La Lista de Revocación de Certificados es conocida por sus siglas en inglés CRL ("Certificate
Revocation List")
OCSP fue creado para solventar ciertas deficiencias de las CRL. Cuando se despliega una PKI
(Infraestructura de Clave Pública).
OCSP puede proporcionar una información más adecuada y reciente del estado de
revocación de un certificado.
OCSP elimina la necesidad de que los clientes tengan que obtener y procesar las CRL,
ahorrando de este modo tráfico de red y procesado por parte del cliente.
El contenido de las CRL puede considerarse información sensible, análogamente a la lista
de morosos de un banco.
Un "OCSP responder" puede implementar mecanismos de tarificación para pasarle el coste
de la validación de las transacciones al vendedor, más bien que al cliente.
OCSP soporta el encadenamiento de confianza de las peticiones OCSP entre los
"responders". Esto permite que los clientes se comuniquen con un "responder" de confianza
para lanzar una petición a una autoridad de certificación alternativa dentro de la misma PKI.
Una consulta sobre el estado de un certificado sobre una CRL, debe recorrerla completa
secuencialmente para decir si es válido o no. Un "OCSP responder" en el fondo, usa un
motor de base de datos para consultar el estado del certificado solicitado, con todas las
ventajas y estructura para facilitar las consultas. Esto se manifiesta aún más cuando el
tamaño de la CRL es muy grande.
6to4
1
Mecanismo de transición mediante túneles que encapsula paquetes Ipv6 en paquetes IPv4 para
atrevsar redes solo IPV4.
Teredo
Mecanismo de transición mediante túneles que encapsula paquetes Ipv6 sobre UDP y luego sobre
IPv4.
6RD
Parecido al 6to4 con alguna actualización y permite despliegue del ipv6 dentro de la infraestructura
del ISP. La diferencia principal entre 6to4 y 6rd, es eso que 6rd ya está dentro del ISP, en 6to4 no.
6over4
Es un mecanismo de transición de IPv6 para transmitir paquetes IPv6 entre nodos con doble pila
sobre una red IPv4 con multicast habilitado. IPv4 se utiliza como un nivel de enlace virtual (Ethernet
virtual) sobre el que ejecutar IPv6.
2
Ataques
3
4
4.3 Sistemas de Archivos
• Ext4 y swap
Los sistemas de archivos linux ext4 y linux swap se desarrollaron para el sistema operativo linux
(una versión de libre distribución o “freeware” de unix). El sistema operativo linux ext4 admite un
tamaño máximo de disco o de partición de 16 TiB, para el archivo de intercambio de linux se utiliza
linux swap.
A continuación mostramos una tabla en la que se aprecian los tamaños de los clústeres con
respecto a los tamaños de los volúmenes, distinguiendo además en distintos tipos de archivos: fat,
fat32, NTFS.
5
6
PUERTOS SSL
7
GRUPOS LOCAL, GLOBAL, UNIVERSAL – WINDOWS
Windows Server 2008 R2 - Hyper-v estable, a partir de esta versión sólo 64 BITS
8
DDL - Un lenguaje de definición de datos (Data Definition Language) es un lenguaje
proporcionado por el sistema de gestión de base de datos que permite a los usuarios de la misma
llevar a cabo las tareas de definición de las estructuras que almacenarán los datos así como de los
procedimientos o funciones que permitan consultarlos.
CREATE
DROP
ALTER
SELECT
INSERT
DELETE
UPDATE
COMMIT - hace que todos los cambios de datos en una transacción sean permanentes.
ROLLBACK - descarta todos los cambios de datos desde el último COMMIT o ROLLBACK
9
Anexo TEMA 3 – B4
— Dispositivos de carácter, aquellos que no permiten acceso aleatorio sino que, únicamente
puede ser leído y escrito secuencialmente. Algunos ejemplos lo constituirían:
PARTICIONES
10
Máximo 4 particiones primarias o 3 primarias con 1 extendida. La extendida máximo 32
particiones lógicas. Linux impone un máximo de 15, incluyendo las 4 primarias, en discos
SCSI y en discos IDE 8963.
MBR soporta hasta 4 particiones por unidad física con un límite de 2,2 TB por partición.
Modo UEFI -> Particiones GPT Microsoft Windows soporta GPT a partir de las versiones de 64 bits
de Windows Vista y posteriores.
GPT soporta teóricamente hasta 9,4 ZB y no exige un sistema de archivos concreto para
funcionar.
Windows soporta GPT a partir de las versiones de 64 bits de Windows Vista y posteriores.
Soporta el máximo de particones permitidas por el sistema operativo . Windows 128
particiones.
11
SILO -> Solaris
12
MÁQUINAS VIRTUALES
Un hipervisor (en inglés hypervisor) o monitor de máquina virtual (virtual machine monitor) es
una plataforma que permite aplicar diversas técnicas de control de virtualización para utilizar, al
mismo tiempo, diferentes sistemas operativos (sin modificar o modificados, en el caso de
paravirtualización) en una misma computadora. Es una extensión de un término anterior,
«supervisor», que se aplicaba a los kernels de los sistemas operativos.
Tipos
Hipervisor tipo 1: También denominado nativo, unhosted o bare metal (sobre el metal
desnudo), es software que se ejecuta directamente sobre el hardware, para ofrecer la
funcionalidad descrita.
Algunos de los hipervisores tipo 1 más conocidos son los siguientes: VMware ESXi (de
pago, aunque existe una versión gratuita que solo permite el uso de un procesador físico y
con funciones limitadas), Xen (libre), Citrix XenServer (gratis limitado a 4 máquinas
virtuales), Microsoft Hyper-V Server (gratis).
13
Algunos de los hipervisores tipo 2 más utilizados son los siguientes: Oracle: VirtualBox
(gratis), VirtualBox OSE (desde la v4.0 fusionado en VirtualBox), VMware: Workstation (de
pago), Server (gratis), Player (gratis), QEMU (libre), Microsoft: Virtual PC, Virtual Server,
Oracle VM (gratis), Microsoft Hyper-V Server (gratis).
14
Software as a Service (SaaS): En español Software como Servicio. Modelo de distribución
de software donde una empresa sirve el mantenimiento, soporte y operación que usará el
cliente durante el tiempo que haya contratado el servicio. El cliente usará el sistema alojado
por esa empresa, la cual mantendrá la información del cliente en sus sistemas y proveerá
los recursos necesarios para explotar esa información. Ejemplos: Salesforce, Basecamp.
Platform as a Service (PaaS): En español Plataforma como Servicio. Aunque suele
identificarse como una evolución de SaaS, es más bien un modelo en el que se ofrece todo
lo necesario para soportar el ciclo de vida completo de construcción y puesta en marcha de
aplicaciones y servicios web completamente disponibles en la Internet. Otra característica
importante es que no hay descarga de software que instalar en los equipos de los
desarrolladores. PasS ofrece mútliples servicios, pero todos provisionados como una
solución integral en la web. Aunque algunos servicios de Amazon Web Services como
SimpleDB y SQS yo los considero PaaS, esta afirmación puede ser discutida. Otro ejemplo
es Google App Engine.
Infrastructure as a Service (Iaas): En español Infraestructura como Servicio. Modelo de
distribución de infraestructura de computación como un servicio, normalmente mediante una
plataforma de virtualización. En vez de adquirir servidores, espacio en un centro de datos o
equipamiento de redes, los clientes compran todos estos recursos a un proveedor de
servicios externo. Una diferencia fundamental con el hosting virtual es que el
provisionamiento de estos servicios se hacen de manera integral a través de la web.
Ejemplos: Amazon Web Services EC2 y GoGrid.
15
Tipos de nubes
Una nube pública es una nube computacional mantenida y gestionada por terceras
personas no vinculadas con la organización. En este tipo de nubes tanto los datos como los
procesos de varios clientes se mezclan en los servidores, sistemas de almacenamiento y
otras infraestructuras de la nube. Los usuarios finales de la nube no conocen qué trabajos
de otros clientes pueden estar corriendo en el mismo servidor, red, sistemas de
almacenamiento, etc. Aplicaciones, almacenamiento y otros recursos están disponibles al
público a través del proveedor de servicios, que es propietario de toda la infraestructura en
sus centros de datos; el acceso a los servicios sólo se ofrece de manera remota,
normalmente a través de internet.
Las nubes privadas son una buena opción para las compañías que necesitan alta
protección de datos y ediciones a nivel de servicio. Las nubes privadas están en una
infraestructura bajo demanda, gestionada para un solo cliente que controla qué aplicaciones
debe ejecutarse y dónde. Son propietarios del servidor, red, y disco y pueden decidir qué
usuarios están autorizados a utilizar la infraestructura. Al administrar internamente estos
servicios, las empresas tienen la ventaja de mantener la privacidad de su información y
permitir unificar el acceso a las aplicaciones corporativas de sus usuarios.
Las nubes híbridas combinan los modelos de nubes públicas y privadas. Un usuario es
propietario de unas partes y comparte otras, aunque de una manera controlada. Las nubes
híbridas ofrecen la promesa del escalado, aprovisionada externamente, a demanda, pero
añaden la complejidad de determinar cómo distribuir las aplicaciones a través de estos
ambientes diferentes. Las empresas pueden sentir cierta atracción por la promesa de una
nube híbrida, pero esta opción, al menos inicialmente, estará probablemente reservada a
aplicaciones simples sin condicionantes, que no requieran de ninguna sincronización o
necesiten bases de datos complejas. Se unen mediante la tecnología, pues permiten enviar
datos o aplicaciones entre ellas. Un ejemplo son los sistemas de correo electrónico
empresarial.
WIFI
WEP
Autenticación 2 métodos: Sistema Abierto y Clave Compartida.
16
Integridad CRC-32
Confidencialidad/Cifrado algoritmo de cifrado RC4 que utiliza claves de 64 bits (40 bits
más 24 bits del vector de iniciación IV) o de 128 bits (104 bits más 24 bits del IV)
WPA
Autenticación PSK - WPA-Personal
802.1x/EAP como WPA-Enterprise
Integridad MIC - Código de integridad del mensaje
TKIP - Protocolo de Integridad de Clave Temporal
Confidencialidad/Cifrado RC4. La información es cifrada utilizando el algoritmo RC4
(debido a que WPA no elimina el proceso de cifrado WEP, sólo lo fortalece), con una clave
de 128 bits y un vector de inicialización de 48 bits.
WPA2
Autenticación PSK - WPA2-Personal
802.1x/EAP WPA2-Enterprise.
Integridad MIC - Código de integridad del mensaje
TKIP - Protocolo de Integridad de Clave Temporal
Confidencialidad/Cifrado AES (Advanced Encryption Standard)
17
HMTL
HTML, sigla en inglés de HyperText Markup Language (lenguaje de marcas de hipertexto), hace
referencia al lenguaje de marcado para la elaboración de páginas web.
HTML en teoría era un ejemplo de un lenguaje basado en SGML hasta HTML 5, que admite que
los navegadores no pueden analizar como SGML (por razones de compatibilidad) y codifica
exactamente lo que debe hacer en su lugar.
18
ETHERNET
19
DNS
Un FQDN (fully qualified domain name) es un nombre que incluye el nombre de la computadora y
el nombre de dominio asociado a ese equipo.
El nombre absoluto está relacionado con todas las etiquetas de nodo de una estructura arbórea,
separadas por puntos y que termina con un punto final que se denomina la dirección FQDN
(Nombre de Dominio totalmente calificado). La profundidad máxima de una estructura arbórea es
127 niveles y la longitud máxima para un nombre FQDN es 255 caracteres. La dirección FQDN
permite ubicar de manera única un equipo en la red de redes.
Cada nodo del árbol se llama nombre de dominio y tiene una etiqueta con una longitud máxima
de 63 caracteres.
Los servidores relacionados con los dominios de nivel superior (TLD) se llaman "servidores de
dominio de nivel superior". Son 13, están distribuidos por todo el mundo y sus nombres van
desde "a.root-servers.net" hasta "m.root-servers.net".
El servidor que se utiliza con más frecuencia se llama BIND (Berkeley Internet Name Domain).
Nombre de dominio: el nombre de dominio debe ser un nombre FQDN, es decir, debe terminar
con un punto. En caso de que falte el punto, el nombre de dominio es relativo, es decir, el nombre
de dominio principal incluirá un sufijo en el dominio introducido;
Tipo: un valor sobre 16 bits que define el tipo de recurso descrito por el registro. El tipo de
recurso puede ser uno de los siguientes:
A: este es un tipo de base que hace coincidir el nombre canónico con la dirección IP.
Además, pueden existir varios registros A relacionados con diferentes equipos de la red
(servidores).
20
CNAME (Nombre Canónico): Permite definir un alias para el nombre canónico. Es
particularmente útil para suministrar nombres alternativos relacionados con diferentes
servicios en el mismo equipo.
HINFO: éste es un campo solamente descriptivo que permite la descripción en particular del
hardware del ordenador (CPU) y del sistema operativo (OS). Generalmente se recomienda
no completarlo para evitar suministrar información que pueda ser útil a piratas informáticos.
MX (Mail eXchange): es el servidor de correo electrónico. Cuando un usuario envía un
correo electrónico a una dirección (user@domain), el servidor de correo saliente interroga al
servidor de nombre de dominio con autoridad sobre el dominio para obtener el registro MX.
Pueden existir varios registros MX por dominio, para así suministrar una repetición en caso
de fallas en el servidor principal de correo electrónico. De este modo, el registro MX permite
definir una prioridad con un valor entre 0 y 65,535:
Clase: la clase puede ser IN (relacionada a protocolos de Internet, y por lo tanto, éste es el
sistema que utilizaremos en nuestro caso), o CH (para el sistema caótico);
RDATA: estos son los datos relacionados con el registro. Aquí se encuentra la información
esperada según el tipo de registro:
A: la dirección IP de 32 bits:
CNAME: el nombre de dominio;
MX: la prioridad de 16 bits, seguida del nombre del ordenador;
NS: el nombre del ordenador; PTR: el nombre de dominio
PTR: el nombre de dominio;
SOA: varios campos.
Los dominios que se conocen como "genéricos", llamados gTLD (TLD genérico). Los gTLD
son nombres de dominio de nivel superior genéricos que ofrecen una clasificación de
acuerdo con el sector de la actividad.
gTLD especial:
o .arpa relacionado con las infraestructuras para la administración de redes. El arpa
gTLD también sirve para la resolución inversa de equipos en red y permite hallar el
nombre relacionado con una dirección IP.
21
Los dominios que se conocen como "nacionales", se llaman ccTLD (código de país TLD). El
ccTLD está relacionado con los diferentes países y sus nombres refieren a las abreviaturas
del nombre del país definidas en la norma ISO 3166.
22
DIRECCIÓN IP
Fragmentación
IPV4. En los datagramas IP existe un bit llamado DF (Don’t Fragment, no fragmentar) que debe
estar a cero para que los encaminadores puedan fragmentar los datagramas cuando sea
necesario.
IPv6 ya no permite a los routers fragmentar los paquetes. El emisor siempre está informado con un
mensaje ICMP cuando una fragmentación será necesaria. Así el emisor puede bajar su tamaño de
paquete para esta conexión y la fragmentación ya no es necesaria. En caso de requerirse una
fragmentación; el host, es quien debe hacerla.
CLASES IP
Nota: Las direcciones clase A desde 127.0.0.0 hasta 127.255.255.255 no pueden ser usadas ya
que están reservadas para funciones de loopback y diagnóstico.
23
DMZ
Screened host
El choke permite la salida de algunos servicios a todas o a parte de las máquinas internas a
través de un simple filtrado de paquetes.
El choke prohibe todo el tráfico entre máquinas de la red interna y el exterior, permitiendo
sólo la salida de ciertos servicios que provienen de la máquina bastión y que han sido
autorizados por la política de seguridad de la organización. Así, estamos obligando a los
usuarios a que las conexiones con el exterior se realicen a través de los servidores
proxy situados en el bastión.
De cualquier forma, en la práctica esta arquitectura de cortafuegos está cada vez más en desuso
debido a que presenta dos puntos únicos de fallo, el choke y el bastión: si un atacante consigue
controlar cualquiera de ellos, tiene acceso a toda la red protegida; por tanto, es más popular, y
recomendable, una arquitectura screened subnet.
Dual-Homed host
24
El segundo modelo de cortafuegos está formado por simples máquinas Unix equipadas con dos o
más tarjetas de red y denominadas anfitriones de dos bases (dual-homed hosts) o multibase (multi-
homed hosts), y en las que una de las tarjetas se suele conectar a la red interna a proteger y la otra
a la red externa a la organización.
En esta configuración el choke y el bastión coinciden en el mismo equipo: la máquina Unix.
El sistema ha de ejecutar al menos un servidor proxy para cada uno de los servicios que deseemos
pasar a través del cortafuegos, y también es necesario que el IP Forwarding esté deshabilitado en
el equipo: aunque una máquina con dos tarjetas puede actuar como un router, para aislar el tráfico
entre la red interna y la externa es necesario que el choke no enrute paquetes entre ellas. Así, los
sistemas externos `verán' al host a través de una de las tarjetas y los internos a través de la
otra, pero entre las dos partes no puede existir ningún tipo de tráfico que no pase por el
cortafuegos: todo el intercambio de datos entre las redes se ha de realizar bien a través de
servidores proxy situados en el host bastión o bien permitiendo a los usuarios conectar
directamente al mismo. La segunda de estas aproximaciones es sin duda poco recomendable, ya
que un usuario que consiga aumentar su nivel de privilegios en el sistema puede romper toda la
protección del cortafuegos, por ejemplo reactivando el IP Forwarding); además - esto ya no relativo
a la seguridad sino a la funcionalidad del sistema - suele ser incómodo para los usuarios tener que
acceder a una máquina que haga de puente entre ellos e Internet. De esta forma, la ubicación de
proxies es lo más recomendable, pero puede ser problemático el configurar cierto tipo de
servicios o protocolos que no se diseñaron teniendo en cuenta la existencia de un proxy entre los
dos extremos de una conexión.
25
Screened subnet
Screened subnet es la arquitectura más segura, pero también la más compleja; se utilizan 2
routers, denominados exterior e interior, conectados ambos a la red perimétrica como se
muestra en la figura. En esta red perimétrica, que constituye el sistema cortafuegos, se incluye el
host bastión y también se podrían incluir sistemas que requieran un acceso controlado, como
baterías de módems o el servidor de correo, que serán los únicos elementos visibles desde fuera
de nuestra red. El router exterior tiene como misión bloquear el tráfico no deseado en ambos
sentidos (hacia la red perimétrica y hacia la red externa), mientras que el interior hace lo mismo
pero con el tráfico entre la red interna y la perimétrica: así, un atacante habría de romper la
seguridad de ambos routers para acceder a la red protegida; incluso es posible implementar una
zona desmilitarizada con un único router que posea tres o más interfaces de red, pero en este caso
si se compromete este único elemento se rompe toda nuestra seguridad, frente al caso general en
que hay que comprometer ambos, tanto el externo como el interno. También podemos, si
necesitamos mayores niveles niveles de seguridad, definir varias redes perimétricas en serie,
situando los servicios que requieran de menor fiabilidad en las redes más externas: así, el atacante
habrá de saltar por todas y cada una de ellas para acceder a nuestros equipos; evidentemente, si
en cada red perimétrica se siguen las mismas reglas de filtrado, niveles adicionales no
proporcionan mayor seguridad.
26
ANEXO B4 – LICENCIAS
https://www.gnu.org/licenses/license-list.html
Software LIBRE
COPYLEFT
La mayoría de las licencias usadas en la publicación de software libre permite que los programas
sean modificados y redistribuidos. Estas prácticas están generalmente prohibidas por la legislación
internacional de copyright, que intenta impedir que alteraciones y copias sean efectuadas sin la
autorización del o los autores. Las licencias que acompañan al software libre hacen uso de la
legislación de copyright para impedir la utilización no autorizada, pero estas licencias definen clara
y explícitamente las condiciones bajo las cuales pueden realizarse copias, modificaciones y
redistribuciones, con el fin de garantizar las libertades de modificar y redistribuir el software
registrado. A esta versión de copyright, se le da el nombre de copyleft.
La licencia GNU GPL es más restrictiva que la licencia BSD, puesto que obliga a proporcionar el
código fuente y a mantener la licencia en todos los trabajos derivados (el software no puede dejar
de ser libre). Con esta licencia el desarrollador conserva los derechos de autor, pero permite su
libre distribución, modificación y uso siempre y cuando, en el caso de que el software se
modifique, el nuevo software que se desarrolle como resultado quede obligatoriamente con la
misma licencia Si se incluye una porción de código GPL en un proyecto, todo el código pasará a
tener licencia GPL. Según esta condición, no se permite que software comercial utilice códigos
GPL.
Licencia AGPL: Se engloba dentro de las licencias destinadas a modificar el derecho de autor
derivadas de GNU. La novedad de AGPL es que, aparte de las cláusulas propias de una GNU
GPL, ésta obliga a que se distribuya el software que se destine a dar servicios a través de una red
de ordenadores, es decir, si se quiere usar como parte del desarrollo de un nuevo software, éste
quedaría obligado a su libre distribución.
GNU LGPL es una variante menos restrictiva que la licencia GPL, que permite integrar partes
LGPL sin que todo el código pase a ser software libre. La primera L procede de Lesser (menor) o
Library (biblioteca).
27
Licencia Apache: El software bajo este tipo de licencia permite al usuario distribuirlo, modificarlo,
y distribuir versiones modificadas de ese software pero debe conservar el copyright y el
disclaimer. La licencia Apache no exige que las obras derivadas (las versiones modificadas) se
distribuyan usando la misma licencia, ni siquiera que se tengan que distribuir como software libre,
solo exige que se informe a los receptores que en la distribución se ha usado código con la
licencia Apache. En este sentido, al crear nuevas piezas de software, los desarrolladores deben
incluir dos archivos en el directorio principal de los paquetes de software redistribuidos: una copia
de la licencia y un documento de texto que incluya los avisos obligatorios del software presente en
la distribución.
· Compartir igual, que incluye la creación de obras derivadas siempre que mantengan la licencia
original.
Es una licencia de reciente creación, dirigida básicamente para trabajos multimedia. No permite la
alteración del producto original, ni tampoco su comercialización. Sólo permite su reproducción tal
cual, mencionando al autor.
Software libre y son compatibles con la GPL de GNU:
GPLv3
GPLv2
LGPLv3
LGPLv2.1
AGPLv3
Apache 2.0
BerkeleyDB
ModifiedBSD
FreeBSD
MPL 2.0
Licencia de Ruby
Licencia de Python 2.01
28
OriginalBSD
MPL 1.1
29
ANEXO B4T5 - CODIFICACIÓN, MULTIPLEXACIÓN Y MODULACIÓN DE DISTINTAS
TECNOLOGÍAS
ETHERNET
Codificación Manchester o Bifase
Fasth ethernet - codificación 4B5B (FDDI también usa esta codificación)
Giga ethernet - codificación 8B/10B
10 Giga ethernet - codificación 64B/66B
TOKEN RING
Codificación Manchester Diferencial o Bifase Diferencial
FIBRA ÓPTICA
Multiplexación WDM, por división de longitud de onda
WDM puede ser de dos tipos:
ADSL
Multiplexación TDM y FDM (tiempo y frecuencia)
Estándar ITU G.992.1 (mejor conocido como G.DMT) es un estándar de la UIT para ADSL
30
Modulación DMT (Discrete Multi-Tone) que expande el ancho de banda utilizable en las líneas
telefónicas de cobre, facilitando comunicaciones de datos de alta velocidad de hasta 12 Mbps
bajada y 1,3 Mbps de subida.
FRAME RELAY
Multiplexación estadística
TELEFONÍA MÓVIL
Multiplexación tiempo (TDM) – Técnica de Acceso múltiple por división de tiempo (TDMA)
RADIO Y TV
Multiplexación frecuencia (FDM)
31
32
33
34
ANEXO-B4
PROTOCOLOS FTP, TFTP, SFTP, FTPS
SFTP:
El protocolo SFTP permite una serie de operaciones sobre archivos remotos. SFTP intenta ser más
independiente de la plataforma que SCP, por ejemplo, con el SCP encontramos la expansión de
comodines especificados por el cliente hasta el servidor, mientras que el diseño SFTP evita este
problema. Aunque SCP se aplica con más frecuencia en plataformas Unix, existen servidores SFTP
en la mayoría de las plataformas.
El Secure Internet Live Conferencing (SILC) define el protocolo SFTP como su protocolo de
transferencia de archivos por omisión. En el SILC, los datos del protocolo SFTP no están
protegidos con SSH pero el protocolo de paquetes seguros de SILC se utiliza para encapsular los
datos SFTP dentro de los paquetes de SILC para que se la llevara de igual a igual (peer to peer,
P2P). Esto es posible ya que SFTP está diseñado para ser un protocolo independiente. SFTP
utiliza el puerto 22 de TCP.
35
FTPS:
AUTH TLS o FTPS Explícito, nombrado por el comando emitido para indicar que la
seguridad TLS es obligatoria. Este es el método preferido de acuerdo al RFC que define
FTP sobre TLS. El cliente se conecta al puerto 21 del servidor y comienza una sesión FTP
sin cifrar de manera tradicional, pero pide que la seguridad TLS sea usada y realiza la
negociación apropiada antes de enviar cualquier dato sensible.
36
La criptografía asimétrica, también llamada criptografía de clave pública o criptografía de dos
claves), es el método criptográfico que usa un par de claves para el envío de mensajes.
Ejemplo confidencial:
Tecnologías
Diffie-Hellman
RSA
DSA
ElGamal
Criptografía de curva elíptica
Criptosistema de Merkle-Hellman
Goldwasser-Micali
Goldwasser-Micali-Rivest
Fortezza
Protocolos
DSS ("Digital Signature Standard") con el algoritmo DSA ("Digital Signature Algorithm")
PGP
GPG, una implementación de OpenPGP
SSH
SSL, ahora un estándar del IETF
TLS
Algoritmos de cifrado
37
El algoritmo de cifrado DES usa una clave de 56 bits.
Algoritmos de cifrado de diseño más reciente como 3DES, Blowfish e IDEA usan claves de 128
bits.
Ejemplos de algoritmos simétricos son DES, 3DES, RC5, AES, Blowfish e IDEA.
Cifrados de flujo: cifran el mensaje con correspondencias bit a bit sobre el flujo (stream). Algunos
cifrados de flujo son RC4 o ARC4, Trivium, SEAL, WAKE, VEST, Rabbit y SNOW.
Cifrados de Bloque: cifran el mensaje dividiendo el flujo en bloques de k bits. Cada bloque se
corresponde con otro diferente. Por ejemplo, un bloque con k=3 "010" se podría corresponder con
"110".
CIFRADO DE BLOQUE
AES
DES
Cifrado afín por bloques
MARS
International Data Encryption Algorithm (IDEA)
RC2
RC5
RC6
CAST
Serpent
KHUFU
KHAFRE
GOST
SAFER
Blowfish
Akelarre
FEAL
Skipjack
Triple DES
TIER
Los Tier son un sistema de clasificación que fue inventado por el Uptime Institute para clasificar la
fiabilidad de un centro de datos. El concepto de Tier nos indica el nivel de fiabilidad de un centro de
datos asociados a cuatro niveles de disponibilidad definidos. A mayor número en el Tier, mayor
disponibilidad, y por lo tanto mayores costes asociados en su construcción y más tiempo para
hacerlo. A día de hoy se han definido cuatro Tier diferentes, y ordenados de menor a mayor son:
38
Tiempo medio de implementación, 3 meses.
La infraestructura del datacenter deberá estar fuera de servicio al menos una vez al año por
razones de mantenimiento y/o reparaciones.
39
ANEXO - IPV6
0:0:0:0:0:0:0:0 => ::
::/128
DIRECCIÓN SIN ESPECIFICAR. La dirección con todo ceros se utiliza para indicar la
ausencia de dirección, y no se asigna ningún nodo.
::1/128
LOOPBACK. La dirección de loopback es una dirección que puede usar un nodo para
enviarse paquetes a sí mismo (corresponde con 127.0.0.1 de IPv4). No puede asignarse a
ninguna interfaz física.
Link-Local
Site-Local
Global
FE80::/10
El prefijo de ENLACE LOCAL (Link Local Unicast) específica que la dirección solamente es válida
en el enlace físico local.
Las direcciones Link-Local son el equivalente a las direcciones IP privadas en IPv4. Estas son
asignadas a una interface de manera automática a partir del momento que activamos el protocolo
IPv6 en un nodo.
40
El prefijo de estas direcciones es FE80::/10. Estas direcciones NO pueden ser encaminadas a
través de los Routers fuera del segmento local, de ahí deriva su nombre. El propósito principal es
proporcionar direccionamiento IP automático a los nodos en caso que NO exista un servidor DHCP.
Una dirección IPv6 Link-Local comienza con el prefijo FE80::/10 (los primeros 10 bits), luego los
bits del 11 hasta 64 (los siguientes 54 bits) se configuran con valores de ceros (0000). De esta
manera se forma la porción de red representada por los primeros 64bits.
EJEMPLO
FE80:0000:0000:0000:0000:0000:0000:0000/10
La porción de nodo, que son los últimos 64 bits, se forma con el formato EUI-64. El formato EUI-64
toma los 48 bits de la dirección MAC de la tarjeta Ethernet y le coloca 16 bits adicionales
predefinidos por el protocolo IPv6 (FFFE). A continuación tenemos un ejemplo de una dirección
Link-Local
EJEMPLO
FE80::211:21FF:FE6C:C86B
Site-Local
FEC0::/10
OBSOLETO - El "prefijo de emplazamiento local" (en inglés, Site Local Unicast) específica que
la dirección únicamente es válida dentro de una organización local.
La RFC 3879 lo declaró obsoleto, estableciendo que los sistemas futuros no deben implementar
ningún soporte para este tipo de dirección especial. Se deben sustituir por direcciones Local IPv6
Unicast.
Las direcciones IPv6 Site-Local son también el equivalente a las direcciones IP privadas en IPv4.
A diferencias de las direcciones Link-Local, estas pueden ser encaminadas fuera del segmento
local, es decir, podemos enviar paquetes entre diferentes segmentos de la red pero NO hacia el
Internet.
En las direcciones Site-Local, los primeros 10 bits se establecen con los valores 1111111011, por
lo tanto, el prefijo de estás direcciones tendrá un valor en hexadecimal de FEC0 :: /10. Los
siguientes 54 bits están compuestos por el ID de red. Los últimos 64 bits son el identificador de la
interfaz o nodo, y estos se configuran de la misma forma que las direcciones Link-Local, tomando
48 bits de la dirección MAC y luego agregando 16 bits con los valores FFFE.
FEC0::CE00:3BFF:FE85:0
41
Site-Local (sustituye al site-local)
FC00::/7
El prefijo de DIRECCIÓN LOCAL ÚNICA (en inglés, unique local address). Está definido
por la RFC 4193. Se usa en substitución de las direcciones site-local.
Las direcciones Global Unicast en IPv6 son el equivalente de las direcciones IP públicas en IPv4.
Estas direcciones IP pueden ser encaminadas a través de la Internet. Los primeros 3 bits de estas
direcciones IP están compuestos por los valores 001 (en notación binaria), por lo tanto, el prefijo de
estás direcciones IP siempre tendrá un valor hexadecimal de 2000 con una máscara /3.
Lo anterior significa que los primeros 3 bits dentro de una dirección Global Unicast deben de ser
siempre 0010 (en binario), y la máscara de /3 significa que sólo podemos hacer variaciones
después de los primeros tres bits dentro del primer octeto para establecer el Prefijo Global de
Enrutamiento (Global Routing Prefix).
Bajo el esquema anteriormente descrito, los posibles prefijos que podrían ser utilizados para
representar direcciones IP del tipo Global Unicast serían:
4000 (0100) – dirección inválida Global Unicast (a partir de aquí cambia la estructura de 001 en los
primeros 3 bits)
En el futuro este prefijo puede cambiar debido a las normativas del IANA (Internet Assigned
Numbers Authority), el cual es el organismo encargado de la asignación y administración de las
direcciones IPv6 Global Unicast a nivel mundial.
Tenemos entonces que de los primeros 64 bits de un total de 128 bits, los 3 bits primeros
representan el Prefijo Global. Los siguientes 45 bits identifican la red asignada a las
organizaciones. Los siguientes 16 bits representan la subred (Subnet ID) en caso de realizarse
una subdivisión de la red (Subnetting).
En resumen, los primeros 64 bits de una dirección IPv6 los podemos dividir en tres componentes:
42
Subred (16 bits)
FF00::/8
FF01::1/128
::FFFF:”dirección IPv4”
::/0
Default route o quad-zero
Cabecera fija IPV6
Los primeros 40 bytes (320 bits) son la cabecera del paquete y contiene los siguientes campos:
43
ANEXO - IPV4
44
IPV4 – Tamaño mínimo 20 bytes
45
El MTU (Maximum Transfer Unit, unidad máxima de transmisión) de una red es la mayor
cantidad de datos que puede transportar su trama física. El MTU de las redes Ethernet es 1.500
bytes y el de las redes Token-Ring, 8.192 bytes. Esto significa que una red Ethernet nunca podrá
transportar un datagrama de más de 1.500 bytes sin fragmentarlo.
46
47
48
ANEXO-B4T9 – Tipos de ataques SEGURIDAD
Una forma de conseguir una falsificación es mediante el robo o secuestro de una sesión
(hijacking). Este ataque consiste en analizar la conversación entre dos máquinas, y fabricar
paquetes con su dirección IP falsificada y otros parámetros del protocolo que se han
adivinado para quedarse con la conversación como si se fuera el equipo legítimo.
Los ataques de denegación de servicio (DoS) pretenden evitar que una máquina ofrezca el
servicio para el que trabaja. Se distinguen los de fragmentación, inundación y denegación de
servicio distribuida (DDoS).
- Los ataques de inundación consisten en enviar mucho tráfico inútil (espúreo o ruido),
de forma que cuando una máquina intente responder a ese tráfico se vea saturada, y por
tanto un cliente legítimo no podría obtener servicio. Ejemplos de este tipo de ataque son
“smurf”, “fraggle”, “echo-chargen”, etc. Los dos primeros son muy instructivos: consisten
en enviar peticiones con dirección origen la víctima a una dirección broadcast. De esta
forma, todas las máquinas contestarían
a la dirección víctima, saturándola.
49
Software sniffing
Tcpdump (Windump en Windows) muestra las cabeceras de los paquetes que captura de una
interfaz de red dada y que cumplen la expresión pasada al ejecutar, es decir, permite monitorizar
tráfico de red en tiempo real.
Darkstat es una herramienta para monitorizar una red, que analiza el tráfico de la misma y genera
un informe estadístico en formato HTML, basándose en los datos obtenidos.
Traffic-Vis proceso demonio (informática) que monitoriza el tráfico TCP/IP y convierte esta
información en gráficos en ASCII, HTML o Postscript. Traffic-vis también permite analizar el tráfico
entre hosts para determinar qué hosts han comunicado y el volumen de su intercambio (tenga en
cuenta que necesita libpcap).
Ngrep muestra y busca paquetes. Ngrep se esfuerza por proveer de la mayoría de características
comunes del "grep" de GNU, aplicándolas a la capa de network ({"network layer"} del modelo de
referencia OSI). Ngrep es consciente de la presencia de pcap y permite usar expresiones regulares
que concuerden con el "payload" ( o sea la carga, el cuerpo, y _no_ los encabezados) de los
paquetes.
Nwatch es un "succionador", pero se puede entender como un analizador de puertos pasivo, que
está solamente interesado en tráfico IP y organiza los resultados como un explorador de puertos.
Ethereal (wireshark), es un potente analizador libre de protocolos de redes, funciona bajo Unix,
Mac OS X y Windows. Nos permite capturar los datos directamente de una red u obtener la
información a partir de una captura en disco (puede leer más de 20 tipos de formato distintos).
Destaca también por su impresionante soporte de más de 300 protocolos, gracias sin duda a la
licencia GPL y sus más de 200 colaboradores de todo el mundo.
Software sniffing
Ettercap es un sniffer/interceptor/logger para redes LAN con switchs, que soporta la disección
activa y pasiva de muchos protocolos(incluso cifrados) e incluye muchas características para el
análisis de la red y del host (anfitrión).
50
Injection de caracteres en una conexión establecida emulando comandos o respuestas
mientras la conexión está activa.
Compatibilidad con SSH1: Puede interceptar usuarios y contraseñas incluso en conexiones
"seguras" con SSH.
Compatibilidad con HTTPS: Intercepta conexiones mediante http SSL (supuestamente
seguras) incluso si se establecen a través de un proxy.
Intercepta tráfico remoto mediante un túnel GRE: Si la conexión se establece mediante un
túnel GRE con un router Cisco, puede interceptarla y crear un ataque "Man in the Middle".
"Man in the Middle" contra túneles PPTP (Point-to-Point Tunneling Protocol).
Soporte para Plug-ins.
Acrylic WiFi es un sniffer gratuito de redes WiFi para sistemas Windows Vista, 7 y 8 que funciona
con la mayoría de las tarjetas WiFi 802.11a/b/g/n/ac del mercado y que permite capturar tráfico de
redes WiFi y visualizar información de puntos de acceso y dispositivos WiFi al alcance. Acrylic es
compatible con tarjetas Airpcap y su instalación agrega soporte a herramientas como Wireshark
para capturar paquetes WiFi en modo monitor. Solo es necesario arrancar Wireshark como
Administrador después de instalar Acrylic para capturar el tráfico inalámbrico.
51
Ataques de DOS (Denegación de servicio)
Un ping de la muerte es un tipo de ataque enviado a una computadora que consiste en mandar
numerosos paquetes ICMP muy grandes (mayores a 65.535 bytes) con el fin de colapsar el sistema
atacado. Los atacantes comenzaron a aprovecharse de esta vulnerabilidad en los sistemas
operativos en 1996, vulnerabilidad que en 1997 sería corregida por lo que este tipo de ataque no
tiene efecto sobre los sistemas operativos actuales.
Nuke consiste en enviar paquetes de datos ICMP fragmentados o de alguna otra forma inválidos a
un objetivo, lo que se consigue usando una herramienta de ping modificada para enviar estos datos
corruptos una y otra vez, ralentizando la computadora afectada hasta que deje de funcionar. En los
juegos en línea, "nukear" es mandar mensajes uno tras del otro a uno o varios usuarios, en rápida
sucesión, que contienen texto al azar. Dichas técnicas también se ven en programas de mensajería
instantánea ya que el texto repetido puede ser asignado a una macro.
El ataque pitufo (SMURF) es un ataque de denegación de servicio que utiliza mensajes de ping al
broadcast con spoofing para inundar (flood) un objetivo (sistema atacado). En este tipo de ataque,
el perpetrador envía grandes cantidades de tráfico ICMP (ping) a la dirección de broadcast, todos
ellos teniendo la dirección de origen cambiada (spoofing) a la dirección de la víctima. Si el
dispositivo de ruteo envía el tráfico a esas direcciones de broadcast lo hace en capa 2 donde está
la función de broadcast, y la mayoría de los host tomarán los mensajes ICMP de echo request y lo
responderán, multiplicando el tráfico por cada host de la subred. En las redes que ofrecen múltiples
accessos a broadcast, potencialmente miles de máquinas responderán a cada paquete. Todas
esas respuestas vuelven a la IP de origen (la IP de la víctima atacada).
Ataque FRAGGLE - Cuando un agresor envía una gran cantidad de tráfico UDP echo (ping) a
direcciones IP de broadcast, todos tienen una dirección de origen falsa. Esta es una nueva versión
sencilla del código Pitufo.
52
El ataque de MIL MILLONES DE RISAS es un tipo de ataque de denegación-de-servicio (DoS)
que apunta a parsers de documentos #XML. Es también referido a como una bomba de XML o
como un ataque de expansión de entidad exponencial.
Ataque Teardrop
El ataque Teardrop explota la manera en la que el protocolo IP requiere que un paquete demasiado
grande para el siguiente router sea dividido en fragmentos. El paquete una vez dividido identifica un
offset hacía el principio del primer paquete el cual permite que una vez llegan todos los fragmentos
al destino el paquete original sea reconstruido. Lo que hace el atacante es insertar un valor
alterado en el segundo fragmento (o posterior) causando que el sistema destinatario no pueda
reconstruir el paquete provocando el consecuente fallo en ese sistema. Este ataque afecta
únicamente a sistemas operativos antiguos.
53
ANEXO-B4T9 – SEGURIDAD
(Deficiniones)
Un VIRUS es un malware que tiene por objetivo alterar el funcionamiento normal del ordenador, sin
el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos
ejecutables por otros infectados con el código de este. Los virus informáticos tienen, básicamente,
la función de propagarse a través de un software, son muy nocivos y algunos contienen además
una carga dañina (payload) con distintos objetivos.
Las técnicas conocidas como ROOTKITS modifican el sistema operativo de una computadora para
permitir que el malware permanezca oculto al usuario. Por ejemplo, los rootkits evitan que un
proceso malicioso sea visible en la lista de procesos del sistema o que sus ficheros sean visibles
en el explorador de archivos. Este tipo de modificaciones consiguen ocultar cualquier indicio de que
el ordenador está infectado por un malware. Originalmente, un rootkit era un conjunto de
herramientas instaladas por un atacante en un sistema Unix donde el atacante había obtenido
acceso de administrador (acceso root). Actualmente, el término es usado generalmente para
referirse a la ocultación de rutinas en un programa malicioso.
54
Los programas SPYWARE son creados para recopilar información sobre las actividades realizadas
por un usuario y distribuirla a agencias de publicidad u otras organizaciones interesadas
Por otra parte los programas ADWARE muestran publicidad al usuario de forma intrusiva en forma
de ventana emergente (pop-up) o de cualquier otra forma. Esta publicidad aparece
inesperadamente en el equipo y resulta muy molesta.
Los RANSOMWARE, también llamados criptovirus o secuestradores, son programas que cifran
los archivos importantes para el usuario, haciéndolos inaccesibles, y piden que se pague un
“rescate” para poder recibir la contraseña que permite recuperar los archivos.
Los términos GRAYWARE (o greyware) y graynet (o greynet) suelen usarse para clasificar
aplicaciones o programas de cómputo que se instalan sin la autorización del departamento de
sistemas de una compañía. Se comportan de modo tal que resultan molestos o indeseables para el
usuario, pero son menos peligrosos que los malware.
Los KEYLOGGERS monitorizan todas las pulsaciones del teclado y las almacenan para un
posterior envío al creador.
Los STEALERS también roban información privada pero solo la que se encuentra guardada en el
equipo. Al ejecutarse comprueban los programas instalados en el equipo y si tienen contraseñas
recordadas, por ejemplo en los navegadores web o en clientes de mensajería instantánea,
descifran esa información y la envían al creador.
Los DIALERS son programas maliciosos que toman el control del módem dial-up, realizan una
llamada a un número de teléfono de tarificación especial, muchas veces internacional, y dejan la
línea abierta cargando el coste de dicha llamada al usuario infectado.
55
Las BOTNETS son redes de computadoras infectadas, también llamadas “zombis”, que pueden ser
controladas a la vez por un individuo y realizan distintas tareas. Este tipo de redes son usadas para
el envío masivo de spam o para lanzar ataques DDoS contra organizaciones como forma de
extorsión o para impedir su correcto funcionamiento. La ventaja que ofrece a los spammers el uso
de ordenadores infectados es el anonimato, que les protege de la persecución policial.
Los ROGUE software hacen creer al usuario que la computadora está infectada por algún tipo de
virus u otro tipo de software malicioso, esto induce al usuario a pagar por un software inútil o a
instalar un software malicioso que supuestamente elimina las infecciones, pero el usuario no
necesita ese software puesto que no está infectado.
SPOOFING en términos de seguridad de redes hace referencia al uso de técnicas a través de las
cuales un atacante, generalmente con usos maliciosos o de investigación, se hace pasar por una
entidad distinta a través de la falsificación de los datos en una comunicación.
Se pueden clasificar los ataques de spoofing, en función de la tecnología utilizada. Entre ellos
tenemos el IP spoofing (quizás el más conocido), ARP spoofing, DNS spoofing, Web spoofing o
email spoofing, aunque en general se puede englobar dentro de spoofing cualquier tecnología de
red susceptible de sufrir suplantaciones de identidad.
56
IP Spoofing[editar]
Suplantación de IP. Consiste básicamente en sustituir la dirección IP origen de un
paquete TCP/IP por otra dirección IP a la cual se desea suplantar. Esto se consigue generalmente
gracias a programas destinados a ello y puede ser usado para cualquier protocolo dentro de
TCP/IP como ICMP, UDP o TCP. Hay que tener en cuenta que las respuestas del host que reciba
los paquetes alterados irán dirigidas a la IP falsificada. Por ejemplo si enviamos
un ping (paquete icmp "echo request") suplantado, la respuesta será recibida por el host al que
pertenece la IP legalmente. Este tipo de spoofing unido al uso de peticiones broadcast a diferentes
redes es usado en un tipo de ataque de flood conocido como ataque Smurf. Para poder realizar
Suplantación de IP en sesiones TCP, se debe tener en cuenta el comportamiento de dicho
protocolo con el envío de paquetes SYN y ACK con su SYN específico y teniendo en cuenta que el
propietario real de la IP podría (si no se le impide de alguna manera) cortar la conexión en
cualquier momento al recibir paquetes sin haberlos solicitado. También hay que tener en cuenta
que los enrutadores actuales no admiten el envío de paquetes con IP origen no perteneciente a
una de las redes que administra (los paquetes suplantados no sobrepasarán el enrutador).
ARP Spoofing[editar]
Artículo principal: ARP Spoofing
Suplantación de identidad por falsificación de tabla ARP. Se trata de la construcción de tramas de
solicitud y respuesta ARP modificadas con el objetivo de falsear la tabla ARP (relación IP-MAC) de
una víctima y forzarla a que envíe los paquetes a un host atacante en lugar de hacerlo a su destino
legítimo.
El protocolo Ethernet trabaja mediante direcciones MAC, no mediante direcciones IP. ARP es el
protocolo encargado de traducir direcciones IP a direcciones MAC para que la comunicación pueda
establecerse; para ello cuando un host quiere comunicarse con una IP emite una trama ARP-
Request a la dirección de Broadcast pidiendo la MAC del host poseedor de la IP con la que desea
comunicarse. El ordenador con la IP solicitada responde con un ARP-Reply indicando su MAC. Los
enrutadores y los hosts guardan una tabla local con la relación IP-MAC llamada tabla ARP. Dicha
tabla ARP puede ser falseada por un ordenador atacante que imita tramas ARP-REPLY indicando
su MAC como destino válido para una IP específica, como por ejemplo la de un enrutador, de esta
manera la información dirigida al enrutador pasaría por el ordenador atacante quien
podrá escanear dicha información y redirigirla si así lo desea. El protocolo ARP trabaja a nivel de
enlace de datos de OSI, por lo que esta técnica sólo puede ser utilizada en redes LAN o en
cualquier caso en la parte de la red que queda antes del primer enrutador. Una manera de
protegerse de esta técnica es mediante tablas ARP estáticas (siempre que las IP de red sean fijas),
lo cual puede ser difícil en redes grandes.
Otras formas de protegerse incluyen el usar programas de detección de cambios de las tablas ARP
(como Arpwatch) y el usar la seguridad de puerto de los switches para evitar cambios en las
direcciones MAC.
DNS Spoofing[editar]
Suplantación de identidad por nombre de dominio. Se trata del falseamiento de una relación
"Nombre de dominio-IP" ante una consulta de resolución de nombre, es decir, resolver con una
dirección IP falsa un cierto nombre DNS o viceversa. Esto se consigue falseando las entradas de la
relación Nombre de dominio-IP de un servidor DNS, mediante alguna vulnerabilidad del servidor en
concreto o por su confianza hacia servidores poco fiables. Las entradas falseadas de un servidor
DNS son susceptibles de infectar (envenenar) el cache DNS de otro servidor diferente (DNS
Poisoning).
Web Spoofing[editar]
Artículo principal: Web spoofing
57
Suplantación de una página web real (no confundir con phishing). Enruta la conexión de una
víctima a través de una página falsa hacia otras páginas WEB con el objetivo de obtener
información de dicha víctima (páginas web vistas, información de formularios, contraseñas etc.). La
página web falsa actúa a modo de proxy, solicitando la información requerida por la víctima a cada
servidor original y saltándose incluso la protección SSL. El atacante puede modificar cualquier
información desde y hacia cualquier servidor que la víctima visite. La víctima puede abrir la página
web falsa mediante cualquier tipo de engaño, incluso abriendo un simple enlace. El web
spoofing es difícilmente detectable; quizá la mejor medida es algún plugin del navegador que
muestre en todo momento la IP del servidor visitado: si la IP nunca cambia al visitar diferentes
páginas WEB significará que probablemente estemos sufriendo este tipo de ataque. Este ataque se
realiza mediante una implantación de código el cual nos robará la información. Usualmente se
realizan páginas fantasmas en las cuales se inyectan estos códigos para poder sacar información
de las víctimas.
E-Mail Spoofing[editar]
Artículo principal: Email spoofing
Suplantación de la dirección de correo electrónico de otras personas o entidades. Esta técnica es
usada con asiduidad para el envío de mensajes de correo electrónico hoax como suplemento
perfecto para el uso de suplantación de identidad y para SPAM, es tan sencilla como el uso de un
servidor SMTP configurado para tal fin. Para protegerse se debería comprobar la IP del remitente
(para averiguar si realmente esa ip pertenece a la entidad que indica en el mensaje) y la dirección
del servidor SMTP utilizado. Las medidas recomendadas para prevenir estos ataques son
crear registros SPF y firmas digitales DKIM.
GPS Spoofing[editar]
Un ataque de GPS spoofing intenta engañar a un receptor de GPS transmitiendo una señal
ligeramente más poderosa que la recibida desde los satélites del sistema GPS, estructurada para
parecerse a un conjunto normal de señales GPS. Sin embargo estas señales están modificadas de
tal forma de que causarán que el receptor determine una posición diferente a la real,
específicamente algún lugar determinado por la señal atacante. Debido a que el sistema GPS
trabaja midiendo el tiempo que le toma a una señal el viajar entre el satélite y el receptor, un
spoofing exitoso requiere que el atacante conozca con precisión donde se encuentra el blanco de
tal forma que la señal falsa pueda ser estructurada con el retraso apropiado.
Un ataque de GPS spoofing comienza con la transmisión de una señal ligeramente más poderosa
que la que entrega la posición correcta, y luego se comienza a desviar lentamente hacia la posición
deseada por el atacante, ya que si esto se hace demasiado rápido el receptor atacado perderá la
fijación en la señal, en cuyo momento el ataque de spoofing sólo funcionaría como un ataque
de perturbación. Se ha sugerido que la captura de un Lockheed RQ-170 en el noreste de Irán en
diciembre de 2011, fue el resultado de un ataque de este tipo.1 Previamente los ataques de GPS
spoofing habían sido predichos y discutidos en la comunidad GPS, pero aún no han sido
confirmado un ejemplo conocido de un ataque de spoofing malicioso.2 3 4
Un ataque de "prueba de concepto" se realizó con éxito en junio de 2013, cuando el yate de lujo
"White Rose" fue mal dirigido con señales GPS falsificadas desde Mónaco a la isla de Rodas por
un grupo de estudiantes de ingeniería aeroespacial de la Escuela de Ingeniería Cockrell de
la Universidad de Texas en Austin. Los estudiantes estaban a bordo del yate, lo que permitió a su
equipo de spoofing dominar progresivamente la intensidad de señal de los satélites GPS reales,
alterando el curso de la embarcación.5 6Previamente, en el año 2012, este mismo grupo de
estudiantes fue capaz de cambiar el curso de vuelo de un vehículo aéreo no tripulado (VANT)
mediante el uso de la misma técnica de GPS Spoofing.7
58
59
Autenticaciones
CHAP es un protocolo de autenticación por desafío mutuo (CHAP, en inglés: Challenge Handshake
Authentication Protocol) y fue definido en la RFC 1994.
CHAP es un método de autenticación usado por servidores accesibles vía PPP. CHAP verifica
periódicamente la identidad del cliente remoto usando un intercambio de información de tres
etapas. Esto ocurre cuando se establece el enlace inicial y puede pasar de nuevo en cualquier
momento de la comunicación. La verificación se basa en un secreto compartido (como una
contraseña).
1. Después del establecimiento del enlace, el agente autenticador manda un mensaje que
«pide verificarse» al usuario.
2. El usuario responde con un valor calculado usando una función hash de un solo sentido,
como la suma de comprobación MD5.
3. El autenticador verifica la respuesta con el resultado de su propio cálculo de la función hash.
Si el valor coincide, el autenticador informa de la verificación, de lo contrario terminaría la
conexión.
4. A intervalos aleatorios el autenticador manda una nueva «comprobación de veracidad», con
lo que se repite el proceso.
CHAP protege contra los ataques de REPLAY mediante el uso de un identificador que se va
incrementando y un valor de verificación variable. CHAP requiere que el cliente mantenga el
secreto disponible en texto plano.
Microsoft ha implementado el CHAP en su protocolo MS-CHAP.
60
EAP fue diseñado para utilizarse en la autenticación para acceso a la red, donde la conectividad de
la capa IP puede no encontrase disponible. Dado a que EAP no requiere conectividad IP,
solamente provee el suficiente soporte para el transporte confiable de protocolos de autenticación y
nada más.
EAP es un protocolo lock-step, el cual solamente soporta un solo paquete en transmisión. Como
resultado, EAP no pude transportar eficientemente datos robustos, a diferencia de protocolos de
capas superiores como TCP.
Cuando se realiza la conexión con un ISP mediante módem, DSL, cablemódem, Ethernet o Wi-Fi,
se envía una información que generalmente es un nombre de usuario y una contraseña. Esta
información se transfiere a un dispositivo Network Access Server (NAS) sobre el protocolo PPP,
quien redirige la petición a un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS
comprueba que la información es correcta utilizando esquemas de autenticación como PAP, CHAP
o EAP. Si es aceptado, el servidor autorizará el acceso al sistema del ISP y le asigna los recursos
de red como una dirección IP, y otros parámetros como L2TP, etc.
Una de las características más importantes del protocolo RADIUS es su capacidad de manejar
sesiones, notificando cuándo comienza y termina una conexión, así que al usuario se le podrá
determinar su consumo y facturar en consecuencia; los datos se pueden utilizar con propósitos
estadísticos.
RADIUS fue desarrollado originalmente por Livingston Enterprises para la serie PortMaster de sus
Servidores de Acceso a la Red(NAS), más tarde se publicó como RFC 2138 y RFC 2139.
Actualmente existen muchos servidores RADIUS, tanto comerciales como de código abierto. Las
prestaciones pueden variar, pero la mayoría pueden gestionar los usuarios en archivos de texto,
servidores LDAP, bases de datos varias, etc. A menudo se utiliza SNMP para monitorear
remotamente el servicio. Los servidores Proxy RADIUS se utilizan para una administración
centralizada y pueden reescribir paquetes RADIUS al vuelo (por razones de seguridad, o hacer
conversiones entre dialectos de diferentes fabricantes)....
TACACS (acrónimo de Terminal Access Controller Access Control System , en inglés ‘sistema de
control de acceso mediante control del acceso desde terminales’) es un protocolo de autenticación
remota, propietario de CISCO, que se usa para comunicarse con un servidor de autenticación
comúnmente usado en redes Unix. TACACS permite a un servidor de acceso remoto comunicarse
61
con un servidor de autenticación para determinar si el usuario tiene acceso a la red. TACACS está
documentado en el RFC 1492.
62
PROTOCOLOS VPN
Comúnmente usado para establecer una conexión directa entre dos nodos de una red de
computadoras. Puede proveer:
autentificación de conexión,
cifrado de transmisión (usando Encryption Control Protocol (ECP), RFC 1968), y
compresión.
Son usados comúnmente por los ISP para establecer una línea de abonado digital (Digital
Subscriber Line, DSL) de servicios de Internet para clientes.
LCP, el Protocolo de Control de Enlace (Link Control Protocol,) inicia y termina conexiones,
permitiendo a los usuarios negociar las opciones de conexión. Es una parte integrada en el PPP, y
está definido en el mismo estándar de especificación. LCP provee configuración automática de las
interfaces de cada final y selecciona autentificación opcional. El Protocolo LCP corre encima del
PPP (con el número de Protocolo 0Xc021) y por lo mismo una conexión básica PPP debe estar
establecida antes que se configure el LCP.
PPP permite, a múltiples protocolos de la capa de red, operar en el mismo enlace de comunicación.
Para cada protocolo de capa de red usada, un Protocolo de Control de Red (Network Control
Protocol, NCP) separado, ofrece opciones para negociar y encapsular múltiples protocolos de la
capa de red. Negocia información de la capa de red como direcciones de red u opciones de
compresión, después que la conexión fue establecida.
La sección anterior introdujo el uso de las opciones de LCP para encontrar los requerimientos
específicos de una conexión WAN. PPP puede incluir las siguientes opciones de LCP:
63
Autentificación: los routers de puerto intercambian mensajes de autentificación. Dos
opciones de autentificación son:
o Protocolo de Autentificación por Clave (PAP) y
o Protocolo de Autentificación de Desafío Mutuo (CHAP).
Compresión: aumenta el rendmiento efectivo en las conexiones PPP, reduciendo la
cantidad de data en la trama que debe viajar a través de los enlaces.
Detección de Error: identifica condiciones de falla. La calidad y la opción de Números
Mágicos ayudan a asegurar un confiable enlace de datos sin ciclos repetitivos.
Multienlace: proporciona equilibrio de carga de varias interfaces usando el Multilink de
PPP.
1. Establecimiento de conexión: durante esta fase, una computadora contacta con la otra y
negocian los parámetros relativos al enlace usando el protocolo LCP. Este protocolo es una
parte fundamental de PPP y por ello está definido en el mismo RFC. Usando LCP se
negocia el método de autenticación que se va a utilizar, el tamaño de los datagramas,
números mágicos para usar durante la autenticación, ...
2. Autenticación: no es obligatorio. Existen dos protocolos de autenticación. El más básico e
inseguro es Password Authentication Protocol (PAP), aunque no se recomienda dado que
manda el nombre de usuario y la contraseña en claro. Un método más avanzado y preferido
por muchos ISP es CHAP, en el cual la contraseña se manda cifrada.
3. Configuración de red: en esta fase se negocian parámetros dependientes del protocolo de
red que se esté usando. PPP puede llevar muchos protocolos de red al mismo tiempo y es
necesario configurar individualmente cada uno de estos protocolos. Para configurar un
protocolo de red se usa el protocolo NCP correspondiente. Por ejemplo, si la red es IP, se
usa el protocolo IPCP para asignar la dirección IP del cliente y sus servidores DNS.
4. Transmisión: durante esta fase se manda y recibe la información de red. LCP se encarga
de comprobar que la línea está activa durante periodos de inactividad. Obsérvese que PPP
no proporciona cifrado de datos.
5. Terminación: la conexión puede ser finalizada en cualquier momento y por cualquier
motivo.
Garantía de recepción.
Recepción ordenada.
Uso del puerto 53 para conexión bidireccional de sockets.
Usado en los balanceadores de carga (Load Balancer, LB) como protocolo de distribución.
El protocolo SLIP (Serial Line Internet Protocol) cumple la misma función que PPP, pero se trata de
un protocolo mucho más anticuado. Las ventajas de PPP sobre SLIP son:
64
El protocolo PPP se puede usar también para crear Redes Privadas Virtuales (RPV), en inglés:
Virtual Private Network (VPN), tanto cifradas como no cifradas, pero si se desea cifrado, se debe
implementar por debajo de PPP.
65
PPPoE y PPPoA
PPPOA o PPPoA, Protocolo de Punto a Punto (PPP) sobre ATM (PPP over ATM), es un
protocolo de red para la encapsulación PPP en capas ATM AAL5.
El protocolo PPPoA se utiliza principalmente en conexiones de banda ancha, como cable y DSL.
Este ofrece las principales funciones PPP como autenticación, cifrado y compresión de datos.
Actualmente tiene alguna ventaja sobre PPPoE debido a que reduce la pérdida de calidad en las
transmisiones. Al igual que PPPoE, PPPoA puede usarse en los modos VC-MUX y LLC.
Esto permite utilizar software tradicional basado en PPP para manejar una conexión que no puede
usarse en líneas seriales sino con paquetes orientados a redes locales como Ethernet para proveer
una conexión clásica con autenticación para cuentas de acceso a Internet. Además, las direcciones
IP en el otro lado de la conexión sólo se asignan cuando la conexión PPPoE se abre, por lo que
admite la reutilización de direcciones IP (direccionamiento dinámico).
El objetivo y funcionamiento de PPPoE es análogo al protocolo PPP sobre RTC con el que a finales
de los 90 y bajo un stack tcp, se establecía un enlace ip punto a punto a través de la red telefónica
conmutada (RTC), permitiendo utilizar por encima una serie de protocolos de nivel de aplicación
tipo http, ftp, telnet, etc.
PPPoE fue desarrollado por UUNET, Redback y RouterWare. El protocolo está publicado en la
RFC 2516.
PPTP – capa 3 RED - Esta tecnología que hace posible el PPTP es una extensión del acceso
remoto del PPP (point-to-point-protocol......RFC 1171). La tecnología PPTP encapsula los
paquetes ppp en un tunel GRE, que se transporta en paquetes IP, para su transmisión
mediante un tunel en la red. Así mismo también se hace uso de un canal de control del tunel, en
el puerto 1723 TCP. El PPTP es ahora mismo un boceto de protocolo esperando por su
estandarización. Las compañías "involucradas" en el desarrollo del PPTP son Microsoft, Ascend
Communications, 3com / Primary Access, ECI Telematics y US Robotics.
PPTP y VPN: El protocolo Point-To-Point Tunneling Protocol viene incluido con WindowsNT 4.0
Server y Workstation. Los PCs que tienen corriendo dentro de ellos este protocolo pueden usarlo
66
para conectar con toda seguridad a una red privada como un cliente de acceso remoto usando una
red pública como Internet.
Una característica importante en el uso del PPTP es su soporte para VPN. La mejor parte de esta
característica es que soporta VPNs sobre public-switched telephone networks (PSTNs) que son los
comúnmente llamados accesos telefónicos a redes.
L2F (Layer 2 Forwarding) se creó en las primeras etapas del desarrollo de las red privada virtual.
Como PPTP, L2F fue diseñado por Cisco para establecer túneles de tráfico desde usuarios
remotos hasta sus sedes corporativas.
La principal diferencia entre PPTP y L2F es que, como el establecimiento de túneles de L2F
no depende del protocolo IP (Internet Protocol), es capaz de trabajar directamente con otros
medios, como Frame Relay o ATM.
Como PPTP, L2F utiliza el protocolo PPP para la autenticación del usuario remoto, pero también
implementa otros sistemas de autenticación como TACACS+ (Terminal Access Controller Access
Control System) y RADIUS (Remote Authentication Dial-In User Service). L2F también difiere de
PPTP en que permite que los túneles contengan más de una conexión.
Hay dos niveles de autenticación del usuario, primero por parte del ISP (proveedor de servicio de
red), anterior al establecimiento del túnel, y posteriormente, cuando se ha establecido la conexión
con la pasarela corporativa. Como L2F es un protocolo de Nivel de enlace de datos según el
Modelo de Referencia OSI, ofrece a los usuarios la misma flexibilidad que PPTP para manejar
protocolos distintos a IP, como IPX o NetBEUI.
Resumen PPTP y L2F (Antiguos LOS 2) – los sustituye el L2TP más nuevo
PPTP
L2F
Propietario CISCO
NO depende el protocolo IP, puede trabajar con otros medios como FR o ATM
Puede usar aparte de PPP para autenticación del usuario remoto, TACAS+ o RADIUS
Los túneles pueden contener más de una conexión
67
PPTP:
PPPoE:
No necesita IP inicial
El MTU es de 1490
Pequeño Overhead
Sin coding por minutos
Fácil instalación
Protocolo que trabaja en CAPA 2 [osi] y es más rápido
El Access concentrador debe estar en la misma red (capa 2)
Los clientes PPPoE están incorporados en todos los sistemas operativos
L2TP (Layer 2 Tunneling Protocol) es un protocolo utilizado por redes privadas virtuales que fue
diseñado por un grupo de trabajo de IETF como el heredero aparente de los protocolos PPTP y
L2F, creado para corregir las deficiencias de estos protocolos y establecerse como un estándar
aprobado por el IETF (RFC 2661).
L2TP utiliza PPP para proporcionar acceso telefónico que puede ser dirigido a través de un
túnel por Internet hasta un punto determinado.
El transporte de L2TP está definido para una gran variedad de tipos de paquete de datos,
incluyendo X.25, Frame Relay y ATM.
Al utilizar PPP para el establecimiento telefónico de enlaces, L2TP incluye los mecanismos de
autenticación de PPP, PAP y CHAP. De forma similar a PPTP, soporta la utilización de estos
protocolos de autenticación, como RADIUS.
A pesar de que L2TP ofrece un acceso económico, con soporte multiprotocolo y acceso a redes de
área local remotas, no presenta unas características criptográficas especialmente robustas. Por
ejemplo:
68
Sólo se realiza la operación de autenticación entre los puntos finales del túnel, pero no para
cada uno de los paquetes que viajan por él. Esto puede dar lugar a suplantaciones de
identidad en algún punto interior al túnel.
Sin comprobación de la integridad de cada paquete, sería posible realizar un ataque de
denegación del servicio por medio de mensajes falsos de control que den por acabado el
túnel L2TP o la conexión PPP subyacente.
L2TP no cifra en principio el tráfico de datos de usuario, lo cual puede dar problemas
cuando sea importante mantener la confidencialidad de los datos.
A pesar de que la información contenida en los paquetes PiPP puede ser cifrada, este
protocolo no dispone de mecanismos para generación automática de claves, o refresco
automático de claves. Esto puede hacer que alguien que escuche en la red y descubra una
única clave tenga acceso a todos los datos transmitidos.
A causa de estos inconvenientes, el grupo del IETF que trabaja en el desarrollo de PPP consideró
la forma de solventarlos. Ante la opción de crear un nuevo conjunto de protocolos para L2TP del
mismo estilo de los que se están realizando para IPSec, y dado la duplicación del trabajo respecto
al propio grupo de desarrollo de IPSec que supondría, se tomó la decisión de utilizar los propios
protocolos IPSec para proteger los datos que viajan por un túnel L2TP.
L2TP es en realidad una variación de un protocolo de encapsulamiento IP. Un túnel L2TP se crea
encapsulando una trama L2TP en un paquete UDP, el cual es encapsulado a su vez en un paquete
IP, cuyas direcciones de origen y destino definen los extremos del túnel. Siendo el protocolo de
encapsulamiento más externo IP, los protocolos IPSec pueden ser utilizados sobre este paquete,
protegiendo así la información que se transporta por el túnel.
Una ventaja importante de IPsec frente a SSL y otros métodos que operan en capas
superiores, es que para que una aplicación pueda usar IPsec no hay que hacer ningún
cambio, mientras que para usar SSL y otros protocolos de niveles superiores, las
aplicaciones tienen que modificar su código.
Modos
Así pues y dependiendo del nivel sobre el que se actúe, podemos establecer dos modos básicos
de operación de IPsec: modo transporte y modo túnel.
69
Modo transporte – HOST a HOST
En modo transporte, sólo la carga útil (los datos que se transfieren) del paquete IP es cifrada o
autenticada. El enrutamiento permanece intacto, ya que no se modifica ni se cifra la cabecera IP;
sin embargo, cuando se utiliza la cabecera de autenticación (AH), las direcciones IP no pueden ser
traducidas, ya que eso invalidaría el hash. Las capas de transporte y aplicación están siempre
aseguradas por un hash, de forma que no pueden ser modificadas de ninguna manera (por ejemplo
traduciendo los números de puerto TCP y UDP). El modo transporte se utiliza para
comunicaciones ordenador a ordenador.
Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definido por RFCs que
describen el mecanismo de NAT transversal.
En el modo túnel, todo el paquete IP (datos más cabeceras del mensaje) es cifrado o autenticado.
Debe ser entonces encapsulado en un nuevo paquete IP para que funcione el enrutamiento. El
modo túnel se utiliza para comunicaciones red a red (túneles seguros entre routers, p.e. para
VPNs) o comunicaciones ordenador a red u ordenador a ordenador sobre Internet.
Protocolos
IPsec consta de tres protocolos que han sido desarrollados para proporcionar seguridad a nivel de
paquete, tanto para IPv4 como para IPv6:
Características
70
Permite establecer políticas de encaminamiento y seguridad.
71
IEEE 802.1 Normalización de interfaz
--------------------------------------------------
--------------------------------------------------------
72
• 802.3aq - Ethernet a 10 Gbps sobre par FIBRA Multimodo.
------------------------------------------------------------
IEEE 802.6 Redes de Área Metropolitana (MAN) (ciudad) (fibra óptica) y también llamado
DQDB (Distributed Queue Dual Bus, bus doble de colas distribuidas)
IEEE 802.7 Grupo Asesor en Banda ancha - Disuelto
IEEE 802.8 Grupo Asesor en Fibras Ópticas - Disuelto
IEEE 802.9 RDSI - Servicios Integrados de red de Área Local (redes con voz y datos
integrados) - Disuelto
IEEE 802.12 Acceso de Prioridad por demanda 100 Base VG-Any Lan - Disuelto
IEEE 802.13 Se ha evitado su uso por superstición2- Sin uso
IEEE 802.14 Módems de cable - Disuelto
IEEE 802.16 (WIMAX) - Redes de acceso metropolitanas sin hilos de banda ancha
IEEE 802.17 Anillo de paquete elástico script
IEEE 802.18 Grupo de Asesoría Técnica sobre Normativas de Radio - En desarrollo a día
de hoy
IEEE 802.19 Grupo de Asesoría Técnica sobre Coexistencia
IEEE 802.20 Mobile Broadband Wireless Access
IEEE 802.21 Media Independent Handoff
73
IEEE 802.22 Wireless Regional Area Network (WRAN) - SUPER WIFI - que utiliza
espacios blancos en el espectro de frecuencia de los canales de TV
IEEE 802.24 Smart Grid Tag facilita colaboración entre grupos IEEE 802
----------------------------------
— IEEE 802.11ad:
• Trabaja en la banda de los 60GHz.
• Divide el espectro en canales de 2160MHz.
• Velocidad de hasta 7Gbps.
74
Permite que la transición entre nodos se demore menos de 50 milisegundos permitiendo
mantener una comunicación vía VoIP.
— IEEE 802.11aa-2012:
• Indicado para el transporte de video en streaming.
• Divide el espectro en canales 40MHz.
— IEEE 802.11af:
• Conocida como “White-Fi” y “Super Wi-Fi”.
• Permite conectividad WLAN en los espectros de VHF y UHF que comprenden las
bandas de entre los 54 y los 790 MHz.
• Velocidades de hasta:
— 426,7Mbps para canales de 6 y 7Mhz.
— 568,9Mbps para canales de 8Mhz.
— Versiones en proceso:
• IEEE 802.11ay: Next Generation 60GHz.
• IEEE 802.11ax: High Efficency WLAN.
• IEEE 802.11ak: General Link.
• IEEE 802.11aq: Preassociation Discovery.
• IEEE Std P802.11aj: China Millimeter Wave.
• IEEE 802.11ai: Fast Initial Link Setup.
IEEE 802.11af, a standard for wireless local area networks (WLAN) in TV white space
IEEE 802.22, a standard for wireless regional area networks (WRAN) in TV white space
75
HYPERLAN – Equivale a 802.11a
HIPERLAN/1
Hiper Lan es similar a 802.11a (5 GHz) y es diferente de 802.11b/g (2,4 GHz). HIPERLAN/1, HIgh
Performance Radio LAN version 1 es un estándar del ETSI (European Telecomunications
Standards Institute).
Características de HIPERLAN :
rango 50 m
baja movilidad (1.4 m/s)
soporta tráfico asíncrono y síncrono.
sonido 32 Kbps, latencia de 10 ns
vídeo 2 Mbit/s, latencia de 100 ns
datos a 10 Mbps
HIPERLAN/2
76
WIMAX
Uno de acceso fijo (802.16d), en el que se establece un enlace radio entre la estación base
y un equipo de usuario situado en el domicilio del usuario. Para el entorno fijo, las
velocidades teóricas máximas que se pueden obtener son de 70 Mbit/s con una frecuencia
de 20 MHz. Sin embargo, en entornos reales se han conseguido velocidades de 20 Mbit/s
con radios de célula de hasta 6 km, ancho de banda que es compartido por todos los
usuarios de la célula.
77
78
RIP
RIPv1
RIPv2 - Debido a las limitaciones de RIPv1, se desarrolla RIPv2. Esta versión soporta subredes,
permitiendo así CIDR (Enrutamiento entre dominios sin clase) y VLSM (Máscaras de subred de
tamaño variable).
Ripv2 usa autenticación y RIPv1 no.
RIPng – RIP para IPV6
Temporizador
Temporizador de caducidad
Temporizador de Colección de Basura
Nota: Apple Talk Routing Table Maintenance Protocol está basado en una versión del
protocolo de encaminamiento RIP.
79
IGRP y EIGRP
IGRP tiene un número de saltos máximo de 255 y el límite máximo para el número de saltos
en EIGRP es 224.
IGRP envía actualizaciones de enrutamiento periódicas cada 90 segundos y EIGRP no
envía actualizaciones periódicas y las entradas de ruta no expiran. EIGRP utiliza un
protocolo Hello (muy ligero) para comprobar que sigue conectado a sus vecinos.
EIGRP
EIGRP puede utilizar ancho de banda, retraso, confiabilidad y carga del enlace y se puede
configurar para que utilice uno solo de estos parámetros o una combinación de ellos.
Distancia administrativa de EIGRP es 90
EIGRP es propietario de Cisco, por lo que solo lo podrás usar en equipos de esa marca
EIGRP solo envía información sobre sus rutas para que con eso los vecinos construyan su
propia tabla de ruteo, tabla de vecinos y tabla de topología.
EIGRP mantiene routers de respaldo, por si falla uno, entra en acción el de respaldo
Puede trabajar en modo classfull o classless según se necesite.
Usa paquetes multicast para propagar sus actualizaciones.
80
RIPv2 vs EIGRP
Métrica: RIPv2 utiliza los saltos como métrica y EIGRP puede utilizar ancho de banda, retraso,
confiabilidad y carga del enlace y se puede configurar para que utilice uno solo de estos
parámetros o una combinación de ellos.
Distancia administrativa: para RIP es 120 y para EIGRP es de 90, por lo que este último es más
confiable.
Propietario: EIGRP es propietario de Cisco, por lo que solo lo podrás usar en equipos de esa marca
y RIP no es propietario, un router de cualquier marca puede utilizarlo.
Actualizaciones: RIPv2 para mantener convergente la red, envía su tabla de ruteo completa de
forma periódica a sus vecinos y EIGRP solo envía información sobre sus rutas para que con eso
los vecinos construyan su propia tabla de ruteo, tabla de vecinos y tabla de topología.
Redundancia: EIGRP mantiene routers de respaldo, por si falla uno, entra en acción el de respaldo,
RIP no tiene esa funcionalidad
Carga: EIGRP al hacer más operaciones y cálculos le genera más carga al router, de memoria
RAM, CPU y tráfico en sus interfaces, RIP es más ligero y no demanda tantos recursos.
Funcionabilidad: EIGRP no presenta problemas como los routing loops que se pueden dar en RIP
si no se toman las medidas necesarias.
A ambos se les considera protocolos vector-distancia, aunque por la métrica compuesta que utiliza
EIGRP le suelen llamar hibrido ya que reune lo mejor de OSPF y un procolo vector-distancia, pero
por definición sigue siendo vector-distancia.
Los dos son protocolos de gateway interior (IGP) es decir, están hechos para funcionar dentro de
un sistema autónomo.
81
IS-IS y OSPF
OSPF
OSPF en su versión OSPFv3, soporta IPv6 y las extensiones multidifusión para OSPF (MOSPF).
OSPF acepta VLSM y CIDR desde su inicio.
OSPF no usa ni TCP ni UDP, sino que se encapsula directamente sobre el protocolo IP poniendo
"89" en el campo protocolo. (Podría decirse que usa a través de IP, el puerto 89.
Una red OSPF se puede descomponer en regiones (áreas) más pequeñas. Hay un área especial
llamada área backbone que forma la parte central de la red a la que se encuentran conectadas el
resto de áreas de la misma.
OSPF puede usar tanto multidifusiones (multicast) como unidifusiones (unicast) para enviar
paquetes de bienvenida y actualizaciones de enlace-estado.
OSPF puede "etiquetar" rutas y propagar esas etiquetas por otras rutas.
IS-IS
IS-IS tiene compatibilidad con IPv6 y admite VLSM.
El protocolo de encaminamiento IS-IS está pensado para soportar encaminamiento en grandes
dominios consistentes en combinaciones de muchos tipos de subredes. Para poder soportar
dominios grandes, la previsión está hecha para que el ruteo intradominio sea organizado
jerárquicamente. Un dominio grande puede ser dividido administrativamente en áreas. Cada
sistema reside en exactamente un área.
En IS-IS, la dirección de área y de host son asignados al router entero, mientras que en
OSPF el direccionamiento es asignado al nivel de interfaz.
A diferencia de OSPF, los routers IS-IS son capaces de enviar dos tipos diferentes de
saludos (paquetes hello).
82
IS-IS es un protocolo de capa 3 con su propio paquete de capa 3, mientras que OSPF utiliza
paquete IP.
La fragmentación es responsabilidad de IS-IS, sin embargo en OSPF la fragmentación es
responsabilidad de IP.
83
BGP
El Border Gateway Protocol juega un papel crítico en las comunicaciones en Internet. Facilita el
intercambio de información sobre redes IP, la comunicación entre sistemas autónomos (AS). Por
tanto BGP es un protocolo interdominio (entre sistemas autónomos) e intradominio (dentro del
mismo sistema autónomo).
Ruteo interautónomo
Ruteo intrautónomo
Ruteo de pasc.
84
Tabla características de varios protocolos de enrutamiento:
85
PUERTOS IMPORTANTES
53 UDP- DNS
69 UDP - tfpt
70 TCP - Gopher
79 TCP - FINGER (unix - protocolo que proporciona informaci?n de los usuarios de una m?quina,
est?n o no conectados en el momento)
80 TCP - HTTP
88 TCP - KERBEROS un protocolo de autenticaci?n de redes de ordenador creado por el MIT
110 TCP - POP3
111 TCP - sunrcp
119 TCP- NNTP - noticias
86
520 UDP - RIP
87
RAID 0 (Sin paridad, proporciona alto rendimiento con escritura en paralelo)
Un RAID 0 (también llamado conjunto dividido, volumen dividido, volumen seccionado)
distribuye los datos equitativamente entre dos o más discos (usualmente se ocupa el mismo
espacio en dos o más discos) sin información de paridad que proporcione redundancia. El
RAID 0 se usa normalmente para proporcionar un alto rendimiento de escritura ya que los datos
se escribe en dos o más discos de forma paralela, aunque un mismo fichero solo está presente una
vez en el conjunto.
RAID 1 (ESPEJO)
Un RAID 1 crea una copia exacta (o espejo) de un conjunto de datos en dos o más discos. Esto
resulta útil cuando queremos tener más seguridad desaprovechando capacidad, ya que si
perdemos un disco, tenemos el otro con la misma información. Un conjunto RAID 1 sólo puede
ser tan grande como el más pequeño de sus discos
RAID 5 (División a nivel de bloques distribuye paridad entre todos los discos)
Un RAID 5 (también llamado distribuido con paridad) es una división de datos a nivel de
BLOQUES, que distribuye la información de paridad entre todos los discos miembros del conjunto.
El RAID 5 ha logrado popularidad gracias a su bajo coste de redundancia. Generalmente, el RAID
5 se implementa con soporte hardware para el cálculo de la paridad. RAID 5 necesitará un mínimo
de 3 discos para ser implementado.
88
RAID 6 (División a nivel de bloques, doble bloque distribuye paridad entre todos los discos)
Un RAID 6 amplía el nivel RAID 5 añadiendo otro bloque de paridad, por lo que divide los datos a
nivel de bloques y distribuye los dos bloques de paridad entre todos los miembros del conjunto. El
RAID 6 no era uno de los niveles RAID originales.
RAID 5E y 6E
Se suele llamar RAID 5E y RAID 6E a las variantes de RAID 5 y RAID 6 que incluyen discos de
reserva. Estos discos pueden estar conectados y preparados (hot spare) o en espera (standby
spare).
89
90
91
SCSI
Small Computer System Interface, más conocida por el acrónimo inglés SCSI (interfaz de
sistema para pequeñas computadoras), es una interfaz estándar para la transferencia de datos
entre distintos dispositivos del bus de la computadora en paralelo.
Mientras que en SATA 3 llegamos a los 6 Gb/s, en SAS se llega a los 12 Gb/s.
92
DAS, SAN Y NAS
93
DAS - Direct Attached Storage
Tanto en DAS como en Storage Area Network (SAN), las aplicaciones y programas de usuarios
hacen sus peticiones de datos al sistema de archivos directamente. La diferencia entre ambas
tecnologías reside en la manera en la que dicho sistema de archivos obtiene los datos requeridos
del almacenamiento. En un DAS, el almacenamiento es local al sistema de archivos, mientras que
en un SAN, el almacenamiento es remoto.
- Nivel fichero
- Usa NFS o CIFS a través de TCP/IP
- Menor capacidad que SAN
Cuando compartimos información mediante un dispositivo NAS los equipos de nuestra empresa se
conectan al dispositivo a través de la propia LAN (la red de datos general de la empresa) a través
de TCP/IP y utilizando sistemas de ficheros remotos como NFS (Network File System) o
CIFS.
El cliente (el equipo que reclama la información del NAS) solicita el fichero compartido y el NAS se
lo sirve.
La capacidad de ampliación de los NAS es menor que los SAN y está limitada en gran medida por
la cantidad de discos que es capaz de albergar el propio dispositivo. Un NAS típico dispone de
entre 2 y 8 bahías para discos, habitualmente SATA (y en menor medida SAS).
- Nivel de BLOQUE
- Comunicación a través de fibra o protocolo iSCSI
- Mayor capacidad que NAS
A diferencia de los dispositvos NAS, SAN trabaja a bajo nivel, a nivel de bloque (a diferencia de
NAS que trabaja a nivel de fichero). La comunicación es similar a como se produce entre un
ordenador y sus discos locales (SATA, SCSI...).
94
Habitualmente la conexión con las SAN se hace a través de redes dedicadas de alta velocidad,
generalmente fibra a 4 u 8Gbps utilizando el protocolo Fibre Channel, aunque también se puede
utilizar el protocolo iSCSI, más económico aunque de menor rendimiento (habitualmente a 1Gbps).
De esta forma, la comunicación con el almacenamiento es independiente de la red general de la
empresa, la cual no interfiere.
Otro punto a favor de la conexión mediante fibra es la latencia (el tiempo de respuesta del medio de
transmisión) que es prácticamente 0. Esto es especialmente importante en proyectos de VDI
(Virtual Desktop Infrastructure o Virtualización de escritorios), donde un retraso excesivo de acceso
a disco puede provocar "tirones" en los equipos de usuario e impedir que trabajen con fluidez.
Como se puede deducir, las unidades SAN proporcionan un rendimiento mucho mayor que los
NAS, estando especialmente indicadas para almacenar BBDD (bases de datos), virtualización de
sistemas (VMware, Hyper-V, servidores, escritorio...), etc...
Por otro lado, otra de las ventajas fundamentales es que la capacidad de ampliación de los
dispostivos SAN es mucho mayor que en los NAS. Las cabinas de almacenamiento (SAN) permiten
aumentar las bandejas de discos que necesitemos para así poder ofrecer más capacidad a
nuestros sistemas. Por ejemplo, podemos adquirir una HUS110 únicamente con la controladora y
bandeja integrada para albergar 24 discos de 2,5" y posteriormente, si lo necesitamos, ampliar más
bandejas hasta llegar al límite de la cabina (en este caso hasta 120 discos, que no está nada mal...
en otros modelos, como la HUS150 nos podemos ir a más de 900 discos).
Pueden albergar diferentes tipos de disco, dependiendo de las necesidades que tengamos
(rendimiento, capacidad, etc...), pudiendo convivir en un mismo sistema tanto discos SAS, como
SSD, Flash (FMD), NL-SAS, lo que nos da muchas opciones.
95
Protocolos usados en una red de área de almacenamiento:
FC-AL
Protocolo Fibre Channel Arbitrated Loop, usado en hubs, en el SAN hub este protocolo es el que se
usa por excelencia, el protocolo controla quién puede comunicarse, sólo uno a la vez.
FC-SW
Protocolo Fibre Channel Switched, usado en switches, en este caso varias comunicaciones pueden
ocurrir simultáneamente. El protocolo se encarga de conectar las comunicaciones entre
dispositivos y evitar colisiones.
SCSI
Usado por las aplicaciones, es un protocolo usado para que una aplicación de un equipo se
comunique con el dispositivo de almacenamiento.
SCSI trabaja diferente en una SAN que dentro de un servidor, SCSI fue originalmente diseñado
para comunicarse dentro de un mismo servidor con los discos, usando cables de cobre.
Dentro de un servidor, los datos SCSI viajan en paralelo y en la SAN viajan serializados.
FCoE
Es una tecnología de red de computadoras que encapsula las tramas de canal de fibra a través de
redes Ethernet. Esto permite al canal de fibra utilizar 10 redes Gigabit Ethernet (o velocidades más
altas), preservando el protocolo Fibre Channel. La especificación fue parte del Comité Internacional
de Estándares de Tecnologías de Información T11 FC-BB-5 estándar publicado en 2009.
Anexo:
96