuntos que se estudian están, sobre todo, la planeación de
seguridad de la red, la política de seguridad del sitio y el análisis de riesgos. En
este capítulo se discute cómo identificar los recursos y amenazas, uso de la red y
responsabilidades, y planes de acción cuando la política de segundad ha sido
violada. Le ayuda a vigilar el uso del sistema, mecanismos, etc.; también cubre los
procedimientos de manejo de cuenta y configuración y procedimientos de
recuperación.
En el capítulo V, se analizan los riesgos del sistema de seguridad existente en el
Ministerio de Finanzas cuando se conecte a Internet, Se diseña un punto de
presencia de Internet, se determinan las debilidades del sistema con el propósito de
minimizar riesgos, se estudian dos soluciones de seguridad tanto en hardware como
en software y se realiza un análisis comparativo basado en la información de ¡os
fabricantes. Por último se propone una política de seguridad a seguir por los
usuarios de la red del Ministerio de Finanzas. Por último
En el capítulo VI, se establecen las conclusiones y recomendaciones como
resultado de la investigación realizada, que serán de gran ayuda para el
administrador de la red del Ministerio, con el propósito de mejorar su sistema de
seguridad.
Al fina! de este trabajo, se encuentra un glosario de términos técnicos que ayudará
al lector a localizar información importante de manera fácil y rápida.
-
1.1. BREVE HISTORIA DEL INTERNET
INTERNET no es una red de computadores, similar a esa red de área local que
conecta unas cuantas máquinas en la oficina, sino "la madre de todas las redes", un
entramado electrónico anárquico que se ha extendido incontrolablemente alrededor
de! globo y que conecta a una inmensidad de redes de características y localización
muy distintas.
De forma simplista se puede decir que Internet es una gran red de redes que
permite la interconexión de redes y computadores de todo tipo mediante el uso del
protocolo TCP/IP, sobre el que se implementan numerosos servicios para transmitir
información.
ORÍGENES Y EVOLUCIÓN
Los orígenes de INTERNET se remontan a principio de los años 70's, cuando el
Departamento de Defensa de los Estados Unidos, enfrentando problemas
estratégicos, sentó los parámetros para e! desarrollo de una red de computadoras
que tomó el nombre de ARPANET.
Cada nodo de ¡a red, recibió una identificación numérica, conocida como dirección,
lo cual permitía que las computadoras se diferenciaran unas de otras para facilitar la
puesta en marcha de procesos simultáneos.
Con el paso de los años, ARPANET fue abriendo sus estándares de comunicación a
las universidades, centros de investigación y dependencias de gobierno, así como a
instituciones extranjeras, convirtiéndose en una red cosmopolita llamada
INTERNET.
En aquellos tiempos, INTERNET era de uso exclusivo de los funcionarios de las
pocas empresas con gran cantidad de recursos y tecnología, y de la comunidad
universitaria directamente enlazadas a la red. Esto significaba que la mayoría de las
-
personas que no tenían acceso a estas instituciones de gran infraestructura, en
ningún momento iban a conocer la existencia de la red, mas aún, cuando el uso de
este servicio era realmente complicado y solo gente con altos conocimientos
computad o nal es se atrevía a poner en práctica su destreza en el ramo.
INTERNIC
INTERNET creció enormemente sin tener un depósito central de información
organizada por un grupo de gente dedicada a ello; en su lugar, solo tenía un grupo
de archivos de texto con información que se actualizaban esporádicamente.
En 1993, La Fundación Nacional de Ciencias (NSF1) le otorgó a General Atomics
una concesión de cinco años para que sirviera como depósito central de
información para los usuarios de INTERNET, registrando todas y cada una de las
direcciones de Internet para que los datos pudieran ser dirigidos al sistema correcto
y ayudara a educar al público sobre esa red.
Este servicio se llama INTERNIC o NIC como abreviatura común de Centro de
Información de la Red, (Network Information Center). Actualmente de este servicio
se han hecho cargo AT&T y Network Solutions, Inc., en cooperación con la NSF.
INTERNET EN LA ACTUALIDAD
1 20-r
en en en en en en cj-j eso en en en en en en es-j cy>
Figura 1.1. Crecimiento de Internet2
1 National Science Foundation2 Fuente: Internet Software Consortiura (http://wvvw.isc.org/)
-
Las cifras sobre Internet son muy divergentes debido al difícil censo de sus
usuarios. IEEE Spectrum publica cada comienzo de año un análisis del
comportamiento de Internet. El estudio más reciente hecho por la IDC3, revela que
el número de usuarios (abonados) que accedieron al WWW a finales de 1998,
alcanzó los 90 millones y que para e! año 2002, alcanzará los 320 millones.
Dos de los factores más importantes que han influido directamente para el gran
crecimiento de INTERNET en los últimos 5 años son: el surgimiento de los Access
Provider, y; el esquema del World Wide Web o WWW como normalmente es
conocido, temas que serán tratados más adelante.
1.2. ESTABLECIMIENTO DE LA CONEXIÓN
La forma de conexión determina en gran medida nuestra visión de la Red. La
velocidad de transferencia de la información y el tipo de servicios que se obtenga
será al fina!, lo que marcará el modo de navegar por Internet. Básicamente ocurre lo
siguiente:
Proveedorda Internet
WWWWorld V^tíe Web
INTERNET
Figura 1.2. Establecimiento de Conexión
International Data Corp
-
INTERNET ACCESS PROVIDER
E! nombre como tal, sugiere la idea de algo complicado pero, un IAP no es más que
una empresa que permite a sus clientes utilizar su infraestructura de
telecomunicaciones (Enlaces, computadoras, tecnología, etc.) para conectarse a
INTERNET.
Un access provider siempre está conectado a un Backbone, que es la columna
vertebral del INTERNET, a! cual se conectan grandes computadoras que proveen el
acceso a la red.
El surgimiento de estas compañías se debe a la necesidad de millones de usuarios,
que no tiene la facilidad de accesar por medio de alguna universidad u otra
institución y también de las empresas pequeñas, las cuales establecen su enlace a
través de una clave de acceso vía telefónica. Este servicio es generalmente cobrado
basándose en el tiempo de uso.
A diferencia de una conexión directa a INTERNET, este tipo de enlace es de menor
velocidad, generalmente limitada por la velocidad de la línea telefónica.
Para poder usar este tipo de servicio se requiere de un módem, aparato que se
encarga de transmitir ios datos a través el cable telefónico.
Las principales ventajas de esta clase de acceso son:
- Facilidad de conexión, ya que el access provider provee todo el software
necesario para realizarla de una manera sencilla.
- Requerimientos Mínimos de Hardware y Software, es decir, con computadoras
de mediana capacidad y software de fácil instalación es suficiente.
- Costo / Beneficio, uno de los principales atractivos de usar INTERNET de este
modo, ya que por una razonable cuota se obtienen grandes beneficios como es
el ahorro en el uso de las llamadas de largas distancias, consultas a importantes
bases de datos, contacto rápido con clientes y proveedores, entre muchos otros.
-
FLUJO DE INFORMACIÓN Y CONEXIÓN DIAL UP
Es muy importante conocer el flujo de la información antes de lograr e! acceso a
INTERNET. El flujo de información, se refiere a todo el proceso desde que se
arranca el programa que maneja el módem hasta que finalmente logra el acceso.
Hay ciertos factores que intervienen en el proceso de comunicación, y pueden
afectar al mismo. La comunicación se logra mediante la utilización de las redes
telefónicas y módems. Ef módem puede estar en el gabinete de una PC (interno), o
ser externo al mismo. Su función es permitir conectar un computador a una linea
telefónica, para recibir o transmitir información. En relación con ¡a línea telefónica, el
módem además de recibir/transmitir información, también se encarga de esperar el
tono, discar, colgar, atender llamadas que le hace otro módem, etc.
El hecho de que una línea sea llamada digital, no quiere decir en sí que la línea
tenga esta propiedad, mas bien se refiere a que la central telefónica a la que se
enlaza es digital, esta clase de centrales eficientizan en gran medida la velocidad
de transmisión. En las líneas telefónicas para señales analógicas, que tienen un
ancho de banda comprendido entre 300 y 3300 Hz. y que no fueron pensadas para
transmitir datos, la velocidad de transmisión es limitada.
Los denominados módems de 56 Kbps pueden transmitir información analógica o
digital. Debe también mencionarse que los citados 56 Kbps son un limite que solo
se alcanza en determinado estado óptimo de las líneas y que dependerán del tipo
de modulación empleado y del método de compresión de datos.
Un módem rápido es mas caro, pero tarda menos tiempo en la transferencia de
archivos, ahorrando tiempo y costo de servicio telefónico.
HANDSHAKE: Es la "negociación" o "acuerdo" de las velocidades y otros
procesos de enlace al que llegan los módem, este es comúnmente conocido
como el "sonido de fax" por la similitud entre ambos.
9
-
EL ACCESS SERVER
Luego del "handshake", el servidor de acceso se encarga de validar la cuenta y el
password del usuario, es decir si la cuenta de algún usuario no esta registrada en la
base de datos le negará el acceso. Cuando el usuario logra conectarse, el servidor
de acceso asigna una dirección IP, lo cual Índica que e! enlace ha sido realizado
perfectamente.
SERVIDOR PROXY
Lo que realiza el servidor Proxy es almacenar datos, como imágenes y páginas
Web, para que cuando un usuario requiera información, ésta sea proveída desde el
servidor Proxy. De esta manera, el tiempo de carga de la información es mucho
menor, porque no se debe receptar la información desde Internet
Además, si la información no se encuentra en el Proxy, ésta es buscada en Internet,
pero ya quedará almacenada para que en futuras sesiones, la información provenga
del Proxy, con lo que navegar se vuelve un proceso rápido.
El Proxy es un servicio que se ejecuta permanentemente, las 24 horas del día. Y
hoy en día es un servicio altamente utilizado en Internet por muchos proveedores de
acceso y compañías con conexión a la red.
Primero que todo el servicio se debe configurar en un programa cliente como un
browser (Internet Explorer, Netscape Navigator), ya que el Proxy actúa como un
"filtro" entre la aplicación y la red Internet.
Una vez configurado el servicio del lado del usuario, toda conexión que se quiera
realizar hacia Internet llegará primero al Proxy; si la información ya está allí
almacenada, el mismo Proxy le entrega al usuario, de lo contrario, éste contacta la
fuente de los datos (en Internet), los pasa a! cliente y los almacena para futuras
consultas de otros usuarios.
10
-
PROTOCOLO DE COMUNICACIÓN TCP/tP
TCP/IP es un conjunto de protocolos de comunicación de datos. Estos protocolos
permiten rutear la información de una máquina a otra, la entrega de correo
electrónico y noticias, e incluso el uso de capacidades de registro remotas.
El nombre TCP/IP se refiere a los dos protocolos principales; Protocolo de Control
de Transmisión y Protocolo Internet. Sobre este conjunto de protocolos se realizará
un estudio más detallado en la siguiente sección.
WORLD WIDE WEB
Se estudia ahora la descripción del servicio que más ha popularizado el uso de la
Internet. La Web o World Wide Web (WWW), comenzó en 1989 en el Centro
Europeo de Investigación Nuclear CERN4, y surgió de la necesidad de lograr que
grandes grupos de investigadores dispersos ¡nternacionaimente colaboraran usando
un conjunto siempre cambiante de informes, planos, dibujos, fotos y otros
documentos.
La WWW es un integrador de información, basado en páginas de hipertexto escritas
en el lenguaje HTML (Hypertext Markup Language), que se distribuyen empleando
el protocolo HTTP, que se verá más adelante.
Desde el punto de vista del usuario, la Web consiste en un enorme conjunto a nivel
mundial de documentos, llamados páginas, las cuales pueden contener vínculos
(apuntadores) con cualquier otra página relacionada en el Mundo.
Este proceso puede repetirse indefinidamente, atravesando posiblemente cientos de
páginas vinculadas al hacerlo, usando hipertexto. Las páginas se ven medíante un
programa llamado browser (visor), como el Netscape por ejemplo.
4 Centre Européen de la Recherche Nucléaire11
-
La ventaja de este sistema de hiperenlaces es obvia, la información no se
almacena, sólo las referencias a la misma, que, de este modo, siempre se refieren
a la última versión; claro está, siempre y cuando la dirección no haya cambiado.
1.3. DIRECCIONES
Estamos habituados a los sistemas de direcciones. Si alguien pregunta una
dirección se responderá con una calle, númeroj ciudad y país. Lo mismo ocurre en
Internet Cada sitio (site) está unívocamente identificado por una dirección, en la
que se puede localizar a la gente, máquinas, directorios y servicios.
SISTEMA DE NOMBRES DE DOMINIO (DNS)
Todas las máquinas que están conectadas a INTERNET requieren de una dirección
IP (Internet Protocol) para poder hacer uso de la red. Cada dirección IP identifica
una localidad específica de INTERNET, !as mismas que se representan como
combinaciones de ceros y unos.
Sin embargo estas direcciones se expresan en el sistema de numeración decimal y
consiste de cuatro grupos de números denominados partes o campos, separados
por medio de un punto, el valor de cada campo puede variar entre O y 255. Por
ejemplo se tiene las direcciones 128.40.5.1, 192.33.34.12, etc.
No obstante, estas clases de direcciones son difíciles de aprender, por lo que se
diseñó un esquema que facilita su aprendizaje: las pseudo direcciones o Sistema de
Nombres por Dominio (DNS).
Este tipo de sistema actúa como una máscara convirtiendo los nombres de las
computadoras en direcciones numéricas, de tal modo que uno solo debe aprender o
recordar nombres y no números.
12
-
Un nombre de dominio consiste de 2 o más campos alfanuméricos, separados por
un punto, cada campo consiste de una combinación de letras, dígitos, el guión y
algunos caracteres adicionales como por ejemplo @, %, ¡.
Al igual que las direcciones IP, los componentes de un dominio están separados por
puntos, por ejemplo: world.std.com cc.epn.edu.ee; los nombres pueden ser escritos
en mayúsculas o minúsculas indistintamente. El campo de la derecha es el dominio,
los otros campos pueden especificar uno o más niveles de subdominios y el tipo de
organización.
Los nombres de los dominios se encuentran controlados por una entidad que regula
todo lo que sucede en INTERNET, la INTERNIC. Todas las direcciones en su último
nivel cuentan con un dominio geográfico, mismo que indica en que parte del mundo
se encuentra el servidor que se esta consultando, por ejemplo:
;;i£;.G^|jí|íi¡g;í Canadá:i£i;rti;jj*H;i-£i Israel;í;;flfe;f I!; Reino Unido;;;;;;;;US;;;i:;i.;;̂ Estados Unidosj;!;;:iiÉC!l£ll:IJÍiÍ Ecuador
Cuadro 1.1. Dominios Geográficos usados en Internet
El penúltimo dominio hace referencia al tipo de organización propietaria del servidor
TfPO DE ORGANIZACIÓN
Para organizaciones comercialesPara instituciones académicas y de investigaciónPara organismos internacionalesPara redes y organizaciones militaresPara entidades de GobiernoPara redes que forman parte de INTERNETPara organizaciones sin fines de lucro
Cuadro 1.2. Dominios de Organizaciones propietarias del Servidor
13
-
1.4. PROTOCOLOS
Los protocolos están presentes en todas las etapas necesarias para establecer una
comunicación entre computadores, desde aquellas de más bajo nivel como la
transmisión de flujos de bits a un medio físico, hasta aquellas de más alto nivel
compartiendo o transfiriendo información desde una computadora a otra en la red.
Establecen una descripción formal de los formatos que deberán presentar los
mensajes para poder ser intercambiados por equipos de cómputo; además definen
las reglas que ellos deben seguir para lograrlo.
Tomando al modelo OSI (Open Systems Interconexión) como referencia, se puede
afirmar que para cada capa o nivel que él define existen uno o más protocolos
interactuando. La función de cada capa tiende a definir protocolos normalizados
internacionalmente, es decir define el "qué" pero no el "cómo".
MODELO DE REFERENCIA OSf
Servicios específicos de aplicación(API)Provee representación de datosServicios de sesión: establecimientos depunto de control, administración deactividadIntegridad de datos de extremoa extremoInformación de enrutadore interruptores —*~Transmite la información comogrupos de bits ^ QTransmite flujo de bits sobre unmedio físico ,-, jumo-run. ,->
O 'Q
r-***"̂ --""""
Aplicación
Presentación
Sesión
Transporte
Red
Enlace de Datos
Física
7
tí
b
4
3
APl= Interfaz de Programa de Aplicación
Figura 1.3. Modelo de Referencia OSI
14
-
Por tai razón, no se debe conceptualizar al modelo OSI como una arquitectura de
red, pues no especifica servicios y protocolos que se utilizarán en cada una de las
capas, solo indica lo que cada capa debe hacer.
Los protocolos son reglas y convenciones que sirven para la comunicación virtual
utilizando procesos pares (peer-to-peer), es decir, un protocolo de algún nivel
dialoga con el protocolo del mismo nivel en la computadora remota. El estándar
básico de comunicaciones que mantiene integrada a INTERNET se llama TCP/IP,
que es, en realidad, la unión de un conjunto de protocolos de comunicaciones.
1.5. CONJUNTO DE PROTOCOLOS TCP/IP
Internet es una red de tipo WAN que se basa en la ¡dea del internetworkíng, que es
la interconexión de distintas redes físicas. La tecnología internet es un ejemplo de
sistema abierto porque cualquiera puede desarrollar el software necesario para
comunicarse en una internet, ya que las especificaciones son públicas.
Además está diseñado para funcionar sobre todo tipo de hardware y sistemas
operativos, los que definirán los protocolos necesarios para la comunicación entre
máquinas y la interfaz del programador para el desarrollo de aplicaciones de red.
El protocolo empleado es el conocido como TCP/IP, el cual será motivo de un
estudio muy detallado en esta sección, ya que sobre TCP/IP corren las distintas
aplicaciones disponibles en la red. Antes de continuar sería importante recordar la
diferencia entre una internet e Internet: una internet es cualquier red que emplea
el protocolo TCP/IP, mientras que Internet es la red de redes.
ORIGEN DE TCP/IP
El trabajo en Internet con TCP/IP existe desde hace varios años. TCP/IP, es
resultado del trabajo que se hizo para la Agencia de Proyectos Avanzados de
Investigación de la Defensa de Estados Unidos (DARPA).
15
-
'En 1969, DARPA patrocinó un proyecto conocido como ARPANET. Esta red
proporcionó, principalmente, una conexión de gran ancho de banda entre los
principales sitios computado-nales en el gobierno, educación y laboratorios de
investigación. Durante los años setenta, DARPA continuó apoyando la investigación
acerca de ARPANET, y empezó también la investigación sobre formas alternas de
enlaces de comunicación, como satélites y radio.
Para incrementar la aceptación y uso de estos protocolos, DARPA ofreció una
implantación a bajo costo de éstos a la comunidad de usuarios. Dicha operación fue
presentada como objetivo principal en la implantación de BSD Unix de la
Universidad de California en Berkeley. DARPA financió la creación de !a compañía
Bolt Beranek and Newman Inc. (BBN) para llevar a cabo la implantación de TCP/IP
en BSD Unix.. Para enero de 1983, todas las computadoras conectadas y no
conectadas con ARPANET ejecutaban los nuevos protocolos TCP/IP.
ARPANET, estaba limitada a un grupo selecto de departamentos de gobierno y
agencias; la Fundación Nacional de Ciencia creó la NSFNet que también usaba los
exitosos protocolos ARPANET. Esta segunda red, que en cierta forma era una
extensión de ARPANET, consistía de una red principal que conectaba a todos los
centros de supercomputadoras en Estados Unidos y una serie de redes más
pequeñas que estaban conectadas entonces a la red principal.
A partir de! planteamiento adoptado con NSFNet, varias topologías de red se
encuentran disponibles, y TCP/IP no se limita a una sola. Esto significa que TCP/IP
se puede ejecutar sobre Token Ring, Ethernet y otras topologías de bus, líneas
alquiladas de punto a punto, y otras. Sin embargo, TCP/IP se encuentra más ligado
a Ethernet, tanto que los dos se usan casi de manera indistinta.
Desde entonces, el uso de TCP/IP se ha incrementado rápidamente, y el número de
conexiones con Internet, han aumentado a una velocidad casi exponencial. TCP/IP,
sin embargo, no es un protocolo individual. En realidad, consiste de un cúmulo de
protocolos, y cada uno ofrece algunos servicios muy específicos.
16
-
TCP/IP Y SU RELACIÓN CON EL MODELO OSI
En la actualidad las funciones propias de una red de computadoras pueden ser
divididas en las siete capas propuestas por ISO para su modelo de sistemas
abiertos (OSI). Sin embargo la implantación real de una arquitectura puede diferir
de este modelo.
Las arquitecturas basadas en TCP/IP proponen cuatro capas en las que las
funciones de las capas de Sesión y Presentación son responsabilidad de la capa de
Aplicación y las capas de Enlace y Física son vistas como la capa de Internet. Por
tal motivo para TCP/IP sólo existen las capas Hosi - Red, la capa Internet, la de
Transporte y la de Aplicación. Las capas de sesión, presentación y aplicación del
modelo OSI, al igual que la de aplicación del modelo TCP/fP, residen en el área del
usuario.
OS!Modelo de 7 Capas
TCP/IPModelo de 4 Capas
7
6
5
cCAPA
APLICACIÓNX. >f 1
CAPA^PRESENTACIÓN^/• s
CAPASESIÓN
f v
CAPAAPLICACIÓN
v s
OPERPOR!USUA
4
3
2
,
r -,
CAPAINTERNET
r >
CAPAHOST - RED
^ y
OPEPORSIS!
Figura 1.4. Comparación TCP/IP con Modelo ISO(OSI)
17
-
Como puede verse TCP/IP presupone independencia del medio físico de
comunicación, sin embargo existen estándares bien definidos que permiten a un
Host conectarse a una red, usando un protocolo que permita enviar paquetes 1P
sobre la red; siendo los más usuales e¡ estándar IEEE802, Ethernet, Token Ring y
FDDI5.
CAPA DE APLICACIÓN
Invoca programas que acceden a servicios en la red. Interactúan con uno o más
protocolos de transporte para enviar o recibir datos, en forma de mensajes o bien en
forma de flujos de bytes.
Algunos programas de aplicación que usa la red son entre otros: TeINet (Terminal
virtual), Transferencia de archivos (FTP), Correo electrónico (SMTP), Servicio de
Dominio de nombres (DNS), Protocolo de transferencia hipertexío (HTTP) para
enlazar páginas WWW , etc.
CAPA DE TRANSPORTE
Es e! nivel encargado de proporcionar la comunicación extremo a extremo desde un
programa de aplicación a otro. Regula el flujo de información. Puede proveer un
transporte confiable asegurándose que los datos lleguen sin errores y en la
secuencia correcta. Coordina a múltiples aplicaciones que se encuentren
interactuando con ¡a red simultáneamente de tal manera que los datos que envíe
una aplicación sean recibidos correctamente por la aplicación remota, esto lo hace
añadiendo ¡dentificadores de cada una de las aplicaciones. Realiza además una
verificación por suma, para asegurar que la información no sufrió alteraciones
durante su transmisión.
La Internet tiene dos protocolos principales en la capa de transporte, un protocolo
orientado a conexiones y uno sin conexiones. El protocolo orientado a conexiones
Fiber Distributed Data Interface18
-
es el TCP, que permite que los datos de una máquina sean entregados sin error a
otra; y, el protocolo sin conexiones es el UDP, que es un protocolo no confiable,
utilizado en aplicaciones en las cuales es vital la entrega rápida de los datos y no su
entrega sin errores, como en el caso de las vídeo conferencias.
CAPA INTERNET
Controla la comunicación entre un equipo y otro, decide qué rutas deben seguir los
paquetes de información para alcanzar su destino. Conforma los paquetes 1P que
serán enviados por la capa inferior. Desencapsula los paquetes recibidos pasando a
¡a capa superior la información dirigida a una aplicación. Proporciona un servicio no
orientado a conexión, con enrutamiento dinámico, ya que los paquetes viajan
separadamente hasta su destino.
CAPA DE HOST RED
Es el nivel más bajo, responsable de aceptar y transmitir los datagramas IP (que se
verá más adelante) a través de una red concreta. Esta capa puede ser más o menos
complicada en función de la red física sobre la que trabaje. Esta capa debe permitir
a un Host conectarse a una red utilizando un protocolo que permita enviar paquetes
IP sobre la red. Este protocolo no es definido
DIRECCIONES IP
Para que en una red, dos computadoras puedan comunicarse entre sí ellas deben
estar identificadas con precisión. Este ¡dentificador puede estar definido en niveles
bajos (¡dentificador físico) o en niveles altos (¡dentificador lógico) dependiendo del
protocolo utilizado.
TCP/IP utiliza un identificador denominado dirección Internet o dirección IP, cuya
longitud es de 32 bits. La dirección IP identifica tanto a la red a la que pertenece
una computadora como a ella misma dentro de dicha red.
19
-
CLASES DE DIRECCIONES IP
Cada máquina en Internet debe tener una dirección distinta, como ei domicilio postal
de cualquier persona, para que la información destinada a ésta pueda ser entregada
con éxito. El esquema de dirección está controlado por el protocolo Internet (IP).
Cada máquina tiene su propia dirección IP, y esa dirección consiste de dos partes:
la porción de red y la porción de anfitrión. La parte de red de la dirección se usa
para describir a la red en la que reside el anfitrión, y la porción de anfitrión se utiliza
para identificar al anfitrión particular.
Para asegurarse de que !as direcciones de red son únicas, una agencia central es
responsable de la asignación de las mismas.
Las direcciones IP pueden expresarse en varias formas diferentes. Primero está la
notación decimal punteada, la cual muestra un número decima! con cada byte
separado por un punto, como en 192.139.234.102. De manera alterna, esta
dirección también se puede expresar como un número hexadecimal individual como
OxC08BEA66. Sin embargo, el formato de dirección que se usa con más frecuencia
es la notación decimal punteada.
Puesto que los diseñadores originales de Internet no sabían cómo crecería la red,
decidieron diseñar un esquema de dirección flexible para manejar una red más
grande con varios anfitriones o una red más pequeña con sólo algunos.
Tomando tal cual está definida una dirección IP podría surgir la duda de cómo
identificar qué parte de la dirección identifica a la red y qué parte al nodo en dicha
red. Este esquema de direcciones introduce la definición de las "Clases de
Direcciones IP" , de las cuales existen cuatro. Los formatos usados para las
direcciones IP se indican en la tabla.
20
-
Clases Número de Número deRedes Nodos (Hosts)
ABCD
12616382
2 millones
16 millones64 K ,254
Rango deDirecciones IP
1.0.0.0 a la 127.255.255.255128.0.0.0 a la 191.255.255.255192.0.0.0 a ta 223.255.255.255
224.0.0.0 a la 255.0.0.0
Cuadro 1.3. Clases de Direcciones !P
Cada host y enrutador de Internet tiene una dirección de IP, que codifica su número
de red y su número de host. La combinación es única, no hay dos máquinas que
tengan la misma dirección de IP. Todas las direcciones de IP son de 32 bits de
longitud
Las clases A, B y C se utilizan para identificar a las computadoras que comparten
una red en común. Una clase D, o dirección multiconectada, se usa para identificar
a un conjunto de computadoras en el que todas comparten un protocolo común.
16 24 32
A
B
C
D
E
RED BOST
R O
10R E D
O DIRECCIÓN MÜL1
*sj?
-
De esta forma, una red con dirección clase A queda definida con el primer octeto de
la dirección, la clase B con los dos primeros y la C con los tres primeros octetos.
Los octetos restantes definen los nodos en la red específica.
La dirección de IP 0.0.0.0 es usada por los hosts cuando están siendo arrancados,
pero no se usa después. Las direcciones de IP con O como número de red se
refieren a la red actual. Estas direcciones permiten que las máquinas se refieran a
su propia red sin saber su número, pero tienen que saber su clave para saber
cuantos O hay que incluir.
O 8 16 24 32
0000000000000000 0000000000000000
1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
Este Host
Difusión en la Red Local
0 0 0 0 0 0 0 0 0 0 0 0 Un Host de esta Red
RED i 11111 1 1 1 1 11111 1111 1
127 Cualquier Cosa Realimentación
Figura 1.6. Direcciones Especiales de IP
La dirección que consiste solamente en unos, permite la difusión en la red local, por
lo común una LAN. Las direcciones con un número de red propio y solamente unos
en el campo de hosts permiten que las máquinas envíen paquetes de difusión a
LAN distantes desde cualquier parte de Internet.
Por último, todas las direcciones de la forma 127.xx.yy.zz se reservan para pruebas
de realimentación. Los paquetes enviados a esa dirección, se procesan ¡ocalmente
y se tratan como paquetes de entrada, permitiendo que los paquetes se envíen a la
red local sin que el transmisor conozca su número. Esto es muy utilizado para la
detección de fallas en el software de la red.
TANENBAUM, Redes de Computadoras, pág. 41722
-
SUBREDES EN DIRECCIONES IP
Las subredes son redes físicas independientes que comparten la misma dirección IP
(es decir aquella que identifica a la red principal). Para cada clase se pueden contar
con un número determinado de subredes.
El uso de subredes ofrece algunas ventajas. Varias organizaciones pequeñas sólo
pueden obtener una dirección de ciase C, aun así, tienen oficinas distintas que se
deben enlazar entre sí.
Si tienen sólo una dirección IP un ruteador no podrá conectar los dos sitios puesto
que este ruteador requiere que cada red tenga una dirección distinta. Mediante la
división de las redes en subredes, éstas pueden utilizar al ruteador para conectar
¡as dos redes puesto que ahora tienen direcciones de red diferentes.
La pregunta entonces es ¿cómo se logra que equipos que comparten el mismo
identificador de red pero se sitúan en redes físicas diferentes puedan comunicarse
usando compuertas?. La solución es determinando una máscara de dirección.
La máscara de subred es de cuatro bytes y para obtener el número de subred se
realiza una operación AND lógica entre ella y la dirección IP de algún equipo. La
máscara de subred deberá ser la misma para todos los equipos de la red IP. Es
importante señalar que la subred se establece sólo en forma local. Para el resto de
Internet, la dirección se ve como una dirección IP estándar. Cada clase de dirección
IP tiene asociada una máscara de red predeterminada.
Tabla No.1.19
Máscaras de red estándaresClase de dirección Máscara de red predeterminada
A 255.Q.Q.OB 255.255.0.DC 255.255.255.0
EPN-FIE, Seminario: Diseño de Redes TCP/IP23
-
Observe el siguiente ejemplo:
Supóngase que la dirección IP de un equipo es 198.206.257.2
La mascara de subred es 255.255.255.0
El equipo por tanto está en la subred 198.206.257.0
PROTOCOLO ARP
El protocolo de Resolución de Direcciones ARP (Address Resolution Protocol), es
otro integrante de la familia de protocolos TCP/IP. Su función es la de permitir a un
equipo obtener la dirección física de un equipo destino ubicado en la misma red
física, proporcionando solamente la dirección IP destino.
Las direcciones IP y física de la computadora que consulta es incluida en cada
emisión general ARP, el equipo que contesta toma esta información y actualiza su
tabla de conversión.
ARP es un protocolo de bajo nivel que oculta el direccionamiento de la red en las
capas inferiores, permitiendo asignar, a nuestra elección, direcciones IP a los
equipos en una red física.
Una conversión dinámica de direcciones Internet a direcciones físicas es la más
adecuada, debido a que se obtiene la dirección física por respuesta directa del nodo
que posee la dirección IP destino.
Una vez que la dirección física se obtiene ésta es guardada en una tabla temporal
para subsecuentes transmisiones, de no ser así podría haber una sobrecarga de
tráfico en la red debido a la conversión de direcciones por cada vez que se
transmitiera un paquete.
24
-
¿CÓMO FUNCIONA?
La interface de red recibe un datagrama IP a enviar a un equipo destino, en este
nivel se coteja la tabla temporal de conversión, si existe la referencia adecuada ésta
se incorpora al paquete y se envía. Si no existe la referencia, un paquete ARP de
emisión general con la dirección IP destino, es generado y enviado.
Todos los equipos en la red física reciben el mensaje general y comparan la
dirección IP que contiene con !a suya propia, enviando un paquete de respuesta
que contiene su dirección IP. La computadora origen actualiza su tabla temporal y
envía el paquete IP original, y los subsecuentes, directamente a la computadora
destino.
Mi Dirección IP es....
Su Dirección Física es
Senador
Figura 1.7. Protocolo ARP10
Pero, el funcionamiento del ARP no es tan simple como parece. Supóngase que en
una tabla de conversión exista un mapeo de una máquina que ha fallado y se le ha
reemplazado la interfaz de red; en este caso los paquetes que se transmitan hacia
ella se perderán pues ha cambiado la dirección física, por tal motivo la tabla deberá
eliminar entradas periódicamente.
PROTOCOLO RARP
Parte de la familia de TCP/IP es este protocolo de la capa Internet, el cual trabaja
con datagramas. RARP (Reverse Address Resolution Protocol), es el protocolo de
Resolución de Direcciones Reversa, usado cuando la dirección física es conocida,
10 EPN - FIE, Seminario: Diseño de Redes TCP/IP25
-
pero no la dirección de Internet. RARP asigna una dirección IP a la nueva conexión
de host, las cuales son manejadas a través del servidor RARP el cual recibe la
petición y entrega una nueva dirección IP al host.
Mi Dirección Física es
Su Dirección IP es
Senador
Figura 1.8. Protocolo RARP
Estos protocolos, son estándares de TCP/IP. Ahora con WÍN95 y WIN98 éstas
direcciones se actualizan en el caché del PC automáticamente, por lo que hoy en
día son poco utilizados.
PROTOCOLO INTERNET (IP)
Es el protocolo más importante de todos y es el encargado de conseguir que el
usuario contemple Internet como una red virtual, aislando las diferencias de
tecnología o topología y realizando el encaminamiento.
El Protocolo Internet proporciona un servicio de distribución de paquetes de
información orientada a no conexión de manera no confiable. La orientación a no
conexión significa que los paquetes de información, que serán emitidos a la red, son
tratados independientemente, pudiendo viajar por diferentes trayectorias para llegar
a su destino. El término no confiable significa más que nada que no se garantiza la
recepción del paquete.
La analogía entre una red física y una red de redes TCP/IP es muy fuerte. En una
red física, la unidad de transferencia es una trama que contiene un encabezado y
datos, donde el encabezado contiene información sobre la dirección de la fuente
(física) y la del destino. La red de redes llama a esta unidad de transferencia básica
26
-
datagrama Internet, a veces datagrama IP o simplemente datagrama. Como una
trama común de red física, un datagrama contiene !a dirección de la fuente y del
destino, contiene también un campo de tipo que identifica el contenido del
datagrama. La diferencia, por supuesto, es que el encabezado del datagrama
contiene direcciones IP en tanto que el encabezado de la trama contiene
direcciones físicas.
CAMPO BITS DESCRIPCIÓN
IdentificadorFiagsOffset
16313
Identifica ios paquetes fragmentados para su reensambleÍndica sí el paquete está fragmentado o noíndica la ubicación de este paquete en uno fragmentado
Contiene la dirección det origen de envío
TOTALHEADER 192
Tabla No. 1.2. Cabecera Extendida del Datagrama IP
El campo TOTAL LENGTH proporciona la longitud del datagrama IP medido en
octetos, incluyendo los octetos del encabezado y los datos. El tamaño del área de
datos se puede calcular restando la longitud de! encabezado (HLEN) de TOTAL
LENGTH. Dado que el campo TOTAL LENGTH tiene una longitud de 16 bits, el
tamaño máximo posible de un datagrama IP es de 216 o 65535 octetos.
En la mayor parte de las aplicaciones, ésta no es una limitación severa, pero puede
volverse una consideración importante en el futuro, si las redes de alta velocidad
llegan a transportar paquetes de datos superiores a los 65535 octetos.
27
-
Resumiendo las características más importantes del protocolo IP se tienen:
Protocolo no orientado a conexión.
- Fragmenta paquetes si es necesario.
- Si un paquete no es recibido, permanece en la red durante un tiempo finito.
- Realiza el "mejor esfuerzo" para la distribución de paquetes.
- Tamaño máximo del paquete de 65535 bytes.
- Sólo se realiza verificación por suma al encabezado del paquete, no a los datos
que éste contiene.
- Sobre e! IP, funcionan tres protocolos diferentes: 1CMP, UDP y TCP.
PROTOCOLO ICMP
El protocolo ICMP es el protocolo de control de mensajes del Internet (Internet
Control Message Protocol). Su función es la de notificar eventos en los que los
paquetes enviados no alcanzaron su destino. Proporciona un medio de transporte
para que los equipos compuerta envíen mensajes de control y error. ICMP no está
orientado a la corrección de errores: sólo a su notificación. Presenta las siguientes
características:
- Reporta sobre destinos inalcanzables.
- Controla e¡ flujo de datagramas y congestión.
- Controla los requerimientos de cambio de rutas entre compuertas.
Detecta rutas circulares o excesivamente largas.
- Verifica la existencia de trayectorias hacia alguna red y el estatus de la misma.
PROTOCOLO UDP
E! UDP provee un servicio sin conexión utilizando como base el protocolo IP. El
resultado es un servicio que tampoco es del todo fiable pero es eficaz en el envío de
unidades cortas y esporádicas que reciben el nombre de datagramas de usuario. El
orden de llegada de los mismos no se garantiza. La filosofía es similar a! servicio
28
-
postal. Se podría decir que el UDP realiza la encapsulación del IP para utilizarla en
los niveles superiores, para el envío de mensajes cortos e independientes
PROTOCOLO TCP
Este protocolo proporciona un mecanismo fiable para la transferencia de flujos de
información. Aunque está íntimamente relacionado con IP, TCP es un protocolo
independiente de propósito general. A¡ ser un protocolo de alto nivel su función es
que grandes volúmenes de información lleguen a su destino correctamente,
pudiendo recobrar la pérdida esporádica de paquetes.
Para ello, cada vez que un paquete es enviado se inicia un contador de tiempo, a!
alcanzar el tiempo de expiración, sin haber recibido el reconocimiento, el paquete
se reenvía. Al llegar el reconocimiento el tiempo de expiración se cancela.
A cada paquete que es enviado se le asigna un número de identificador, el equipo
que lo recibe deberá enviar un reconocimiento de dicho paquete, lo que indicará
que fue recibido. Si después de un tiempo dado el reconocimiento no ha sido
recibido el paquete se volverá a enviar. Obsérvese que puede darse el caso en el
que el reconocimiento sea el que se pierda, en este caso se reenviará un paquete
repetido. En resumen:
Proporciona comunicación bidireccíonal completa mediante circuitos virtuales.
Desde el punto de vista del usuario la información es transmitida por flujos de
datos.
Utiliza el principio de ventana deslizante11 para esperar reconocimientos y
reenviar información.
11 Se define un tamaño de la ventana, que serian el número de paquetes a enviar sin esperar reconocimiento de
ellos. Conforme se recibe el reconocimiento de los primeros paquetes transmitidos la ventana avanza de
posición enviando los paquetes siguientes. El concepto de ventana deslizante hace que exista una continua
transmisión de información, mejorando el desempeño de la red.
29
-
1.6. ENRUTAMIENTO
La sección anterior, muy extensa por cierto, permitió analizar de pies a cabeza lo
que sucede al momento que se establece la conexión para Internet; entender los
protocolos que intervienen y cuál es el proceso de negociación entre ellos, así como
también la estructura de las direcciones de Internet y sus clases. A continuación, el
lector podrá conocer qué trayectoria sigue la información y ios métodos de
direccionar ésta para que la conexión sea rápida y exitosa
TIPOS DE ENRUTAMIENTO
El enrutamiento se refiere al proceso de determinar la trayectoria que un datagrama
debe seguir para alcanzar su destino. A los dispositivos que pueden elegir las
trayectorias se les denomina enrutadores.
Aquí intervienen tanto los equipos como las compuertas que conectan redes. El
término compuerta es impuesto por la arquitectura TCP/IP de conexión de redes, sin
embargo una compuerta puede realizar diferentes funciones a diferentes niveles,
una de esas funciones puede ser la de enrutamiento propiamente dicha.
ENRUTAMIENTO DIRECTO
Es la transmisión de datagramas IP entre dos equipos de la misma red física sin la
intervención de compuertas. El emisor encapsula el datagrama en la trama de la
red, efectuando la vinculación entre la dirección física y ¡a dirección IP, y envía la
trama resultante en forma directa al destinatario.
Debido a que en el enrutamiento directo los datagramas se transmiten de un equipo
a otro, en la misma red física, el proceso es muy eficiente. La vinculación entre la
dirección física y la IP, como ya se dijo, se realiza mediante el ARP.
30
-
ENRUTAMIENTO INDIRECTO
En este direccionamiento un equipo debe enviar a una compuerta el datagrama con
destino a una red física distante. La compuerta de la red física envía el datagrama a
otras compuertas hasta alcanzar a aquel que puede emitirlo en forma directa a la
red destino.
La compuerta debe conocer [as rutas hacia las diferentes redes externas, ellas
pueden utilizar a su vez un enrutamiento indirecto en e! caso de no conocer la ruta a
una red específica. Las compuertas conocen las trayectorias a otra red mediante las
denominadas Tablas de Enrutamiento.
ENRUTAMIENTO ENTRE COMPUERTAS NÚCLEO
En la Arquitectura de Enrutamiento por Compuerta Núcleo, existe una compuerta
que centraliza las funciones de enrutamiento entre redes, y se la llama núcleo.
Cada compuerta en las redes a conectar tiene como compuerta por default a la
compuerta núcleo. Varias compuertas núcleo pueden conectarse para formar una
gran red; entre las compuertas núcleo se intercambiará información concerniente a
las redes que cada una de ellas alcanzan. Las compuertas núcleo no pueden contar
con compuertas por default. La desventaja radica en que las compuertas núcleo
deben almacenar toda la información de las rutas hacia las redes que conectan.
RUTAS POR DEFAULT
Para que en los equipos no exista una tabla excesivamente grande, que contenga
todas las rutas a las redes que se ínterconecta el equipo, es de gran utilidad definir
una ruta por default. A través de esta ruta se deberá alcanzar todas las redes
destino. La ruta por default apunta a un dispositivo que actúa como compuerta de la
red en donde se encuentra ubicado el equipo que la posee.
31
-
Si cada tabla de ruteo conservara información sobre todos los destinos posibles, el
espacio sería insuficiente. Es necesario que con un mínimo de información, e[
equipo pueda tomar decisiones de ruteo. Una técnica para mantener tablas de ruteo
pequeñas consiste en enviar los datagramas a destinos (redes) predeterminados.
PROPAGACIÓN AUTOMÁTICA DE RUTAS
Conforme las complejidades de las redes aumentaron, se debió buscar un
mecanismo que propagase la información de rutas entre las compuertas. Este
mecanismo debía ser automático, debido al obligado cambio dinámico de las redes.
De no ser así, las transiciones entre las compuertas podían ser muy lentas y no
reflejar el estado de la red en un momento dado. Básicamente !o que hace es lo
siguiente:
Establece algoritmos para el intercambio de información entre compuertas.
- Contempla el hecho de que las redes son dinámicas.
No obliga a un esquema centralizado de ruteo.
Utiliza como algoritmo principal el Vector de Distancia
VECTOR DE DISTANCIA
Este algoritmo, asume que cada compuerta comienza su operación con un conjunto
de reglas básicas de cómo alcanzar las redes que conecta.
Las rutas son almacenadas en tablas que indican la red y los saltos para alcanzar
esa red. Periódicamente cada compuerta envía una copia de las tablas que alcanza
directamente. Cuando una compuerta recibe el comunicado de la otra actualiza su
tabla incrementando en uno el número de saltos.
Este concepto ayudó a definir, qué tantas compuertas debería viajar un paquete
para alcanzar su red destino. Mediante el vector una compuerta podía saber a que
32
-
otra compuerta enviar el paquete de información, sabiendo que ésta podría no ser la
última compuerta por la que el paquete tendría que viajar.
Este esquema permite tener varios caminos a una misma red, eligiendo el camino
más corto, es decir aquella compuerta que con menos saltos conduzca a la red
destino.
1.7. RESUMEN DEL CAPITULO
En este capítulo, se dio una visión general de lo que es Internet, sus inicios,
avances y tecnología necesaria para conectarse. Se analizaron los protocolos que
son responsables de la revolución tecnológica y la facilidad de información a la que
se tiene acceso a través del Internet. La teoría aquí analizada servirá de base para
adentrarnos al gran mundo de la seguridad, toda vez que ya se entiende cómo se
produce la comunicación entre dos usuarios en cualquier punto de la red.
33
-
En el capítulo anterior, se dio una visión general de lo que es Internet y su gran
familia de protocolos TCP/IP. A partir de allí se conoce e! proceso que deben seguir
los datos para establecer una comunicación confiable.
E! objetivo de este capítulo es entender de una manera detallada y completa lo que
significa "Seguridad" en una red, pues su desconocimiento permitirá a que intrusos
hábiles en computación, rompan la barrera y se filtren en la red y consigan
información clasificada.
Una vez hecho el estudio, se lo tratará de orientar hacia el problema concreto del
Ministerio de Finanzas, el que al conectarse al Internet, se hace vulnerable a
ataques de "hackers" de redes informáticas, con intenciones y conocimientos muy
variados y, sí la seguridad no es buena, el resultado podría ser muy desastroso.
En primer lugar, se explicará lo que es seguridad de computadoras y los distintos
mecanismos de defensa que se pueden tener para resguardar la información y
brindar seguridad en la red.
Luego, se analizarán los protocolos que proveen una buena seguridad en las
transacciones hacia y fuera de la red, brindando tanto privacidad como
autenticación; se analizarán los niveies de seguridad existentes y la problemática de
seguridad en Internet
Para finalizar, se hará referencia a la encriptación de datos y técnicas de cifrado
DES. Además, se realizará una descripción del Sistema de Autenticación Kerberos
y se analizarán las características que debe cumplir un servidor seguro.
Aunque un usuario medio sólo debe conocer la existencia y el funcionamiento de
todas estas técnicas de manera general, otros profesionales y organismos
encargados de seguridad privada o estatal, deberían dominar todos los aspectos de
seguridad en informática y redes.
35
-
2.1. LA SEGURIDAD EN LAS COMPUTADORAS
Se debe partir del hecho de que el único computador realmente seguro es aquel
que no esta conectado a nada, no tiene un módem, no trabaja con documentos que
vengan de otros computadores y, sólo el dueño de ia máquina tiene la llave del
cuarto donde está encerrado y sólo él conoce las contraseñas de ingreso. Si bien
esta era la realidad para el usuario típico casero, ahoraí con el desarrollo de!
INTERNET, este tipo de aislamiento ya no es aconsejable.
Pensar en aislar una red completamente es algo así como no tener carro porque
existe la posibilidad de que lo roben. Lo correcto sería pensar desde esta otra
perspectiva, al igual que existen alarmas para autos de distinta complejidad, se
pueden implantar esquemas de seguridad que protejan la red.
La seguridad es ahora una característica primordial para las redes de
computadoras.
Privacidad, autenticación, autorización e integridad son los elementos importantes
de cualquier estrategia de seguridad que se defiende de:
- Eavesdropping (Fisgoneo): Intermediarios que escuchan una conversación
privada.
Manípulation (Manipulación): Intermediarios que interceptan y cambian
información en una comunicación privada.
- Impersonatíon (Suplantación): Un emisor o receptor usando una identificación
falsa para comunicarse.
La seguridad involucra al cliente y al servidor. Existen 4 problemas inmediatos a
resolver:
Confidencialidad: ninguna persona ajena a la comunicación puede tener acceso
a la información enviada o recibida:
36
-
- Autenticación: garantiza que las partes implicadas son quienes dicen ser.
Integridad: los datos enviados deben ser iguales a los recibidos sin que exista
manipulación.
No repudio: ninguno de los implicados puede negar haber participado.1
Uno de los primeros puntos a proteger es el acceso físico a los equipos, para ello se
deben diseñar estrategias que mantengan los puntos más sensibles del sistema
fuera del acceso de los usuarios que no tienen nada que hacer allí, las cerraduras
aún ayudan; no hay que olvidar que según las estadísticas muchos de los ataques a
la red son internos, es entonces recomendable que los centros de cableado, los
concentradores, los armarios de distribución de pares, los servidores, enrutadores,
switches, multiplexores, equipos de Frame Relay, equipos de X.25, módems y
demás equipos neurálgicos se encuentren fuera del alcance de los operarios que no
tienen nada que ver con ellos.
Para los sitios que tienen alto tráfico en los que una cerradura permanente no
resulta funcional, es conveniente instalar cerraduras automáticas y asegurarse de
que se usan, realizando visitas periódicas para evitar, por ejemplo, que por
comodidad se coloquen cintas que cubran la chapa, haciendo que entren varias
personas con una misma tarjeta.
Una vez protegidos los equipos físicamente, hay que asegurarse de que los
usuarios de éstos, sí son quienes dicen ser. El acceso a los servidores normalmente
se maneja con contraseñas, pero muchos de los usuarios y operadores utilizan las
mismas contraseñas durante toda la vida en la empresa y las contraseñas normales
son relativamente sencillas de encontrar y existen programas diccionario capaces
de encontrarlas si se les da suficiente tiempo.
1 Por ejemplo, la firma digital puede servir como prueba de la transacción, por lo que ninguna de las partes
puede negar haber participado en ella. Aunque técnicamente se pueda demostrar que la compra se produjo,
legalmente el cliente siempre tendrá el derecho a negar su participación en la compra. (Es una cuestión legal,
no técnica).
-
Las principales contraseñas utilizadas tienen relación con: placa del auto, apodo o
nombre familiar, la cuenta de usuario (iogin), fecha de cumpleaños o del matrimonio,
nombre del perro o combinaciones de nombre y apellido como: primera letra de!
nombre seguida de! apellido, etc.
Una estrategia es configurar los servidores de forma de que estas contraseñas
tengan un tiempo determinado de validez y se renueven automáticamente, el
problema de esto es que los usuarios terminan olvidando sus contraseñas o las
anotan en un post - id, que en el mejor de los casos estará colocado debajo del
computador, obligando al operador de la red a atender periódicamente a los
usuarios que han olvidado sus contraseñas.
Se recomienda entonces, un esquema de autenticación centralizado para todos los
servicios. Los sistemas de autenticación dicen que la persona que está utilizando
los servicios sí es quien dice ser, esto protege la red interna; pero, para proteger la
red una vez que ésta deja e! perímetro seguro, se deben utilizar esquemas de
encripción, para las conexiones dedicadas.
Se utilizan entonces encriptores de línea, los cuales alteran !os datos de la red de
modo que no sea posible entenderlos a menos que se posea un encriptor igual y, lo
que realmente importa más, una llave de encripción iguai a la del equipo que
originalmente se utilizó para alterar los datos.
Estas llaves de software deben de ser generadas, guardadas y distribuidas por una
persona de confianza de la organización.
Para el caso de conexiones a Internet se utilizan otros esquemas llamados Firewalls
o paredes de fuego. Estos son computadores especializados con dos tarjetas de red
¡ocal y con un software especial que se ubican entre la red protegida y el Internet.
Estas máquinas tienen entonces esquemas programables que filtran y repelen los
ataques que provengan de la Internet, impiden que se utilicen algunos servicios (...a
38
-
quién le esta permitido hacer qué...? ), direcciones electrónicas (...a quién le esta
permitido ir a dónde...?) y otras funciones de acuerdo a las políticas que se
programen.
Pueden además manejar algo que se conoce como túneles encriptados, estos son
canales de comunicación IP encriptados a través de la Internet, que permiten utilizar
la Internet como backbone de comunicaciones y al mismo tiempo mantener la
privacidad.
Además también existe un túnel cliente para usuario final, de esta forma alguien
puede comunicarse haciendo una llamada desde cualquier punto del mundo con
cualquier proveedor de acceso a Internet y sus datos viajarán encriptados por la
Internet hasta llegar a la organización.
SÍ la red es una red IP, y se piensa en una Intranet, se pueden utilizar los Firewalls
no solo en la puerta de la Internet, sino internamente, teniendo distintas políticas de
acceso para los distintos puntos de la Intranet, por ejemplo un Firewall que separe
la parte de contabilidad del resto de los usuarios y que permita el acceso
únicamente a las personas de contabilidad.
Otro punto que no hay que olvidar asegurar es el número de puertas abiertas en la
red. Cada vez que un usuario coloca un módem para comunicarse a Internet o para
enviar un fax, esta abriendo una puerta que al igual que para salir puede ser usada
para entrar en la red. Es mejor utilizar un servidor de acceso remoto que al igual
que concentra en un único punto las puertas de entrada a la red, puede ser utilizado
para proveer un único punto de salida.
No se deben olvidar tampoco las políticas de software, cada vez que un usuario
instala el juego gratis que encontró en Internet, puede estar instalando sin saberlo
un programa que buscará la contraseña y la enviará utilizando un correo electrónico
a un hacker en alguna parte del mundo o un virus que bajará la productividad de la
empresa.
39
-
Decidir si se debe o no trabajar con esquemas de segundad depende de qué tanto
valen !os datos que se quieren proteger. Es una buena ¡dea comenzar paso a paso,
se pueden asegurar primero los lugares más delicados, normalmente los puntos
donde se maneja dinero y los puntos de acceso para después ir asegurando el resto
de la red.
Si lo que preocupa es la justificación de costos, hay que pensar en ¡a seguridad
como un tipo de medicina prepagada, lo que se paga hoy en día asegura el
bienestar futuro. Igualmente, analizar si los costos de no tener seguridad pueden
llegar a ser substancialmente mas altos que los costos de asegurar la red.
Se debe también pensar no sólo en la seguridad interna, sino también en la
"seguridad del perímetro". Este concepto es bastante fácil de comprender, basta con
pensar en castillos o bases militares, los cuales normalmente tienen un número
reducido de entradas que son la única manera de ingresar. SÍ alguien quiere ser
admitido, debe presentarse en la puerta e identificarse. SÍ alguien sin identificación
quiere ingresar lo hará de otra manera, usando las cercas o tapias que circundan la
instalación.
El concepto entonces, se extiende bastante fácil en e! mundo de la computación:
así, si alguien quiere utilizar los recursos de la red, antes de ingresar debe
identificarse al dispositivo de seguridad del perímetro, el cual dará o no acceso al
solicitante.
Si se puede garantizar que esta sea la manera ÚNICA de acceso a la red interna, se
podrá proteger todas las máquinas sobre la red. La gente que está fuera del
perímetro, como los navegadores de Internet, los del departamento de contabilidad
o cualquiera, no deberían tener acceso a menos que el administrador lo permita.
En Internet hoy en día es muy importante poder establecer unas rigurosas barreras
de entrada a los sistemas que acceden desde Internet, con el fin de evitar posibles
acciones desde el exterior sobre los sistemas.
40
-
2.2. FIREWALLS.
Proteger un único enlace es más sencillo que proteger cada una de las
computadoras de la red. Para ello se implementa algún mecanismo software o
hardware que actúe de "cortafuegos" en este punto de acceso.
Un firewall, o barrera de acceso como suele llamárselo, es un conjunto de hardware
y sistema operativo, provisto de una robusta seguridad (niveles C2, B1 o B2)2, que
cumple simultáneamente tareas de protección, análisis y filtrado de información, de
tal suerte que permite:
- Habilitar el acceso a los servicios de la red interna por un punto fuertemente
controlado.
- Prevenir que los intrusos accedan al segundo nivel de seguridad definida en
cada computadora de la red (seguridad de host).
Que los usuarios de la red interna de la organización, accedan a servicios
externos de Internet (WWW, Correo electrónico, etc.) saliendo desde un punto
fuertemente controlado.
Llevar permanentemente los registros de toda la actividad saliente y entrante de
la red generando logins de auditoria de cada uno de los usuarios.
La tecnología Firewali se compone de un conjunto de mecanismos que
colectivamente refuerzan un reglamento de seguridad, en un tráfico de
comunicaciones entrando o dejando el dominio de una red resguardada. Toda la
responsabilidad de la protección del dominio de red recae en el reglamento de
seguridad.
El principal objetivo de estos dispositivos es mantener la privacidad y asegurar la
autenticidad de las comunicaciones de datos que pasan las fronteras del dominio de
red. Una vez que un dato entra o deja un dominio de red, está protegido de usuarios
2 Mas detalle de niveles de seguridad en la sección 2.541
-
que quieran husmear o modificar información. Físicamente un firewall se
implementa en hardware, software o en ambos.
Lo primero que hay que recordar es que un firewall es un conjunto de bloques. En
general, se trata de una pasarela que actúa de enlace único entre la subred y la red,
evaluando todo lo que entra y ¡o que sale, pudiendo restringir o cortar drásticamente
la conexión Incluso pueden detectar virus encapsulados y otras injerencias.. La
configuración más clásica es la siguiente.
FIREWALL
Figura 2.1. Idea Básica de un Firewall
Los sistemas firewall causan controversia debido a que existen enemigos y
seguidores de este tipo de tecnología. Mucha gente clama a favor de ios firewalí
porque sienten que toda red es insegura y necesita de este tipo de tecnología.
Además, argumentan que los firewails no solamente protegen la seguridad de ¡a
red, sino que también complementan los mecanismos de seguridad de red que
maneja el host, sin contar el hecho de que son transparentes a¡ usuario, limitan la
exposición de la red interna, pueden ser instaladas en distintas topologías y son de
fácil uso.
En el otro extremo, los enemigos de los firewall exclaman que este tipo de
tecnología genera un falso sentido de seguridad que lleva a carencias en las
medidas de seguridad, además de que no provee seguridad perfecta, ya que no
brinda seguridad contra usuarios internos maliciosos y las actividades de conexión
que involucren a éstos.
42
-
¿QUÉ NO PUEDE HACER UN FIREWALL?
Un firewall no puede controlar nada que suceda después de que un usuario ha
pasado el chequeo de acceso y autenticación. Por ejemplo, si un empleado
disgustado se identifica adecuadamente, y se le permite el acceso y entonces
procede a borrar todos los archivos de una máquina, el firewal! no podrá evitarlo ya
que su trabajo fue hecho asegurando que era un usuario adecuadamente
autorizado.
Un firewall no puede controlar tampoco la gente que está alrededor. Si la seguridad
de perímetro se ha roto, por ejemplo si un empleado contrariado enchufó su línea
telefónica a un módem adjunto a su computadora de red, él (o tal vez alguien más)
puede marcar ese número telefónico y hacer un bypass (desviación) de todos los
firewalls de chequeo. Para el uso efectivo de los firewalIs, la integridad de la
seguridad del perímetro de red debe mantenerse.
¿CUÁL TIPO DE FIREWALL SE NECESITA?
No hay solamente una respuesta correcta. Como se verá más adelante, el gateway
de circuito, y el filtro de paquetes son muy usados para el acceso externo de otros
usuarios a la red, pues se confía en el. personal que trabaja y administra la red.
Para instalaciones donde no se necesitará nunca ingresar desde redes externas a
las internas, no se requiere nada de esto. Con un nivel de seguridad un poco
menor, se podría permitir a todos los usuarios tener acceso a la red asegurada
desde una máquina remota particular.
Sin embargo, en los sitios en los cuales se necesita permitir el acceso remoto a
usuarios específicos, o se quiere un nivel de seguridad más alto que asegure que
nadie esté utilizando una dirección IP, se necesitará usar gateways de aplicación.
La desventaja de esto es que el firewall no es lo suficientemente transparente al
-
usuario, ya que debe crear logins (registros), lo cual no sería necesario si el
gateway de aplicación no estuviera allí.
Por lo dicho anteriormente, los gateways híbridos son los más utilizados en e!
mercado, ya que aseguran que los usuarios internos, en quienes supuestamente se
confía, son saneados con una protección contra intrusos, que evitará su acceso sin
autorización; es decir, un nivel de segundad bajo como una tarjeta de identificación
por ejemplo; mientras que, los usuarios externos quienes potencialmente tratan de
romper la seguridad, son forzados a identificarse posibíemente con alguna
contraseña temporal como una generada desde un servidor de claves.
2.3. MECANISMOS DE DEFENSA.
Un Firewall es considerado como la "primera línea de defensa" para proteger la
información privada. Los distintos mecanismos de defensa que utilizan los firewall
corresponden a cierta capa del modelo OSI.
En todas las siete capas, los mecanismos criptográficos pueden aplicarse. Por
ejemplo, en la capa de transporte, ellos pueden proporcionar privacidad en la
comunicación al usuario; en la capa de aplicación, ellos pueden proporcionar una
específica aplicación de autenticación.al usuario.
Modáo OSI
MecanismosCriptográficos Filtro de
P aqueles
ProxydeAlieacion.esEspecíficas
— Proxy de Nivel de CircuitosTraductor deDirecciones de Red
Figura 2.2. Mecanismos de Defensa para el Modelo OSI
IEEE Specüum, February 1998, Fírewalls fend off ínvasíons from tíie Net, pág. 2744
-
Los mecanismos firewalls aumentan la demora. Pero a través de ios anos, el
desempeño ha ¡do mejorando como un resultado directo de procesadores más
veloces y la optimización de códigos de software.
Existen dos tipos principales de firewalls, y si bien ambos siguen la arquitectura
anterior en las capas 1 a 6, no funcionan de la misma manera en la capa 7. Los
firewalls que en la capa 7 aplican inspección de estados, pero sólo aplican reglas a
!a cabecera de ios paquetes !P mirando dirección de destino, origen y servicio, se
llaman Firewalls de filtro de paquetes. Ejemplos: FÍrewall-1, Guardian, SunScreen.
Los firewalls que rompen la capa 7 en dos interfaces separadas, inspeccionando la
cabecera como los demás, pero inspeccionando también el contenido de! paquete
para ver si lo que llega por un puerto autorizado es trafico de ese puerto, se llaman
firewalls de proxy o firewalls de aplicación.4 Las diferencias principales son que:
Los de filtrado de paquetes son mas rápidos, pero los de proxy, mas seguros.
El mecanismo de filtrado de paquetes actúa sobre la capa de red y la de
transporte, mientras que el mecanismo de traducción de direcciones actúa sobre
la capa de red solamente.
El mecanismo proxy de nivel de circuito actúa en la capa de transporte y el
mecanismo proxy de aplicación específica, actúa sobre la capa de aplicaciones.
- Además, se pueden ocupar mecanismos criptográficos en todas las capas del
modelo OSI.
MECANISMO DE FILTRADO DE PAQUETES.
En este tipo de mecanismo, un ruteador permite o niega el paso a los datos después
de verificar que su encabezado y contenido estén en concordancia, o no, con el
conjunto de estatutos que establece un reglamento de seguridad.
4 Ese nombre viene de que para cada protocolo que se permita o habilite debe instalarse un proxy que lomonitorice.
45
-
En el caso del filtrado de paquetes de TCP/IP, el ruteador lleva un conjunto de
datagramas a un mecanismo de filtrado que decide si el datagrama es recibido o
desechado. E! filtro usualmente examina las direcciones fuente y destino y los
número de puerto de protocolo contenidos en el encabezado.
Estos chequeos son transparentes al usuario, de suerte que éste no se da cuenta
de lo que está pasando, ¡a menos que, por supuesto, se !e niegue el acceso!. Sin
embargo, esa simplicidad es también su problema más grande, pues no hay manera
para que el filtro pueda distinguir a un usuario de otro.
El filtrado de paquetes brinda la oportunidad al personal de examinar y verificar
todos los datos que pasan por el Firewall. Sin embargo, no establece una
asociación de seguridad real, y la integridad y autenticidad de los paquetes
examinados no puede ser controlado. Además, verificar cada paquete impiica un
retardo de tiempo.
Existen además filtros inteligentes de paquetes, los cuales tienen la capacidad de
interpretar la trama de datos y permitir el acceso a conexiones que normalmente
hubieran sido negadas. Sin embargo, no es posible todavía distinguir firmemente un
usuario de otro.
Los filtros de paquete se ubican frecuentemente en los routers a nivel de capa de
red, los cuales vienen por defecto con filtrado de paquetes incluido.
MECANISMO DE TRADUCCIÓN DE DIRECCIONES.
Un mecanismo de seguridad que surgió no precisamente con ese fin, es el traductor
de direcciones de red (NAT), capaz de ocultar las direcciones internas y la topología
de la red. Básicamente lo que hace un NAT es cambiar las direcciones
pertenecientes a anfitriones dentro de la red protegida para que ellos aparezcan
diferentes afuera de la red.
46
-
Los dispositivos de traducción de direcciones se localizan en la frontera de los
dominios de red, tal como se puede ver en la figura..
Traductor decfreca'cnes efe red
Ccnectsdo a213.12.10.12
. Tibia efeTraduccicn de Direcciones
77.4.10.12
Figura 2.3. Mecanismo de Traducción de Direcciones.
Cada dispositivo NAT contiene una tabla de direcciones donde consta la dirección
loca! IP (interna) y su correspondiente globa! única (externa).
Para todos los datagramas salientes, el dispositivo traduce la dirección local a su
correspondiente dirección global, y para paquetes recibidos totalmente lo inverso.
La asociación de la dirección puede ser estática (no cambia, una vez asignada) o
dinámica (la dirección visible se toma de un conjunto de direcciones, las cuales son
asignadas automáticamente).
Como cualquier router, un NAT router mantiene los mensajes separados cuando dos
usuarios de adentro mandan al mismo destino o cuando dos buscadores de afuera
simultáneamente dirigen sus mensajes al mismo usuario de adentro.
MECA