P. 1
SERVICIOS DE REDES

SERVICIOS DE REDES

|Views: 45|Likes:
Publicado porLissette Serrano

More info:

Published by: Lissette Serrano on Oct 02, 2011
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as DOC, PDF, TXT or read online from Scribd
See more
See less

09/16/2012

pdf

text

original

Servicio de DNS

Descripción El servicio DNS (Domain Name Service) es un servicio de Internet que traduce los nombres de los dominios (direcciones por nombre, p. ej. www.unizar.es) en direcciones IP (direcciones numéricas, p. Ej. 155.210.3.32) y viceversa. Este servicio es imprescindible para poder iniciar cualquier comunicación con otro computador accediendo al mismo por su nombre. Configuración Los servidores DNS de la UZ son los siguientes: 155.210.12.9 primario 155.210.3.12 secundario 155.210.33.4 secundario Los usuarios de la UZ deberán utilizar estos servidores en la configuración de sus maquinas:
• •

Si la configuración de una maquina solo admite un servidor, deberá utilizarse el primario 155.210.12.9 En aquellas maquinas cuya configuración permita varios servidores deberá incluirse el primario (155.210.12.9) y, al menos, uno de los secundarios (155.210.3.12 y 155.210.33.4)

A continuación se explica cómo introducir estos datos en un ordenador con Windows XP. Para otros sistemas operativos Windows el procedimiento es muy similar Windows XP Ir a Inicio, Configuración, Panel de Control,Conexiones de Red y Acceso Telefónico, Conexión de Area Local, Propiedades

Seleccionar Protocolo Internet (TCP/IP), y pulsar en Propiedades. En "Usar las siguientes direcciones de servidor DNS", introducir las direcciones IP de dos de los servidores DNS de la UZ. Windows 95-98 Ir a Inicio, Configuración, Panel de Control, Red y marcar TCP/IP-->su tarjeta de red, luego Propiedades, seleccionar la solapa "Configuración DNS", deberá introducir las IP de los Servidores DNS. Luego hacer click en ACEPTAR. Es posible que el Windows solicite los discos de instalación, que pueden estar en C:\win98 o en C:\windows\options\cabs. Posteriormente deberá reiniciar el ordenador.

Domain Name System o DNS (en castellano: sistema de nombres de dominio) es un sistema de nomenclatura jerárquica para computadoras, servicios o cualquier recurso conectado a Internet o a una red privada. Este sistema asocia información variada con nombres de dominios asignado a cada uno de los participantes. Su función más importante, es traducir (resolver) nombres inteligibles para los humanos en identificadores binarios asociados con los equipos conectados a la red, esto con el propósito de poder localizar y direccionar estos equipos mundialmente. El servidor DNS utiliza una base de datos distribuida y jerárquica que almacena información asociada a nombres de dominio en redes como Internet. Aunque como base de datos el DNS es capaz de asociar diferentes tipos de información a cada nombre, los usos más comunes son la asignación de nombres de dominio a direcciones IP y la localización de los servidores de correo electrónico de cada dominio. La asignación de nombres a direcciones IP es ciertamente la función más conocida de los protocolos DNS. Por ejemplo, si la dirección IP del sitio FTP de prox.mx es 200.64.128.4, la mayoría de la gente llega a este equipo especificando ftp.prox.mx y no la dirección IP. Además de ser más fácil de recordar, el nombre es más fiable. La dirección numérica podría cambiar por muchas razones, sin que tenga que cambiar el nombre. Inicialmente, el DNS nació de la necesidad de recordar fácilmente los nombres de todos los servidores conectados a Internet. En un inicio, SRI (ahora SRI International) alojaba un archivo llamado HOSTS que contenía todos los nombres de dominio conocidos (técnicamente, este archivo existe[cita requerida] - la mayoría de los sistemas operativos actuales pueden ser configurados para revisar su archivo hosts[cita requerida]). El crecimiento explosivo de la red causó que el sistema de nombres centralizado en el archivo hosts no resultara práctico y en 1983, Paul Mockapetris publicó los RFCs 882 y 883 definiendo lo que hoy en día ha evolucionado hacia el DNS moderno. (Estos RFCs han quedado obsoletos por la publicación en 1987 de los RFCs 1034 y 1035).
Componentes

Para la operación práctica del sistema DNS se utilizan tres componentes principales:

Los Clientes DNS: Un programa cliente DNS que se ejecuta en la computadora del usuario y que genera peticiones DNS de resolución de nombres a un servidor DNS (Por ejemplo: ¿Qué dirección IP corresponde a nombre.dominio?); Los Servidores DNS: Que contestan las peticiones de los clientes. Los servidores recursivos tienen la capacidad de reenviar la petición a otro servidor si no disponen de la dirección solicitada. Y las Zonas de autoridad, porciones del espacio de nombres de dominio que almacenan los datos. Cada zona de autoridad abarca al menos un dominio y posiblemente sus subdominios, si estos últimos no son delegados a otras zonas de autoridad.

[] Entendiendo las partes de un nombre de dominio

la parte más a la izquierda del dominio suele expresar el nombre de la máquina (en inglés hostname). El sistema operativo. Al inicio de esa jerarquía se encuentra los servidores raíz: los servidores que responden cuando se busca resolver un dominio de primer y segundo nivel. . comprueba si la respuesta se encuentra en la memoria caché.org o es en www. navegadores. no dependencia absoluta.mohamedali. antes de establecer alguna comunicación. www. La mayoría de usuarios domésticos utilizan como servidor DNS el proporcionado por el proveedor de servicios de Internet. pero restringidos a que la longitud total del nombre del dominio no exceda los 255 caracteres. En teoría. esta subdivisión puede tener hasta 127 niveles.org tendría el nombre de la máquina "es".es • • Cada etiqueta a la izquierda especifica una subdivisión o subdominio. el dominio es. aunque en la práctica los dominios son casi siempre mucho más cortos. El DNS consiste en un conjunto jerárquico de servidores DNS.ejemplo. En el caso de que no se encuentre. aunque en este caso no se refiere a una máquina física en particular. El resto del nombre de dominio simplemente especifica la manera de crear una ruta lógica a la información requerida.wikipedia.es • A la etiqueta ubicada más a la derecha se le llama dominio de nivel superior (en inglés top level domain). separadas por puntos cuando se las escribe en forma de texto. clientes de correo y otras aplicaciones que usan Internet). Finalmente. La jerarquía de las zonas de autoridad coincide con la jerarquía de los dominios. Como org en www. los administradores de red tienen configurados sus propios servidores DNS. Cada dominio o subdominio tiene una o más zonas de autoridad que publican la información acerca del dominio y los nombres de servicios de cualquier dominio incluido. La dirección de estos servidores puede ser configurada de forma manual o automática mediante DHCP.wikipedia.Un nombre de dominio usualmente consiste en dos o más partes (técnicamente etiquetas). Nótese que "subdominio" expresa dependencia relativa.wikipedia. la petición se envía al servidor DNS local del sistema operativo.org o www. [] DNS en el mundo real Los usuarios generalmente no se comunican directamente con el servidor DNS: la resolución de nombres se hace de forma transparente por las aplicaciones del cliente (por ejemplo. la petición se enviará a uno o más servidores DNS. En otros casos. Al realizar una petición que requiere una búsqueda de DNS. Por ejemplo. y cada etiqueta puede contener hasta 63 caracteres. Por ejemplo.

Las hojas y los nodos del árbol se utilizan como etiquetas de los medios. los servidores DNS que reciben la petición. Un . Las etiquetas son cadenas alfanuméricas (con '-' como único símbolo permitido). Una vez encontrada la respuesta. buscan en primer lugar si disponen de la respuesta en la memoria caché. [editar] Jerarquía DNS El espacio de nombres de dominio tiene una estructura arborescente. y deberá comenzar con una letra (y no con '-') (ver la RFC 1035.En cualquier caso. sección "2. iniciarían la búsqueda de manera recursiva. Preferencia nombre de la sintaxis "). el servidor DNS guardará el resultado en su memoria caché para futuros usos y devuelve el resultado.3. Un nombre de dominio termina con un punto (aunque este último punto generalmente se omite. ya que es puramente formal). Un nombre de dominio completo de un objeto consiste en la concatenación de todas las etiquetas de un camino.1. Las etiquetas individuales están separadas por puntos. sirven la respuesta. en caso contrario. deben contar con al menos un carácter y un máximo de 63 caracteres de longitud. Si es así.

[] Tipos de resolución de nombres de dominio Existen dos tipos de consultas que un cliente puede hacer a un servidor DNS: • Iterativa Las resoluciones iterativas consisten en la respuesta completa que el servidor de nombres pueda dar. por lo que busca y se pone en contacto con un servidor DNS raíz. Un nombre de dominio se escribe siempre de derecha a izquierda. El servidor de nombres consulta sus datos locales (incluyendo su caché) buscando los datos solicitados. el servidor no tiene la información en sus datos locales. Los objetos de un dominio DNS (por ejemplo.FQDN correcto (también llamado Fully Qualified Domain Name). (Incluyendo el punto al final) Un nombre de dominio debe incluir todos los puntos y tiene una longitud máxima de 255 caracteres. El servidor encargado de hacer la resolución realiza iterativamente preguntas a a los diferentes DNS de la jerarquia asociada al nombre que se desea resolver. y en caso de ser necesario repite el mismo proceso básico (consultar a un servidor remoto y seguir a la siguiente referencia) hasta que obtiene la mejor respuesta a la pregunta. pero no contienen la base de datos para la resolución de nombres. Cuando se les realiza una consulta. ubicado en uno o más servidores de nombres. hasta descender en ella hasta la maquina que contiene la zona autoritativa para el nombre que se desea resolver.example. Este primer nivel es también conocido como dominio de nivel superior (TLD). estos a su vez consultan a los servidores secundarios.com. • Recursiva En las resoluciones recursivas. . Locales o caché: Funcionan con el mismo software. El punto en el extremo derecho de un nombre de dominio separa la etiqueta de la raíz de la jerarquía (en inglés. el nombre del equipo) se registran en un archivo de zona. almacenando la respuesta en su base de datos para agilizar la repetición de estas peticiones en el futuro continuo o libre. [] Tipos de servidores DNS Preferidos: Guardan los datos de un espacio de nombres en sus ficheros Alternativos: Obtienen los datos de los servidores primarios a través de una transferencia de zona. root). es por ejemplo este: www.

MX (registro) = Mail Exchange – (Registro de Intercambio de Correo) Asocia un nombre de dominio a una lista de servidores de intercambio de correo para ese dominio. PTR = Pointer – (Indicador) También conocido como 'registro inverso'. incluyendo a D. AAAA = Address – (Dirección) Este registro se usa en IPv6 para traducir nombres de hosts a direcciones IPv6. o alias. NS = Name Server – (Servidor de Nombres) Define la asociación que existe entre un nombre de dominio y los servidores de nombres que almacenan la información de dicho dominio. . 2.ejemplo. 7. y www. 8. El servidor D responde. para los servidores de alojamiento de un dominio. con diferente nombres. 5.).Permite indicar las coordenadas del dominio. incluyendo a C. CNAME = Canonical Name – (Nombre Canónico) Se usa para crear nombres de servidores de alojamiento adicionales. El servidor A regresa la respuesta al resolver. El proceso de resolución normal se da de la siguiente manera: 1. SOA = Start of authority – (Autoridad de la zona) Proporciona información sobre el servidor DNS primario de la zona. permite que la gente conozca el tipo de máquina y sistema operativo al que corresponde un dominio.ejemplo.( Información textual) Permite a los dominios identificarse de modos arbitrarios. El servidor A recibe una consulta recursiva desde el cliente DNS. Cada servicio tiene su propia entrada de DNS (como ftp. 9. El RTT es una medida para determinar cuánto tarda un servidor en responder una consulta. El servidor A envía una consulta recursiva a C. El servidor A envía una consulta recursiva a D. Bind utiliza el menor valor en la métrica RTT (round-trip time) para seleccionar el servidor. TXT = TeXT . traduciendo IPs en nombres de dominio. 4. El servidor A envía una consulta recursiva a B.com.com. 3. Cada dominio se puede asociar a una cantidad cualquiera de servidores de nombres. sobre el mismo host. esto también es usado cuando corres múltiples servidores http. funciona a la inversa del registro A. El servidor B refiere a A otro servidor de nombres. Es usado cuando se están corriendo múltiples servicios (como ftp y servidor web) en un servidor con una sola dirección ip. El servidor C refiere a A otro servidor de nombres. LOC = LOCalización . 6. El resolver entrega la resolución al programa que solicitó la información. HINFO = Host INFOrmation – (Información del sistema informático) Descripción del host. [] Tipos de registros DNS • • • • • • • • • • A = Address – (Dirección) Este registro se usa para traducir nombres de servidores de alojamiento a direcciones IPv4.Cuando existe más de un servidor autoritario para una zona.

El administrador de la red determina un rango de direcciones IP y cada dispositivo conectado a la red está configurado para solicitar su dirección IP al servidor cuando la tarjeta de interfaz de red se inicializa. El servidor que recibe.Generalización del registro MX para indicar los servicios que ofrece el dominio. si el dispositivo se mueve a otra subred.Ayuda a combatir el Spam. Asignación automática: Asigna una dirección IP de forma permanente a una máquina cliente la primera vez que hace la solicitud al servidor DHCP y hasta que el cliente la libera. Obsoleto en favor de SRV. El procedimiento usa un • • . también. automáticamente. asignar y enviar una nueva IP si fuera el caso en el dispositivo es conectado en un lugar diferente de la red. Se suele utilizar cuando se quiere controlar la asignación de dirección IP a cada cliente. Se suele utilizar cuando el número de clientes no varía demasiado. cuánto tiempo la ha tenido y a quién se la ha asignado después.• • • WKS . que se conecten clientes no identificados. Asignación de direcciones IP Sin DHCP. con los datos de este registro. El protocolo DHCP incluye tres métodos de asignación de direcciones IP: • Asignación manual o estática: Asigna una dirección IP a una máquina determinada.Protocolo de configuración dinámica de host) es un protocolo de red que permite a los clientes de una red IP obtener sus parámetros de configuración automáticamente. y evitar. En este registro se especifica cual o cuales hosts están autorizados a enviar correo desde el dominio dado. estando documentado actualmente en la RFC 2131. Se trata de un protocolo de tipo cliente/servidor en el que generalmente un servidor posee una lista de direcciones IP dinámicas y las va asignando a los clientes conforme éstas van estando libres.Permite indicar los servicios que ofrece el dominio. Para DHCPv6 se publica el RFC 3315. El DHCP le permite al administrador supervisar y distribuir de forma centralizada las direcciones IP necesarias y. Asignación dinámica: el único método que permite la reutilización dinámica de las direcciones IP. Este protocolo se publicó en octubre de 1993. cada dirección IP debe configurarse manualmente en cada dispositivo y. SRV = SeRVicios . se debe configurar otra dirección IP diferente. sabiendo en todo momento quién ha estado en posesión de esa IP. RFC 2782 SPF = Sender Policy Framework . Dynamic Host Configuration Protocol DHCP (sigla en inglés de Dynamic Host Configuration Protocol . consulta el SPF para comparar la IP desde la cual le llega.

Se puede encontrar el software en http://www.concepto muy simple en un intervalo de tiempo controlable. Algunas implementaciones de DHCP pueden actualizar el DNS asociado con los servidores para reflejar las nuevas direcciones IP mediante el protocolo de actualización de DNS establecido en RFC 2136 (Inglés). En Windows 98 o posterior.0) que se adaptaba mejor al RFC el día 22 de junio de 1999.5 de Windows NT a finales de 1994.isc. como el BOOTP (Bootstrap Protocol). pero ambos son los usados normalmente. se utiliza un proceso llamado "Automatic Private Internet Protocol Addressing".org/sw/dhcp/ . Esto facilita la instalación de nuevas máquinas clientes a la red. Dichas opciones están definidas en RFC 2132 (Inglés) Lista de opciones configurables: • • • • • • • • • • • • • Dirección del servidor DNS Nombre DNS Puerta de enlace de la dirección IP Dirección de Publicación Masiva (broadcast address) Máscara de subred Tiempo máximo de espera del ARP (Protocolo de Resolución de Direcciones según siglas en inglés) MTU (Unidad de Transferencia Máxima según siglas en inglés) para la interfaz Servidores NIS (Servicio de Información de Red según siglas en inglés) Dominios NIS Servidores NTP (Protocolo de Tiempo de Red según siglas en inglés)) Servidor SMTP Servidor TFTP Nombre del servidor WINS [] Implementaciones Microsoft introdujo el DHCP en sus Servidores NT con la versión 3. DHCP es un protocolo más avanzado. El DHCP es una alternativa a otros protocolos de gestión de direcciones IP de red.0 del ISC DHCP Server el 6 de diciembre de 1997 y una versión (2. cuando el DHCP es incapaz de asignar una dirección IP. [] Parámetros configurables Artículo principal: Parámetros DHCP Un servidor DHCP puede proveer de una configuración opcional al dispositivo cliente.0. El Consorcio de Software de Internet (ISC: Internet Software Consortium) publicó distribuciones de DHCP para Unix con la versión 1.

0 en el mes de febrero de 1999 Sun: añadió el soporte para DHCP a su sistema operativo Solaris el 8 de julio de 2001. [] DHCP Discovery Artículo principal: DHCP Discovery DHCP Discovery es una solicitud DHCP realizada por un cliente de este protocolo para que el servidor DHCP de dicha red de computadoras le asigne una Dirección IP y otros Parámetros DHCP como la máscara de red o el nombre DNS.[1] [] DHCP Offer Artículo principal: DHCP Offer . (Autoridad de Números Asignados en Internet según siglas en inglés) en BOOTP: 67/UDP para las computadoras servidor y 68/UDP para los clientes.Otras implementaciones importantes incluyen: • • Cisco: un servidor DHCP habilitado en Cisco IOS 12. [] Anatomía del protocolo Esquema de una sesión típica DHCP. varios routers incluyen soporte DHCP para redes de hasta 255 dispositivos. Además.

168. Para ello involucra su dirección MAC (Media Access Control).100 requested DHCP option 54: 192. el cliente solicita una dirección IP específica que indicó el servidor DHCPREQUEST UDP Src=0.0 sPort=68 Dest=255. [] DHCP Request Artículo principal: DHCP Request El cliente selecciona la configuración de los paquetes recibidos de DHCP Offer. BOOTP legacy Magic Cookie 0x63825363 DHCP Options DHCP option 53: DHCP Request DHCP option 50: 192. .0. Una vez más.168.255.1.1 DHCP server.255.255 dPort=67 OP HTYPE HLEN HOPS 0x01 0x01 0x06 0x00 XID 0x3903F326 SECS FLAGS 0x0000 0x0000 CIADDR 0x00000000 YIADDR 0x00000000 SIADDR 0x00000000 GIADDR 0x00000000 CHADDR 0x00053C04 0x8D590000 0x00000000 0x00000000 192 octets of 0's.1.DHCP Offer es el paquete de respuesta del Servidor DHCP a un cliente DHCP ante su petición de la asignación de los Parámetros DHCP.0.

255. DHCPACK UDP Src=192.[] DHCP Acknowledge Artículo principal: DHCP Acknowledge Cuando el servidor DHCP recibe el mensaje DHCPREQUEST del cliente.255. Este paquete incluye el arrendamiento de duración y cualquier otra información de configuración que el cliente pueda tener solicitada.255.1 sPort=67 Dest=255. se inicia la fase final del proceso de configuración. BOOTP legacy Magic Cookie 0x63825363 .255. La dirección origen es la dirección IP del servidor de DHCP y la dirección de destino es todavía 255. El campo YIADDR contiene la dirección del cliente.255. En este punto. El servidor DHCP responde a la DHCPREQUEST con un DHCPACK. completando así el ciclo de iniciación.255 dPort=68 OP HTYPE HLEN HOPS 0x02 0x01 0x06 0x00 XID 0x3903F326 SECS FLAGS 0x0000 0x0000 CIADDR (Client IP Address) 0x00000000 YIADDR (Your IP Address) 0xC0A80164 SIADDR (Server IP Address) 0x00000000 GIADDR (Gateway IP Address switched by relay) 0x00000000 CHADDR (Client Hardware Address) 0x00053C04 0x8D590000 0x00000000 0x00000000 192 octets of 0's. y los campos CHADDR y DHCP: Client Identifier campos son la dirección física de la tarjeta de red en el cliente. La sección de opciones del DHCP identifica el paquete como un ACK. Esta fase implica el reconocimiento DHCPACK el envío de un paquete al cliente.1.168. El sistema en su conjunto espera que el cliente para configurar su interfaz de red con las opciones suministradas. la configuración TCP / IP proceso se ha completado. El servidor reconoce la solicitud y la envía acuse de recibo al cliente.

El router puede ser configurado para redireccionar los paquetes DHCP a un servidor DHCP en una subred diferente. [] SOFTWARE .255 y requiere también su última dirección IP conocida.por ejemplo.1.0 subnet mask DHCP option 3: 192.168.255. la DNS o la propia dirección IP.1. aunque esto no es necesario y puede llegar a ser ignorado por el servidor esto da origen a errores del sistema. la máscara de Subred.1 DHCP server [] DHCP Release Si los clientes envían una petición al servidor DHCP para liberar su dirección IP. La implementación cliente crea un paquete UDP (Protocolo de Datagramas de Usuario según siglas en inglés) con destino 255. como la puerta de enlace. Dichas peticiones no hacen que el servidor de DHCP refresque el tiempo de vencimiento de IP en su base de datos. [] ¿QUÉ ES UN DHCP3-SERVER? Es un protocolo de red en el que el servidor bajo el que está corriendo provee los parámetros de configuración necesarios a las máquinas conectadas a la red que así lo soliciten. [] LICENCIA DHCP Es distribuido bajo los términos de la Licencia GPL.DHCP Options DHCP option 53: DHCP ACK DHCP option 1: 255.255. Mediante DHCP se asignarán de forma totalmente automática y transparente los parámetros. Como los clientes generalmente no de broadcast. los browsers usan DHCP Inform para obtener la configuración de los proxies a través de WPAD. o para repetir los datos para un uso particular . [] DHCP Inform El cliente envía una petición al servidor de DHCP: para solicitar más información que la que el servidor ha enviado con el DHCPACK original.255. [] REQUERIMIENTOS MÍNIMOS DE HARDWARE Y SOFTWARE HARDWARE Los mínimos necesarios para realizar la instalación del sistema operativo.1 router DHCP option 51: 1 day IP lease time DHCP option 54: 192.255.168.

↑ *[MANUAL DE DHCP-SERVER EDICIÓN Nº1 .255.188. 2.5 Dominios: tudominio. el administrador del sistema asigna y rastrea las direcciones IP para cada computador.100 a 192. servidores de aplicaciones y Routers. 202. Los servidores deben recibir una dirección IP estática de modo que las estaciones de trabajo y otros dispositivos siempre sepan cómo acceder a los servicios requeridos. Asignación de una dirección IP Existen distintos metodos para asignar una dirección IP: • • De forma Estática De forma Dinamica Asignación Estática La asignación estática funciona mejor en las redes pequeñas con poca frecuencia de cambios.1 1.1. Es fundamental llevar un buen registro para evitar que se produzcan problemas con las direcciones IP repetidas.168. Esto es posible sólo cuando hay una pequeña cantidad de dispositivos que rastrear.255.1. Otros dispositivos que deben recibir direcciones IP estáticas son las impresoras en red.133.0 Servidores DNS: 202. impresora o servidor de una red interna.com Dirección de la Puerta de Enlace: 192.168..200 Máscara de Sub red: 255. De forma manual.168.1. .¿Cómo instalar un servidor DHCP para asignar direcciones IP automáticamente? Rango de Direcciones IP: de 192.1.Instalamos el servidor dhcp y para ello lo realizamos con la siguiente sentencia: #aptitude install dhcp3-server [2] == Referencias == ↑ «DHCP Options and BOOTP Vendor Extensions».0.-Gerencia General de Telecomunicaciones/ Oficina de Evaluación Tecnológica 1.188.

El formato de paquete RARP contiene lugares para las direcciones MAC tanto de los dispositivos de origen como de los de destino. los pase a las capas superiores del modelo OSI y responda al dispositivo transmisor. Sin embargo. Esta asociación permite que los dispositivos de red encapsulen los datos antes de enviarlos a la red. Las peticiones RARP se envían en broadcast a la LAN y el servidor RARP que por lo general es un Router responde. Los dispositivos que usan RARP requieren que haya un servidor RARP en la red para responder a las peticiones RARP. Es posible que un dispositivo de red. . Por lo tanto. a diferencia del RARP. RARP utiliza el mismo formato de paquete que ARP. De esta manera. El dispositivio origen debe incluir tanto su dirección MAC como su dirección IP para que el dispositivo destino retire los datos. como por ejemplo una estación de trabajo sin disco. Por ejemplo: un dispositivo origen desee enviar datos al dispositivo madre. Sin embargo. Esta petición ayuda al dispositivo origen a detectar su propia dirección IP. los paquetes de BOOTP pueden incluir la dirección IP. RARP permite que el dispositivo realice una petición para conocer su dirección IP. los encabezados MAC y el "código de operación" son diferentes a los de una petición ARP. conozca su dirección MAC pero no su dirección IP. Asignación de direcciones BOOTP IP El protocolo bootstrap (BOOTP) opera en un entorno cliente-servidor y sólo requiere el intercambio de un solo paquete para obtener la información IP. El broadcast se dirige a todos los dispositivos de la red. la dirección MAC destino deberá ser: FF:FF:FF:FF:FF:FF. así como la dirección de un Router. El dispositivo fuente conoce su propia dirección MAC pero es incapaz de ubicar su propia dirección IP en la tabla ARP. Las estaciones de trabajo que admiten RARP tienen códigos en ROM que los dirige a iniciar el proceso de RARP. el origen inicia un proceso denominado petición RARP. El campo de dirección IP origen está vacío. en una petición RARP. la dirección de un servidor y la información específica del fabricante.Asignación de direcciones RARP IP El Protocolo de resolución inversa de direcciones (RARP) asocia las direcciones MAC conocidas a direcciones IP.

o sea. Con DHCP.255. El administrador debe agregar hosts y mantener la base de datos del BOOTP. la configuración completa de las red se puede obtener en un mensaje. un administrador de redes crea un archivo de configuración que especifica los parámetros de cada dispositivo. toma la dirección IP y la guarda junto con la otra información proporcionada por el mensaje BOOTP de respuesta. Administración de direcciones DHCP IP El Protocolo de configuración dinámica del host (DHCP) es el sucesor del BOOTP. Esto significa que para cada host de la red. todavía existe una relación exacta entre el número de direcciones IP y el número de hosts. El servidor DHCP incluye todos los datos que proporciona el mensaje BOOTP más una dirección IP arrendada y una máscara de subred. Esto lo logra usando paquetes UDP para transportar los mensajes. Un dispositivo obtiene su dirección IP cuando se inicializa por medio de BOOTP. Con el BOOTP. El servidor del BOOTP recibe el broadcast y responde en forma de broadcast. se comunican con el servidor DHCP y solicitan una dirección. un problema del BOOTP es que no se diseñó para proporcionar la asignación dinámica de las direcciones.255 en anotación decimal punteada. . Aunque las direcciones se asignan de forma dinámica. DHCP permite que el host obtenga la dirección IP de forma dinámica sin que el administrador de red tenga que configurar un perfil individual para cada dispositivo. debe haber un perfil BOOTP con una asignación de dirección IP en él. Si el cliente encuentra su propia dirección MAC en el campo de dirección destino y un broadcast en el campo IP destino.255. Esta forma de asignar direcciones resulta ser muy eficiente cuando hay muchos hosts en una red. A medida que los hosts entran en línea. Dos perfiles nunca pueden tener la misma dirección IP. El servidor DHCP elige una dirección y se la arrienda a dicho host. El cliente recibe una trama y verifica la dirección MAC. El mensaje UDP se encapsula en un paquete IP. Es posible que estos perfiles se utilicen al mismo tiempo y esto quiere decir que dos hosts tendrían la misma dirección IP.Sin embargo. 255. Lo único que se requiere para utilizar el DHCP es un rango definido de direcciones IP en un servidor DHCP. Un computador utiliza el BOOTP para enviar un paquete IP de broadcast a la dirección IP destino de todos unos.

El cojunto TCP/IP cuenta con un protocolo. Protocolo de resolución de direcciones (ARP) En la red TCP/IP. llamado Protocolo de resolución de direcciones (ARP). las direcciones MAC e IP actúan como controles y balances entre sí. ya que no tienen que configurar los hosts nuevos que se incorporan a la red. Estas reciben el nombre de tablas del Protocolo de resolución de direcciones (ARP). Una vez que los dispositivos determinan las direcciones IP de los dispositivos destino. Esto siginifica que DHCP puede asignar una dirección IP disponible a cualquiera que se conecte a la red. de forma automática. los datos no pasarán de la Capa 3 a las capas superiores. el datagrama de una red de área local debe contener tanto una dirección MAC destino como una dirección IP destino. para la transmisión local. La importancia de este avance del DHCP es su capacidad de arrendar una dirección IP a un dispositivo y luego reclamar dicha dirección IP para otro usuario una vez que el primero la libera. Esta mobilidad permite que los usuarios cambien libremente las conexiones de red de un lugar a otro.La principal ventaja que tiene DHCP es que permite que los usuarios sean móviles. pueden agregar las direcciones MAC de destino a los paquetes de datos. el paquete de datos debe contener tanto la dirección MAC destino como la dirección IP destino. De esta forma. Si el paquete pierde alguna de las dos. Problemas en la resolución de direcciones En la comunicación TCP/IP. que puede obtener las direcciones MAC. Las tablas ARP se guardan en la memoria RAM. Estas direcciones deben ser correctas y concordar con las direcciones IP y MAC destino del dispositivo host. Se necesitaría demasiado tiempo si el usuario creara los mapas de forma manual. el host destino descartará el datagrama. Debe haber una forma de mapear las direcciones IP a MAC de forma automática. donde la información en caché se guarda automáticamente en cada uno de los dispositivos. Algunos dispositivos guardan tablas que contienen las direcciones MAC e IP de otros dispositivos conectados a la misma LAN. por lo tanto ya no es necesario mantener un perfil fijo de cada dispositivo conectado a la red como en el caso del sistema BOOTP. Si no concuerdan. . La comunicación dentro de un segmento de LAN requiere de dos direcciones. Otra gran ventaja es que ahorra mucho trabajo a los administradores de redes.

Un ARP proxy es una variante del protocolo ARP. Una es monitorear el tráfico que se produce en el segmento de la red local. El dispositivo que requiere un par de direcciones IP y MAC envía una petición ARP en broadcast. Cuando un dispositivo desea enviar datos a través de la red. Luego el paquete de datos se envía a través del medio de networking para que el destino lo reciba. . envía una respuesta ARP que contiene el par IP-MAC. hay otro proceso que se puede utilizar. El Router responde con direcciones MAC para aquellas peticiones en las que la dirección IP no se encuentra en el rango de direcciones de la subred local. En esta variante. Los Routers no envían los paquetes de broadcast. no hay respuesta a la petición ARP. si la dirección de uno de los dispositivos locales concuerda con la dirección IP de la petición. se asigna la dirección IP a la dirección MAC y luego la usa para encapsular los datos. por lo tanto todos los dispositivos de la LAN lo recibiran. Estos dispositivos analizan la petición. En este caso. Son dos las formas en las que los dispositivos pueden recolectar las direcciones MAC que necesitan agregar a los datos encapsulados. Otra forma de obtener un par de direcciones para la transmisión de datos es realizar el broadcast de una petición ARP. Parte de este proceso consiste en registrar la dirección IP y MAC origen del datagrama en una tabla ARP.Cada dispositivo de una red lleva su propia tabla ARP. utiliza la información que proporciona la tabla ARP. Si la característica está activa. un Router envía una respuesta ARP con la dirección MAC de la interfaz en la que se recibió la petición al host que la ejecuta. Si el origen encuentra una entrada en su tabla (dirección IP destino a dirección MAC destino). Cuando un origen determina la dirección IP para un destino. A medida que los datos se transmiten a la red. los pares de direcciones pueblan la tabla ARP. Si la petición es para una red IP diferente. el dispositivo origen informa un error. Todas las estaciones de una red Ethernet analizarán todo el tráfico a fin de determinar si los datos son para ellas. Si la dirección IP es para la red de área local y el dispositovo no existe o se encuentra apagado. un Router ejecuta un ARP proxy. luego consulta la tabla ARP a fin de encontrar la dirección MAC destino.

El host origen compara la dirección IP destino y su propia dirección IP para determinar si las dos direcciones están ubicadas en el mismo segmento.Otro método para enviar datos a la dirección de un dispositivo que se encuentra en otro segmento de red consiste en configurar un gateway por defecto. por este medio solo se pueden enviar adjuntos de . Si el host receptor no está en el mismo segmento. el tráfico no podrá salir de la red del área local. Si el gateway por defecto del host o la característica ARP proxy del Router no están configurados. La dirección MAC para el Router se obtuvo de la tabla ARP utilizando la dirección IP de dicho Router. Es necesario el uno o el otro para tener una conexión fuera de la red del área local. Servidor de Correo Un servidor de correo es una aplicación informática ubicada en una página web en internet cuya función es parecida al Correo postal solo que en este caso los correos (otras veces llamados mensajes) que circulan. El Gateway por defecto es una opción de host en la que la dirección IP de la interfaz del Router se guarda en la configuración de red del host. el host origen envía los datos utilizando la dirección IP real del destino y la dirección MAC del Router. lo hacen a través de nuestras Redes de transmisión de datos y a diferencia del correo postal.

Envía los mensajes hacia otro MTA. Pegasus Mail (David Harris). donde se genera una solicitud de envío.. Agente de Transporte de Mensajes) es uno de los programas que ejecutan los servidores de correo. Exim. Usualmente el envío de un correo electrónico tiene como fin que un usuario (remitente) cree un correo electrónico y lo envíe a otro (destinatario). y tiene como fin transferir un conjunto de datos de una computadora a otra. Algunas soluciones de correo que incluyen un MTA son: Sendmail.El usuario inicial crea un "correo electrónico". un archivo que cumple los estándares de un correo electrónico. Usará para ello una aplicación ad-hoc. Lotus Notes (IBM) y Microsoft Exchange Server. 3. Por defecto el protocolo estándar para la transferencia de correos entre servidores es el SMTP.Actúa como intermediario entre un "Mail Submision Agent" y otro MTA.org/html/rfc2821) Intercambio de Correo Electrónico Un servidor de correo realiza una serie de procesos que tienen la finalidad de transportar información entre los distintos usuarios.( http://tools.. en indistinto orden son: Outlook Express (Microsoft). 2. Postfix. Agente de Transferencia de Correo (del inglés Mail Transport Agent o MTA.Recibe los mensajes desde otro MTA. Actúa como un "cliente" de otros servidores. IBM Lotus Notes (IBM).El archivo creado es enviado a un almacén. Actúa como "servidor" de otros servidores. . Mercury Mail Transport System. Esta acción toma típicamente 5 pasos. El MTA. qmail. también Message Transport Agent. etc.ficheros de cualquier extensión y no bultos o paquetes al viajar la información en formato electrónico. Está definido en el RFC 2821 y es un estándar oficial de Internet.. tiene varias formas de comunicarse con otros servidores de correo: 1. Oulook (Microsoft). Mdaemon. 2. administrado por el servidor de correo local al usuario remitente del correo.. Agente de Transferencia de Correo Los servidores de correo a menudo realizan diferentes funciones según sea el uso que se planifique para el mismo. 1. Las aplicaciones más usadas. Mozilla Thuntherbird (Mozilla)..ietf. o Protocolo Simple de Transferencia de Correo.

5.. que recibe un único paquete y lo transporta de un lugar a otro... Es de suma importancia considerar qué entidad.. por ejemplo al trasferirlos satisfactoriamente. depositándolo en el "buzón" correspondiente al usuario receptor del correo. Servidores de correo WEB .Copiar los correos a algún otro registro o archivo.3.No recibir correos de acuerdo a algún parámetro.El servicio MTA local al usuario inicial recupera este archivo e inicia la negociación con el servidor del destinatario para el envío del mismo. Las políticas de funcionamiento de cada servidor.Finalmente el software del cliente receptor del correo recupera este archivo o "correo" desde el servidor almacenando una copia en la base de datos del programa cliente de correo.. los usuarios se sirven de clientes de correo que utilizan el protocolo POP3 o el protocolo IMAP para recuperar los "correos" del servidor y almacenarlos en sus computadores locales.El servidor del destinatario valida la operación y recibe el correo. podrían: 1... el servicio de correo electrónico copia varias veces la información que corresponde al correo electrónico. 4. 5. Los correos pueden en muchos casos ser fuente de invasión a la privacidad. institución y funcionario son los responsables de administrar finalmente los servidores de correo que usamos. hay por lo menos una copia del correo en el servidor de envío y otra copia en el servidor de recepción. Seguro o inseguro Si tiene en cuenta el proceso. A diferencia de un servicio postal clásico. con o sin aviso a los usuarios remitente y/o destinatario. Por ejemplo para obtener los mensajes del servidor de correos receptor. 3. ubicada en la computadora del cliente que recibe el correo.Destruir las copias de los correos.Enviar una o más copias a otros destinatarios.. 4. El "buzón" no es otra cosa que un registro en una base de datos.No destruir nunca los correos almacenados. 2. Este proceso que en la vida real ocurre de manera muy rápida involucra muchos protocolos.

www. Para superar estos temores y proveer el nivel de protección requerida. Un Firewall en Internet es un sistema o grupo de sistemas que impone una política de seguridad entre la organización de red privada y el Internet. Para que un firewall sea efectivo. aun si una organización no esta conectada al Internet. se ha incrementado el numero de usuarios de redes privadas por la demanda del acceso a los servicios de Internet tal es el caso del World Wide Web (WWW). desafortunadamente. Sin tomar en cuenta el tipo de negocios. debido a que el protocolo http no es un protocolo definido en los servidores de correo como obligatorio.hotmail. y el mismo podrá ser inmune a la penetración.gmail.yahoo. esta debería establecer una política de seguridad interna para administrar el acceso de usuarios a porciones de red y proteger sensitivamente la información secreta. Los administradores de red tienen que incrementar todo lo concerniente a la seguridad de sus sistemas.com. Introducción.Una forma especial de servidor de correo. todo trafico de información a través del Internet deberá pasar a través del mismo donde podrá ser inspeccionada la información. es decir quien puede entrar para utilizar los recursos de red pertenecientes a la organización. 1. debido a que se expone la organización privada de sus datos así como la infraestructura de sus red a los Expertos de Internet (Internet Crakers). y protegerse contra la exportación privada de información. etc. La seguridad ha sido el principal concerniente a tratar cuando una organización desea conectar su red privada al Internet. y File Transfer Protocol (FTP). Todavía. el archivo de datos del remitente o destinatario puede ser accedido sin requerir un cliente específico.com. Adicionalmente los corporativos buscan las ventajas que ofrecen las paginas en el WWW y los servidores FTP de acceso publico en el Internet. este sistema no puede ofrecer protección alguna una vez que el agresor lo traspasa o permanece entorno a este. . Es especial.com. Firewalls y seguridad en Internet 1. El firewall determina cual de los servicios de red pueden ser accesados dentro de esta por los que están fuera. En el mismo servidor se integran programas para acceder a los correos del mismo. Telnet. Ejemplos típicos de este servicio son: www. El firewall podrá únicamente autorizar el paso del trafico. es aquél que es accedido vía WEB usando el protocolo http. Internet Mail (e-mail). www. la organización necesita seguir una política de seguridad para prevenir el acceso noautorizado de usuarios a los recursos propios de la red privada. En este tipo de servidor.

crakers. vándalos. reglas de enciptacion de datos y discos. manteniendo al margen los usuarios no-autorizados (tal. El firewall permite al administrador de la red definir un "choke point" (envudo). prohibiendo potencialmente la entrada o salida al vulnerar los servicios de la red. Esto significa que la seguridad en la red privada depende de la "Dureza" con que cada uno de los servidores cuenta y es únicamente seguro tanto como la seguridad en la fragilidad posible del sistema. cada uno de los servidores propios del sistema se exponen al ataque de otros servidores en el Internet. política de servicios en la red. normas de protección de virus. 1. y espías) fuera de la red.Ilustración -1 La Política De Seguridad Crea Un Perímetro De Defensa. un servidor de defensa.. una vez que se consolida la seguridad en el sistema firewall. Un firewall de Internet sin una política de seguridad comprensiva es como poner una puerta de acero en una tienda. Beneficios de un firewall en Internet Los firewalls en Internet administran los accesos posibles del Internet a la red privada. como. es mejor . 1. normas de dial-in y dial-out. y entrenamiento. Uno de los beneficios clave de un firewall en Internet es que ayuda a simplificar los trabajos de administración. esto es importante. normas de acceso a la red. política de autenticidad en acceso remoto o local a usuarios propios de la red. Todos los puntos potenciales de ataque en la red podrán ser protegidos con el mismo nivel de seguridad. Esta política de seguridad podrá incluir publicaciones con las guías de ayuda donde se informe a los usuarios de sus responsabilidades. Sin un firewall. hackers. y proporcionar la protección para varios tipos de ataques posibles. ya que debemos de notar que un firewall de Internet no es justamente un ruteador. o una combinación de elementos que proveen seguridad para la red. El firewall es parte de una política de seguridad completa que crea un perímetro de defensa diseñada para proteger las fuentes de información.

o suceda algún problema en el transito de los datos. Ilustración -2 Beneficios De Un Firewall De Internet. El firewall ofrece un punto donde la seguridad puede ser monitoreada y si aparece alguna actividad sospechosa . Esto permite al administrador de red justificar el gasto que implica la coneccion al Internet. logrando que el direccionamiento IP sea menos generoso en los recursos que proporciona. . debido a esto hoy no es posible obtener suficientes registros de direcciones IP para responder a la población de usuarios en demanda de los servicios. el Internet ha experimentado una crisis en las direcciones. También. desde que el administrador de red desconoce si ha sido exitosamente atacado!. localizando con precisión los cuellos de botella potenciales del ancho de banda. Con el paso de algunos años. Esto es innecesario para el firewall. Por este medio se organizan las compañías conectadas al Internet. y promueve el método de cargo a los departamentos dentro del modelo de finanzas de la organización. la pregunta general es "si" pero "cuando" ocurrirá el ataque. Un firewall de Internet es el punto perfecto para auditar o registrar el uso del Internet.que distribuirla en cada uno de los servidores que integran nuestra red privada. Internet. si el administrador de la red toma el tiempo para responder una alarma y examina regularmente los registros de base. Esto se podrá notar al acceder la organización al Internet. Esto es extremadamente importante para que el administrador audite y lleve una bitácora del trafico significativo a través del firewall. Un firewall es un lugar lógico para desplegar un Traductor de Direcciones de Red (NAT) esto puede ayudar aliviando el espacio de direccionamiento acortando y eliminando lo necesario para reenumerar cuando la organización cambie del Proveedor de Servicios de Internet (ISPs) . este generara una alarma ante la posibilidad de que ocurra un ataque. Concentra la seguridad Centraliza los accesos Genera alarmas de seguridad Traduce direcciones (NAT) Monitorea y registra el uso de Servicios de WWW y FTP.

Un firewall de Internet ofrece un punto de reunión para la organización. Este tipo de conexiones derivan la seguridad provista por firewall construido cuidadosamente. creando una puerta de ataque. aun así la red interna de la organización puede seguir operando . Si una de sus metas es proporcionar y entregar servicios información a consumidores. el usuario puede hacer una coneccion SLIP o PPP al Internet. . el firewall de Internet es ideal para desplegar servidores WWW y FTP. Finalmente. el firewall puede presentar los problemas que genera un punto de falla simple. Los usuarios con sentido común suelen "irritarse" cuando se requiere una autenticación adicional requerida por un Firewall Proxy server (FPS) lo cual se puede ser provocado por un sistema de seguridad circunvecino que esta incluido en una conexión directa SLIP o PPP del ISP. si existe una coneccion dial-out sin restricciones que permita entrar a nuestra red protegida. La preocupación principal del administrador de red. Enfatizando si este punto de falla se presenta en la conexión al Internet. Estos dos puntos de acceso significa dos puntos potenciales de ataque a la red interna que tendrán que ser monitoreados regularmente! 1. Limitaciones de un firewall Un firewall no puede protegerse contra aquellos ataques que se efectúen fuera de su punto de operación.únicamente el acceso al Internet esta perdido -. Por ejemplo. son los múltiples accesos al Internet. que se pueden registrar con un monitor y un firewall en cada punto de acceso que posee la organización hacia el Internet. Los usuarios pueden estar consientes de que este tipo de conexiones no son permitidas como parte de integral de la arquitectura de la seguridad en la organización.

Ilustración -3 Conexión Circunvecina Al Firewall De Internet. Por ejemplo. El firewall no puede protegerse contra los ataques posibles a la red interna por virus informativos a través de archivos y software. Finalmente. el firewall de Internet no puede protegerse contra los ataques posibles en la transferencia de datos. Como nosotros podemos ver. el firewall de Internet no puede contar con un sistema preciso de SCAN para cada tipo de virus que se puedan presentar en los archivos que pasan a través de el. Obtenidos del Internet por sistemas operativos al momento de comprimir o descomprimir archivos binarios. estos ocurren cuando aparéntente datos inocuos son enviados o copiados a un servidor interno y son ejecutados despachando un ataque. persuade al menos sofisticado de los usuarios a que le permita usar su contraseña al servidor del corporativo o que le permita el acceso "temporal" a la red. La solución real esta en que la organización debe ser consciente en instalar software anti-viral en cada despacho para protegerse de los virus que llegan por medio de disquettes o cualquier otra fuente. El firewall no puede prohibir que los traidores o espías corporativos copien datos sensitivos en disquettes o tarjetas PCMCIA y substraigan estas del edificio. una transferencia de datos podría causar que un servidor modificara los archivos relacionados a la seguridad haciendo mas fácil el acceso de un intruso al sistema. El firewall no puede proteger contra los ataques de la "Ingeniería Social". el desempeño de los servidores Proxy en un servidor de defensa es un excelente medio de prohibición a las conexiones directas por agentes externos y reduce las amenazas posibles por los ataques con transferencia de datos. los empleados deberían ser educados acerca de los varios tipos de ataque social que pueden suceder. por ejemplo un Hacker que pretende ser un supervisor o un nuevo empleado despistado. y a cambiar sus contraseñas si es necesario periódicamente. Firewalls Es difícil describir el ataque "típico" de un hacker debido a que los intrusos poseen diferentes niveles de técnicos por su experiencia y son además son . Para controlar estas situaciones. El firewall no puede protegerse de las amenazas a que esta sometido por traidores o usuarios inconscientes. 1.

Algunos hackers son intrigosos por el desafío.) de un servidor en especifico. y otros tantos substraen datos delicados para algún beneficio propio. Herramientas del hacker 1. Servidores DNS pueden accesarce para obtener una lista de las direcciones IP y sus correspondientes Nombres (Programa Nslookup). El protocolo Whois que es un servicio de información que provee datos acerca de todos los dominios DNS y el administrador del sistema responsable para cada dominio. Recolección de información 2. Firewalls y seguridad en Internet Generalmente. Estos son algunos usos de las herramientas que un hacker puede utilizar automáticamente para explorar individualmente los servidores residentes en una red: • Una vez obtenida una lista no obstantemente pequeña de la vulnerabilidad de servicios en la red. números telefónicos. No obstante que esta información es anticuada. • 1. el hacker trata de probar cada uno de los servidores para debilitar la seguridad.motivados por diversos factores. El programa TraceRoute puede revelar el numero de redes intermedias y los ruteadores en torno al servidor especifico. otros mas gozan de hacer la vida difícil a los demás. El programa Ping puede ser empleado para localizar un servidor particular y determinar si se puede alcanzar. Esta es una lista de herramientas que un hacker puede usar para colectar esta información: • • • • • El protocolo SNMP puede utilizarse para examinar la tabla de ruteo en un dispositivo inseguro. esto sirve para aprender los detalles mas íntimos acerca del objetivo de la topología de red perteneciente a una organización. etc. Esta simple herramienta puede ser usada como un programa de escaneo pequeño que por medio de llamadas a la dirección de un servidor haga posible construir una lista de los servidores que actualmente son residentes en la red. 1. tiempo y ultima sesión. El protocolo Finger puede revelar información detallada acerca de los usuarios (nombres de Login. Sondeo del sistema para debilitar la seguridad Después que se obtienen la información de red perteneciente a dicha organización. La meta es construir una base de datos que contenga la organización de la red y colectar la información acerca de los servidores residentes. un hacker bien instruido puede escribir un pequeño programa que intente conectarse a un puerto especificando el tipo de servicio que esta . el primer paso es saber en que forma se recolecta la información y además que tipo de información es.

Acceso a sistemas protegidosi El intruso utiliza los resultados obtenidos a través de las pruebas para poder intentar accesar a los servicios específicos de un sistema. Pueden instalar paquetes de sondeo que incluyan códigos binarios conocidos como "caballos de Troya" protegiendo su actividad de forma transparente. El intruso usa la información collectada por este tipo de rastreadores para intentar el acceso no-autorizado al sistema de la organización puesta en la mira. Pueden encontrar otros servidores que realmente comprometan al sistema. El costo financiero del Proyecto "Firewall". se tiene que tomar algunas decisiones que pueden ser asignadas por el administrador de red: • • • • Posturas sobre la política del Firewall. La corrida del programa presenta una lista de los servidores que soportan servicio de Internet y están expuestos al ataque. podrá leer el correo. Bases para el diseño decisivo del firewall Cuando se diseña un firewall de Internet. Un administrador de redes hábil puede usar estas herramientas en su red privada para descubrir los puntos potenciales donde esta debilitada su seguridad y así determina que servidores necesitan ser remendados y actualizados en el sofware. tal es el caso como el Rastreador de Seguridad en Internet (ISS) o la Herramienta para Análisis de Seguridad para Auditar Redes (SATAN) . el hacker tiene disponibles las siguientes opciones: • • • • Puede atentar destruyendo toda evidencia del asalto y además podrá crear nuevas fugas en el sistema o en partes subalternas con el compromiso de seguir teniendo acceso sin que el ataque original sea descubierto. Los paquetes de sondeo colectan las cuentas y contraseñas para los servicios de Telnet y FTP permitiendo al hacker expandir su ataque a otras maquinas. Si el hacker puede obtener acceso privilegiado en un sistema compartido.• asignado al servidor en cuestión. buscar en archivos 1. Están disponibles varias herramientas del dominio publico. . el cual puede rastrear una subred o un dominio y ver las posibles fugas de seguridad. Los componentes o la construcción de secciones del Firewall. La política interna propia de la organización para la seguridad total. 2. Esto permite al hacker explotar vulnerablemente desde un servidor sencillo todos aquellos que se encuentren a través de la red corporativa. Después de tener el acceso al sistema protegido. 1. Estos programas determinan la debilidad de cada uno de los sistemas con respecto a varios puntos de vulnerabilidad comunes en un sistema.

Para que esta sea exitosa.de los servicios y estas limitantes numeran las opciones disponibles para los usuarios de la comunidad. aun que sea un firewall cuidadosamente desarrollado y armado. La desventaja de esta postura se basa en la importancia de "facilitar el uso" que la propia . Estas son dos posturas diametralmente opuestas que la política de un firewall de Internet puede tomar: • • "No todo lo específicamente permitido esta prohibido" "Ni todo lo específicamente prohibido esta permitido" la primera postura asume que un firewall puede obstruir todo el trafico y cada uno de los servicios o aplicaciones deseadas necesariamente para ser implementadas básicamente caso por caso. un simple paquete de filtrado firewall puede tener un costo mínimo ya que la organización necesita un ruteador conectado al Internet.000 pesos dependiendo de la complejidad y el numero de sistemas protegidos. un firewall casero puede ser construido con software de dominio publico pero este ahorro de recursos repercuten en términos del tiempo de desarrollo y el . Tan discutidamente escuchada. Política interna de la seguridad 2. el administrador de la red esta en su lugar de incrementar la seguridad en el sistema conforme crece la red. y la situación del negocio. la asesoría en caso riesgo. Las posturas del sistema firewall describen la filosofía fundamental de la seguridad en la organización. También además. Esta propuesta se basa en una filosofía conservadora donde se desconocen las causas acerca de los que tienen la habilidad para conocerlas.del sistema.facilitar el uso .es parte de la política de seguridad total en una organización -. La política de seguridad se basara en una conducción cuidadosa analizando la seguridad. estará exponiendo la red privada a un posible atentado.seguridad . Políticas del firewall. Desigual a la primer propuesta. un firewall de Internet no esta solo .1. Si no se posee con la información detallada de la política a seguir. y dicho paquete ya esta incluido como estándar del equipo. La segunda postura asume que el firewall puede desplazar todo el trafico y que cada servicio potencialmente peligroso necesitara ser aislado básicamente caso por caso. la organización debe de conocer que es lo se esta protegiendo.000 hasta $240. ¿Cuanto puede ofrecer una organización por su seguridad?. La desventaja es que el punto de vista de "seguridad" es mas importante que . Esta propuesta es recomendada únicamente a un limitado numero de servicios soportados cuidadosamente seleccionados en un servidor. Si la organización posee al experto en casa. la cual define todos los aspectos en competentes al perímetro de defensa. Esta propuesta crea ambientes mas flexibles al disponer mas servicios para los usuarios de la comunidad. esta postura esta basada en la generalidad de conocer las causas acerca de los que no tienen la habilidad para conocerlas 1. Un sistema comercial de firewall provee un incremento mas a la seguridad pero su costo puede ser de $32.

Gateway a Nivel-aplicación. actualización de software. Las reglas de filtrado se basan en revisar la información que poseen los paquetes en su encabezado. y la interface de salida del paquete. reparación de seguridad. 1. el paquete es descartado.ICMP. 3. Finalmente requiere de soporte continuo para la administración. o una combinación. por lo que resta del capitulo. e incidentes de manejo. Ilustración -4 Ruteador Filtra-Paquetes. el protocolo de encapsulado (TCP. se discutirá cada una de las opciones para la edificación de obstáculos y se describirá como se puede trabajar junto con ellos para construir un efectivo sistema firewall de Internet. este será desplazado de acuerdo a la información a la tabla de ruteo. la interface de entrada del paquete. Servicio dependiente del filtrado . o IP tunnel). • • • Ruteador Filtra-paquetes. mantenimiento general. UDP. el puerto destino TCP/UDP. si se encuentra la correspondencia y las reglas niegan el paso. el tipo de mensaje ICMP. un parámetro configurable por incumplimiento determina descartar o desplazar el paquete. Costo del firewall 4. Si estos no corresponden a las reglas. 2. Gateway a Nivel-circuito. El ruteador examina cada datagrama para determinar si este corresponde a uno de sus paquetes filtrados y que a su vez haya sido aprobado por sus reglas. el puerto fuente TCP/UDP. la dirección IP destino. la organización puede determinar específicamente los componentes del sistema. de los siguientes obstáculos. Componentes del sistema firewall Después de las decisiones acerca de los ejemplos previos.despliegue del sistema firewall. lo que hace posible su desplazamiento en un proceso de IP. Este ruteador toma las decisiones de rehusar/permitir el paso de cada uno de los paquetes que son recibidos. Un firewall típico se compone de uno. 1. Esta información consiste en la dirección IP fuente. Si se encuentra la correspondencia y las reglas permiten el paso del paquete.

Este tipo de ataques ciertamente son difíciles de identificar usando la información básica de los encabezados debido a que estos son independientes al tipo de servicio. revisando fragmentos especiales de edición. Edificando obstáculos: ruteador filtra-paquetes Las reglas acerca del filtrado de paquetes a través de un ruteador para rehusar/permitir el trafico esta basado en un servicio en especifico.los paquetes poseen una dirección fuente IP falsa de un servidor interno del sistema -. el ruteador simplemente descarta todos los paquetes que contengan el valor del puerto destino TCP igual a 23. Los ruteadores pueden ser configurados para protegerse de este tipo de ataques pero son mas difíciles de especificar desde entonces las reglas para el filtrado requieren de información adicional que pueda ser estudiada y examinada por la tabla de ruteo. Permitir la entrada de sesiones FTP únicamente a los servidores internos especificados.2. el ruteador podrá rehusar el paso a todos aquellos paquetes que contengan el puerto destino TCP igual a 23 y que no contengan la dirección destino IP de uno de los servidores permitidos. un servidor Telnet esta a la espera para conexiones remotas en el puerto 23 TCP y un servidor SMTP espera las conexiones de entrada en el puerto 25 TCP. . El agresor espera que usando este impostor se pueda penetrar al sistema para emplearlo seguramente como dirección fuente donde los paquetes que trasmita sean autentificados y los del otro servidor sean descartados dentro del sistema. Servicio independiente del filtrado 2. inspeccionando las opciones especificas IP. Por ejemplo. 1. Para este tipo de ataque. Los ataques por seudo-fuentes pueden ser frustrados si descartamos la dirección fuente de cada paquete con una dirección fuente "interno" si el paquete arriva en una de las interfaces del ruteador "externo". Para bloquear todas las entradas de conexión Telnet. Permitir todas las salidas para sesiones FTP. Permitir todas las salidas para sesiones Telnet. Para restringir las conexiones Telnet a un limitado numero de servidores internos. etc. Algunos ejemplos de este tipo de ataques incluye: Agresiones Originadas Por El Direccionamiento IP. Algunas características típicas de filtrado que un administrador de redes podría solicitar en un ruteador filtra-paquetes para perfecionar su funcionamiento serian: • • • • • Permitir la entrada de sesiones Telnet únicamente a una lista especifica de servidores internos. el intruso trasmite paquetes desde afuera pretendiendo pasar como servidor interno . Rehusar todo el trafico UDP. desde entonces muchos servicios vierten su información en numerosos puertos TCP/UDP conocidos.

Limitaciones del ruteador filtra-paquetes Definir el filtrado de paquetes puede ser una tarea compleja porque el administrador de redes necesita tener un detallado estudio de varios servicios de Internet. sea este pequeño o no . Cualquier paquete que pasa directamente a través de un ruteador puede ser posiblemente usado como parte inicial un ataque dirigido de datos. una agresión pequeñisima puede ser frustrada si se descartan todos los paquetes donde el tipo de protocolo es TCP y la fragmentación de compensación IP es igual a 1. Desde entonces el acceso a Internet es generalmente provisto a través de interfaces WAN. Los ataques originados en el ruteador pueden ser frustrados simplemente descartando todos los paquetes que contengan fuentes de ruteo opcionales. Beneficios del ruteador filtra-paquetes 4. la estación de origen especifica la ruta que un paquete deberá de tomar cuando cruce a través del Internet. La mayoría de sistemas firewall son desplegados usando únicamente ruteadores filtra-paquetes. el ruteador de filtrado es por lo general transparente a los usuarios finales y a las aplicaciones por lo que no se requiere de entrenamiento especializado o software especifico que tenga que ser instalado en cada uno de los servidores. Otros que tienen tiempo planean los filtros y configuran el ruteador. Este tipo de ataques son diseñados para cuantificar las derivaciones de seguridad y encauzan al paquete por un inesperado camino a su destino. y los valores específicos esperados a encontrase en cada campo. Agresiones Por Fragmentación. desde que los componentes básicos de los ruteadores incluyen revisiones estándar de software para dicho efecto.Agresiones Originadas En El Ruteador. estas serán menos fáciles de verificar para las correcciones de las reglas de filtrado después de ser configuradas en el ruteador. Si las necesidades de filtrado son muy complejas. los intrusos utilizan las características de fragmentación para crear fragmentos extremadamente pequeños y obligan a la información del encabezado TCP a separarce en paquetes. Estos pequeños fragmentos son diseñados para evitar las reglas definidas por el filtrado de un ruteador examinando los primeros fragmentos y el resto pasa sin ser visto. Potencialmente se puede dejar una localidad abierta sin probar su vulnerabilidad. Por este tipo de ataques. se necesitara soporte adicional con lo cual el conjunto de reglas de filtrado puede empezar a complicar y alargar el sistema haciendo mas difícil su administración y comprensión. Haciendo memoria este tipo de ataques ocurren cuando los datos aparentementes inocuos se desplazan por el ruteador a un . optimando la operación del ruteador moderando el trafico y definiendo menos filtros. el costoso para implementar la filtración de paquetes no es cara. En un ataque de ruteo. Finalmente. Aunque si bien únicamente es explotado por sencillos decodificadores . como los formatos del encabezado de los paquetes. Finalmente. 3.

pero ellos jamas podrán seccionar en el Gateway a nivel-aplicación. los paquetes entorno al ruteador disminuyen conforme el numero de filtros utilizados se incrementa. Los datos contienen instrucciones ocultas que pueden causar que el servidor modifique su control de acceso y seguridad relacionando sus archivos facilitando al intruso el acceso al sistema. el tiempo y los conocimientos requeridos para configurar el gateway. Un ruteador Filtra-Paquetes puede permitir o negar un servicio en particular. Los ruteadores son optimizados para extraer la dirección destino IP de cada paquete. Como en todos los casos el administrador de redes debe de balancear las necesidades propias en seguridad de la organización con la demanda de "fácil de usar" demandado por la comunidad de usuarios. Un aumento de seguridad de este tipo incrementa nuestros costos en términos del tipo de gateway seleccionado. Es importante notar que los usuarios tienen acceso por un servidor Proxy. El filtrado de paquetes IP no puede ser capaz de proveer el suficiente control sobre el trafico. Esto puede consumir ciclos de CPU e impactar el perfecto funcionamiento del sistema. el servicio no es soportado y no podrán desplazarse a través del firewall. pero no es capaz de comprender el contexto/dato del servicio. Si esta autorizado el filtro. Por ejemplo.servidor interno. Aun cuando. el código Proxy puede ser configurado para soportar únicamente las características especificas de una aplicación que el administrador de red considere aceptable mientras niega todas las otras. Si el administrador de red no instala el código Proxy para la aplicación particular.limitando el acceso a un subconjunto de comandos disponibles por FTP o Telnet. Los gateways nivel-aplicación permiten al administrador de red la implementación de una política de seguridad estricta que la que permite un ruteador filtra-paquetes. y el desplazamiento de paquetes para la interface apropiada de la transmisión. los servicios de aplicaciones del Proxy. Generalmente. haciendo relativamente simple la consulta a la tabla de ruteo. no únicamente podrá el ruteador tomar la decisión de desplazar cada paquete. Mucho mejor que depender de una herramienta genérica de filtra-paquetes para administrar la circulación de los servicios de Internet a través del firewall. Si se permite a los usuarios seccionar en el sistema de firewall. un administrador de red necesita filtrar el trafico de una capa de aplicación . dando como resultado un sistema carente de transparencia en el manejo de los usuarios en un ambiente "amigable". la seguridad es amenazada desde el . bloquear la importación de Mail o Newsgroups concerniente a tópicos específicos. Edificando obstáculos: gateways a nivel-aplicación 2. Este tipo de control es muy perfeccionado a las capas altas por los servicios de un servidor Proxy y en Gateways a Nivel-aplicación. y un decrecimiento en el nivel de los servicios que podrán obtener nuestros usuarios. pero también sucede aun aplicando todas las reglas de filtrado. 1. se instala en el gateway un código de proposito-especial (un servicio Proxy) para cada aplicación deseada.

Cada Proxy es configurado para soportar únicamente un subconjunto de aplicaciones estándar de un conjunto de comandos. Servidor de defensa Un ruteador filtra-paquetes permite la circulación directa de los paquetes dentro y fuera del sistema. 1. Por ejemplo. si el servidor de defensa es una plataforma UNIX. este puede ser atacado. Adicionalmente. Si un comando estándar no es soportado por la aplicación Proxy. se ejecutara una versión segura del sistema operativo UNIX que es diseñado específicamente para proteger los sistemas operativos vulnerables y garantizar la integridad del firewall. Hay varias características de diseño que son usadas para hacer mas seguro un servidor de defensa: • • • • • La plataforma de Hardware del servidor de defensa ejecuta una versión "segura" de su sistema operativo. Generalmente. Por ejemplo. El servidor de defensa podrá requerir de una autenticación adicional para que el usuario accese a los servicios Proxy. Por ejemplo. el servidor de defensa es ideal para colocar un sistema fuerte de supervisión de autorización (tal como la tecnología "una-sola vez" de contraseña donde una tarjeta inteligente generaba un código de acceso único por medios criptográficos). y autenticación de usuarios son instalados en este servidor. Unicamente los servicios que el administrador de redes considera esenciales son instalados en el servidor de defensa. diferente a esto el Gateway a nivel-aplicación deja que la información circule entre los sistemas pero no permite el intercambio directo de paquetes.momento en que un intruso puede potencialmente ejecutar muchas actividades que comprometen la efectividad del sistema. Un Gateway a nivel-aplicación por lo regular es descrito como un "servidor de defensa" porque es un sistema diseñado específicamente blindado y protegido contra cualquier ataque. SMTP. cada servicio Proxy podrá requerir de autorización propia después que el usuario tenga acceso a su sesión. 2. . instalar un caballo de troya para colectar las contraseñas. es porque simplemente no esta disponible para el usuario. un conjunto limitado de aplicaciones Proxy tales como Telnet. Esto significa que existe un conjunto de características/comandos que podrán ser aplicados para un subconjunto de sistemas en la red protegida. La lógica de operación es que si el servicio no esta instalado. y modificar la configuración de los archivos de seguridad en el filrewall. El principal riesgo de permitir que los paquetes se intercambien dentro y fuera del sistema se debe a que el servidor residente en los sistemas de protección de la red podrá ser asegurado contra cualquier amenaza representada por los servicios permitidos. Cada Proxy esta configurado para dejar acceder únicamente a los servidores especificados en el sistema. DNS. el intruso podría obtener el acceso de root. FTP.

el cliente obtiene acceso a la interface de usuario del Telnet Proxy. El registro de audición es un herramienta esencial para descubrir y finalizar el ataque de un intruso. y la duración de cada conexión. Cada Proxy es un programa pequeño y sencillo específicamente diseñado para la seguridad de redes. 1. .puede tener alrededor de 20. o si se descubriera un sistema vulnerable.• • • • • Cada Proxy mantiene la información detallada y auditada de todos los registros del trafico. Cada Proxy es independiente de todas las demás aplicaciones Proxy en el servidor de defensa. Por ejemplo. El Telnet Proxy nunca permite al usuario remoto que se registre o tenga acceso directo al servidor interno. Un Proxy generalmente funciona sin acceso al disco lo único que hace es leer su archivo de configuración inicial . Este únicamente permite un subconjunto de comandos Telnet y además determina cual de los servidores son disponibles para el acceso vía Telnet. este puede desinstalarse sin afectar la operación de las demás aplicaciones. Después de ser autentificado. Si se sucitara un problema con la operación de cualquier Proxy.UNIX mail . el administrador de redes puede fácilmente instalar el servicio Proxy requerido en el servidor de defensa. Para este ejemplo. si la población de usuarios requiere el soporte de un nuevo servicio. Aun. El cliente externo ejecuta un telnet al servidor de defensa donde es autorizado por la tecnología "una-sola vez" de contraseña. Ilustración -5 Telnet Proxy. Este permite que el código fuente de la aplicación pueda revisar y analizar posibles intrusos y fugas de seguridad. un cliente externo ejecuta una sesión Telnet hacia un servidor integrado dentro del sistema de seguridad por el Gateway a nivel-aplicación.000 líneas de código cuando un correo Proxy puede contener menos de mil. un intruso podrá encontrar mas dificultades para instalar caballos de Troya perjudiciales y otro tipo de archivos peligrosos en el servidor de defensa. Ejemplo: telnet proxy La ilustra la operación de un Telnet Proxy en un servidor de defensa. cada conexión . desde que la aplicación Proxy no ejecuta su acceso al disco para soporte. Cada Proxy corre como un usuario no-previlegiado en un directorio privado y seguro del servidor de defensa. una típica aplicación .

se le entrega al usuario su tarjeta desactivada para que el introduzca un PIN y se le regresa la tarjeta. una vez que se le ha permitido seccionar se comunica con el Telnet Proxy -.Ilustración -6 Sesión Vía Terminal De Telnet Proxy. 1. Los gateways a nivel-aplicación tienen la habilidad de soportar autenticaciones forzando al usuario para proveer información detallada de registro.el usuario comienza su sesión autentificándose por el servidor de defensa e intercambia respuestas. En el ejemplo de Telnet. obtendrá una respuesta de validación por un numero. Finalmente. Beneficios del gateway a nivel-aplicación 2. mientras el servidor interno cree que el Telnet proxy es un cliente externo. El cliente externo cree que el Telnet Proxy es el servidor interno real. 3. basada en parte como llave "secreta" de encriptacion y con un reloj interno propio. en un comando de telnet. las reglas de filtrado para un gateway de este tipo son mucho mas fáciles de configurar y probar que en un ruteador filtra-paquetes. el acceso de Telnet vía gateway a nivel-aplicación demanda modificar la conducta del usuario desde el momento en que se requiere de dos pasos para hacer una conexión mejor que un paso. Son muchos los beneficios desplegados en un gateway a nivel-aplicación. Después de pasar el intercambio de respuestas. los comandos internos son desplazados hacia el cliente externo. el administrador de la red tenga el completo control acerca de que servicios que son permitidos desde la carencia de un servicio proxy para uno en particular significa que el servicio esta completamente bloqueado. Los usuarios externos especifican el servidor de destino y el Telnet Proxy una vez hecha la conexión. mejor que el propio. Nótese que el cliente no se esta registrando al servidor de defensa . Ellos dan a la administración de red un completo control de cada servicio desde aplicaciones proxy limitadas por un conjunto de comandos y la determinación del servidor interno donde se puede accesar a los servicios. una vez que se establece la sesión se obtiene un valor de respuesta encriptado. Como siempre. el software especializado podrá ser instalado en un sistema terminado para hacer las aplicaciones del gateway transparentes al permitir a los usuarios especificar el servidor de destino. pero usando una combinación de ambos métodos se incrementa la probabilidad del uso correcto de la autenticación. el servidor Proxy limita un conjunto de comandos y destinos que están disponibles para los clientes externos. Aun cuando. Limitaciones del gateway a nivel-aplicación Probablemente una de las grandes limitaciones de un gateway a nivel-aplicación es que requiere de modificar la conducta del usuario o requiere de la instalación de software especializado en cada sistema que accese a los servicios Proxy. Por ejemplo. el Proxy transmite un requerimiento de registro y el usuario. Típicamente. . Ambas técnicas están sujetas a plagio. El Ilustración -7 presenta la salida en pantalla de la terminal de un cliente externo como la "conexión" a el servidor interno una vez establecida. con la ayuda de su tarjeta electrónica. La autenticación puede basarse en "algo conocido por los usuarios" (como una contraseña) o "algo que tengan" que posean físicamente (como una tarjeta electrónica) cualquiera de las dos.

com . la conexión del sistema externo actúa como si fuera originada por el sistema de firewall tratando de beneficiar el encubrir la información sobre la protección de la red. A nivel-circuito simplemente trasmite las conexiones TCP sin cumplir cualquier proceso adicional en filtrado de paquetes. o dirigiendo el protocolo de Telnet. Ilustración -8Gateway Nivel-Circuito. El gateway a nivel-circuito acciona como una cable copiando los bytes antes y después entre la conexión interna y la conexión externa. Fuentes de documento www. El Gateway a nivel-circuito se usa frecuentemente para las conexiones de salida donde el administrador de sistemas somete a los usuarios internos.monografías. Tal como se menciono anteriormente. La Ilustración -9 muestra la operación de una conexión típica Telnet a través de un Gateway a nivel-circuito.wikipedia. filtrarlo. De cualquier modo. Esto hace que el sistema de firewall sea fácil de usar para los usuarios internos quienes desean tener acceso directo a los servicios de Internet mientras se proveen las funciones del firewall necesarias para proteger la organización de los ataques externos.com www. Edificando obstáculos: gateway a nivel-circuito Un Gateway a nivel-circuito es en si una función que puede ser perfeccionada en un Gateway a nivel-aplicación. La ventaja preponderante es que el servidor de defensa puede ser configurado como un Gateway "híbrido" soportando nivelaplicación o servicios Proxy para conexiones de venida y funciones de nivel-circuito para conexiones de ida. este gateway simplemente trasmite la conexión a través del firewall sin examinarlo adicionalmente.1.

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->