CRL Y OCSP

Lista de revocación de certificados (CRL)

La Lista de Revocación de Certificados es conocida por sus siglas en inglés CRL ("Certificate
Revocation List")

En la operación de algunos sistemas criptográficos, usualmente los de infraestructura de clave

pública (PKI), una CRL es una lista de certificados (números de serie) que han sido revocados, ya
no son válidos y no debe confiar ningún usuario del sistema.

Online Certificate Status Protocol (OCSP)

Protocolo de comprobación del Estado de un Certificado En línea u Online Certificate Status

Protocol (OCSP) es un método para determinar el estado de vigencia de un certificado digital
X.509 usando otros medios que no sean el uso de CRL (Listas de Revocación de Certificados).
Este protocolo se describe en el RFC 6960 y está en el registro de estándares de Internet. Los
mensajes OCSP se codifican en ASN.1 y habitualmente se transmiten sobre el protocolo HTTP. La
naturaleza de las peticiones y respuestas de OCSP hace que a los servidores OCSP se les
conozca como "OCSP responders".

Ventajas sobre las CRL (Certificate Revocation List)

OCSP fue creado para solventar ciertas deficiencias de las CRL. Cuando se despliega una PKI
(Infraestructura de Clave Pública).

 OCSP puede proporcionar una información más adecuada y reciente del estado de
revocación de un certificado.
 OCSP elimina la necesidad de que los clientes tengan que obtener y procesar las CRL,
ahorrando de este modo tráfico de red y procesado por parte del cliente.
 El contenido de las CRL puede considerarse información sensible, análogamente a la lista
de morosos de un banco.
 Un "OCSP responder" puede implementar mecanismos de tarificación para pasarle el coste
de la validación de las transacciones al vendedor, más bien que al cliente.
 OCSP soporta el encadenamiento de confianza de las peticiones OCSP entre los
"responders". Esto permite que los clientes se comuniquen con un "responder" de confianza
para lanzar una petición a una autoridad de certificación alternativa dentro de la misma PKI.
 Una consulta sobre el estado de un certificado sobre una CRL, debe recorrerla completa
secuencialmente para decir si es válido o no. Un "OCSP responder" en el fondo, usa un
motor de base de datos para consultar el estado del certificado solicitado, con todas las
ventajas y estructura para facilitar las consultas. Esto se manifiesta aún más cuando el
tamaño de la CRL es muy grande.

REDES IPV6 e IPV4

6to4

1
Mecanismo de transición mediante túneles que encapsula paquetes Ipv6 en paquetes IPv4 para
atrevsar redes solo IPV4.

Teredo
Mecanismo de transición mediante túneles que encapsula paquetes Ipv6 sobre UDP y luego sobre
IPv4.

6RD
Parecido al 6to4 con alguna actualización y permite despliegue del ipv6 dentro de la infraestructura
del ISP. La diferencia principal entre 6to4 y 6rd, es eso que 6rd ya está dentro del ISP, en 6to4 no.

6over4
Es un mecanismo de transición de IPv6 para transmitir paquetes IPv6 entre nodos con doble pila
sobre una red IPv4 con multicast habilitado. IPv4 se utiliza como un nivel de enlace virtual (Ethernet
virtual) sobre el que ejecutar IPv6.

ISATAP (Intra-Site Automatic Tunnel Addressing Protocol)

Es un mecanismo de transición de IPv6 para transmitir paquetes de IPv6 entre nodos con doble
pila (dual-stack) sobre redes IPv4. A diferencia de 6over4, ISATAP utiliza IPv4 como un nivel de
enlace de una red de acceso múltiple sin broadcast, por lo que no requiere que la red IPv4
subyacente soporte multicast.

2
Ataques

3
4
4.3 Sistemas de Archivos

• Fat (tabla de asignación de archivos)

El sistema fat era utilizado por DOS/Windows 3.X/W95/W98/me/nt/2000/xp con una limitación para
particiones de 2GB.

• FAT32 (tabla de asignación de archivos 32)

FAT32 es un sistema de archivos que apareció para solventar las limitaciones de FAT16
manteniendo compatibilidad con él. Tiene un tamaño máximo de archivo de 4 GiB.
2-22/I

• NTFS (sistema de archivos de nueva tecnología)

El sistema de archivos de nueva tecnología (NTFS) sólo puede ser leído por sistemas operativos
de Microsoft tales como Windows 7/8/10. NTFS no se recomienda para su uso en discos de menos
de 400 MB, ya que utiliza una gran cantidad de espacio para las estructuras del sistema.

• Ext4 y swap
Los sistemas de archivos linux ext4 y linux swap se desarrollaron para el sistema operativo linux
(una versión de libre distribución o “freeware” de unix). El sistema operativo linux ext4 admite un
tamaño máximo de disco o de partición de 16 TiB, para el archivo de intercambio de linux se utiliza
linux swap.

A continuación mostramos una tabla en la que se aprecian los tamaños de los clústeres con
respecto a los tamaños de los volúmenes, distinguiendo además en distintos tipos de archivos: fat,
fat32, NTFS.

5
6
PUERTOS SSL

7
GRUPOS LOCAL, GLOBAL, UNIVERSAL – WINDOWS

Windows Server 2008 R2 - Hyper-v estable, a partir de esta versión sólo 64 BITS

Windows Server 2012 - un nuevo sistema de archivos: ReFS

Windows Server 2016

 Windows PowerShell 5.0, y tmb Nucleo NT 10 - Hibrido e interfaz Continuum

 IIS 10: Soporte para HTTP / 2
 Windows PowerShell 5.0
 El Servidor Telnet no está incluido

LENGUAJES DDL, DCL, DML, TCL

8
DDL - Un lenguaje de definición de datos (Data Definition Language) es un lenguaje
proporcionado por el sistema de gestión de base de datos que permite a los usuarios de la misma
llevar a cabo las tareas de definición de las estructuras que almacenarán los datos así como de los
procedimientos o funciones que permitan consultarlos.

 CREATE
 DROP
 ALTER

DCL - Un Lenguaje de Control de Datos (Data Control Language) es un lenguaje proporcionado

por el Sistema de Gestión de Base de Datos que incluye una serie de comandos SQL que permiten
al administrador controlar el acceso a los datos contenidos en la Base de Datos.

 GRANT: Permite dar permisos a uno o varios usuarios

 REVOKE: Permite eliminar permisos que se habían concedido con GRANT.

DML - Lenguaje de Manipulación de Datos (Data Manipulation Language) es un lenguaje

proporcionado por los sistemas gestores de bases de datos que permite a los usuarios de la misma
llevar a cabo las tareas de consulta o modificación de los datos contenidos en las Bases de Datos
del Sistema Gestor de Bases de Datos.

 SELECT
 INSERT
 DELETE
 UPDATE

TCL – Lenguaje de Controles de transacciones. Las transacciones, si están disponibles,

envuelven operaciones DML:

 COMMIT - hace que todos los cambios de datos en una transacción sean permanentes.
 ROLLBACK - descarta todos los cambios de datos desde el último COMMIT o ROLLBACK

9
Anexo TEMA 3 – B4

— Dispositivos de carácter, aquellos que no permiten acceso aleatorio sino que, únicamente
puede ser leído y escrito secuencialmente. Algunos ejemplos lo constituirían:

 La consola, sea el teclado, el monitor o el ratón.

 Terminales serie conectados al sistema.
 Impresoras.
 Tarjetas de sonido.
 Dispositivos de carácter virtuales.

Cuentas por defecto

 Windows – Administrador e invitado

 Unix – Root

ARRANQUE Windows y UNIX

Un registro de arranque principal, conocido también como registro de arranque maestro

(master boot record, MBR) es el primer sector ("sector cero") de un dispositivo de
almacenamiento de datos, como un disco duro. A veces, se emplea para el arranque del sistema
operativo con bootstrap,

La tabla de particiones GUID (GPT) es un estándar para la colocación de la tabla de particiones

en un disco duro físico. Es parte del estándar Extensible Firmware Interface (EFI) propuesto por
Intel para reemplazar el viejo BIOS del PC, heredada del IBM PC original. La GPT sustituye al
Master Boot Record (MBR) usado con el BIOS.

PARTICIONES

Antes se usaba MBR con BIOS

10
  Máximo 4 particiones primarias o 3 primarias con 1 extendida. La extendida máximo 32
particiones lógicas. Linux impone un máximo de 15, incluyendo las 4 primarias, en discos
SCSI y en discos IDE 8963.
 MBR soporta hasta 4 particiones por unidad física con un límite de 2,2 TB por partición.

Modo UEFI -> Particiones GPT Microsoft Windows soporta GPT a partir de las versiones de 64 bits
de Windows Vista y posteriores.

 GPT soporta teóricamente hasta 9,4 ZB y no exige un sistema de archivos concreto para
funcionar.
 Windows soporta GPT a partir de las versiones de 64 bits de Windows Vista y posteriores.
 Soporta el máximo de particones permitidas por el sistema operativo . Windows 128
particiones.

ARRANQUES WINDOWS, se instala en una partición PRIMARIA ACTIVA

Antes de Windows Vista (NT, XP, 2000, SERVER 2003)

NTLDR (NT Loader) -> usa el archivo de configuración boot.ini

Windows Vista y posteriores

BCD, Boot Configuration Data contiene el menú Windows Boot Manager, tal y como boot.ini
presentaba el menú del archivo NTLDR. Este menú puede incluir:
Opciones para arrancar Windows Vista mediante winload.exe.
Opciones para resumir Windows Vista desde una situación de suspensión o hibernación del
sistema mediante winresume.exe'.
Opciones para arrancar una versión previa de Windows correspondiente a la familia Windows
NT, mediante el archivo NTLDR.
Opciones para cargar y ejecutar el volumen Boot Record.

Gestores ARRANQUES UNIX

GRUBv1 ahora es GRUB Legacy

GRUBv2 ahora se llama GRUB a secas
LILO

11
SILO -> Solaris

12
MÁQUINAS VIRTUALES

Un hipervisor (en inglés hypervisor) o monitor de máquina virtual (virtual machine monitor) es
una plataforma que permite aplicar diversas técnicas de control de virtualización para utilizar, al
mismo tiempo, diferentes sistemas operativos (sin modificar o modificados, en el caso de
paravirtualización) en una misma computadora. Es una extensión de un término anterior,
«supervisor», que se aplicaba a los kernels de los sistemas operativos.

Tipos

Los hipervisores pueden clasificarse en dos tipos

 Hipervisor tipo 1: También denominado nativo, unhosted o bare metal (sobre el metal
desnudo), es software que se ejecuta directamente sobre el hardware, para ofrecer la
funcionalidad descrita.

 Algunos de los hipervisores tipo 1 más conocidos son los siguientes: VMware ESXi (de
pago, aunque existe una versión gratuita que solo permite el uso de un procesador físico y
con funciones limitadas), Xen (libre), Citrix XenServer (gratis limitado a 4 máquinas
virtuales), Microsoft Hyper-V Server (gratis).

 Hipervisor tipo 2: También denominado hosted, es software que se ejecuta sobre un

sistema operativo para ofrecer la funcionalidad descrita.

13
  Algunos de los hipervisores tipo 2 más utilizados son los siguientes: Oracle: VirtualBox
(gratis), VirtualBox OSE (desde la v4.0 fusionado en VirtualBox), VMware: Workstation (de
pago), Server (gratis), Player (gratis), QEMU (libre), Microsoft: Virtual PC, Virtual Server,
Oracle VM (gratis), Microsoft Hyper-V Server (gratis).

SaaS, IaaS y PaaS: Las tres clases de Cloud Computing

14
 Software as a Service (SaaS): En español Software como Servicio. Modelo de distribución
de software donde una empresa sirve el mantenimiento, soporte y operación que usará el
cliente durante el tiempo que haya contratado el servicio. El cliente usará el sistema alojado
por esa empresa, la cual mantendrá la información del cliente en sus sistemas y proveerá
los recursos necesarios para explotar esa información. Ejemplos: Salesforce, Basecamp.
 Platform as a Service (PaaS): En español Plataforma como Servicio. Aunque suele
identificarse como una evolución de SaaS, es más bien un modelo en el que se ofrece todo
lo necesario para soportar el ciclo de vida completo de construcción y puesta en marcha de
aplicaciones y servicios web completamente disponibles en la Internet. Otra característica
importante es que no hay descarga de software que instalar en los equipos de los
desarrolladores. PasS ofrece mútliples servicios, pero todos provisionados como una
solución integral en la web. Aunque algunos servicios de Amazon Web Services como
SimpleDB y SQS yo los considero PaaS, esta afirmación puede ser discutida. Otro ejemplo
es Google App Engine.
 Infrastructure as a Service (Iaas): En español Infraestructura como Servicio. Modelo de
distribución de infraestructura de computación como un servicio, normalmente mediante una
plataforma de virtualización. En vez de adquirir servidores, espacio en un centro de datos o
equipamiento de redes, los clientes compran todos estos recursos a un proveedor de
servicios externo. Una diferencia fundamental con el hosting virtual es que el
provisionamiento de estos servicios se hacen de manera integral a través de la web.
Ejemplos: Amazon Web Services EC2 y GoGrid.

15
Tipos de nubes

 Una nube pública es una nube computacional mantenida y gestionada por terceras
personas no vinculadas con la organización. En este tipo de nubes tanto los datos como los
procesos de varios clientes se mezclan en los servidores, sistemas de almacenamiento y
otras infraestructuras de la nube. Los usuarios finales de la nube no conocen qué trabajos
de otros clientes pueden estar corriendo en el mismo servidor, red, sistemas de
almacenamiento, etc. Aplicaciones, almacenamiento y otros recursos están disponibles al
público a través del proveedor de servicios, que es propietario de toda la infraestructura en
sus centros de datos; el acceso a los servicios sólo se ofrece de manera remota,
normalmente a través de internet.

 Las nubes privadas son una buena opción para las compañías que necesitan alta
protección de datos y ediciones a nivel de servicio. Las nubes privadas están en una
infraestructura bajo demanda, gestionada para un solo cliente que controla qué aplicaciones
debe ejecutarse y dónde. Son propietarios del servidor, red, y disco y pueden decidir qué
usuarios están autorizados a utilizar la infraestructura. Al administrar internamente estos
servicios, las empresas tienen la ventaja de mantener la privacidad de su información y
permitir unificar el acceso a las aplicaciones corporativas de sus usuarios.

 Las nubes híbridas combinan los modelos de nubes públicas y privadas. Un usuario es
propietario de unas partes y comparte otras, aunque de una manera controlada. Las nubes
híbridas ofrecen la promesa del escalado, aprovisionada externamente, a demanda, pero
añaden la complejidad de determinar cómo distribuir las aplicaciones a través de estos
ambientes diferentes. Las empresas pueden sentir cierta atracción por la promesa de una
nube híbrida, pero esta opción, al menos inicialmente, estará probablemente reservada a
aplicaciones simples sin condicionantes, que no requieran de ninguna sincronización o
necesiten bases de datos complejas. Se unen mediante la tecnología, pues permiten enviar
datos o aplicaciones entre ellas. Un ejemplo son los sistemas de correo electrónico
empresarial.

 Nube comunitaria. De acuerdo con Joyanes Aguilar en 2012, el Instituto Nacional de

Estándares y Tecnología (NITS, por sus siglas en inglés) define este modelo como aquel
que se organiza con la finalidad de servir a una función o propósito común (seguridad,
política…), las cuales son administradas por las organizaciones constituyentes o terceras
partes.

WIFI

WEP
Autenticación  2 métodos: Sistema Abierto y Clave Compartida.

16
 Integridad  CRC-32
Confidencialidad/Cifrado  algoritmo de cifrado RC4 que utiliza claves de 64 bits (40 bits
más 24 bits del vector de iniciación IV) o de 128 bits (104 bits más 24 bits del IV)

WPA
Autenticación  PSK - WPA-Personal
802.1x/EAP como WPA-Enterprise
Integridad  MIC - Código de integridad del mensaje
TKIP - Protocolo de Integridad de Clave Temporal
Confidencialidad/Cifrado  RC4. La información es cifrada utilizando el algoritmo RC4
(debido a que WPA no elimina el proceso de cifrado WEP, sólo lo fortalece), con una clave
de 128 bits y un vector de inicialización de 48 bits.

WPA2
Autenticación  PSK - WPA2-Personal
802.1x/EAP WPA2-Enterprise.
Integridad  MIC - Código de integridad del mensaje
TKIP - Protocolo de Integridad de Clave Temporal
Confidencialidad/Cifrado  AES (Advanced Encryption Standard)

17
 HMTL

HTML, sigla en inglés de HyperText Markup Language (lenguaje de marcas de hipertexto), hace
referencia al lenguaje de marcado para la elaboración de páginas web.

HTML en teoría era un ejemplo de un lenguaje basado en SGML hasta HTML 5, que admite que
los navegadores no pueden analizar como SGML (por razones de compatibilidad) y codifica
exactamente lo que debe hacer en su lugar.

SGML HTML y XML

XML + HMTL  XHTML

DocBook SGML y LinuxDocv  SGML

Este lenguaje es un lenguaje de marcado generalizado estándar con estructura DTD definición de
tipo de documento. Utilizaban casi exclusivamente con herramientas reales SGML.

Canvas (HTML)  Generación gráficos dinámicamente por scripting.

Canvas es un elemento HTML incorporado en HTML5 que permite la generación de gráficos

dinámicamente por medio del scripting. Entre otras cosas, permite la renderización interpretada
dinámica de gráficos 2D y mapas de bits, así como animaciones con estos gráficos. Se trata de un
modelo de procedimiento de bajo nivel, que actualiza un mapa de bits y no tiene una gráfica de
escena integrada. Canvas fue introducido inicialmente por Apple para su uso dentro de su propio
componente de Mac OS X.

18
ETHERNET

Formato de la trama Ethernet

La trama es lo que se conoce también por el nombre de "frame".

Estructura de la Payload en Ethernet y protocolos IP y TCP.

 PREÁMBULO: 7 BYTES - Indica el inicio de la trama y tienen el objeto de que el

dispositivo que lo recibe detecte una nueva trama y se sincronice.
 DELIMITADOR DE INICIO DE TRAMA: 1 BYTE - Indica que el frame empieza a partir de
él.
 DIRECCIÓN MAC ORIGEN : 6 BYTES
 DIRECCIÓN MAC DESTINO : 6 BYTES

 ETIQUETA (opcional): 4 BYTES - Es un campo opcional que indica la pertenencia a una

VLAN o prioridad en IEEE P802.1p
 ETHERNETYPE: 2 BYTES: Indica con que protocolo están encapsulados los datos que
contiene la Payload, en caso de que se usase un protocolo de capa superior.
 PAYLOAD: 46 – 1500 BYTES - Es donde van todos los datos y, en el caso
correspondiente, cabeceras de otros protocolos de capas superiores (Según Modelo OSI,
véase Protocolos en informática) que pudieran formatear a los datos que se tramiten (IP,
TCP, etc). Tiene un mínimo de 64 Bytes (o 42 si es la versión 802.1Q) hasta un máximo de
1518 Bytes.

 CRC – SECUENCIA COMPROBACIÓN: 4 BYTES - Contienen un valor de verificación

CRC (control de redundancia cíclica).
 GAP ENTRE FRAMES: 12 BYTES: Son 12 bytes vacíos con el objetivo de espaciado entre
tramas.

19
DNS

Un FQDN (fully qualified domain name) es un nombre que incluye el nombre de la computadora y
el nombre de dominio asociado a ese equipo.

El nombre absoluto está relacionado con todas las etiquetas de nodo de una estructura arbórea,
separadas por puntos y que termina con un punto final que se denomina la dirección FQDN
(Nombre de Dominio totalmente calificado). La profundidad máxima de una estructura arbórea es
127 niveles y la longitud máxima para un nombre FQDN es 255 caracteres. La dirección FQDN
permite ubicar de manera única un equipo en la red de redes.
Cada nodo del árbol se llama nombre de dominio y tiene una etiqueta con una longitud máxima
de 63 caracteres.

Los servidores relacionados con los dominios de nivel superior (TLD) se llaman "servidores de
dominio de nivel superior". Son 13, están distribuidos por todo el mundo y sus nombres van
desde "a.root-servers.net" hasta "m.root-servers.net".

El servidor que se utiliza con más frecuencia se llama BIND (Berkeley Internet Name Domain).

Nombre de dominio: el nombre de dominio debe ser un nombre FQDN, es decir, debe terminar
con un punto. En caso de que falte el punto, el nombre de dominio es relativo, es decir, el nombre
de dominio principal incluirá un sufijo en el dominio introducido;
Tipo: un valor sobre 16 bits que define el tipo de recurso descrito por el registro. El tipo de
recurso puede ser uno de los siguientes:

 A: este es un tipo de base que hace coincidir el nombre canónico con la dirección IP.
Además, pueden existir varios registros A relacionados con diferentes equipos de la red
(servidores).

20
  CNAME (Nombre Canónico): Permite definir un alias para el nombre canónico. Es
particularmente útil para suministrar nombres alternativos relacionados con diferentes
servicios en el mismo equipo.
 HINFO: éste es un campo solamente descriptivo que permite la descripción en particular del
hardware del ordenador (CPU) y del sistema operativo (OS). Generalmente se recomienda
no completarlo para evitar suministrar información que pueda ser útil a piratas informáticos.
 MX (Mail eXchange): es el servidor de correo electrónico. Cuando un usuario envía un
correo electrónico a una dirección (user@domain), el servidor de correo saliente interroga al
servidor de nombre de dominio con autoridad sobre el dominio para obtener el registro MX.
Pueden existir varios registros MX por dominio, para así suministrar una repetición en caso
de fallas en el servidor principal de correo electrónico. De este modo, el registro MX permite
definir una prioridad con un valor entre 0 y 65,535:

 NS: es el servidor de nombres de dominio con autoridad sobre el dominio.

 PTR: es un puntero hacia otra parte del espacio de nombres del dominios.
 SOA (Start Of Authority (Inicio de autoridad)): el campo SOA permite la descripción del
servidor de nombre de dominio con autoridad en la zona, así como la dirección de correo
electrónico del contacto técnico (en donde el carácter "@" es reemplazado por un punto).

Clase: la clase puede ser IN (relacionada a protocolos de Internet, y por lo tanto, éste es el
sistema que utilizaremos en nuestro caso), o CH (para el sistema caótico);
RDATA: estos son los datos relacionados con el registro. Aquí se encuentra la información
esperada según el tipo de registro:

 A: la dirección IP de 32 bits:
 CNAME: el nombre de dominio;
 MX: la prioridad de 16 bits, seguida del nombre del ordenador;
 NS: el nombre del ordenador; PTR: el nombre de dominio
 PTR: el nombre de dominio;
 SOA: varios campos.

Existen dos categorías de TLD (Dominios de Nivel Superior):

 Los dominios que se conocen como "genéricos", llamados gTLD (TLD genérico). Los gTLD
son nombres de dominio de nivel superior genéricos que ofrecen una clasificación de
acuerdo con el sector de la actividad.
 gTLD especial:
o .arpa relacionado con las infraestructuras para la administración de redes. El arpa
gTLD también sirve para la resolución inversa de equipos en red y permite hallar el
nombre relacionado con una dirección IP.

21
 Los dominios que se conocen como "nacionales", se llaman ccTLD (código de país TLD). El
ccTLD está relacionado con los diferentes países y sus nombres refieren a las abreviaturas
del nombre del país definidas en la norma ISO 3166.

22
DIRECCIÓN IP

Fragmentación
IPV4. En los datagramas IP existe un bit llamado DF (Don’t Fragment, no fragmentar) que debe
estar a cero para que los encaminadores puedan fragmentar los datagramas cuando sea
necesario.
IPv6 ya no permite a los routers fragmentar los paquetes. El emisor siempre está informado con un
mensaje ICMP cuando una fragmentación será necesaria. Así el emisor puede bajar su tamaño de
paquete para esta conexión y la fragmentación ya no es necesaria. En caso de requerirse una
fragmentación; el host, es quien debe hacerla.

CLASES IP
Nota: Las direcciones clase A desde 127.0.0.0 hasta 127.255.255.255 no pueden ser usadas ya
que están reservadas para funciones de loopback y diagnóstico.

23
DMZ

Screened host

Un paso más en términos de seguridad de los cortafuegos es la arquitectura screened host o

choke-gate, que combina un router con un host bastión, y donde el principal nivel de seguridad
proviene del filtrado de paquetes (es decir, el router es la primera y más importante línea de
defensa). En la máquina bastión, único sistema accesible desde el exterior, se ejecutan los proxies
de las aplicaciones, mientras que el choke se encarga de filtrar los paquetes que se puedan
considerar peligrosos para la seguridad de la red interna, permitiendo únicamente la comunicación
con un reducido número de servicios.

Recomiendan situar el router entre la red exterior y el host bastión.

Cuando 1 máquina red interna  exterior:

 El choke permite la salida de algunos servicios a todas o a parte de las máquinas internas a
través de un simple filtrado de paquetes.
 El choke prohibe todo el tráfico entre máquinas de la red interna y el exterior, permitiendo
sólo la salida de ciertos servicios que provienen de la máquina bastión y que han sido
autorizados por la política de seguridad de la organización. Así, estamos obligando a los
usuarios a que las conexiones con el exterior se realicen a través de los servidores
proxy situados en el bastión.

De cualquier forma, en la práctica esta arquitectura de cortafuegos está cada vez más en desuso
debido a que presenta dos puntos únicos de fallo, el choke y el bastión: si un atacante consigue
controlar cualquiera de ellos, tiene acceso a toda la red protegida; por tanto, es más popular, y
recomendable, una arquitectura screened subnet.

Dual-Homed host

24
El segundo modelo de cortafuegos está formado por simples máquinas Unix equipadas con dos o
más tarjetas de red y denominadas anfitriones de dos bases (dual-homed hosts) o multibase (multi-
homed hosts), y en las que una de las tarjetas se suele conectar a la red interna a proteger y la otra
a la red externa a la organización.
En esta configuración el choke y el bastión coinciden en el mismo equipo: la máquina Unix.

El sistema ha de ejecutar al menos un servidor proxy para cada uno de los servicios que deseemos
pasar a través del cortafuegos, y también es necesario que el IP Forwarding esté deshabilitado en
el equipo: aunque una máquina con dos tarjetas puede actuar como un router, para aislar el tráfico
entre la red interna y la externa es necesario que el choke no enrute paquetes entre ellas. Así, los
sistemas externos `verán' al host a través de una de las tarjetas y los internos a través de la
otra, pero entre las dos partes no puede existir ningún tipo de tráfico que no pase por el
cortafuegos: todo el intercambio de datos entre las redes se ha de realizar bien a través de
servidores proxy situados en el host bastión o bien permitiendo a los usuarios conectar
directamente al mismo. La segunda de estas aproximaciones es sin duda poco recomendable, ya
que un usuario que consiga aumentar su nivel de privilegios en el sistema puede romper toda la
protección del cortafuegos, por ejemplo reactivando el IP Forwarding); además - esto ya no relativo
a la seguridad sino a la funcionalidad del sistema - suele ser incómodo para los usuarios tener que
acceder a una máquina que haga de puente entre ellos e Internet. De esta forma, la ubicación de
proxies es lo más recomendable, pero puede ser problemático el configurar cierto tipo de
servicios o protocolos que no se diseñaron teniendo en cuenta la existencia de un proxy entre los
dos extremos de una conexión.

25
Screened subnet

Screened subnet es la arquitectura más segura, pero también la más compleja; se utilizan 2
routers, denominados exterior e interior, conectados ambos a la red perimétrica como se
muestra en la figura. En esta red perimétrica, que constituye el sistema cortafuegos, se incluye el
host bastión y también se podrían incluir sistemas que requieran un acceso controlado, como
baterías de módems o el servidor de correo, que serán los únicos elementos visibles desde fuera
de nuestra red. El router exterior tiene como misión bloquear el tráfico no deseado en ambos
sentidos (hacia la red perimétrica y hacia la red externa), mientras que el interior hace lo mismo
pero con el tráfico entre la red interna y la perimétrica: así, un atacante habría de romper la
seguridad de ambos routers para acceder a la red protegida; incluso es posible implementar una
zona desmilitarizada con un único router que posea tres o más interfaces de red, pero en este caso
si se compromete este único elemento se rompe toda nuestra seguridad, frente al caso general en
que hay que comprometer ambos, tanto el externo como el interno. También podemos, si
necesitamos mayores niveles niveles de seguridad, definir varias redes perimétricas en serie,
situando los servicios que requieran de menor fiabilidad en las redes más externas: así, el atacante
habrá de saltar por todas y cada una de ellas para acceder a nuestros equipos; evidentemente, si
en cada red perimétrica se siguen las mismas reglas de filtrado, niveles adicionales no
proporcionan mayor seguridad.

26
ANEXO B4 – LICENCIAS
https://www.gnu.org/licenses/license-list.html
Software LIBRE

COPYLEFT
La mayoría de las licencias usadas en la publicación de software libre permite que los programas
sean modificados y redistribuidos. Estas prácticas están generalmente prohibidas por la legislación
internacional de copyright, que intenta impedir que alteraciones y copias sean efectuadas sin la
autorización del o los autores. Las licencias que acompañan al software libre hacen uso de la
legislación de copyright para impedir la utilización no autorizada, pero estas licencias definen clara
y explícitamente las condiciones bajo las cuales pueden realizarse copias, modificaciones y
redistribuciones, con el fin de garantizar las libertades de modificar y redistribuir el software
registrado. A esta versión de copyright, se le da el nombre de copyleft.

La licencia BSD es original de la Universidad de Berkeley. Permite utilizar, modificar y distribuir

libremente el software. Sin embargo, no obliga a distribuir el código fuente, puesto que los trabajos
derivados de un producto con licencia BSD pueden seguir siendo libres o dejar de serlo. Sus
descendientes son más denominadas licencias BSD modificadas.

La licencia GNU GPL es más restrictiva que la licencia BSD, puesto que obliga a proporcionar el
código fuente y a mantener la licencia en todos los trabajos derivados (el software no puede dejar
de ser libre). Con esta licencia el desarrollador conserva los derechos de autor, pero permite su
libre distribución, modificación y uso siempre y cuando, en el caso de que el software se
modifique, el nuevo software que se desarrolle como resultado quede obligatoriamente con la
misma licencia Si se incluye una porción de código GPL en un proyecto, todo el código pasará a
tener licencia GPL. Según esta condición, no se permite que software comercial utilice códigos
GPL.

Licencia AGPL: Se engloba dentro de las licencias destinadas a modificar el derecho de autor
derivadas de GNU. La novedad de AGPL es que, aparte de las cláusulas propias de una GNU
GPL, ésta obliga a que se distribuya el software que se destine a dar servicios a través de una red
de ordenadores, es decir, si se quiere usar como parte del desarrollo de un nuevo software, éste
quedaría obligado a su libre distribución.

GNU LGPL es una variante menos restrictiva que la licencia GPL, que permite integrar partes
LGPL sin que todo el código pase a ser software libre. La primera L procede de Lesser (menor) o
Library (biblioteca).

27
Licencia Apache: El software bajo este tipo de licencia permite al usuario distribuirlo, modificarlo,
y distribuir versiones modificadas de ese software pero debe conservar el copyright y el
disclaimer. La licencia Apache no exige que las obras derivadas (las versiones modificadas) se
distribuyan usando la misma licencia, ni siquiera que se tengan que distribuir como software libre,
solo exige que se informe a los receptores que en la distribución se ha usado código con la
licencia Apache. En este sentido, al crear nuevas piezas de software, los desarrolladores deben
incluir dos archivos en el directorio principal de los paquetes de software redistribuidos: una copia
de la licencia y un documento de texto que incluya los avisos obligatorios del software presente en
la distribución.

Licencias CREATIVE COMMONS: Su definición se basa en cuatro condiciones:

· Atribución, con la cual se puede distribuir, exhibir, representar… siempre y cuando se

reconozca y se cite a su autor

· No comercial, que no permite usar el software con fines comerciales

· No derivadas, con la cual no se puede modificar dicha obra

· Compartir igual, que incluye la creación de obras derivadas siempre que mantengan la licencia
original.

Es una licencia de reciente creación, dirigida básicamente para trabajos multimedia. No permite la
alteración del producto original, ni tampoco su comercialización. Sólo permite su reproducción tal
cual, mencionando al autor.
Software libre y son compatibles con la GPL de GNU:

GPLv3
GPLv2
LGPLv3
LGPLv2.1
AGPLv3
Apache 2.0
BerkeleyDB
ModifiedBSD
FreeBSD
MPL 2.0
Licencia de Ruby
Licencia de Python 2.01

Software libre, pero no son compatibles con la GPL de GNU.

Apache 1.0 y 1.1

AGPLv1.0
APSLv2

28
OriginalBSD
MPL 1.1

29
ANEXO B4T5 - CODIFICACIÓN, MULTIPLEXACIÓN Y MODULACIÓN DE DISTINTAS
TECNOLOGÍAS

USB 3.1 - codificación 128b/132b

ETHERNET
Codificación Manchester o Bifase
Fasth ethernet - codificación 4B5B (FDDI también usa esta codificación)
Giga ethernet - codificación 8B/10B
10 Giga ethernet - codificación 64B/66B

TOKEN RING
Codificación Manchester Diferencial o Bifase Diferencial

FIBRA ÓPTICA
Multiplexación WDM, por división de longitud de onda
WDM puede ser de dos tipos:

 Densa (DWDM, ‘Dense’ WDM): Muchas longitudes de onda y larga distancia

 Ligera (CWDM ‘Coarse’ WDM): Pocas longitudes de onda y entornos metropolitanos

ADSL
Multiplexación TDM y FDM (tiempo y frecuencia)
Estándar ITU G.992.1 (mejor conocido como G.DMT) es un estándar de la UIT para ADSL

30
Modulación DMT (Discrete Multi-Tone) que expande el ancho de banda utilizable en las líneas
telefónicas de cobre, facilitando comunicaciones de datos de alta velocidad de hasta 12 Mbps
bajada y 1,3 Mbps de subida.

FRAME RELAY
Multiplexación estadística

TELEFONÍA MÓVIL
Multiplexación tiempo (TDM) – Técnica de Acceso múltiple por división de tiempo (TDMA)

RADIO Y TV
Multiplexación frecuencia (FDM)

31
32
33
34
ANEXO-B4
PROTOCOLOS FTP, TFTP, SFTP, FTPS

Diferencias entre FTP y TFTP:

 FTP es un protocolo de transferencia de archivos de propósito general, orientado a la

sesión, de completa. TFTP se utiliza como un protocolo de transferencia de archivos de
propósito especial básica.
 FTP puede usarse interactivamente. TFTP permite sólo transferencia de archivos
unidireccionalmente.
 FTP depende de TCP, está orientado a conexiones y proporciona control confiable. TFTP
depende de UDP, requiere menos esfuerzo y prácticamente no proporciona el control.
 FTP proporciona autenticación de usuario. TFTP no lo hace.
 FTP utiliza números de puerto TCP conocidos: 20 para datos y 21 para el cuadro de diálogo
de conexión. TFTP utiliza el número de puerto UDP 69 para su actividad de transferencia de
archivos.
 El servicio servidor FTP de Windows NT no admite TFTP porque TFTP no admite la
autenticación.
 Windows 95 y TCP/IP-32 para Windows para trabajo en grupo no incluyen un programa de
cliente TFTP.

Diferencias entre SFTP y FTPS:

SFTP:

El protocolo SFTP permite una serie de operaciones sobre archivos remotos. SFTP intenta ser más
independiente de la plataforma que SCP, por ejemplo, con el SCP encontramos la expansión de
comodines especificados por el cliente hasta el servidor, mientras que el diseño SFTP evita este
problema. Aunque SCP se aplica con más frecuencia en plataformas Unix, existen servidores SFTP
en la mayoría de las plataformas.

El Secure Internet Live Conferencing (SILC) define el protocolo SFTP como su protocolo de
transferencia de archivos por omisión. En el SILC, los datos del protocolo SFTP no están
protegidos con SSH pero el protocolo de paquetes seguros de SILC se utiliza para encapsular los
datos SFTP dentro de los paquetes de SILC para que se la llevara de igual a igual (peer to peer,
P2P). Esto es posible ya que SFTP está diseñado para ser un protocolo independiente. SFTP
utiliza el puerto 22 de TCP.

35
FTPS:

 AUTH TLS o FTPS Explícito, nombrado por el comando emitido para indicar que la
seguridad TLS es obligatoria. Este es el método preferido de acuerdo al RFC que define
FTP sobre TLS. El cliente se conecta al puerto 21 del servidor y comienza una sesión FTP
sin cifrar de manera tradicional, pero pide que la seguridad TLS sea usada y realiza la
negociación apropiada antes de enviar cualquier dato sensible.

 AUTH como está definido en el RFC 2228.

 FTPS Implícito es un estilo antiguo, pero todavía ampliamente implementado en el cual el

cliente se conecta a un puerto distinto (como por ejemplo el 990), y se realiza una
negociación SSL antes de que se envíe cualquier comando FTP.

36
La criptografía asimétrica, también llamada criptografía de clave pública o criptografía de dos
claves), es el método criptográfico que usa un par de claves para el envío de mensajes.

Ejemplo confidencial:

1. Ana redacta un mensaje

2. Ana cifra el mensaje con la clave pública de David
3. Ana envía el mensaje cifrado a David a través de internet, ya sea por correo electrónico,
mensajería instantánea o cualquier otro medio
4. David recibe el mensaje cifrado y lo descifra con su clave privada
5. David ya puede leer el mensaje original que le mandó Ana

Ejemplo firma electrónica:

1. David redacta un mensaje

2. David firma digitalmente el mensaje con su clave privada
3. David envía el mensaje firmado digitalmente a Ana a través de internet, ya sea por correo
electrónico, mensajería instantánea o cualquier otro medio
4. Ana recibe el mensaje firmado digitalmente y comprueba su autenticidad usando la clave
pública de David
5. Ana ya puede leer el mensaje con total seguridad de que ha sido David el remitente

Tecnologías

Algunos algoritmos y tecnologías de clave asimétrica son:

 Diffie-Hellman
 RSA
 DSA
 ElGamal
 Criptografía de curva elíptica
 Criptosistema de Merkle-Hellman
 Goldwasser-Micali
 Goldwasser-Micali-Rivest
 Fortezza

Protocolos

 DSS ("Digital Signature Standard") con el algoritmo DSA ("Digital Signature Algorithm")
 PGP
 GPG, una implementación de OpenPGP
 SSH
 SSL, ahora un estándar del IETF
 TLS

La criptografía simétrica, también llamada criptografía de clave secreta o criptografía de una

clave, es un método criptográfico en el cual se usa una misma clave para cifrar y descifrar
mensajes en el emisor y el receptor.

Algoritmos de cifrado

Los algoritmos de cifrado ampliamente utilizados (por ejemplo: AES).

37
El algoritmo de cifrado DES usa una clave de 56 bits.

Algoritmos de cifrado de diseño más reciente como 3DES, Blowfish e IDEA usan claves de 128
bits.

Ejemplos de algoritmos simétricos son DES, 3DES, RC5, AES, Blowfish e IDEA.

Tipos de Cifrados simétricos en informática

Nota: ”La mayoría son cifrados de bloque”

Cifrados de flujo: cifran el mensaje con correspondencias bit a bit sobre el flujo (stream). Algunos
cifrados de flujo son RC4 o ARC4, Trivium, SEAL, WAKE, VEST, Rabbit y SNOW.

Cifrados de Bloque: cifran el mensaje dividiendo el flujo en bloques de k bits. Cada bloque se
corresponde con otro diferente. Por ejemplo, un bloque con k=3 "010" se podría corresponder con
"110".

CIFRADO DE BLOQUE

 AES
 DES
 Cifrado afín por bloques
 MARS
 International Data Encryption Algorithm (IDEA)
 RC2
 RC5
 RC6
 CAST
 Serpent
 KHUFU
 KHAFRE
 GOST
 SAFER
 Blowfish
 Akelarre
 FEAL
 Skipjack
 Triple DES

TIER
Los Tier son un sistema de clasificación que fue inventado por el Uptime Institute para clasificar la
fiabilidad de un centro de datos. El concepto de Tier nos indica el nivel de fiabilidad de un centro de
datos asociados a cuatro niveles de disponibilidad definidos. A mayor número en el Tier, mayor
disponibilidad, y por lo tanto mayores costes asociados en su construcción y más tiempo para
hacerlo. A día de hoy se han definido cuatro Tier diferentes, y ordenados de menor a mayor son:

Tier 1: Centro de datos Básico: Disponibilidad del 99.671%.

 El servicio puede interrumpirse por actividades planeadas o no planeadas.

 No hay componentes redundantes en la distribución eléctrica y de refrigeración.
 Puede o no puede tener suelos elevados, generadores auxiliares o UPS.

38
  Tiempo medio de implementación, 3 meses.
 La infraestructura del datacenter deberá estar fuera de servicio al menos una vez al año por
razones de mantenimiento y/o reparaciones.

Tier 2: Centro de datos Redundante: Disponibilidad del 99.741%.

 Menos susceptible a interrupciones por actividades planeadas o no planeadas.

 Componentes redundantes (N+1)
 Tiene suelos elevados, generadores auxiliares o UPS.
 Conectados a una única línea de distribución eléctrica y de refrigeración.
 De 3 a 6 meses para implementar.
 El mantenimiento de esta línea de distribución o de otras partes de la infraestructura
requiere una interrupción de las servicio.

Tier 3: Centro de datos Concurrentemente Mantenibles: Disponibilidad del 99.982%.

 Permite planificar actividades de mantenimiento sin afectar al servicio de computación, pero

eventos no planeados pueden causar paradas no planificadas.
 Componentes redundantes (N+1)
 Conectados múltiples líneas de distribución eléctrica y de refrigeración, pero únicamente
con una activa.
 De 15 a 20 meses para implementar.
 Hay suficiente capacidad y distribución para poder llevar a cabo tareas de mantenimiento en
una línea mientras se da servicio por otras.

Tier 4: Centro de datos Tolerante a fallos: Disponibilidad del 99.995%.

 Permite planificar actividades de mantenimiento sin afectar al servicio de computación

críticos, y es capaz de soportar por lo menos un evento no planificado del tipo ‘peor
escenario’ sin impacto crítico en la carga.
 Conectados múltiples líneas de distribución eléctrica y de refrigeración con múltiples
componentes redundantes (2 (N+1) significa 2 UPS con redundancia N+1).
 De 15 a 20 meses para implementar.

39
ANEXO - IPV6

0:0:0:0:0:0:0:0 => ::

::/128

DIRECCIÓN SIN ESPECIFICAR. La dirección con todo ceros se utiliza para indicar la
ausencia de dirección, y no se asigna ningún nodo.

0:0:0:0:0:0:0:1 => ::1

::1/128

LOOPBACK. La dirección de loopback es una dirección que puede usar un nodo para
enviarse paquetes a sí mismo (corresponde con 127.0.0.1 de IPv4). No puede asignarse a
ninguna interfaz física.

o DIRECCIONES UNICAST (3 tipos)

 Link-Local
 Site-Local
 Global

 Link-Local – ENLACE LOCAL

FE80::/10

El prefijo de ENLACE LOCAL (Link Local Unicast) específica que la dirección solamente es válida
en el enlace físico local.

Las direcciones Link-Local son el equivalente a las direcciones IP privadas en IPv4. Estas son
asignadas a una interface de manera automática a partir del momento que activamos el protocolo
IPv6 en un nodo.

40
El prefijo de estas direcciones es FE80::/10. Estas direcciones NO pueden ser encaminadas a
través de los Routers fuera del segmento local, de ahí deriva su nombre. El propósito principal es
proporcionar direccionamiento IP automático a los nodos en caso que NO exista un servidor DHCP.

Una dirección IPv6 Link-Local comienza con el prefijo FE80::/10 (los primeros 10 bits), luego los
bits del 11 hasta 64 (los siguientes 54 bits) se configuran con valores de ceros (0000). De esta
manera se forma la porción de red representada por los primeros 64bits.

EJEMPLO

FE80:0000:0000:0000:0000:0000:0000:0000/10

La porción de nodo, que son los últimos 64 bits, se forma con el formato EUI-64. El formato EUI-64
toma los 48 bits de la dirección MAC de la tarjeta Ethernet y le coloca 16 bits adicionales
predefinidos por el protocolo IPv6 (FFFE). A continuación tenemos un ejemplo de una dirección
Link-Local

EJEMPLO

FE80::211:21FF:FE6C:C86B

 Site-Local

FEC0::/10

OBSOLETO - El "prefijo de emplazamiento local" (en inglés, Site Local Unicast) específica que
la dirección únicamente es válida dentro de una organización local.

La RFC 3879 lo declaró obsoleto, estableciendo que los sistemas futuros no deben implementar
ningún soporte para este tipo de dirección especial. Se deben sustituir por direcciones Local IPv6
Unicast.

Las direcciones IPv6 Site-Local son también el equivalente a las direcciones IP privadas en IPv4.
A diferencias de las direcciones Link-Local, estas pueden ser encaminadas fuera del segmento
local, es decir, podemos enviar paquetes entre diferentes segmentos de la red pero NO hacia el
Internet.

En las direcciones Site-Local, los primeros 10 bits se establecen con los valores 1111111011, por
lo tanto, el prefijo de estás direcciones tendrá un valor en hexadecimal de FEC0 :: /10. Los
siguientes 54 bits están compuestos por el ID de red. Los últimos 64 bits son el identificador de la
interfaz o nodo, y estos se configuran de la misma forma que las direcciones Link-Local, tomando
48 bits de la dirección MAC y luego agregando 16 bits con los valores FFFE.

A continuación tenemos un ejemplo de una dirección Site-Local.

FEC0::CE00:3BFF:FE85:0

41
  Site-Local (sustituye al site-local)

FC00::/7

El prefijo de DIRECCIÓN LOCAL ÚNICA (en inglés, unique local address). Está definido
por la RFC 4193. Se usa en substitución de las direcciones site-local.

DIRECCIÓN GLOBAL UNICAST

Las direcciones Global Unicast en IPv6 son el equivalente de las direcciones IP públicas en IPv4.
Estas direcciones IP pueden ser encaminadas a través de la Internet. Los primeros 3 bits de estas
direcciones IP están compuestos por los valores 001 (en notación binaria), por lo tanto, el prefijo de
estás direcciones IP siempre tendrá un valor hexadecimal de 2000 con una máscara /3.

Lo anterior significa que los primeros 3 bits dentro de una dirección Global Unicast deben de ser
siempre 0010 (en binario), y la máscara de /3 significa que sólo podemos hacer variaciones
después de los primeros tres bits dentro del primer octeto para establecer el Prefijo Global de
Enrutamiento (Global Routing Prefix).

El Prefijo Global de Enrutamiento consiste en un número de bits que se pueden subdividir de

acuerdo a las necesidades de los Registros de Internet y proveedores de Internet, a fin de reflejar
la topología de la Internet en su conjunto. En pocas palabras, a partir de estos primeros 3 bits es
que comienza la jerarquización de la asignación de las direcciones IP a nivel global.

Bajo el esquema anteriormente descrito, los posibles prefijos que podrían ser utilizados para
representar direcciones IP del tipo Global Unicast serían:

2000 (0010) – dirección válida Global Unicast

3000 (0011) – dirección válida Global Unicast

4000 (0100) – dirección inválida Global Unicast (a partir de aquí cambia la estructura de 001 en los
primeros 3 bits)

5000 (0101) – dirección inválida Global Unicast

En el futuro este prefijo puede cambiar debido a las normativas del IANA (Internet Assigned
Numbers Authority), el cual es el organismo encargado de la asignación y administración de las
direcciones IPv6 Global Unicast a nivel mundial.

Tenemos entonces que de los primeros 64 bits de un total de 128 bits, los 3 bits primeros
representan el Prefijo Global. Los siguientes 45 bits identifican la red asignada a las
organizaciones. Los siguientes 16 bits representan la subred (Subnet ID) en caso de realizarse
una subdivisión de la red (Subnetting).

En resumen, los primeros 64 bits de una dirección IPv6 los podemos dividir en tres componentes:

 Prefijo Global (3 bits)

 Red (45 bits)

42
  Subred (16 bits)

MULTICAST Y “MULTICAST A TODA LA RED”

FF00::/8

El prefijo de multicast. Se usa para las direcciones multicast.

FF01::1/128

Dirección Multicast a toda la red (sustituye a broadcast de IPV4)

FF01::1 (a todos los nodos).

IPV4 MAPEADA A IPV6

::FFFF:”dirección IPv4”

— Direcciones Ipv6 mapeadas desde Ipv4

80 “bits” a 0 + 16 “bits” a 1 + 32 “bits” (dirección Ipv4)
Por ejemplo:
• 205.2.30.4 (IP v4)
• 0:0:0:0:0:FFFF:205.2.30.4 (IP v6).

DEFAULT ROUTE IPV6

::/0
Default route o quad-zero
Cabecera fija IPV6

Los primeros 40 bytes (320 bits) son la cabecera del paquete y contiene los siguientes campos:

 Direcciones de origen (128 bits)

 Direcciones de destino (128 bits)
 Versión del protocolo IP (4 bits)
 Clase de tráfico (8 bits, Prioridad del Paquete)
 Etiqueta de flujo (20 bits, manejo de la Calidad de Servicio)
 Longitud del campo de datos (16 bits)
 Cabecera siguiente (8 bits)
 Límite de saltos (8 bits, Tiempo de Vida)

IPV6- Tiene máximo de hasta 4GB (con los llamados JUMBOGRAMAS)

IPV6- Tamaño mínimo del paquete: 1280 bytes

43
ANEXO - IPV4

IPV4 – Tamaño máximo 65535 bytes

44
IPV4 – Tamaño mínimo 20 bytes

45
El MTU (Maximum Transfer Unit, unidad máxima de transmisión) de una red es la mayor
cantidad de datos que puede transportar su trama física. El MTU de las redes Ethernet es 1.500
bytes y el de las redes Token-Ring, 8.192 bytes. Esto significa que una red Ethernet nunca podrá
transportar un datagrama de más de 1.500 bytes sin fragmentarlo.

TABLA MTU TECNOLOGÍAS VARIAS

46
47
48
ANEXO-B4T9 – Tipos de ataques SEGURIDAD

Puede pensarse en tres categorías: “sniffing”, “spoofing” y “flooding”.

El “sniffing” consiste en analizar el tráfico de una red. El “spoofing” consiste en la

falsificación de algún parámetro. En el ataque MITM - Man In The Middle se hace uso de
técnicas de spoofing, al falsificar una dirección MAC. A nivel IP se habla de IP “spoofing” o
falsificación de direcciones IP.

Una forma de conseguir una falsificación es mediante el robo o secuestro de una sesión
(hijacking). Este ataque consiste en analizar la conversación entre dos máquinas, y fabricar
paquetes con su dirección IP falsificada y otros parámetros del protocolo que se han
adivinado para quedarse con la conversación como si se fuera el equipo legítimo.

Los ataques de denegación de servicio (DoS) pretenden evitar que una máquina ofrezca el
servicio para el que trabaja. Se distinguen los de fragmentación, inundación y denegación de
servicio distribuida (DDoS).

- Fragmentación - Aprovechan debilidades en la programación de protocolos para que ante

paquetes mal construidos, la máquina víctima caiga.
Ejemplos son el “ping” de la muerte y “teardrop”.

- Los ataques de inundación consisten en enviar mucho tráfico inútil (espúreo o ruido),
de forma que cuando una máquina intente responder a ese tráfico se vea saturada, y por
tanto un cliente legítimo no podría obtener servicio. Ejemplos de este tipo de ataque son
“smurf”, “fraggle”, “echo-chargen”, etc. Los dos primeros son muy instructivos: consisten
en enviar peticiones con dirección origen la víctima a una dirección broadcast. De esta
forma, todas las máquinas contestarían
a la dirección víctima, saturándola.

- Los ataques DDoS se basan en el mismo concepto. Un equipo dominaría numerosos

equipos, gracias a la infección con troyanos, o por coordinación, de forma que se
sincronizan y lanzan el ataque a la vez, generando ruido contra la víctima y evitando que
preste su servicio. La solución a estos ataques está muy documentada. En general, los SO
vienen programados para evitarlos. Sin embargo, los dispositivos de red deben
configurarse, por ejemplo deshabilitando el broadcast, etc.

49
Software sniffing

Un packet sniffer es un programa para monitorizar y analizar el tráfico en una red de

computadoras, detectando los cuellos de botella y problemas que existan. También puede ser
utilizado para "captar", lícitamente o no, los datos que son transmitidos en la red.

Tcpdump (Windump en Windows) muestra las cabeceras de los paquetes que captura de una
interfaz de red dada y que cumplen la expresión pasada al ejecutar, es decir, permite monitorizar
tráfico de red en tiempo real.

Darkstat es una herramienta para monitorizar una red, que analiza el tráfico de la misma y genera
un informe estadístico en formato HTML, basándose en los datos obtenidos.

Traffic-Vis proceso demonio (informática) que monitoriza el tráfico TCP/IP y convierte esta
información en gráficos en ASCII, HTML o Postscript. Traffic-vis también permite analizar el tráfico
entre hosts para determinar qué hosts han comunicado y el volumen de su intercambio (tenga en
cuenta que necesita libpcap).

Ngrep muestra y busca paquetes. Ngrep se esfuerza por proveer de la mayoría de características
comunes del "grep" de GNU, aplicándolas a la capa de network ({"network layer"} del modelo de
referencia OSI). Ngrep es consciente de la presencia de pcap y permite usar expresiones regulares
que concuerden con el "payload" ( o sea la carga, el cuerpo, y _no_ los encabezados) de los
paquetes.

Snort es un IDS o Sistema de detección de intrusiones basado en red (NIDS). Implementa un

motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante
cualquier anomalía previamente definida como patrones que corresponden a ataques, barridos,
intentos o aprovechar alguna vulnerabilidad, análisis de protocolos, etc., conocidos, todo esto en
tiempo real. Está disponible gratuitamente bajo licencia GPL, y funciona en plataformas Windows y
UNIX/Linux.

Nwatch es un "succionador", pero se puede entender como un analizador de puertos pasivo, que
está solamente interesado en tráfico IP y organiza los resultados como un explorador de puertos.

Ethereal (wireshark), es un potente analizador libre de protocolos de redes, funciona bajo Unix,
Mac OS X y Windows. Nos permite capturar los datos directamente de una red u obtener la
información a partir de una captura en disco (puede leer más de 20 tipos de formato distintos).
Destaca también por su impresionante soporte de más de 300 protocolos, gracias sin duda a la
licencia GPL y sus más de 200 colaboradores de todo el mundo.

Software sniffing

Ettercap es un sniffer/interceptor/logger para redes LAN con switchs, que soporta la disección
activa y pasiva de muchos protocolos(incluso cifrados) e incluye muchas características para el
análisis de la red y del host (anfitrión).

Entre sus funciones, las más destacadas son las siguientes:

50
  Injection de caracteres en una conexión establecida emulando comandos o respuestas
mientras la conexión está activa.
 Compatibilidad con SSH1: Puede interceptar usuarios y contraseñas incluso en conexiones
"seguras" con SSH.
 Compatibilidad con HTTPS: Intercepta conexiones mediante http SSL (supuestamente
seguras) incluso si se establecen a través de un proxy.
 Intercepta tráfico remoto mediante un túnel GRE: Si la conexión se establece mediante un
túnel GRE con un router Cisco, puede interceptarla y crear un ataque "Man in the Middle".
 "Man in the Middle" contra túneles PPTP (Point-to-Point Tunneling Protocol).
 Soporte para Plug-ins.

Kismet es un sniffer específico a Linux para redes inalámbricas. Específicamente, es un detector

de la red 802.11 layer2, un succionador, y un sistema sin hilos para la detección de la intrusión.
Funciona correctamente con los dos principales tipos de tarjetas inalámbricas, es decir, trabajará
con cualquier tarjeta sin hilos que apoye modo de supervisión crudo (rfmon) y puede "oler" 802.11b
, 802.11a y el tráfico 802.11g. Kismet identifica redes de modo pasivo, recogiendo paquetes y
detecta redes nombradas estándares, redes ocultas e infiere la presencia de redes nonbeaconing
vía tráfico de los datos.

Acrylic WiFi es un sniffer gratuito de redes WiFi para sistemas Windows Vista, 7 y 8 que funciona
con la mayoría de las tarjetas WiFi 802.11a/b/g/n/ac del mercado y que permite capturar tráfico de
redes WiFi y visualizar información de puntos de acceso y dispositivos WiFi al alcance. Acrylic es
compatible con tarjetas Airpcap y su instalación agrega soporte a herramientas como Wireshark
para capturar paquetes WiFi en modo monitor. Solo es necesario arrancar Wireshark como
Administrador después de instalar Acrylic para capturar el tráfico inalámbrico.

Ataques SPOOFING (Falsificación de parámetros)

IP Spoofing (Man in the middle)

ARP Spoofing
DNS Spoofing
Web Spoofing
E-Mail Spoofing
GPS Spoofing

51
Ataques de DOS (Denegación de servicio)

Un ping de la muerte es un tipo de ataque enviado a una computadora que consiste en mandar
numerosos paquetes ICMP muy grandes (mayores a 65.535 bytes) con el fin de colapsar el sistema
atacado. Los atacantes comenzaron a aprovecharse de esta vulnerabilidad en los sistemas
operativos en 1996, vulnerabilidad que en 1997 sería corregida por lo que este tipo de ataque no
tiene efecto sobre los sistemas operativos actuales.

Nuke consiste en enviar paquetes de datos ICMP fragmentados o de alguna otra forma inválidos a
un objetivo, lo que se consigue usando una herramienta de ping modificada para enviar estos datos
corruptos una y otra vez, ralentizando la computadora afectada hasta que deje de funcionar. En los
juegos en línea, "nukear" es mandar mensajes uno tras del otro a uno o varios usuarios, en rápida
sucesión, que contienen texto al azar. Dichas técnicas también se ven en programas de mensajería
instantánea ya que el texto repetido puede ser asignado a una macro.

El ataque pitufo (SMURF) es un ataque de denegación de servicio que utiliza mensajes de ping al
broadcast con spoofing para inundar (flood) un objetivo (sistema atacado). En este tipo de ataque,
el perpetrador envía grandes cantidades de tráfico ICMP (ping) a la dirección de broadcast, todos
ellos teniendo la dirección de origen cambiada (spoofing) a la dirección de la víctima. Si el
dispositivo de ruteo envía el tráfico a esas direcciones de broadcast lo hace en capa 2 donde está
la función de broadcast, y la mayoría de los host tomarán los mensajes ICMP de echo request y lo
responderán, multiplicando el tráfico por cada host de la subred. En las redes que ofrecen múltiples
accessos a broadcast, potencialmente miles de máquinas responderán a cada paquete. Todas
esas respuestas vuelven a la IP de origen (la IP de la víctima atacada).

Ataque FRAGGLE - Cuando un agresor envía una gran cantidad de tráfico UDP echo (ping) a
direcciones IP de broadcast, todos tienen una dirección de origen falsa. Esta es una nueva versión
sencilla del código Pitufo.

52
El ataque de MIL MILLONES DE RISAS es un tipo de ataque de denegación-de-servicio (DoS)
que apunta a parsers de documentos #XML. Es también referido a como una bomba de XML o
como un ataque de expansión de entidad exponencial.

Ataques de DOS (Denegación de servicio)

Ataque de inundación de buffer (Buffer Overflow)

Este tipo de ataque DoS diríamos que es el clásico, consiste en enviar más paquetes de las que el
buffer del servicio puede manejar, por tanto llegado al límite del buffer, el servidor comienza a no
poder responder a las nuevas peticiones. Saturando el buffer el atacante impide que peticiones
legítimas sean correctamente contestadas por el servidor.

Ataque de inundación de SYN (SYN Flood)

Cuando se inicia una conexión TCP entre un cliente y el servidor se ejecuta el llamado saludo a
tres bandas, durante este saludo normalmente el cliente envía un mensaje SYN (synchronize) al
servidor, este le responde con un mensaje SYN-ACK (synchronize aknowledge) y finalmente el
cliente envía un ACK (aknowledge) con lo que la conexión queda establecida.

Ataque Teardrop
El ataque Teardrop explota la manera en la que el protocolo IP requiere que un paquete demasiado
grande para el siguiente router sea dividido en fragmentos. El paquete una vez dividido identifica un
offset hacía el principio del primer paquete el cual permite que una vez llegan todos los fragmentos
al destino el paquete original sea reconstruido. Lo que hace el atacante es insertar un valor
alterado en el segundo fragmento (o posterior) causando que el sistema destinatario no pueda
reconstruir el paquete provocando el consecuente fallo en ese sistema. Este ataque afecta
únicamente a sistemas operativos antiguos.

Ataque de inundación ICMP

En este caso el atacante envía una gran cantidad de peticiones ICMP echo request (ping), a las
que el servidor responde con un ICMP echo reply (pong) lo cual sobrecarga tanto el sistema como
la red de la víctima, llegando al punto de que el objetivo no puede responder a otras peticiones.

53
ANEXO-B4T9 – SEGURIDAD
(Deficiniones)

Un VIRUS es un malware que tiene por objetivo alterar el funcionamiento normal del ordenador, sin
el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos
ejecutables por otros infectados con el código de este. Los virus informáticos tienen, básicamente,
la función de propagarse a través de un software, son muy nocivos y algunos contienen además
una carga dañina (payload) con distintos objetivos.

Un GUSANO informático es un malware que tiene la propiedad de duplicarse a sí mismo. Los

gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al
usuario. Los gusanos informáticos se propagan de computadora a computadora, pero a diferencia
de un virus, tiene la capacidad a propagarse sin la ayuda de una persona. Lo más peligroso de los
worms o gusanos informáticos es su capacidad para replicarse en el sistema informático, por lo que
una computadora podría enviar cientos o miles de copias de sí mismo, creando un efecto
devastador a gran escala. A diferencia de un virus, un gusano no necesita alterar los archivos de
programas, sino que se encuentra en la memoria y se duplica a sí mismo. Los gusanos casi
siempre causan problemas en la red (aunque sea simplemente consumiendo ancho de banda),
mientras que los virus siempre infectan o corrompen los archivos de la computadora que atacan.

TROYANO es un software malicioso que se presenta al usuario como un programa aparentemente

legítimo e inofensivo, pero que, al ejecutarlo, le brinda a un atacante acceso remoto al equipo
infectado. Los troyanos pueden realizar diferentes tareas, pero, en la mayoría de los casos, crean
una puerta trasera que permite la administración remota a un usuario no autorizado. Un troyano no
es de por sí, un virus informático, aun cuando teóricamente pueda ser distribuido y funcionar como
tal. La diferencia fundamental entre un troyano y un virus consiste en su finalidad. Para que un
programa sea un "troyano" solo tiene que acceder y controlar la máquina anfitriona sin ser
advertido, normalmente bajo una apariencia inocua. Al contrario que un virus, que es un huésped
destructivo, el troyano no necesariamente provoca daños, porque no es ese su objetivo.

Las técnicas conocidas como ROOTKITS modifican el sistema operativo de una computadora para
permitir que el malware permanezca oculto al usuario. Por ejemplo, los rootkits evitan que un
proceso malicioso sea visible en la lista de procesos del sistema o que sus ficheros sean visibles
en el explorador de archivos. Este tipo de modificaciones consiguen ocultar cualquier indicio de que
el ordenador está infectado por un malware. Originalmente, un rootkit era un conjunto de
herramientas instaladas por un atacante en un sistema Unix donde el atacante había obtenido
acceso de administrador (acceso root). Actualmente, el término es usado generalmente para
referirse a la ocultación de rutinas en un programa malicioso.

54
Los programas SPYWARE son creados para recopilar información sobre las actividades realizadas
por un usuario y distribuirla a agencias de publicidad u otras organizaciones interesadas

Por otra parte los programas ADWARE muestran publicidad al usuario de forma intrusiva en forma
de ventana emergente (pop-up) o de cualquier otra forma. Esta publicidad aparece
inesperadamente en el equipo y resulta muy molesta.

CRIMEWARE es un tipo de software que ha sido específicamente diseñado para la ejecución de

delitos financieros en entornos en línea.

Los RANSOMWARE, también llamados criptovirus o secuestradores, son programas que cifran
los archivos importantes para el usuario, haciéndolos inaccesibles, y piden que se pague un
“rescate” para poder recibir la contraseña que permite recuperar los archivos.

Los términos GRAYWARE (o greyware) y graynet (o greynet) suelen usarse para clasificar
aplicaciones o programas de cómputo que se instalan sin la autorización del departamento de
sistemas de una compañía. Se comportan de modo tal que resultan molestos o indeseables para el
usuario, pero son menos peligrosos que los malware.

DRIVE-BY-DOWNLOADS, el término puede referirse a las descargas de algún tipo de malware

que se efectúa sin consentimiento del usuario, lo cual ocurre al visitar un sitio web, al revisar un
mensaje de correo electrónico o al entrar a una ventana pop-up, la cual puede mostrar un mensaje
de error. Sin ser su verdadera intención, el usuario consiente la descarga de software indeseable o
de malware, y estas vulnerabilidades se aprovechan.

Los KEYLOGGERS monitorizan todas las pulsaciones del teclado y las almacenan para un
posterior envío al creador.

Los STEALERS también roban información privada pero solo la que se encuentra guardada en el
equipo. Al ejecutarse comprueban los programas instalados en el equipo y si tienen contraseñas
recordadas, por ejemplo en los navegadores web o en clientes de mensajería instantánea,
descifran esa información y la envían al creador.

Los DIALERS son programas maliciosos que toman el control del módem dial-up, realizan una
llamada a un número de teléfono de tarificación especial, muchas veces internacional, y dejan la
línea abierta cargando el coste de dicha llamada al usuario infectado.

55
Las BOTNETS son redes de computadoras infectadas, también llamadas “zombis”, que pueden ser
controladas a la vez por un individuo y realizan distintas tareas. Este tipo de redes son usadas para
el envío masivo de spam o para lanzar ataques DDoS contra organizaciones como forma de
extorsión o para impedir su correcto funcionamiento. La ventaja que ofrece a los spammers el uso
de ordenadores infectados es el anonimato, que les protege de la persecución policial.

Los ROGUE software hacen creer al usuario que la computadora está infectada por algún tipo de
virus u otro tipo de software malicioso, esto induce al usuario a pagar por un software inútil o a
instalar un software malicioso que supuestamente elimina las infecciones, pero el usuario no
necesita ese software puesto que no está infectado.

Los HIJACKERS (definición amplia de secuestro, en este caso se refiere aplicada a al

navegador) (el pharming es una técnica de los hijackers) son programas que realizan cambios
en la configuración del navegador web. Por ejemplo, algunos cambian la página de inicio del
navegador por páginas web de publicidad o página pornográfica, otros redireccionan los resultados
de los buscadores hacia anuncios de pago o páginas de phishing bancario. El pharming es una
técnica que suplanta al DNS, modificando el archivo hosts, para redirigir el dominio de una o varias
páginas web a otra página web, muchas veces una web falsa que imita a la verdadera. Esta es una
de las técnicas usadas por los hijackers o secuestradores del navegador de Internet. Esta técnica
también puede ser usada con el objetivo de obtener credenciales y datos personales mediante el
secuestro de una sesión.

PHARMING es la explotación de una vulnerabilidad en el software de los servidores DNS (Domain

Name System) o en el de los equipos de los propios usuarios, que permite a un atacante redirigir
un nombre de dominio (domain name) a otra máquina distinta. De esta forma, un usuario que
introduzca un determinado nombre de dominio que haya sido redirigido, accederá en su explorador
de internet a la página web que el atacante haya especificado para ese nombre de dominio.

PHISING o suplantación de identidad es un término informático que denomina un modelo de

abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado
por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña
o información detallada sobre tarjetas de crédito otra información bancaria). El cibercriminal,
conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente
comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería
instantánea o incluso utilizando también llamadas telefónicas.

SPOOFING en términos de seguridad de redes hace referencia al uso de técnicas a través de las
cuales un atacante, generalmente con usos maliciosos o de investigación, se hace pasar por una
entidad distinta a través de la falsificación de los datos en una comunicación.
Se pueden clasificar los ataques de spoofing, en función de la tecnología utilizada. Entre ellos
tenemos el IP spoofing (quizás el más conocido), ARP spoofing, DNS spoofing, Web spoofing o
email spoofing, aunque en general se puede englobar dentro de spoofing cualquier tecnología de
red susceptible de sufrir suplantaciones de identidad.

56
IP Spoofing[editar]
Suplantación de IP. Consiste básicamente en sustituir la dirección IP origen de un
paquete TCP/IP por otra dirección IP a la cual se desea suplantar. Esto se consigue generalmente
gracias a programas destinados a ello y puede ser usado para cualquier protocolo dentro de
TCP/IP como ICMP, UDP o TCP. Hay que tener en cuenta que las respuestas del host que reciba
los paquetes alterados irán dirigidas a la IP falsificada. Por ejemplo si enviamos
un ping (paquete icmp "echo request") suplantado, la respuesta será recibida por el host al que
pertenece la IP legalmente. Este tipo de spoofing unido al uso de peticiones broadcast a diferentes
redes es usado en un tipo de ataque de flood conocido como ataque Smurf. Para poder realizar
Suplantación de IP en sesiones TCP, se debe tener en cuenta el comportamiento de dicho
protocolo con el envío de paquetes SYN y ACK con su SYN específico y teniendo en cuenta que el
propietario real de la IP podría (si no se le impide de alguna manera) cortar la conexión en
cualquier momento al recibir paquetes sin haberlos solicitado. También hay que tener en cuenta
que los enrutadores actuales no admiten el envío de paquetes con IP origen no perteneciente a
una de las redes que administra (los paquetes suplantados no sobrepasarán el enrutador).
ARP Spoofing[editar]
Artículo principal: ARP Spoofing
Suplantación de identidad por falsificación de tabla ARP. Se trata de la construcción de tramas de
solicitud y respuesta ARP modificadas con el objetivo de falsear la tabla ARP (relación IP-MAC) de
una víctima y forzarla a que envíe los paquetes a un host atacante en lugar de hacerlo a su destino
legítimo.
El protocolo Ethernet trabaja mediante direcciones MAC, no mediante direcciones IP. ARP es el
protocolo encargado de traducir direcciones IP a direcciones MAC para que la comunicación pueda
establecerse; para ello cuando un host quiere comunicarse con una IP emite una trama ARP-
Request a la dirección de Broadcast pidiendo la MAC del host poseedor de la IP con la que desea
comunicarse. El ordenador con la IP solicitada responde con un ARP-Reply indicando su MAC. Los
enrutadores y los hosts guardan una tabla local con la relación IP-MAC llamada tabla ARP. Dicha
tabla ARP puede ser falseada por un ordenador atacante que imita tramas ARP-REPLY indicando
su MAC como destino válido para una IP específica, como por ejemplo la de un enrutador, de esta
manera la información dirigida al enrutador pasaría por el ordenador atacante quien
podrá escanear dicha información y redirigirla si así lo desea. El protocolo ARP trabaja a nivel de
enlace de datos de OSI, por lo que esta técnica sólo puede ser utilizada en redes LAN o en
cualquier caso en la parte de la red que queda antes del primer enrutador. Una manera de
protegerse de esta técnica es mediante tablas ARP estáticas (siempre que las IP de red sean fijas),
lo cual puede ser difícil en redes grandes.
Otras formas de protegerse incluyen el usar programas de detección de cambios de las tablas ARP
(como Arpwatch) y el usar la seguridad de puerto de los switches para evitar cambios en las
direcciones MAC.
DNS Spoofing[editar]
Suplantación de identidad por nombre de dominio. Se trata del falseamiento de una relación
"Nombre de dominio-IP" ante una consulta de resolución de nombre, es decir, resolver con una
dirección IP falsa un cierto nombre DNS o viceversa. Esto se consigue falseando las entradas de la
relación Nombre de dominio-IP de un servidor DNS, mediante alguna vulnerabilidad del servidor en
concreto o por su confianza hacia servidores poco fiables. Las entradas falseadas de un servidor
DNS son susceptibles de infectar (envenenar) el cache DNS de otro servidor diferente (DNS
Poisoning).
Web Spoofing[editar]
Artículo principal: Web spoofing

57
Suplantación de una página web real (no confundir con phishing). Enruta la conexión de una
víctima a través de una página falsa hacia otras páginas WEB con el objetivo de obtener
información de dicha víctima (páginas web vistas, información de formularios, contraseñas etc.). La
página web falsa actúa a modo de proxy, solicitando la información requerida por la víctima a cada
servidor original y saltándose incluso la protección SSL. El atacante puede modificar cualquier
información desde y hacia cualquier servidor que la víctima visite. La víctima puede abrir la página
web falsa mediante cualquier tipo de engaño, incluso abriendo un simple enlace. El web
spoofing es difícilmente detectable; quizá la mejor medida es algún plugin del navegador que
muestre en todo momento la IP del servidor visitado: si la IP nunca cambia al visitar diferentes
páginas WEB significará que probablemente estemos sufriendo este tipo de ataque. Este ataque se
realiza mediante una implantación de código el cual nos robará la información. Usualmente se
realizan páginas fantasmas en las cuales se inyectan estos códigos para poder sacar información
de las víctimas.
E-Mail Spoofing[editar]
Artículo principal: Email spoofing
Suplantación de la dirección de correo electrónico de otras personas o entidades. Esta técnica es
usada con asiduidad para el envío de mensajes de correo electrónico hoax como suplemento
perfecto para el uso de suplantación de identidad y para SPAM, es tan sencilla como el uso de un
servidor SMTP configurado para tal fin. Para protegerse se debería comprobar la IP del remitente
(para averiguar si realmente esa ip pertenece a la entidad que indica en el mensaje) y la dirección
del servidor SMTP utilizado. Las medidas recomendadas para prevenir estos ataques son
crear registros SPF y firmas digitales DKIM.
GPS Spoofing[editar]
Un ataque de GPS spoofing intenta engañar a un receptor de GPS transmitiendo una señal
ligeramente más poderosa que la recibida desde los satélites del sistema GPS, estructurada para
parecerse a un conjunto normal de señales GPS. Sin embargo estas señales están modificadas de
tal forma de que causarán que el receptor determine una posición diferente a la real,
específicamente algún lugar determinado por la señal atacante. Debido a que el sistema GPS
trabaja midiendo el tiempo que le toma a una señal el viajar entre el satélite y el receptor, un
spoofing exitoso requiere que el atacante conozca con precisión donde se encuentra el blanco de
tal forma que la señal falsa pueda ser estructurada con el retraso apropiado.
Un ataque de GPS spoofing comienza con la transmisión de una señal ligeramente más poderosa
que la que entrega la posición correcta, y luego se comienza a desviar lentamente hacia la posición
deseada por el atacante, ya que si esto se hace demasiado rápido el receptor atacado perderá la
fijación en la señal, en cuyo momento el ataque de spoofing sólo funcionaría como un ataque
de perturbación. Se ha sugerido que la captura de un Lockheed RQ-170 en el noreste de Irán en
diciembre de 2011, fue el resultado de un ataque de este tipo.1 Previamente los ataques de GPS
spoofing habían sido predichos y discutidos en la comunidad GPS, pero aún no han sido
confirmado un ejemplo conocido de un ataque de spoofing malicioso.2 3 4
Un ataque de "prueba de concepto" se realizó con éxito en junio de 2013, cuando el yate de lujo
"White Rose" fue mal dirigido con señales GPS falsificadas desde Mónaco a la isla de Rodas por
un grupo de estudiantes de ingeniería aeroespacial de la Escuela de Ingeniería Cockrell de
la Universidad de Texas en Austin. Los estudiantes estaban a bordo del yate, lo que permitió a su
equipo de spoofing dominar progresivamente la intensidad de señal de los satélites GPS reales,
alterando el curso de la embarcación.5 6Previamente, en el año 2012, este mismo grupo de
estudiantes fue capaz de cambiar el curso de vuelo de un vehículo aéreo no tripulado (VANT)
mediante el uso de la misma técnica de GPS Spoofing.7

58
59
Autenticaciones

PAP – autenticación Ascii sin cifrar (se usa en PPP)

Password Authentication Protocol o PAP es un protocolo simple de autenticación para autenticar

un usuario contra un servidor de acceso remoto o contra un proveedor de servicios de internet.
PAP es un subprotocolo usado por la autenticación del protocolo PPP (Point to Point Protocol),
validando a un usuario que accede a ciertos recursos. PAP transmite contraseñas o passwords en
ASCII sin cifrar, por lo que se considera inseguro. PAP se usa como último recurso cuando el
servidor de acceso remoto no soporta un protocolo de autenticación más fuerte.

CHAP es un protocolo de autenticación por desafío mutuo (CHAP, en inglés: Challenge Handshake
Authentication Protocol) y fue definido en la RFC 1994.

Es un método de autenticación remota o inalámbrica. Diversos proveedores de servicios emplean

CHAP. Por ejemplo, para autenticar a un usuario frente a un ISP.

CHAP es un método de autenticación usado por servidores accesibles vía PPP. CHAP verifica
periódicamente la identidad del cliente remoto usando un intercambio de información de tres
etapas. Esto ocurre cuando se establece el enlace inicial y puede pasar de nuevo en cualquier
momento de la comunicación. La verificación se basa en un secreto compartido (como una
contraseña).

1. Después del establecimiento del enlace, el agente autenticador manda un mensaje que
«pide verificarse» al usuario.
2. El usuario responde con un valor calculado usando una función hash de un solo sentido,
como la suma de comprobación MD5.
3. El autenticador verifica la respuesta con el resultado de su propio cálculo de la función hash.
Si el valor coincide, el autenticador informa de la verificación, de lo contrario terminaría la
conexión.
4. A intervalos aleatorios el autenticador manda una nueva «comprobación de veracidad», con
lo que se repite el proceso.

CHAP protege contra los ataques de REPLAY mediante el uso de un identificador que se va
incrementando y un valor de verificación variable. CHAP requiere que el cliente mantenga el
secreto disponible en texto plano.
Microsoft ha implementado el CHAP en su protocolo MS-CHAP.

EAP - Extensible Authentication Protocol, es un framework de autenticación usado

habitualmente en redes WLAN Point-to-Point Protocol. Aunque el protocolo EAP no está limitado a
LANp inalámbricas y puede ser usado para autenticación en redes cableadas, es más frecuente su
uso en las primeras. Recientemente los estándares WPA y WPA2 han adoptado cinco tipos de
EAP como sus mecanismos oficiales de autenticación.
Es una estructura de soporte, no un mecanismo específico de autenticación. Provee algunas
funciones comunes y negociaciones para el o los mecanismos de autenticación escogidos.

60
EAP fue diseñado para utilizarse en la autenticación para acceso a la red, donde la conectividad de
la capa IP puede no encontrase disponible. Dado a que EAP no requiere conectividad IP,
solamente provee el suficiente soporte para el transporte confiable de protocolos de autenticación y
nada más.

EAP es un protocolo lock-step, el cual solamente soporta un solo paquete en transmisión. Como
resultado, EAP no pude transportar eficientemente datos robustos, a diferencia de protocolos de
capas superiores como TCP.

RADIUS (acrónimo en inglés de Remote Authentication Dial-In User Service). Es un protocolo de

autenticación y autorización para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto
1812 UDP para establecer sus conexiones.

Cuando se realiza la conexión con un ISP mediante módem, DSL, cablemódem, Ethernet o Wi-Fi,
se envía una información que generalmente es un nombre de usuario y una contraseña. Esta
información se transfiere a un dispositivo Network Access Server (NAS) sobre el protocolo PPP,
quien redirige la petición a un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS
comprueba que la información es correcta utilizando esquemas de autenticación como PAP, CHAP
o EAP. Si es aceptado, el servidor autorizará el acceso al sistema del ISP y le asigna los recursos
de red como una dirección IP, y otros parámetros como L2TP, etc.

Una de las características más importantes del protocolo RADIUS es su capacidad de manejar
sesiones, notificando cuándo comienza y termina una conexión, así que al usuario se le podrá
determinar su consumo y facturar en consecuencia; los datos se pueden utilizar con propósitos
estadísticos.

RADIUS fue desarrollado originalmente por Livingston Enterprises para la serie PortMaster de sus
Servidores de Acceso a la Red(NAS), más tarde se publicó como RFC 2138 y RFC 2139.
Actualmente existen muchos servidores RADIUS, tanto comerciales como de código abierto. Las
prestaciones pueden variar, pero la mayoría pueden gestionar los usuarios en archivos de texto,
servidores LDAP, bases de datos varias, etc. A menudo se utiliza SNMP para monitorear
remotamente el servicio. Los servidores Proxy RADIUS se utilizan para una administración
centralizada y pueden reescribir paquetes RADIUS al vuelo (por razones de seguridad, o hacer
conversiones entre dialectos de diferentes fabricantes)....

RADIUS es extensible; la mayoría de fabricantes de software y hardware RADIUS implementan sus

propios dialectos.

TACACS (propietario CISCO, usado en Unix comúnmente)

TACACS (acrónimo de Terminal Access Controller Access Control System , en inglés ‘sistema de
control de acceso mediante control del acceso desde terminales’) es un protocolo de autenticación
remota, propietario de CISCO, que se usa para comunicarse con un servidor de autenticación
comúnmente usado en redes Unix. TACACS permite a un servidor de acceso remoto comunicarse

61
con un servidor de autenticación para determinar si el usuario tiene acceso a la red. TACACS está
documentado en el RFC 1492.

62
PROTOCOLOS VPN

PPP – capa 2 ENLACE DE DATOS, Protocolo Punto-a-Punto (Point-to-Point Protocol), es un

protocolo de nivel de enlace de datos, estandarizado en el documento Request For Comments
1661 (RFC 1661).

Comúnmente usado para establecer una conexión directa entre dos nodos de una red de
computadoras. Puede proveer:

 autentificación de conexión,
 cifrado de transmisión (usando Encryption Control Protocol (ECP), RFC 1968), y
 compresión.

Dos derivados del PPP son:

 Point to Point Protocol over Ethernet (PPPoE),

 Point to Point Protocol over ATM (PPPoA).

Son usados comúnmente por los ISP para establecer una línea de abonado digital (Digital
Subscriber Line, DSL) de servicios de Internet para clientes.

Por tanto, se trata de un protocolo asociado a la pila TCP/IP de uso en Internet.

Generalmente, se utiliza para establecer la conexión a Internet de un computador particular con su

ISP a través de un módem telefónico

LCP, el Protocolo de Control de Enlace (Link Control Protocol,) inicia y termina conexiones,
permitiendo a los usuarios negociar las opciones de conexión. Es una parte integrada en el PPP, y
está definido en el mismo estándar de especificación. LCP provee configuración automática de las
interfaces de cada final y selecciona autentificación opcional. El Protocolo LCP corre encima del
PPP (con el número de Protocolo 0Xc021) y por lo mismo una conexión básica PPP debe estar
establecida antes que se configure el LCP.

Múltiples protocolos de la capa de red

PPP permite, a múltiples protocolos de la capa de red, operar en el mismo enlace de comunicación.
Para cada protocolo de capa de red usada, un Protocolo de Control de Red (Network Control
Protocol, NCP) separado, ofrece opciones para negociar y encapsular múltiples protocolos de la
capa de red. Negocia información de la capa de red como direcciones de red u opciones de
compresión, después que la conexión fue establecida.

Opciones de configuración de PPP

La sección anterior introdujo el uso de las opciones de LCP para encontrar los requerimientos
específicos de una conexión WAN. PPP puede incluir las siguientes opciones de LCP:

63
  Autentificación: los routers de puerto intercambian mensajes de autentificación. Dos
opciones de autentificación son:
o Protocolo de Autentificación por Clave (PAP) y
o Protocolo de Autentificación de Desafío Mutuo (CHAP).
 Compresión: aumenta el rendmiento efectivo en las conexiones PPP, reduciendo la
cantidad de data en la trama que debe viajar a través de los enlaces.
 Detección de Error: identifica condiciones de falla. La calidad y la opción de Números
Mágicos ayudan a asegurar un confiable enlace de datos sin ciclos repetitivos.
 Multienlace: proporciona equilibrio de carga de varias interfaces usando el Multilink de
PPP.

PPP consta de las siguientes fases:

1. Establecimiento de conexión: durante esta fase, una computadora contacta con la otra y
negocian los parámetros relativos al enlace usando el protocolo LCP. Este protocolo es una
parte fundamental de PPP y por ello está definido en el mismo RFC. Usando LCP se
negocia el método de autenticación que se va a utilizar, el tamaño de los datagramas,
números mágicos para usar durante la autenticación, ...
2. Autenticación: no es obligatorio. Existen dos protocolos de autenticación. El más básico e
inseguro es Password Authentication Protocol (PAP), aunque no se recomienda dado que
manda el nombre de usuario y la contraseña en claro. Un método más avanzado y preferido
por muchos ISP es CHAP, en el cual la contraseña se manda cifrada.
3. Configuración de red: en esta fase se negocian parámetros dependientes del protocolo de
red que se esté usando. PPP puede llevar muchos protocolos de red al mismo tiempo y es
necesario configurar individualmente cada uno de estos protocolos. Para configurar un
protocolo de red se usa el protocolo NCP correspondiente. Por ejemplo, si la red es IP, se
usa el protocolo IPCP para asignar la dirección IP del cliente y sus servidores DNS.
4. Transmisión: durante esta fase se manda y recibe la información de red. LCP se encarga
de comprobar que la línea está activa durante periodos de inactividad. Obsérvese que PPP
no proporciona cifrado de datos.
5. Terminación: la conexión puede ser finalizada en cualquier momento y por cualquier
motivo.

PPP tiene todas las propiedades de un protocolo de nivel de enlace:

 Garantía de recepción.
 Recepción ordenada.
 Uso del puerto 53 para conexión bidireccional de sockets.
 Usado en los balanceadores de carga (Load Balancer, LB) como protocolo de distribución.

PPP versus SLIP

El protocolo SLIP (Serial Line Internet Protocol) cumple la misma función que PPP, pero se trata de
un protocolo mucho más anticuado. Las ventajas de PPP sobre SLIP son:

 Permite la conexión tanto mediante líneas síncronas como asíncronas.

 Permite la asignación dinámica de direcciones IP en ambos extremos de la línea.
 Permite el transporte de varios protocolos de red sobre él (SLIP solamente permite
IP).
 Implementa un mecanismo de control de red NCP.

64
El protocolo PPP se puede usar también para crear Redes Privadas Virtuales (RPV), en inglés:
Virtual Private Network (VPN), tanto cifradas como no cifradas, pero si se desea cifrado, se debe
implementar por debajo de PPP.

65
PPPoE y PPPoA

PPPoA– capa 2 ENLACE DE DATOS

PPPOA o PPPoA, Protocolo de Punto a Punto (PPP) sobre ATM (PPP over ATM), es un
protocolo de red para la encapsulación PPP en capas ATM AAL5.

El protocolo PPPoA se utiliza principalmente en conexiones de banda ancha, como cable y DSL.
Este ofrece las principales funciones PPP como autenticación, cifrado y compresión de datos.
Actualmente tiene alguna ventaja sobre PPPoE debido a que reduce la pérdida de calidad en las
transmisiones. Al igual que PPPoE, PPPoA puede usarse en los modos VC-MUX y LLC.

Este protocolo se define en la RFC 2364.

PPPoE – capa 2 ENLACE DE DATOS, (Point-to-Point Protocol over Ethernet o Protocolo

Punto a Punto sobre Ethernet) es un protocolo de red para la encapsulación PPP sobre una capa
de Ethernet. Es utilizada mayoritariamente para proveer conexión de banda ancha mediante
servicios de cablemódem y DSL. Este ofrece las ventajas del protocolo PPP como son la
autenticación, cifrado, mantención y compresión. En esencia, es un protocolo, que permite
implementar una capa IP sobre una conexión entre dos puertos Ethernet, pero con las
características de software del protocolo PPP, por lo que es utilizado para virtualmente "marcar" a
otra máquina dentro de la red Ethernet, logrando una conexión "serial" con ella, con la que se
pueden transferir paquetes IP, basado en las características del protocolo PPP.

Esto permite utilizar software tradicional basado en PPP para manejar una conexión que no puede
usarse en líneas seriales sino con paquetes orientados a redes locales como Ethernet para proveer
una conexión clásica con autenticación para cuentas de acceso a Internet. Además, las direcciones
IP en el otro lado de la conexión sólo se asignan cuando la conexión PPPoE se abre, por lo que
admite la reutilización de direcciones IP (direccionamiento dinámico).

El objetivo y funcionamiento de PPPoE es análogo al protocolo PPP sobre RTC con el que a finales
de los 90 y bajo un stack tcp, se establecía un enlace ip punto a punto a través de la red telefónica
conmutada (RTC), permitiendo utilizar por encima una serie de protocolos de nivel de aplicación
tipo http, ftp, telnet, etc.

PPPoE fue desarrollado por UUNET, Redback y RouterWare. El protocolo está publicado en la
RFC 2516.

PPTP – capa 3 RED - Esta tecnología que hace posible el PPTP es una extensión del acceso
remoto del PPP (point-to-point-protocol......RFC 1171). La tecnología PPTP encapsula los
paquetes ppp en un tunel GRE, que se transporta en paquetes IP, para su transmisión
mediante un tunel en la red. Así mismo también se hace uso de un canal de control del tunel, en
el puerto 1723 TCP. El PPTP es ahora mismo un boceto de protocolo esperando por su
estandarización. Las compañías "involucradas" en el desarrollo del PPTP son Microsoft, Ascend
Communications, 3com / Primary Access, ECI Telematics y US Robotics.

PPTP y VPN: El protocolo Point-To-Point Tunneling Protocol viene incluido con WindowsNT 4.0
Server y Workstation. Los PCs que tienen corriendo dentro de ellos este protocolo pueden usarlo

66
para conectar con toda seguridad a una red privada como un cliente de acceso remoto usando una
red pública como Internet.

Una característica importante en el uso del PPTP es su soporte para VPN. La mejor parte de esta
característica es que soporta VPNs sobre public-switched telephone networks (PSTNs) que son los
comúnmente llamados accesos telefónicos a redes.

Resumen PPTP – extensión de PPP de Microsoft y Cisco, la seguridad de PPTP ha sido

completamente rota. La actualización de PPTP para las plataformas Microsoft viene por parte de:
L2TP o IPsec.

L2F (Layer 2 Forwarding) se creó en las primeras etapas del desarrollo de las red privada virtual.
Como PPTP, L2F fue diseñado por Cisco para establecer túneles de tráfico desde usuarios
remotos hasta sus sedes corporativas.

La principal diferencia entre PPTP y L2F es que, como el establecimiento de túneles de L2F
no depende del protocolo IP (Internet Protocol), es capaz de trabajar directamente con otros
medios, como Frame Relay o ATM.

Como PPTP, L2F utiliza el protocolo PPP para la autenticación del usuario remoto, pero también
implementa otros sistemas de autenticación como TACACS+ (Terminal Access Controller Access
Control System) y RADIUS (Remote Authentication Dial-In User Service). L2F también difiere de
PPTP en que permite que los túneles contengan más de una conexión.

Hay dos niveles de autenticación del usuario, primero por parte del ISP (proveedor de servicio de
red), anterior al establecimiento del túnel, y posteriormente, cuando se ha establecido la conexión
con la pasarela corporativa. Como L2F es un protocolo de Nivel de enlace de datos según el
Modelo de Referencia OSI, ofrece a los usuarios la misma flexibilidad que PPTP para manejar
protocolos distintos a IP, como IPX o NetBEUI.

Resumen PPTP y L2F (Antiguos LOS 2) – los sustituye el L2TP más nuevo
PPTP

 Propietario Microsoft y CISCO

 Encapsula los paquetes PPP en un túnel GRE, que se transporta en paquetes IP, ya
que depende el protocolo IP
 Túnel 1 sola conexión
 Puede usar aparte de PPP para autenticación del usuario remoto, TACAS+ o RADIUS
 Seguridad rota completamente, no se usa

L2F

 Propietario CISCO
 NO depende el protocolo IP, puede trabajar con otros medios como FR o ATM
 Puede usar aparte de PPP para autenticación del usuario remoto, TACAS+ o RADIUS
 Los túneles pueden contener más de una conexión

67
PPTP:

 Necesita para establecer la conección una dirección IP (server)

 El MTU es de 1436
 Mas Overhead
 Con coding por minutos
 Lleva mas instalación y configuración
 Trabaja en CAPA 3 [osi]
 El Access concentrador puede estar en cualquier lado
 El cliente se encuentra incorporado en todos los sitemas operativos.

PPPoE:

 No necesita IP inicial
 El MTU es de 1490
 Pequeño Overhead
 Sin coding por minutos
 Fácil instalación
 Protocolo que trabaja en CAPA 2 [osi] y es más rápido
 El Access concentrador debe estar en la misma red (capa 2)
 Los clientes PPPoE están incorporados en todos los sistemas operativos

L2TP (Layer 2 Tunneling Protocol) es un protocolo utilizado por redes privadas virtuales que fue
diseñado por un grupo de trabajo de IETF como el heredero aparente de los protocolos PPTP y
L2F, creado para corregir las deficiencias de estos protocolos y establecerse como un estándar
aprobado por el IETF (RFC 2661).

L2TP utiliza PPP para proporcionar acceso telefónico que puede ser dirigido a través de un
túnel por Internet hasta un punto determinado.

L2TP define su propio protocolo de establecimiento de túneles, basado en L2F.

El transporte de L2TP está definido para una gran variedad de tipos de paquete de datos,
incluyendo X.25, Frame Relay y ATM.

Al utilizar PPP para el establecimiento telefónico de enlaces, L2TP incluye los mecanismos de
autenticación de PPP, PAP y CHAP. De forma similar a PPTP, soporta la utilización de estos
protocolos de autenticación, como RADIUS.

A pesar de que L2TP ofrece un acceso económico, con soporte multiprotocolo y acceso a redes de
área local remotas, no presenta unas características criptográficas especialmente robustas. Por
ejemplo:

68
  Sólo se realiza la operación de autenticación entre los puntos finales del túnel, pero no para
cada uno de los paquetes que viajan por él. Esto puede dar lugar a suplantaciones de
identidad en algún punto interior al túnel.
 Sin comprobación de la integridad de cada paquete, sería posible realizar un ataque de
denegación del servicio por medio de mensajes falsos de control que den por acabado el
túnel L2TP o la conexión PPP subyacente.
 L2TP no cifra en principio el tráfico de datos de usuario, lo cual puede dar problemas
cuando sea importante mantener la confidencialidad de los datos.
 A pesar de que la información contenida en los paquetes PiPP puede ser cifrada, este
protocolo no dispone de mecanismos para generación automática de claves, o refresco
automático de claves. Esto puede hacer que alguien que escuche en la red y descubra una
única clave tenga acceso a todos los datos transmitidos.

A causa de estos inconvenientes, el grupo del IETF que trabaja en el desarrollo de PPP consideró
la forma de solventarlos. Ante la opción de crear un nuevo conjunto de protocolos para L2TP del
mismo estilo de los que se están realizando para IPSec, y dado la duplicación del trabajo respecto
al propio grupo de desarrollo de IPSec que supondría, se tomó la decisión de utilizar los propios
protocolos IPSec para proteger los datos que viajan por un túnel L2TP.

L2TP es en realidad una variación de un protocolo de encapsulamiento IP. Un túnel L2TP se crea
encapsulando una trama L2TP en un paquete UDP, el cual es encapsulado a su vez en un paquete
IP, cuyas direcciones de origen y destino definen los extremos del túnel. Siendo el protocolo de
encapsulamiento más externo IP, los protocolos IPSec pueden ser utilizados sobre este paquete,
protegiendo así la información que se transporta por el túnel.

IPsec – capa 3 RED

IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos cuya función es

asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada
paquete IP en un flujo de datos.

IPsec también incluye protocolos para el establecimiento de claves de cifrado.

Una ventaja importante de IPsec frente a SSL y otros métodos que operan en capas
superiores, es que para que una aplicación pueda usar IPsec no hay que hacer ningún
cambio, mientras que para usar SSL y otros protocolos de niveles superiores, las
aplicaciones tienen que modificar su código.

IPsec es una parte obligatoria de IPv6, y su uso es opcional con IPv4.

Modos

Así pues y dependiendo del nivel sobre el que se actúe, podemos establecer dos modos básicos
de operación de IPsec: modo transporte y modo túnel.

69
Modo transporte – HOST a HOST

En modo transporte, sólo la carga útil (los datos que se transfieren) del paquete IP es cifrada o
autenticada. El enrutamiento permanece intacto, ya que no se modifica ni se cifra la cabecera IP;
sin embargo, cuando se utiliza la cabecera de autenticación (AH), las direcciones IP no pueden ser
traducidas, ya que eso invalidaría el hash. Las capas de transporte y aplicación están siempre
aseguradas por un hash, de forma que no pueden ser modificadas de ninguna manera (por ejemplo
traduciendo los números de puerto TCP y UDP). El modo transporte se utiliza para
comunicaciones ordenador a ordenador.

Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definido por RFCs que
describen el mecanismo de NAT transversal.

Modo túnel – RED a RED

En el modo túnel, todo el paquete IP (datos más cabeceras del mensaje) es cifrado o autenticado.
Debe ser entonces encapsulado en un nuevo paquete IP para que funcione el enrutamiento. El
modo túnel se utiliza para comunicaciones red a red (túneles seguros entre routers, p.e. para
VPNs) o comunicaciones ordenador a red u ordenador a ordenador sobre Internet.

Protocolos

IPsec consta de tres protocolos que han sido desarrollados para proporcionar seguridad a nivel de
paquete, tanto para IPv4 como para IPv6:

 Authentication Header (AH) proporciona integridad, autenticación y no repudio si se

eligen los algoritmos criptográficos apropiados.

 Encapsulating Security Payload (ESP) proporciona confidencialidad y la opción -
altamente recomendable- de autenticación y protección de integridad.

 Internet key exchange (IKE) emplea un intercambio secreto de claves de tipo Diffie-
Hellman para establecer el secreto compartido de la sesión. Se suelen usar sistemas de
Criptografía de clave pública o clave pre-compartida.

GRE – (GRE para establecer túneles, capa 3 OSI)

El GRE (Generic Routing Encapsulation) es un protocolo para el establecimiento de túneles a

través de Internet. Está definido en la RFC 1701 y en la RFC 1702, pudiendo transportar hasta 20
protocolos del nivel de red (nivel 3 del modelo OSI) distintos[cita requerida].

Características

 Permite emplear protocolos de encaminamiento especializados que obtengan el camino

óptimo entre los extremos de la comunicación.
 Soporta la secuencialidad de paquetes y la creación de túneles sobre redes de alta
velocidad.

70
 Permite establecer políticas de encaminamiento y seguridad.

71
IEEE 802.1 Normalización de interfaz

-------------- SPANNING TREE ----------------------------

 IEEE 802.1aq - Shortest Path Bridging (SPB)

 IEEE 802.1d - Spanning Tree Protocol (STP)

 IEEE 802.1w - Rapid Spanning Tree Protocol (RSTP)
 IEEE 802.1s - 2005 Multiple Spanning Tree Protocol (MSTP)

--------------------------------------------------

 802.1p Asignación de Prioridades de tráfico

 802.1q Virtual Local Area Networks (VLAN)
 802.1x Autenticación en redes LAN

--------------------------------------------------------

 IEEE 802.2 Control de enlace lógico LLC Activo

-------------- ETHERNET -------------------------------------

IEEE 802.3 CSMA / CD (ETHERNET)

• 802.3u - Fast Ethernet.

• 802.3z - Gigabit Ethernet sobre fibra óptica.
• 802.3ab - Gigabit Ethernet sobre par trenzado.
• 802.3ad - Agregación de enlaces (trunking). Permite agrupar varios enlaces Ethernet
para conseguir así más velocidad.
• 802.3ae - Ethernet a 10 Gbps sobre fibra óptica.
• 802.3af - PoE 13 W (Power over Ethernet). Define cómo incluir alimentación eléctrica
junto a los datos en cables de par trenzado.
• 802.3at - PoE 30 W (Power over Ethernet). Define cómo incluir alimentación eléctrica
junto a los datos en cables de par trenzado.
• 802.3an - Ethernet a 10 Gbps sobre par trenzado.

72
 • 802.3aq - Ethernet a 10 Gbps sobre par FIBRA Multimodo.

 IEEE 802.3a Ethernet delgada 10Base2

 IEEE 802.3c Especificaciones de Repetidor en Ethernet a 10 Mbps
 IEEE 802.3i Ethernet de par trenzado 10BaseT
 IEEE 802.3j Ethernet de fibra óptica 10BaseF
 IEEE 802.3u Fast Ethernet 100BaseT

------------------------------------------------------------

 IEEE 802.4 Token bus LAN - Disuelto

 IEEE 802.5 Token ring LAN (topología en anillo) - Inactivo

 IEEE 802.6 Redes de Área Metropolitana (MAN) (ciudad) (fibra óptica) y también llamado
DQDB (Distributed Queue Dual Bus, bus doble de colas distribuidas)
 IEEE 802.7 Grupo Asesor en Banda ancha - Disuelto
 IEEE 802.8 Grupo Asesor en Fibras Ópticas - Disuelto
 IEEE 802.9 RDSI - Servicios Integrados de red de Área Local (redes con voz y datos
integrados) - Disuelto

 IEEE 802.11 Redes inalámbricas WLAN. (Wi-Fi)

 IEEE 802.12 Acceso de Prioridad por demanda 100 Base VG-Any Lan - Disuelto
 IEEE 802.13 Se ha evitado su uso por superstición2- Sin uso
 IEEE 802.14 Módems de cable - Disuelto

 IEEE 802.15 (Bluetooth) WPAN

 IEEE 802.15.4 ZigBee - utilización con radiodifusión digital de bajo consumo - red en malla
-(domótica)

 IEEE 802.16 (WIMAX) - Redes de acceso metropolitanas sin hilos de banda ancha
 IEEE 802.17 Anillo de paquete elástico script
 IEEE 802.18 Grupo de Asesoría Técnica sobre Normativas de Radio - En desarrollo a día
de hoy
 IEEE 802.19 Grupo de Asesoría Técnica sobre Coexistencia
 IEEE 802.20 Mobile Broadband Wireless Access
 IEEE 802.21 Media Independent Handoff

73
  IEEE 802.22 Wireless Regional Area Network (WRAN) - SUPER WIFI - que utiliza
espacios blancos en el espectro de frecuencia de los canales de TV
 IEEE 802.24 Smart Grid Tag facilita colaboración entre grupos IEEE 802

----------------------------------

 IEEE 802.11 - WIFI:

 802.11a - 5Ghz - 54 Mbps - máx 8 AP - 100 metros - OFDM

 802.11b - 2,4 Ghz - 11 Mbps - máx 3 AP - 100 metros - DSSS
 802.11g - 2,4 Ghz 54 Mbps - máx 3 AP - 100 metros - OFDM y DSSS
 802.11n - 2,4 ó 5 Ghz - 600 Mbps - máx 2 AP - 200 metros - OFDM y MIMO (4 ANTENAS
MIMO)

— IEEE 802.11ac (8 ANTENAS MIMO)

• Trabaja en la banda de los 5GHz.
• Divide el espectro en canales de 20, 40, 80 y opcionalmente 160MHz.
• Velocidad teórica de hasta 7Gbps.

— IEEE 802.11ad:
• Trabaja en la banda de los 60GHz.
• Divide el espectro en canales de 2160MHz.
• Velocidad de hasta 7Gbps.

 IEEE 802.11e - (QoS) Introduce parámetros de calidad de servicio

 IEEE 802.11f - Itinerancia - cambiar de un AP a otro - Utiliza el protocolo IAPP

 IEEE 802.11h - Mejora de la potencia transmitida y la selección de canales en 802.11a.

 IEEE 802.11i - Mejora la seguridad y autenticidad (WPA2).
 IEEE 802.11j - Permite la coexistencia del 802.11a y el estándar europeo Hiper-LAN2 y
802.11 en Japón.
 IEEE 802.11k - permite mejorar la gestión del recurso radio.

 IEEE 802.11p - WAVE - (automóviles) Será la base de las comunicaciones dedicadas de

corto alcance especialmente indicado para automóviles.
 IEEE 802.11r - (Fast Basic Service Set Transition) su principal característica es permitir a la
red que establezca
 los protocolos de seguridad que identifican a un dispositivo en el nuevo punto de acceso
antes de que abandone el actual y se pase a él.

74
  Permite que la transición entre nodos se demore menos de 50 milisegundos permitiendo
mantener una comunicación vía VoIP.

 IEEE 802.11v - (configuración remota de los dispositivos cliente)

— IEEE 802.11aa-2012:
• Indicado para el transporte de video en streaming.
• Divide el espectro en canales 40MHz.

— IEEE 802.11ae. Priorización de la gestión de los frames

— IEEE 802.11af:
• Conocida como “White-Fi” y “Super Wi-Fi”.
• Permite conectividad WLAN en los espectros de VHF y UHF que comprenden las
bandas de entre los 54 y los 790 MHz.
• Velocidades de hasta:
— 426,7Mbps para canales de 6 y 7Mhz.
— 568,9Mbps para canales de 8Mhz.

— Versiones en proceso:
• IEEE 802.11ay: Next Generation 60GHz.
• IEEE 802.11ax: High Efficency WLAN.
• IEEE 802.11ak: General Link.
• IEEE 802.11aq: Preassociation Discovery.
• IEEE Std P802.11aj: China Millimeter Wave.
• IEEE 802.11ai: Fast Initial Link Setup.

* Diferencia entre superwifi 802.22 y superwifi 802.11af *

IEEE 802.11af, a standard for wireless local area networks (WLAN) in TV white space
IEEE 802.22, a standard for wireless regional area networks (WRAN) in TV white space

75
HYPERLAN – Equivale a 802.11a

HYPERMAN – Equivale a 802.16 (WIMAX)

HIPERLAN/1

Hiper Lan es similar a 802.11a (5 GHz) y es diferente de 802.11b/g (2,4 GHz). HIPERLAN/1, HIgh
Performance Radio LAN version 1 es un estándar del ETSI (European Telecomunications
Standards Institute).

En la capa física se usan modulaciones FSK y GMSK.

Características de HIPERLAN :

 rango 50 m
 baja movilidad (1.4 m/s)
 soporta tráfico asíncrono y síncrono.
 sonido 32 Kbps, latencia de 10 ns
 vídeo 2 Mbit/s, latencia de 100 ns
 datos a 10 Mbps

HIPERLAN/2

Las especificaciones funcionales de HIPERLAN/2 se completaron en el mes de febrero de 2000. La

versión 2 fue diseñada como una conexión inalámbrica rápida para muchos tipos de redes. Por
ejemplo: red back bone UMTS, redes ATM e IP. También funciona como una red doméstica como
HIPERLAN/1. HIPERLAN/2 usa la banda de 5 GHz y una velocidad de transmisión de hasta 54
Mbps.

Wimax de banda ancha

WiMAX(Interoperabilidad Mundial para Acceso por Microondas),es un estándar de transmisión

inalámbrica de datos (802.MAN) proporcionando accesos concurrentes en áreas de hasta 48
kilómetros de radio y a velocidades de hasta 70 Mbps, utilizando tecnología que no requiere visión
directa NLOS.

Integra la familia de estándares IEEE 802.16 y el estándar HyperMAN del organismo de

estandarización europeo ETSI. El estándar inicial 802.16 se encontraba en la banda de frecuencias
de 10-66 GHz y requería torres LOS. La nueva versión 802.16a, ratificada en marzo de 2003, utiliza
una banda del espectro más estrecha y baja, de 2-11 GHz, facilitando su regulación. Además,
como ventaja añadida, no requiere de torres donde exista enlaces del tipo LOS sino únicamente del
despliegue de estaciones base (BS) formadas por antenas emisoras/receptoras con capacidad de
dar servicio a unas 200 estaciones suscriptoras (SS) que pueden dar cobertura y servicio a
edificios completos. Su instalación es muy sencilla y rápida (culminando el proceso en dos horas) y
su precio competitivo en comparación con otras tecnologías de acceso inalámbrico como Wi-Fi.

76
WIMAX

Actualmente se recogen dentro del estándar 802.16. Existen dos variantes:

 Uno de acceso fijo (802.16d), en el que se establece un enlace radio entre la estación base
y un equipo de usuario situado en el domicilio del usuario. Para el entorno fijo, las
velocidades teóricas máximas que se pueden obtener son de 70 Mbit/s con una frecuencia
de 20 MHz. Sin embargo, en entornos reales se han conseguido velocidades de 20 Mbit/s
con radios de célula de hasta 6 km, ancho de banda que es compartido por todos los
usuarios de la célula.

 Otro de movilidad completa (802.16e), que permite el desplazamiento del usuario de un

modo similar al que se puede dar en GSM/UMTS, el móvil, aún no se encuentra
desarrollado y actualmente compite con las tecnologías LTE (basadas en femtocélulas,
conectadas mediante cable), por ser la alternativa para las operadoras de
telecomunicaciones que apuestan por los servicios en movilidad, este estándar, en su
variante «no licenciado», compite con el WiFi IEEE 802.11n, ya que la mayoría de los
portátiles y dispositivos móviles, empiezan a estar dotados de este tipo de conectividad.

802.16d – Wimax fijo – 70 Mbps

802.16e – Wimax móvil – 30 Mbps

802.16m –Wimax 2 – 1 Gbps en reposo, 100 Mbps en movimiento

77
78
RIP
RIPv1
RIPv2 - Debido a las limitaciones de RIPv1, se desarrolla RIPv2. Esta versión soporta subredes,
permitiendo así CIDR (Enrutamiento entre dominios sin clase) y VLSM (Máscaras de subred de
tamaño variable).
Ripv2 usa autenticación y RIPv1 no.
RIPng – RIP para IPV6

Protocolo de encaminamiento VECTOR DISTANCIA

Es protocolo de gateway interior (IGP) es decir, están hechos para funcionar dentro de un sistema
autónomo
Nº saltos 15 ripv1 y ripv2.
Puerto 520 UDP.
RIP envía su tabla de ruteo completa de forma periódica a sus vecinos:

 Temporizador
 Temporizador de caducidad
 Temporizador de Colección de Basura

Nota: Apple Talk Routing Table Maintenance Protocol está basado en una versión del
protocolo de encaminamiento RIP.

79
IGRP y EIGRP

 Igrp y Eigrp son protocolos propietarios de CISCO y protocolos IGP.

 Eigrp es una mejora de Igrp ( Igrp actualmente no se soporta en sistema operativo de
CISCO (IOS)).
 Son protocolos de encaminamiento vector distancia avanzado, que ofrece lo mejor de los
algoritmos de vector de distancias y del estado de enlace.

Diferencias IGRP y EIGRP

 IGRP tiene un número de saltos máximo de 255 y el límite máximo para el número de saltos
en EIGRP es 224.
 IGRP envía actualizaciones de enrutamiento periódicas cada 90 segundos y EIGRP no
envía actualizaciones periódicas y las entradas de ruta no expiran. EIGRP utiliza un
protocolo Hello (muy ligero) para comprobar que sigue conectado a sus vecinos.

EIGRP

 EIGRP puede utilizar ancho de banda, retraso, confiabilidad y carga del enlace y se puede
configurar para que utilice uno solo de estos parámetros o una combinación de ellos.
 Distancia administrativa de EIGRP es 90
 EIGRP es propietario de Cisco, por lo que solo lo podrás usar en equipos de esa marca
 EIGRP solo envía información sobre sus rutas para que con eso los vecinos construyan su
propia tabla de ruteo, tabla de vecinos y tabla de topología.
 EIGRP mantiene routers de respaldo, por si falla uno, entra en acción el de respaldo
 Puede trabajar en modo classfull o classless según se necesite.
 Usa paquetes multicast para propagar sus actualizaciones.

80
RIPv2 vs EIGRP

Las principales diferencias son las siguientes:

Métrica: RIPv2 utiliza los saltos como métrica y EIGRP puede utilizar ancho de banda, retraso,
confiabilidad y carga del enlace y se puede configurar para que utilice uno solo de estos
parámetros o una combinación de ellos.

Distancia administrativa: para RIP es 120 y para EIGRP es de 90, por lo que este último es más
confiable.

Propietario: EIGRP es propietario de Cisco, por lo que solo lo podrás usar en equipos de esa marca
y RIP no es propietario, un router de cualquier marca puede utilizarlo.

Actualizaciones: RIPv2 para mantener convergente la red, envía su tabla de ruteo completa de
forma periódica a sus vecinos y EIGRP solo envía información sobre sus rutas para que con eso
los vecinos construyan su propia tabla de ruteo, tabla de vecinos y tabla de topología.

Redundancia: EIGRP mantiene routers de respaldo, por si falla uno, entra en acción el de respaldo,
RIP no tiene esa funcionalidad

Carga: EIGRP al hacer más operaciones y cálculos le genera más carga al router, de memoria
RAM, CPU y tráfico en sus interfaces, RIP es más ligero y no demanda tantos recursos.

Funcionabilidad: EIGRP no presenta problemas como los routing loops que se pueden dar en RIP
si no se toman las medidas necesarias.

Facilidad: RIP es más facil de configurar que EIGRP

En cuanto a las semejanzas:

A ambos se les considera protocolos vector-distancia, aunque por la métrica compuesta que utiliza
EIGRP le suelen llamar hibrido ya que reune lo mejor de OSPF y un procolo vector-distancia, pero
por definición sigue siendo vector-distancia.

Los dos pueden trabajar en modo classfull o classless segun se necesite.

Ambos utilizan paquetes multicast para propagar sus actualizaciones.

Los dos son protocolos de gateway interior (IGP) es decir, están hechos para funcionar dentro de
un sistema autónomo.

81
IS-IS y OSPF

OSPF
OSPF en su versión OSPFv3, soporta IPv6 y las extensiones multidifusión para OSPF (MOSPF).
OSPF acepta VLSM y CIDR desde su inicio.
OSPF no usa ni TCP ni UDP, sino que se encapsula directamente sobre el protocolo IP poniendo
"89" en el campo protocolo. (Podría decirse que usa a través de IP, el puerto 89.
Una red OSPF se puede descomponer en regiones (áreas) más pequeñas. Hay un área especial
llamada área backbone que forma la parte central de la red a la que se encuentran conectadas el
resto de áreas de la misma.
OSPF puede usar tanto multidifusiones (multicast) como unidifusiones (unicast) para enviar
paquetes de bienvenida y actualizaciones de enlace-estado.
OSPF puede "etiquetar" rutas y propagar esas etiquetas por otras rutas.

IS-IS
IS-IS tiene compatibilidad con IPv6 y admite VLSM.
El protocolo de encaminamiento IS-IS está pensado para soportar encaminamiento en grandes
dominios consistentes en combinaciones de muchos tipos de subredes. Para poder soportar
dominios grandes, la previsión está hecha para que el ruteo intradominio sea organizado
jerárquicamente. Un dominio grande puede ser dividido administrativamente en áreas. Cada
sistema reside en exactamente un área.

Similitudes entre IS-IS y OSPF:

 IS-IS y OSPF son protocolos de encaminamiento de estado de enlace.

 Utilizan el Algoritmo de Dijkstra para encontrar el mejor camino a través de la red.
 Ambos soportan máscaras de subred de diferente longitud
 Pueden usar multicast para encontrar routers vecinos mediante paquetes hello
 Soportan autentificación de actualizaciones de encaminamiento.

DIFERENCIAS entre IS-IS y OSPF:

 En IS-IS, la dirección de área y de host son asignados al router entero, mientras que en
OSPF el direccionamiento es asignado al nivel de interfaz.
 A diferencia de OSPF, los routers IS-IS son capaces de enviar dos tipos diferentes de
saludos (paquetes hello).

82
 IS-IS es un protocolo de capa 3 con su propio paquete de capa 3, mientras que OSPF utiliza
paquete IP.
 La fragmentación es responsabilidad de IS-IS, sin embargo en OSPF la fragmentación es
responsabilidad de IP.

83
BGP

El Border Gateway Protocol juega un papel crítico en las comunicaciones en Internet. Facilita el
intercambio de información sobre redes IP, la comunicación entre sistemas autónomos (AS). Por
tanto BGP es un protocolo interdominio (entre sistemas autónomos) e intradominio (dentro del
mismo sistema autónomo).

 BGP (Border Gateway Protocol) es un protocolo mediante el cual se intercambia

información de encaminamiento o ruteo entre sistemas autónomos.
 BGP4 es la primera versión que admite encaminamiento entre dominios sin clase (CIDR) y
agregado de rutas.
 A diferencia de los protocolos de Gateway internos (IGP), como RIP, OSPF y EIGRP, no
usa métricas como número de saltos, ancho de banda, o retardo. En cambio, BGP toma
decisiones de encaminamiento basándose en políticas de la red, o reglas que utilizan
varios atributos de ruta BGP.

BGP realiza tres tipos de Ruteo:

 Ruteo interautónomo
 Ruteo intrautónomo
 Ruteo de pasc.

El protocolo BGP se utiliza para intercambiar información. El intercambio de información en la

red se realiza mediante el establecimiento de una sesión de comunicación entre los routers de
borde de los sistemas autónomos. Para conseguir una entrega fiable de la información, se hace
uso de una sesión de comunicación basada en TCP en el puerto número 179.

 Es un protocolo de routing path vector.

 BGP soporta VLSM, CIDR y sumarización.
 En el inicio de la sesión de envían actualizaciones completas; las actualizaciones por
disparo se enviaran posteriormente.
 Se crean y mantienen las conexiones entre peers utilizando el puerto 179/TCP.
 La conexión se mantiene por keepalives periódicos.
 Cualquier cambio en la red resulta una actualización por disparo.
 Las métricas utilizadas por BGP, llamadas atributos, permiten gran granularidad en la
selección del camino.
 El uso de de direccionamiento jerárquico y la capacidad de manipular el flujo de tráfico son
unas de las características que permiten al diseño de la red crecer.
 BGP tiene su propia tabla de routing, sin embargo es capaz de compartir y preguntar sobre
la tabla de routing IP interior.
 Es posible manipular el flujo de tráfico utilizando atributos. Esto significa que una ruta no
puede enviar tráfico si el siguiente salto no quiere.

84
Tabla características de varios protocolos de enrutamiento:

85
PUERTOS IMPORTANTES

20 TCP - Ftp datos

21 TCP - Ftp control *
22 TCP - SSH (scp, sftp)
23 TCP - telnet
25 TCP - SMTP

53 UDP- DNS
69 UDP - tfpt

70 TCP - Gopher
79 TCP - FINGER (unix - protocolo que proporciona informaci?n de los usuarios de una m?quina,
est?n o no conectados en el momento)
80 TCP - HTTP
88 TCP - KERBEROS un protocolo de autenticaci?n de redes de ordenador creado por el MIT
110 TCP - POP3
111 TCP - sunrcp
119 TCP- NNTP - noticias

123 UDP - NTP system time

143 TCP - Imap4

161 UDP - Snmp

162 UDP - Snmp trap
363 TCP - Túnel RSVP (Protocolo RED reserva rutas)
389 TCP - LDAP
443 TCP - HTTP SSL
445 TCP - SMB (SAMBA)
465 TCP - Smtp SSL

500 UDP - IPSec ISAKMP, Autoridad de Seguridad Local

86
520 UDP - RIP

631 TCP - CUPS sistema de impresión de Unix

636-646 TCP - LDAP SSL
992 TCP - TELNETS zacarias
993 TCP - imap4 SSL
995 TCP - pop3 SSL

989 - FTP SSL DATOS

990 - FTP SSL CONTROL *

1433 TCP - SQL Server

1521 TCP - ORACLE listener
1812 UDP - RADIUS
3306 TCP - MySQL
3389 TCP - RDP (Remote Desktop Protocol - Windows)
5432 TCP - PostgreSQL

87
RAID 0 (Sin paridad, proporciona alto rendimiento con escritura en paralelo)
Un RAID 0 (también llamado conjunto dividido, volumen dividido, volumen seccionado)
distribuye los datos equitativamente entre dos o más discos (usualmente se ocupa el mismo
espacio en dos o más discos) sin información de paridad que proporcione redundancia. El
RAID 0 se usa normalmente para proporcionar un alto rendimiento de escritura ya que los datos
se escribe en dos o más discos de forma paralela, aunque un mismo fichero solo está presente una
vez en el conjunto.

RAID 1 (ESPEJO)
Un RAID 1 crea una copia exacta (o espejo) de un conjunto de datos en dos o más discos. Esto
resulta útil cuando queremos tener más seguridad desaprovechando capacidad, ya que si
perdemos un disco, tenemos el otro con la misma información. Un conjunto RAID 1 sólo puede
ser tan grande como el más pequeño de sus discos

RAID 2 (Nivel de bits con 1 disco de paridad dedicado)

- Usa división a nivel de BITS con 1 disco de paridad dedicado
- Usa un código de Hamming para la corrección de errores.

RAID 3 (Nivel de bytes con 1 disco de paridad dedicado)

Un RAID 3 divide los datos a nivel de BYTES con 1 disco de paridad dedicado.
Los discos son sincronizados por la controladora para funcionar al unísono. Éste es el único nivel
RAID original que actualmente no se usa. Permite tasas de transferencias extremadamente altas.

RAID 4 (Nivel de bloques con 1 disco de paridad dedicado)

Un RAID 4, también conocido como IDA (acceso independiente con discos dedicados a la
paridad).
Usa división a nivel de BLOQUES con 1 disco de paridad dedicado. Necesita un mínimo de 3
discos físicos.

RAID 5 (División a nivel de bloques distribuye paridad entre todos los discos)

Un RAID 5 (también llamado distribuido con paridad) es una división de datos a nivel de
BLOQUES, que distribuye la información de paridad entre todos los discos miembros del conjunto.
El RAID 5 ha logrado popularidad gracias a su bajo coste de redundancia. Generalmente, el RAID
5 se implementa con soporte hardware para el cálculo de la paridad. RAID 5 necesitará un mínimo
de 3 discos para ser implementado.

88
RAID 6 (División a nivel de bloques, doble bloque distribuye paridad entre todos los discos)
Un RAID 6 amplía el nivel RAID 5 añadiendo otro bloque de paridad, por lo que divide los datos a
nivel de bloques y distribuye los dos bloques de paridad entre todos los miembros del conjunto. El
RAID 6 no era uno de los niveles RAID originales.

RAID 5E y 6E
Se suele llamar RAID 5E y RAID 6E a las variantes de RAID 5 y RAID 6 que incluyen discos de
reserva. Estos discos pueden estar conectados y preparados (hot spare) o en espera (standby
spare).

Niveles RAID anidados

Los niveles RAID anidados más comúnmente usados son:

 RAID 0+1: Un espejo de divisiones

 RAID 1+0: Una división de espejos
 RAID 30: Una división de niveles RAID con paridad dedicada
 RAID 100: Una división de una división de espejos
 RAID 10+1: Un Espejo de espejos

89
90
91
SCSI
Small Computer System Interface, más conocida por el acrónimo inglés SCSI (interfaz de
sistema para pequeñas computadoras), es una interfaz estándar para la transferencia de datos
entre distintos dispositivos del bus de la computadora en paralelo.

- SCSI 1, SCSI 2 y SCSI 3.1 (SPI) conectan los dispositivos en paralelo.

- SCSI 3.2 (FireWire), SCSI 3.3 (SSA) y SCSI 3.4 (FC-AL) conectan los dispositivos en serie.

iSCSI -> SCSI sobre redes TCP/IP - Lo usa SAN

iSCSI (Abreviatura de Internet SCSI) es un estándar que permite el uso del protocolo SCSI sobre
redes TCP/IP. iSCSI es un protocolo de la capa de transporte definido en las especificaciones
SCSI-3. Otros protocolos en la capa de transporte son SCSI Parallel Interface y canal de fibra.

SAS -> Serial Attached SCSI

Serial Attached SCSI (SAS) es una interfaz de transferencia de datos en serie, sucesor del Small
Computer System Interface (SCSI) paralelo, aunque sigue utilizando comandos SCSI para
interaccionar con los dispositivos SAS.
>>>> Controladora SAS ¡lo peta!, controladora SATA no.
Los discos SATA pueden ser utilizados por controladoras SAS
Una controladora SATA NO reconoce discos SAS.

Mientras que en SATA 3 llegamos a los 6 Gb/s, en SAS se llega a los 12 Gb/s.

92
DAS, SAN Y NAS

93
DAS - Direct Attached Storage

El almacenamiento de conexión directa, Direct Attached Storage (DAS), es el método tradicional

de almacenamiento y el más sencillo. Consiste en conectar el dispositivo de almacenamiento
directamente al servidor o estación de trabajo, es decir, físicamente conectado al dispositivo que
hace uso de él.

Tanto en DAS como en Storage Area Network (SAN), las aplicaciones y programas de usuarios
hacen sus peticiones de datos al sistema de archivos directamente. La diferencia entre ambas
tecnologías reside en la manera en la que dicho sistema de archivos obtiene los datos requeridos
del almacenamiento. En un DAS, el almacenamiento es local al sistema de archivos, mientras que
en un SAN, el almacenamiento es remoto.

En el lado opuesto se encuentra la tecnología Network-Attached Storage (NAS), donde las

aplicaciones hacen las peticiones de datos a los sistemas de archivos de manera remota.

NAS - Network Attached Storage

- Nivel fichero
- Usa NFS o CIFS a través de TCP/IP
- Menor capacidad que SAN

Cuando compartimos información mediante un dispositivo NAS los equipos de nuestra empresa se
conectan al dispositivo a través de la propia LAN (la red de datos general de la empresa) a través
de TCP/IP y utilizando sistemas de ficheros remotos como NFS (Network File System) o
CIFS.

El cliente (el equipo que reclama la información del NAS) solicita el fichero compartido y el NAS se
lo sirve.

Este es un dato importante, los NAS trabajan a nivel de fichero.

La capacidad de ampliación de los NAS es menor que los SAN y está limitada en gran medida por
la cantidad de discos que es capaz de albergar el propio dispositivo. Un NAS típico dispone de
entre 2 y 8 bahías para discos, habitualmente SATA (y en menor medida SAS).

SAN - Storage Area Network

- Nivel de BLOQUE
- Comunicación a través de fibra o protocolo iSCSI
- Mayor capacidad que NAS

A diferencia de los dispositvos NAS, SAN trabaja a bajo nivel, a nivel de bloque (a diferencia de
NAS que trabaja a nivel de fichero). La comunicación es similar a como se produce entre un
ordenador y sus discos locales (SATA, SCSI...).

94
Habitualmente la conexión con las SAN se hace a través de redes dedicadas de alta velocidad,
generalmente fibra a 4 u 8Gbps utilizando el protocolo Fibre Channel, aunque también se puede
utilizar el protocolo iSCSI, más económico aunque de menor rendimiento (habitualmente a 1Gbps).
De esta forma, la comunicación con el almacenamiento es independiente de la red general de la
empresa, la cual no interfiere.

Otro punto a favor de la conexión mediante fibra es la latencia (el tiempo de respuesta del medio de
transmisión) que es prácticamente 0. Esto es especialmente importante en proyectos de VDI
(Virtual Desktop Infrastructure o Virtualización de escritorios), donde un retraso excesivo de acceso
a disco puede provocar "tirones" en los equipos de usuario e impedir que trabajen con fluidez.

Como se puede deducir, las unidades SAN proporcionan un rendimiento mucho mayor que los
NAS, estando especialmente indicadas para almacenar BBDD (bases de datos), virtualización de
sistemas (VMware, Hyper-V, servidores, escritorio...), etc...

Por otro lado, otra de las ventajas fundamentales es que la capacidad de ampliación de los
dispostivos SAN es mucho mayor que en los NAS. Las cabinas de almacenamiento (SAN) permiten
aumentar las bandejas de discos que necesitemos para así poder ofrecer más capacidad a
nuestros sistemas. Por ejemplo, podemos adquirir una HUS110 únicamente con la controladora y
bandeja integrada para albergar 24 discos de 2,5" y posteriormente, si lo necesitamos, ampliar más
bandejas hasta llegar al límite de la cabina (en este caso hasta 120 discos, que no está nada mal...
en otros modelos, como la HUS150 nos podemos ir a más de 900 discos).

Pueden albergar diferentes tipos de disco, dependiendo de las necesidades que tengamos
(rendimiento, capacidad, etc...), pudiendo convivir en un mismo sistema tanto discos SAS, como
SSD, Flash (FMD), NL-SAS, lo que nos da muchas opciones.

95
Protocolos usados en una red de área de almacenamiento:

FC-AL

Protocolo Fibre Channel Arbitrated Loop, usado en hubs, en el SAN hub este protocolo es el que se
usa por excelencia, el protocolo controla quién puede comunicarse, sólo uno a la vez.

FC-SW

Protocolo Fibre Channel Switched, usado en switches, en este caso varias comunicaciones pueden
ocurrir simultáneamente. El protocolo se encarga de conectar las comunicaciones entre
dispositivos y evitar colisiones.

SCSI

Usado por las aplicaciones, es un protocolo usado para que una aplicación de un equipo se
comunique con el dispositivo de almacenamiento.

En la SAN, el SCSI se encapsula sobre FC-AL o FC-SW.

SCSI trabaja diferente en una SAN que dentro de un servidor, SCSI fue originalmente diseñado
para comunicarse dentro de un mismo servidor con los discos, usando cables de cobre.

Dentro de un servidor, los datos SCSI viajan en paralelo y en la SAN viajan serializados.

FCoE
Es una tecnología de red de computadoras que encapsula las tramas de canal de fibra a través de
redes Ethernet. Esto permite al canal de fibra utilizar 10 redes Gigabit Ethernet (o velocidades más
altas), preservando el protocolo Fibre Channel. La especificación fue parte del Comité Internacional
de Estándares de Tecnologías de Información T11 FC-BB-5 estándar publicado en 2009.

Anexo:

 Ata over ethernet - SAN

 CLARiiON- SAN
 JBOD - RAID
 RAID - RAID
 Symmetrix
 Gluster File System - NAS

96