Está en la página 1de 190

UNIVERSIDAD NACIONAL DE LOJA

INGENIERA EN ELECTRONICA
Y TELECOMUNICACIONES

Gabriel Jimnez
Angel Masaco
Juan Torres
Roberto Zambrano

Contact Us:
Lorem ipsum dolor, 109387, State, Country
P. 123 456 7890 / email@domain.com

1.

Cuando se utiliza la criptografa para mejorar los servicios de seguridad de TCP,


incluyendo la confidencialidad, la integridad de los datos y la autenticacin del punto
terminal, nace un nuevo concepto es decir una versin mejorada de TCP la que se
conoce comnmente como Capa de sockets seguros (SSL, Secure Sockets Layer).

2.

SSL versin 3, Seguridad de la capa de transporte (TLS) estandarizada IETF.

1. Diseado originalmente por Netscape.


2. SSL Soportado por todos los navegadores y servidores Webs ms populares de internet.
3. Si el navegador en la URL est con Https: esta utilizando SSL.

Al no contar con SSL, se puede sufrir ataques de terceros. Ataques como Man in The Middle
No se tiene, autenticacin, integridad de la informacin y
confidencialidad de esta informacin.
Hoy en da este tipo de ataques son muy sencillos mediante
herramientas libres disponibles en Internet.
Herramientas como:
Firesheep (2010), es una extensin para el Firefox navegador
web que utiliza un analizador de paquetes para interceptar sin
cifrar las cookies (de sesin) de los sitios web como Facebook y
Twitter o Google.
WhatsappSniffer (2011).

- Estos incidentes hicieron que las compaas habilitaran el protocolo SSL, para acceder a sus servicios de
una forma segura.
- Principalmente SSL proporciona seguridad a transacciones en HTTP, sin embargo ese puede ser
empleado en cualquier aplicacin que se ejecute sobre TCP.
- Dicho todo esto cual es el concepto de SSL:
SSL es un protocolo criptogrfico que proporciona autenticacin, integridad y confidencialidad de la
informacin en una comunicacin Cliente/Servidor a travs de una red.

- Este se ejecuta en una capa entre los protocolos de aplicacin como HTTP, SMTP
y el protocolo de transporte TCP.
- SSL se compone de tres fases: Acuerdo, deduccin de clave y transferencia de
datos.

Conexiones TCP seguras SSL

Panormica Genera
1. Negociacin de parmetros entre el cliente y el
servidor.(fase de acuerdo)
2. Autenticacin tanto del cliente como del
servidor.(deduccin de la clave)
3. Comunicacin secreta.(transferencia de datos)
4. Proteccin de la integridad de los datos.(registro SSL)

Conexiones TCP seguras SSL

FASE DE ACUERDO
(a) establecer una conexin
TCP con Servidor
(b) verificar que el servidor
es realmente servidor
(c) enviar al Servidor una
clave secreta maestra, que
ambos emplearn para
generar todas las claves
simtricas que necesiten
para la sesin SSL.

Conexiones TCP seguras SSL

DEDUCCIN DE LAS CLAVES


Se fundamente en utilizar Claves criptogrficas
distintas y tambin que empleen claves
distintas para el cifrado y las comprobaciones
de integridad
Ec = clave de cifrado de sesin para los
datos que EL CLIENTE enva AL SERVIDOR
Mc = clave MAC de sesin para los datos
que CLIENTE enva AL SERVIDOR.
Es = clave de cifrado de sesin para los
datos que El SERVIDOR enva a AL
CLIENTE
Ms = clave MAC de sesin para los datos
que SERVIDOR enva a Benito.

Algoritmos de Criptologa
El ms robusto utiliza triple DES con tres claves separadas para encriptacin y SHA-1 para la
integridad de mensajes.

Despus de recibir el mensaje, Cliente (Bob)


calcula el hash SHA-1 l mismo y tambin aplica la
clave pblica de Servodor al hash firmado para
obtener el hash original, H. Si los dos concuerdan, el
mensaje se considera vlido.

Algoritmos de Criptologa
Para las aplicaciones comunes de comercio
electrnico, se utiliza RC4 con una clave de
128 bits para encriptacin y MD5 se utiliza
para la autenticacin de mensajes.
RC4 toma la clave de 128 bits como semilla
y la expande a un nmero mucho ms
grande ara uso interno. Despus utiliza
este nmero interno para generar un flujo
de claves. A ste se le aplica un OR
exclusivo con el texto llano para
proporcionar un cifrado clsico de flujo,
como vimos en la figura 8-14. Las versiones
de exportacin tambin utilizan RC4 con
claves de 128 bits, 88 de los cuales se
hacen pblicos para que el cifrado sea fcil
de romper.

MD5
Es un algoritmo que proporciona un cdigo asociado a un
archivo o un texto concretos. De esta forma, a la hora de
descargar un determinado archivo, como puede ser un
instalador, el cdigo generado por el algoritmo, tambin
llamado hash, viene unido al archivo.
Una vez tengamos disponibles los dos cdigos MD5, el de
nuestro archivo descargado y el del instalador o software de la
web oficial del desarrollador, podremos comparar ambos y ver
si coinciden y nuestro archivo es fiable o no.

Transferencia de datos
Cuando se comparten las mismas claves de secion se puede enviar
datos de forma segura a btravez de una conexin TCP
No es necesario esperar que termine la secion TCP para verificar la
integridad.
Para resolver este problema, SSL divide el flujo de datos en registros,
aade un cdigo MAC
Para crear el cdigo MAC se agregan datos del registro, este paquete
cifrado se pasa entonces a TCP para transportarlo a travez de
internet

Transferencia de datos
Aunque este mtodo permite resolver bastantes problemas sigue
siendo un mtodo imperfecto en lo que refiere a proporcionar
integridad para los datos.
Un intruso puede atentar con la integridad de los mensajes (insertar,
borrar y sustituir segmentos en el flujo de segmentos enviados) en la
secuencia TCP que no ha sido cifrada

Transferencia de datos
La solucin ha este problema consiste en utilizar nmeros de
secuencias. SSL lo hace de la manera siguiente
Se mantiene un contador de numero de secuencia que inicializa en
cero y que aumenta cada vez que enva un registro SSL
El emisor no incluye un numero se secuencia en el registro sino que
se lo agrega en el calculo del cdigo MAC
El receptor controla los nmeros de secuencias pudiendo verificar
incluso la secuencia apropiada de la MAC
Este uso impide que se logre un ataque en los paquetes

REGISTRO SSL
El registro consta de:
1. Campo tipo
2. Campo de versin
3. Campo de longitud
4. Campo de datos
5. Campo de MAC
Los tres primeros campos no estn cifrados

REGISTRO SSL

Una panormica mas completa


1. El cliente enva una lista de algoritmos que soporta, junto con un
nmero de unicidad del cliente
2. El servidor elige un algoritmo de la lista. El servidor enva su eleccin, el
certificado y el nmero de unicidad del servidor.
3. El cliente verifica el certificado, extrae la clave pblica del
servidor, genera el pre-master secret, lo cifra con la clave pblica de
servidor y lo enva al servidor.
4. El cliente y el servidor calculan independientemente las claves de
cifrado y MAC a partir del pre-master secret y los nmeros de unicidad
(ambos comparten estas cuatro claves).
5. El cliente enva un MAC de todos los mensajes de acuerdo.
6. El servidor enva un MAC de todos los mensajes de acuerdo.

Una panormica mas completa

Una panormica mas completa


En SSL los nmeros distintivos se emplean para defenderse de los
ataques por reproduccin dela conexin , mientras que los nmeros
de secuencia se emplean para defenderse frente a la reproduccin de
paquetes individuales durante un sesin activa.

Una panormica mas completa


Para terminar la sesin SSL. Una tcnica fcil posible es enviar una
mensaje TCP FIN.
Una solucin consiste indicar en el campo de tipo si el registro sirve
para terminar sesin SSL
Si se recibe un segmento TCP FIN antes de recibir un registro SSL de
cierre deducira inmediatamente que algo raro esta sucediendo.

Una panormica
mas
completa
Servicios de seguridad ofrecidos por SSL/TLS
Confidencialidad. Flujo normal: intercambio de mensajes cifrados con claves
simtricas
Al inicio de la sesin/conexin cliente y servidor acuerdan las claves que
usaran
Dos claves, una por sentido: cliente servidor, servidor cliente
Dilogo inicial: mecanismo seguro de intercambio de claves basado en
criptografa asimtrica
Autenticacin de entidades. Cliente puede verificar la identidad del servidor
mediante un mecanismo basado en firmas digitales.
Exige conocer (y aceptar/confiar) la clave publica del servidor
mediante el empleo de certificados digitales
Esquema anlogo para la autenticacin del cliente frente al servidor (si es
requerida)
Autenticacin de mensajes. Los paquetes SSL, adems de ir cifrados, incluyen
cdigos HMAC para garantizar integridad y autenticidad
Dos claves secretas (una por sentido) acordadas al iniciar sesin/conexin

INTRODUCCIN
La congestin en una red se puede producir cuando se intenta transmitir datos de

bastantes emisores a grandes distancia


La congestin normalmente ocurre en los enrutadores de una red
El congestionamiento de la red produce un desbordamiento de los buffers de los
router provocando la perdida o retraso de paquetes

El control de congestionamiento pretende resolver estos problemas


El control de congestin es un proceso que es responsabilidad de la capa de Red y
la capa de Transporte
La retransmisin de paquetes al no
recibir la seal ASK durante la
temporizacin no es una manera de

resolver la congestin de la red

Existen mecanismos que tratan de resolver el congestionamiento en la red


El control de flujo de los emisores es una de las soluciones
La congestin de una red puede provocar una mala QoS y menor

rendimiento a la aplicaciones de capas superior


Control de flujo vs Control de congestin

CAUSAS Y COSTES DE LA CONGESTIN

CAUSAS DE LA CONGESTIN
Memoria insuficiente en los dispositivos de interconexin para almacenar los
paquetes que llegan mientras son encaminados a su destino.
Baja velocidad de procesamiento de los dispositivos de networking.

Capacidad o ancho de banda insuficiente en los enlaces de la red.

CONSECUENCIAS DE LA CONGESTIN
Retardos excesivamente largos.
Prdida de paquetes.
Desperdicio de los recursos de la red.
Colapso de la red

CASO DE ESTUDIO 1
Dos transmisores comparten un mismo enlace de salida.
Un router con un buffer de capacidad infinita.
in datos enviados por la aplicacin (bytes/sec)
out datos recibidos por la aplicacin (bytes/sec)
La capacidad del enlace de salida es R.

CASO DE ESTUDIO 2

Dos transmisores comparten un mismo enlace de salida.

Un router con un buffer de capacidad limitada.

in datos enviados por la aplicacin (bytes/sec)

'in carga ofrecida a la red.

out datos recibidos por la aplicacin (bytes/sec)

La capacidad del enlace de salida es R.

CASO DE ESTUDIO 3

Varios clientes comparten varios enlaces.

Los enlaces tienen ms de un salto entre origen y destino.

Los routers son de capacidad limitada.

in datos enviados por la aplicacin (bytes/sec)

'in carga ofrecida a la red.

out datos recibidos por la aplicacin (bytes/sec)

La capacidad de los enlaces es de R.

MTODOS PARA CONTROLAR LA


CONGESTIN
La presencia de congestin significa que la carga es (temporalmente) mayor de la
que los recursos (en una parte de la red) pueden manejar. Se pueden dar 2
soluciones: aumentar los recursos o reducir la carga.

MTODOS PARA CONTROLAR LA CONGESTIN


AUMENTAR LOS RECURSOS
La manera ms bsica de evitar la congestin es construir una red que coincida bien
con el trfico que transmita. Algunas veces se pueden agregar recursos en forma
dinmica cuando hay un problema grave de congestin conocido como
aprovisionamiento.
Las rutas se pueden ajustar a los patrones de trfico que cambian durante el da, a
medida que los usuarios de la red entran y salen, a esto se conoce como enrutamiento
consciente del trfico (traffi-aware routing).

MTODOS PARA CONTROLAR LA CONGESTIN


ENRUTAMIENTO CONSCIENTE DEL TRFICO
El objetivo al tener en cuenta la carga al calcular las rutas es desviar el trfico de los
puntos ms activos que sern los primeros lugares en la red en experimentar congestin.
La manera ms directa de hacer esto es establecer la ponderacin de enlaces de manera
que sea una funcin del ancho de banda del enlace (fijo) y el retardo de propagacin ms
la carga medida (variable) o el retardo de encolamiento promedio.

MTODOS PARA CONTROLAR LA CONGESTIN


REDUCIR LA CARGA
Control de congestin terminal a terminal: La capa de red no proporciona soporte
explcito a la capa de transporte para propsitos de control de congestin. Incluso la
presencia de congestin en la red tiene que ser inferida por los sistemas terminales
basndose nicamente en el comportamiento observado de la red.
Control de congestin asistido por la red: Los componentes de la capa de red
proporcionan una realimentacin explcita al emisor informando del estado de
congestin en la red. Esta realimentacin puede ser tan simple como un nico bit que
indica que existe congestin en un enlace.
Realimentacin directa: Se conecta directamente al emisor e indica que existe
congestin por medio de un paquete de asfixio o bloqueo.
Realimentacin a travs del receptor: El receptor notifica al emisor que existe
congestin en base al paquete que recibe.

MTODOS PARA CONTROLAR LA CONGESTIN


REDUCIR LA CARGA
Se pueden presentar 2 inconvenientes debido a estas realimentaciones:
Identificar el comienzo de la congestin: Monitoreando la carga promedio, el
retardo de encolamiento o la prdida de paquetes. Los nmeros crecientes indican un
aumento en la congestin.
Como informar a la fuente que necesita reducir su velocidad: Tener enrutadores
que enven ms mensajes cuando la red ya se encuentra congestionada.
Por ltimo, cuando todo lo dems falla, la red se ve obligada a descartar los paquetes que
no puede entregar. El nombre general para esto es desprendimiento de carga (load
shedding).

MTODOS PARA CONTROLAR LA CONGESTIN


DESPRENDIMENTO DE CARGA
Cuando se inunda a los enrutadores con paquetes que no pueden manejar, simplemente
se tiran. Para conocer que paquetes tirar la opcin puede depender del tipo de
aplicaciones que utiliza la red. En una transferencia de archivos vale ms un paquete
viejo que uno nuevo a esto se le conoce comnmente como vino (wine) y as mismo ms
nuevo es mejor que ms viejo con frecuencia se le llama leche (milk), Un
desprendimiento de carga ms inteligente requiere la cooperacin de los emisores.
Para implementar una poltica inteligente de descarte, las aplicaciones deben marcar sus
paquetes para indicar a la red qu tan importantes son. As, al tener que descartar
paquetes, los enrutadores pueden eliminar primero los paquetes de la clase menos
importante, luego los de la siguiente clase ms importante, y as en lo sucesivo.

MTODOS PARA CONTROLAR LA CONGESTIN


DETECCIN TEMPRANA ALEATORIA
Es ms efectivo lidiar con la congestin cuando apenas empieza que dejar que dae la
red y luego tratar de solucionarlo. De ello se considera descartar paquetes antes de que
se agote realmente el espacio en el bfer.
Un algoritmo popular para realizar esto se conoce como RED (Deteccin Temprana
Aleatoria), para determinar cundo hay que empezar a descartar paquetes, los
enrutadores mantienen un promedio acumulado de sus longitudes de cola. Cuando la
longitud de cola promedio en algn enlace sobrepasa un umbral, se dice que el enlace
est congestionado y se descarta una pequea fraccin de los paquetes al azar.

MTODOS PARA CONTROLAR LA CONGESTIN


En una red de circuitos virtuales, se podran rechazar las nuevas conexiones si
provocaran el congestionamiento de la red. A esto se le conoce como control de
admisin.
CONTROL DE ADMISIN
Se utiliza en las redes de circuitos virtuales, no se debe establecer un nuevo circuito
virtual a menos que la red pueda transportar el trfico adicional sin congestionarse.
Por analoga, en el sistema telefnico, cuando un conmutador se sobrecarga, practica el
control de admisin al no dar tonos de marcado.

Control de Congestin

Enfoque: Control de congestin


asistido por la red.

Ejemplo: Control de congestin en el servicio ABR de


redes ATM .
ABR, Available bit rate, Tasa de bits disponible: servicio
til en ATM cuando no se necesita sincronizacin,
algoritmo que utiliza un mecanismo de control asistido por
la red.
ATM, Asynchronous Transfer Mode, Modo de
Transferencia Asncrono:
Emplea VC, circuitos virtuales.
Mantiene informacin del estado de ruta (origendestino)
Conoce comportamiento del emisor (Vel. de tx)
Realiza acciones de gestin de congestin especficas.

Tecnologa
telecomunicacin.

de

Gran demanda de capacidad


de transmisin.
servicios y aplicaciones

CONTROL DE CONGESTIN POR ABR


Enva en el paquete de datos intercalados con paquetes de gestin de recursos
(celdas RM, Resource-Management) - informacin relativa al control de
congestin (host - conmutadores).
ABR es basado en la velocidad de transmisin
Emisor calcula una velocidad mx. de transmisin y se regula en base a este.

Mecanismos de Control.
Bit EFCI:
Cada celda de datos contiene un bit EFCI (Explicit Forward
Congestin Indication, Indicacin de congestin explcita directa).
EFCI == 1, congestin al host de destino.
Comprobar el bit EFCI de todas las celdas de datos recibidas.
Si llega una RM y EFCI == 1 en una celda anterior, el host destino
devuelve la celda RM al emisor con el bit CI (indicacin de
congestin) = 1.
Utilizando EFCI y CI es posible notificar a un emisor que existe
congestin en un dispositivo de conmutacin.

Mecanismos de Control.
Bit CI y NI:
Intercalado de RM, configurable, default cada 32 celdas de datos.
RM, contiene un bit indicativo de congestin (CI) y uno de no incremento
(NI).
Configurables por un dispositivo de conmutacin de la red.
Si NI == 1, congestin leve; CI = 1, congestin severa.
El receptor devuelve al emisor sin tocar estos bits. Excepto el CI si el creyera
necesario activarlo.

Mecanismos de Control.
Configuracin de ER (Explicit Rate, velocidad explcita):
Existe un campo de bits (2 bytes).
El conmutador puede reducir el valor en el campo.
Establecer una velocidad mnima soportable por todos los
dispositivos.
Esta configuracin aplica a todo dispositivo entre origen
destino.
En conclusin, ABR:

Si el camino est descargado puede usar ms capacidad.

Si el camino est cargado el emisor debe limitarse a una capacidad mnima


garantizada.

UNIVERSIDAD NACIONAL DELOJA

Gilda Alvarado
Viviana Lojn
Katherine Minga
John Sigcho
Electrnica y Telecomunicaciones

PRINCIPIOS DE LA CRIPTOGRAFA

Las tcnicas criptogrficas modernas, incluyendo


muchas de las utilizadas en Internet, estn basadas en
los avances realizados en los ltimos 30 aos, aunque
nos vamos a centrarnos en el uso de la criptografa
para conseguir confidencialidad, las tcnicas
criptogrficas estn inextricablemente unidas a la
autenticacin, la integridad de los mensajes, el no
repudio y otras muchas cuestiones.
Las tcnicas criptogrficas permiten a un emisor
ocultar los datos de modo que los intrusos no puedan
obtener ninguna informacin a partir de los datos
interceptados. El receptor, deber ser capaz de
recuperar los datos originales a partir de los datos
ocultados.

Es interesante observar que, en muchos sistemas


criptogrficos modernos, incluyendo los utilizados en
Internet, la propia tcnica de cifrado es conocida, en el
sentido de que es pblica, esta estandarizada y est
disponible para todo el mundo (por ejemplo, [RFC 1321;
RFC 2437; RFC 2420; NIST 2001]), incluso para los
potenciales intrusos).

Ejemplo:
Alicia proporciona una clave, KA, una cadena de
nmeros o caracteres como entrada para el algoritmo
de cifrado. El algoritmo de cifrado toma la clave y el
mensaje de texto en claro, m, como entrada y genera el
texto cifrado como salida. La notacin KA(m) hace
referencia al formato en texto cifrado correspondiente
al mensaje de texto en claro, m. El algoritmo de cifrado
real con el que se vaya a utilizar la clave KA resultara
evidente dentro del contexto.

En los sistemas de clave simtrica, las claves de Alicia


y de Benito son idnticas y deben mantenerse en
secreto. En los sistemas de clave pblica, se emplea
una pareja de claves. Una de las claves es conocida
tanto por Benito como por Alicia (de hecho es
conocida por todo el mundo). La otra clave solo es
conocida por Benito o por Alicia, pero no por ambos.

Criptografa de clave simtrica

Todos los algoritmos criptogrficos implican sustituir una


cosa por otra.
ALGORITMO DE CLAVE SIMTRICA, se conoce con el
nombre cifrado de Cesar
Para un texto en espaol, el cifrado de Cesar funcionaria
tomando cada letra del mensaje en claro y
sustituyndola por la letra que esta k posiciones por
detrs en el alfabeto Por ejemplo, si k = 3, entonces la
letra a del texto en claro se convertir en la letra d en el
texto cifrado; la letra b de un texto en claro se convertir
en la letra e en el texto cifrado, y as sucesivamente.

POR EJEMPLO
el mensaje de texto en claro Benito, te quiero, alicia se
transformara en
ehqlwr, wh t x l h u r. d o l f l d en el texto cifrado.
Aunque el texto cifrado parece una sucesin de letras sin
sentido, en realidad no se tardara mucho en romper el
cdigo si se sabe que se est utilizando el cifrado de
Cesar, ya que solo hay 25 posibles valores de clave.

Una mejora del cifrado de Cesar


sustituye una letra del alfabeto por otra. Sin embargo,
en lugar de efectuar esas sustituciones segn una
patrn regular cualquier letra puede sustituirse por
cualquier otra, siempre que cada una tenga una nica
letra y viceversa.
El mensaje de texto en claro Benito, te quiero, alicia
se convierte en ncjsuk , ucp y sco k . mgsbsm.

El cifrado monoalfabtico desde luego es


mejor que el cifrado de Cesar, en el sentido
de que existen 26! (del orden de 1026)
posibles parejas de letras en lugar de las
25 posibles parejas que el cifrado de Cesar
proporciona. Un ataque por fuerza bruta
que consistiera en probar todas las 1026
posibles parejas requerira demasiado
trabajo como para considerarlo una forma
factible de romper el algoritmo de cifrado
y decodificar el mensaje.

Escenarios distintos dependiendo de la informacin de la que disponga el


intruso.

Ataque de solo
texto cifrado

Ataque de texto en
claro conocido

Ataque de texto en
claro seleccionado

En algunos casos, el intruso puede tener acceso nicamente al texto


cifrado interceptado, sin disponer de informacin segura acerca del
contenido del mensaje en claro.

Anteriormente hemos visto que si Tomas estuviera seguro, de alguna


manera, de que las palabras Benito y Alicia aparecen en el mensaje
de texto cifrado, entonces podra haber determinado las parejas (texto
en claro, texto cifrado) para las letras a, l, i, c, b, e, n, t y o.

En un ataque de texto en claro seleccionado, el intruso tiene la


posibilidad de elegir el mensaje de texto en claro y obtener su
correspondiente texto cifrado.

Tcnica cifrado polialfabtico


Podramos decidir utilizar estos dos cifrados de Cesar,
C1 y C2, segn el patrn repetitivo C1, C1, C2, C1, C2.
De este modo, la primera y la segunda letras del texto
en claro se codificaran utilizando C1, la tercera
aplicando C2, la cuarta utilizando C1, y la quinta
utilizando C2. A continuacin el patrn se repite, lo que
hara que la sexta letra se codificara utilizando C1, la
sptima con C1, y as sucesivamente

Ejemplo:
Benito, te quiero. tendra el equivalente de texto
cifrado gjgnmt, yx vnnjkt . Observe que la primera e
del mensaje de texto en claro se cifra utilizando C1,
mientras que la segunda e se cifra utilizando C2. En
este ejemplo, la clave de cifrado y de descifrado es
el propio conocimiento de los dos cifrados de Cesar (k
= 5, k = 19) y del patrn C1, C1, C2, C1 C2

CIFRADO DE BLOQUE

Los cifrados de bloque se emplean en muchos protocolos


seguros de Internet como PGP (para correo electrnico
seguro), SSL (para dotar de seguridad a las conexiones
TCP) e IPsec (para dotar de seguridad al transporte de la
capa de red).
Para codificar un bloque, el sistema de cifrado asigna una
correspondencia uno-a-uno.

Suponga que k = 3, de modo que el cifrado de bloque


asigna a cada entrada de 3 bits (texto en claro) una salida
de 3 bits (texto cifrado)

La correspondencia de la tabla es una asignacin de entre


las muchas posibles.

Cuantas posibles correspondencias existen?


Existen 2^3= 8 posibles entradas.
Estas ocho entradas pueden permutarse en:
8! = 40.320 formas distintas.
Cada una de estas permutaciones es una
correspondencia, habr entonces 40.320 posibles
correspondencias.

El emisor y receptor conocen simultneamente la


correspondencia (la clave), podrn cifrar y descifrar los
mensajes que se intercambien.

Deben conocer la correspondencia para poder comunicarse.

Para evitar los ataques por fuerza bruta, los sistemas de


cifrado de bloque normalmente utilizan bloques de
mucho mayor tamao, compuestos de k = 64 bits o
incluso mayores.
El nmero de correspondencias posibles para un cifrado
cualquiera de bloques de k bits es de 2^k!
Para k= 64 y una correspondencia determinada, el emisor
y receptor necesitaran mantener una tabla con 2^64
valores de entrada, lo que es una tarea imposible.
Adems, si el emisor y receptor quisieran cambiar de
clave, ambos tendran que volver a generar la tabla.
Resulta simplemente impracticable.
En lugar de ello, los sistemas de cifrado de bloque suelen
utilizar funciones que simulan la generacin de tablas
aleatoriamente permutadas. Es decir se utilizan bloques
que realizan el proceso de aleatorizacin (permutacin)

En el cifrado de bloque el mensaje es agrupado en


fragmentos fijos de bits para luego ser operados en el
algoritmo y con clave.

El tamao ideal del bloque no es una decisin trivial: si es


muy pequeo se hara fcil un ataque estadstico y si es muy
grande bajara en rendimiento (tardara ms en procesar
cada bloque). Lo que en la prctica lleva a que sean de entre
64 y 128 bits.

Hoy da existen varios sistemas de cifrado de bloque


populares, incluyendo DES (Estndar de cifrado de datos),
3DES y AES (Estndar avanzado de cifrado). Cada uno de
estos estndares utiliza funciones en lugar de tablas
predeterminadas.

ENCADENAMIENTO DE BLOQUES CIFRADOS


En las aplicaciones de redes de computadoras, normalmente es
necesario cifrar mensajes de gran tamao (o largos flujos de datos).
Si aplicamos un cifrado de bloques descomponiendo simplemente
el mensaje en bloques de k bits y cifrando independientemente
cada bloque aparece un problema
Dos o ms de los bloques del texto en claro podran ser
idnticos
Para estos bloques idnticos, el cifrado de bloque
producira, el
mismo texto cifrado.
De ese modo, un atacante podra posiblemente adivinar el texto en
claro cuando viera bloques de texto cifrado idnticos y podra
incluso ser capaz de descifrar el mensaje completo identificando
bloques de texto cifrado idnticos.

ENCADENAMIENTO DE BLOQUES CIFRADOS


Para resolver este problema, podemos introducir cierta aleatoriedad en el
texto cifrado, de modo que idnticos bloques de texto en claro produzcan
bloques de texto cifrado diferentes.
Sea m(i) el i-esimo bloque de texto en claro
Sea c(i) el i-esimo bloque de texto cifrado
Designaremos mediante Ks al algoritmo de encriptacin de
bloque cifrado con clave S.
Entonces
El emisor genera un numero aleatorio de k bits r(i) para el i-simo bloque y
calcula
c(i) = Ks (m(i) NOR r(i)).
Se selecciona un nuevo nmero aleatorio r(i) de k bits para cada bloque.
El emisor enva entonces c(1), r(1), c(2), r(2), c(3), r(3), etc.
Puesto que el receptor recibe c(i) y r(i) puede recuperar cada bloque del texto
en claro calculando
m(i) = Ks(c(i)) NOR r(i).

ENCADENAMIENTO DE BLOQUES CIFRADOS


Aunque r(i) se envi sin cifrar y por tanto podra ser husmeado por
un intruso, este no podr obtener el texto en claro m(i), ya que no
conoce la clave Ks.
Tambin si dos bloques de texto en claro m(i) y m(j) son iguales, los
correspondientes bloques en texto cifrado c(i) y c(j) sern
diferentes siempre y cuando los nmeros aleatorios r(i) y r(j) sean
distintos, lo que ocurre con una muy alta probabilidad.

ENCADENAMIENTO DE BLOQUES CIFRADOS


EJEMPLO:
Considerando el sistema de cifrado
de bloques de 3 bits de la siguiente
tabla:
Si el emisor cifra esta secuencia
directamente sin incluir ninguna
aleatoriedad, utilizando la tabla el
texto cifrado resultante ser:
101101101.

Texto en claro: 010010010.

Si un intruso captura el texto cifrado, dado que cada uno de los tres
bloques de cifrado es igual, podr suponer correctamente que cada uno
de los tres bloques del texto en claro son tambin coincidentes.

ENCADENAMIENTO DE BLOQUES CIFRADOS


Ahora en lugar de ello el emisor genera
los bloques aleatorios:
r( 1 ) = 001
r(2) = 111
r(3) 100
Y aplica la tcnica para generar el texto
cifrado.
c(i) = Ks (m(i) NOR r(i)).
Sea Ks= 110
c(1) = 010
c(2) = 100
c(3) = 010

Se observa que ahora los


tres bloques de texto
cifrado son distintos incluso
aunque los bloques de
texto en claro son iguales.
Se enva entonces:
c(1), r(1), c(2) y r(2).
El receptor podr obtener
el texto en claro original
utilizando
la
clave
compartida Ks. Con la
formula:
m(i) = Ks(c(i)) NOR r(i).

ENCADENAMIENTO DE BLOQUES CIFRADOS


Al introducir la aleatoriedad se resuelve un problema, pero se
crea otro:
Se tiene que transmitir el doble de bits que antes.
Por cada bit de cifrado, se debe ahora enviar tambin un bit
aleatorio, duplicando as el ancho de banda requerido.
Entonces los sistemas de cifrado de bloque suelen utilizar una
tcnica denominada:
Encadenamiento de bloques cifrados (CBC, Cipher Block
Chaining). La idea bsica consiste en enviar solo un valor
aleatorio junto con el primer mensaje, y hacer que el emisor y
el receptor utilicen los bloques codificados calculados, en lugar
de los subsiguientes nmeros aleatorios.

ENCADENAMIENTO DE BLOQUES CIFRADOS


Especficamente, CBC opera de la siguiente manera:
1. Antes de cifrar el mensaje (o el flujo de datos), el emisor genera una
cadena aleatoria de bits, denominada Vector de inicializacin (IV,
Initialization Vector).
Se denota a este vector de inicializacin mediante c(0). El emisor enva el
vector IV al receptor sin cifrar.

2. Para el primer bloque, el emisor calcula m(1) NOR c(0), es decir, calcula la
operacion OR exclusiva del primer bloque de texto en claro con IV.
A continuacin, introduce el resultado en el algoritmo de cifrado de bloque,
para obtener el correspondiente bloque de texto cifrado; es decir, c(1) = Ks (
m(1) NOR c(0) ). El emisor enva despus el bloque cifrado c(1) al receptor.
3. Para el i-simo bloque, el emisor genera el i-simo bloque de texto
cifrado utilizando la formula c(i) = Ks ( m(i) NOR c(i 1) ).

ENCADENAMIENTO DE BLOQUES CIFRADOS


Algunas de las consecuencias de este mtodo.
El receptor continuara pudiendo recuperar el mensaje original. De hecho, cuando el
receptor reciba c(i). Descifrara el mensaje con Ks para obtener s(i) = m(i) NOR c(i 1); puesto que el receptor tambin conoce c(i - 1), puede entonces obtener el
bloque de texto en claro a partir de la frmula m(i) = s(i) NOR c(i - 1).
En segundo lugar, incluso si dos bloques de texto en claro son idnticos, los textos
cifrados correspondientes sern casi siempre diferentes.
En tercer lugar, aunque el emisor envi el vector IV sin cifrar, ningn intruso podr
descifrar los bloques de texto cifrado dado que no conocen la clave secreta, S.
El emisor solo enva un bloque de sobrecarga que es el vector IV, con lo que el uso
de ancho de banda solo se incrementa de una forma prcticamente despreciable,
asumiendo que estemos utilizando mensajes de gran longitud compuestos de
centenares de bloques.

ENCADENAMIENTO DE BLOQUES CIFRADOS


EJEMPLO:
Texto en claro: 010010001
Vector de inicializacin: IV = c(0) = 001
Clave: Ks= 110
Calcular :

c(1) = Ks (m(1) NOR c(0))


c(1) = Ks (010 NOR 001)
c1= 010
c(2) = Ks (m(2) NOR c(1)) = Ks (010 NOR 010)
c(2) = 000
c(3) = Ks(m(3) NOR c(2)) = KS(010 c 000)
c(3)= 000

Se verifica que el receptor, conociendo el vector IV y la clave Ks, puede


recuperar el texto en claro original.
La tcnica CBC disea protocolos de red seguros.

CIFRADO DE CLAVE PUBLICA


En 1976 Diffie y Hellman [Difne
1976] inventaron un algoritmo
que ahora se conoce como
algoritmo de intercambio de
claves de Diffie-Hellmah para
hacer que dos partes se
comuniquen de forma cifrada
sin conocer de antemano una
clave secreta compartida.
Suponga que un emisor quiere comunicarse con receptor. Como se muestra en
la Figura en lugar de que ellos compartan una nica clave secreta como es en el
caso de los sistemas de clave simtrica, el receptor de los mensajes dispone en
su lugar de dos claves: una clave pblica KB+ que est disponible para todo el
mundo incluyendo a intrusos y una clave privada KB- que solo el receptor
conoce.

CIFRADO DE CLAVE PUBLICA


Para poder comunicarse con el receptor,
el emisor consulta primero la clave
pblica de este y luego cifra su mensaje
(m), destinado al receptor utilizando esa
clave publica y un algoritmo de cifrado
conocido
como
un
algoritmo
estandarizado, es decir el emisor calcula
KB+ (m).
El receptor recibe el mensaje cifrado del
emisor y utiliza su clave privada y un
algoritmo de descifrado conocido para
descifrar el mensaje cifrado del emisor. Es
decir, receptor calcula KB-(KB+ (m)).

Existen tcnicas y algoritmos de cifrado/descifrado para seleccionar claves


pblicas y privadas tales que KB-(KB+(m))=m; es decir, tales que al aplicar la clave
pblica del receptor KB+ a un mensaje, y aplicar luego la clave privada del
receptor, a la versin cifrada de (m) es decir, calcular KB-(KB+(m)) se vuelve a
obtener m. De esta manera, el emisor puede utilizar la clave del receptor que
esta pblicamente disponible con el fin de enviar un mensaje secreto al
receptor, sin que ninguno de los dos tenga que distribuir ninguna clave secreta.

ENCADENAMIENTO DE BLOQUES CIFRADOS


Un problema que se presenta es que, aunque un intruso que intercepte el
mensaje de cifrado del emisor solo obtendr datos sin sentido, ese intruso
conoce tanto la clave pblica, como el algoritmo que el emisor ha
utilizado para el cifrado.
El intruso podra entonces montar un ataque de texto claro conocido,
utilizando ese algoritmo de cifrado estandarizado y la clave de cifrado del
receptor, pblicamente disponible, para codificar cualquier mensaje que
desee.
Este intruso tambin podra intentar, por ejemplo, codificar mensajes, o
partes de mensajes, que piense que el receptor podra enviar, con el fin de
suplantarla. Obviamente, para que la criptografa de clave pblica pueda
funcionar, la seleccin de claves y el cifrado/descifrado deben hacerse de
forma tal que sea imposible para un intruso determinar la clave privada
del receptor o descifrar o adivinar de alguna otra manera el mensaje que
el emisor le ha enviado a este receptor.

ALGORITMO RSA

Caractersticas
Fue creado en 1978 por Rivest, Shamir y Adlman
Es un algoritmo de clave pblica.
Ha estado bajo patente de los Laboratorios RSA hasta el 20 de
septiembre de 2000, por lo que su uso comercial estuvo restringido
hasta esa fecha.

Cmo Funciona
Se basa en el hecho matemtico de la dificultad de factorizar nmeros
muy grandes.
Hace un extenso uso de las operaciones aritmticas mdulo n.
Cifrar un mensaje con RSA es equivalente a cifrar el nmero entero
nico que representa a dicho mensaje.

Cmo Funciona
En RSA existen dos componentes interrelacionados:
La eleccin de las claves pblica y privada.
El algoritmo de cifrado y descifrado.

Para generar las claves RSA pblica y privada, se siguen los


siguientes pasos:
Se elige dos nmeros primos grandes, p y q. Cuanto ms grandes sean
estos valores, ms difcil ser romper el algoritmo RSA, pero tambin
se tardar ms en realizar la codificacin y la decodificacin.
Se calcula = y = ( 1)( 1)
Elige un nmero, e, menor que n, que no tiene ningn factor comn
(distinto de 1) con z.

Para generar las claves RSA pblica y privada,


se siguen los siguientes pasos:
Determinamos un nmero, d, tal que ( 1) es divisible de forma
exacta por z. Dicho de otra forma, dado e, seleccionamos d tal que
= 1.
La clave pblica que se pone a disposicin de todo el mundo, + ,
es la pareja de nmeros , ; la clave privada, , es la pareja de
nmeros , .

El Cifrado del Emisor y el descifrado del receptor se realizan de


la siguiente manera:
Supongamos que el emisor enva un patrn de bits representado por
el nmero entero < . Para realizar la codificacin, el
emisor lleva a cabo la operacin de exponenciacin , y luego
calcula el resto entero que se obtiene al dividir entre . En otras
palabras, el valor cifrado, c, del mensaje de texto en claro del emisor,
m, es
=
El patrn de bits correspondiente a este texto cifrado c se enva al
receptor.

El Cifrado del Emisor y el descifrado del receptor se realizan de


la siguiente manera:
Para descifrar el mensaje de texto cifrado recibido, c, el transmisor
hace el clculo siguiente:
=
Que requiere el uso de su clave privada (n, d).

Ejemplo de RSA
Suponga que el Juan elige p = 5 y q = 7.
Entonces, n = 35 y z = 24. Juan selecciona e = 5, ya que 5 y 24 no
tienen factores comunes. Por ltimo, Juan elige d = 29, dado que 5*29 1 (es decir, ed - 1) es divisible de forma exacta por 24. Juan hace
pblicos los dos valores, n=35 y e = 5, y mantiene en secreto el valor d
= 29. Observando estos dos valores pblicos, supongamos ahora que
Mara quiere enviar a Juan las letras L,O,V,E. Interpretando cada letra
como un nmero comprendido entre 1 y 26 (correspondindose la a
con el 1 y la z con el 26), Mara y Juan llevan a cabo las operaciones de
cifrado y descifrado mostradas en las Tablas respectivamente.

DESARROLLO
Letra de texto en
claro

m: Representacin
numrica

12

248832

17

15

759375

15

22

5153632

22

3125

10

Texto cifrado

Texto cifrado C

Letra de texto en
claro

17

4.8 exp. 35

12

15

1.27 exp. 34

15

22

8.5 exp. 38

22

10

1 exp. 29

SEGURIDAD
La seguridad del algoritmo RSA se basa en el hecho de que no existen
algoritmos conocidos para factorizar rpidamente un nmero, en este
caso el valor pblico n, con el fin de obtener los nmeros primos p y q.
Si alguien conociera p y q, entonces podra calcular fcilmente a partir
del valor pblico e la clave secreta d. Por otro lado, no se conoce con
seguridad si existen o no algoritmos rpidos para factorizar un nmero,
por lo que, en este sentido, la seguridad de RSA no est garantizada.

CONCLUSIONES
Muchos sistemas criptogrficos modernos, incluyendo los utilizados en
Internet, la propia tcnica de cifrado es conocida, en el sentido de que es
pblica, est estandarizada y est disponible para todo el mundo (por
ejemplo, [RFC 1321; RFC 2437; RFC 2420; NIST 2001]), incluso para los
potenciales intrusos).
Para mejorar la eficiencia de los cifrados de bloque en lugar de tablas de
permutacin se utilizan diferentes algoritmos para realizar ese proceso pero
para una mayor cantidad de bits, de modo que no resulte impracticable
hacerlo por el primer mtodo.
RSA es un algoritmo muy interesante puesto que no slo permite cifrar un
mensaje, sino tambin autenticar el mismo, puesto que las dos claves que
genera este algoritmo, me permiten realizar lo mencionado.
En el caso del cifrado de clave pblica dado que la clave de cifrado del
receptor es pblica, cualquiera puede enviar un mensaje cifrado a este
receptor. Sin embargo, en el caso de una nica clave secreta compartida,
este ya no ser el caso puesto que nadie puede enviar un mensaje cifrado al
emisor utilizando la clave pblicamente disponible de este.

INTEGRIDAD DE LOS MENSAJES Y AUTENTIFICACION DE PUNTOS


TERMINALES

INTEGRATES:
LEONEL ARMIJOS
SANTIAGO RAMIREZ

INTEGRIDAD DE LOS MENSAJES Y AUTENTIFICACION DE PUNTOS


TERMINALES

Cuando dos entidades se quieren comunicar, entre las exigencias que


ellos requieren:

Que sean ellos al quien se les esta enviado los mensajes.


Que la informacin que ellos generan no haya sido modificada.
Que no sea interceptada la informacin que ellos generan.
Que siempre puedan comunicase, es decir que no se les niegue el servicio.

Propiedades deseables en una comunicacin


segura.
Confidencialidad
Solo el emisor y
receptor pueden
entender el
contenido de los
mensajes
transmitidos.

Autentificacin del
Punto Terminal
Tanto el emisor
como el receptor
debern confirma la
identidad del otro.

Integridad de
mensajes
Asegurar que el
mensaje no ha sido
alterada o
modificada durante
la transmisin, ni
maliciosamente ni
accidentalmente.

Mecanismos

Criptografa

Firma digital

Autentificacion

FUNCIONES HASH CRIPTOGRAFAS


Los hash o funciones de
resumen son algoritmos que
consiguen crear a partir de una
entrada m (mensaje) ya sea un
texto, una contrasea o un
archivo, una salida alfanumrica
de longitud normalmente fija
que representa un resumen de
toda la informacin que se le ha
dado s=H(m)

FUNCIONES HASH CRIPTOGRAFAS


Tiene varias aplicaciones:

Asegurar que no se ha modificado un archivo en una transmisin

Proteger la confidencialidad de una contrasea

Firmar digitalmente un documento.

FUNCIONES HASH CRIPTOGRAFAS


Entonces las funciones Hash es uno de los tipos de funciones que
existen para poder hacer uso del procedimiento de integracin de
mensajes.
Tiene las siguientes propiedades
Todos los hashes generados con una funcin de hash tienen el mismo
tamao, sea cual sea el mensaje utilizado como entrada.
Dado un mensaje, es fcil y rpido mediante una computadora calcular su
hash.
Es imposible reconstruir el mensaje original a partir de su hash.
Es imposible generar un mensaje con un hash determinado.

Firma digital
La firma digital es un mecanismo criptogrfico que permite al receptor
con mensaje firmado digitalmente determinar la entidad de origen de
dicho mensaje (autenticacin de origen), y confirmar que el mensaje
no ha sido modificado (integridad en los mensajes).
Al igual que ocurre con las firmas manuscritas, la firma digital se debe
realizar de forma que sean:
Verificables: demostrar que un documento firmado por una persona ha sido
de hecho firmado por esa persona.
No falsificable: que solo esa persona podra haber firmado el documento.

Firma digital
Cmo funciona la firma digital?:
Este sistema cifra los mensajes
gracias a dos contraseas, una
pblica y otra privada, vinculadas
entre s (lo que cifra una, slo puede
ser descifrado por la otra).
La contrasea privada debe
permanecer bajo el exclusivo
control de su propietario.
La contrasea pblica, es enviada
junto al mensaje y posibilita al
destinatario verificar quin es el
autor del mensaje.

Firma digital
Cuando se firma digitalmente un
documento m, se utiliza
simplemente una contrasea
privada kB- para calcular kB(m).En el receptor para verificar,
se toma la contrasea publica de
kB+ y se aplica a la firma digital,
es decir se calcular kB+(kB-(m)),
para obtener que es el
documento original.

Firma digital
Una tcnica ms eficiente
consiste es introducir funciones
hash en el mecanismo de firma
digital. Utilizando una funcin
hash, se firma el valor hash de
un mensaje en lugar de firmar el
propio mensaje, es decir, se
calcula kB-(H(m)).

SEGURIDAD EN REDES DE
COMPUTADORAS

POR QUE ES TAN IMPORTANTE LA


SEGURIDAD?
Por la existencia de personas ajenas a la informacin, tambin conocidas
como piratas informticos o hackers, que buscan tener acceso a la red
empresarial para modificar, sustraer o borrar datos.
Tales personajes pueden, incluso, formar parte del personal
administrativo o de sistemas, de cualquier compaa; de acuerdo con
expertos en el rea, ms de 70 por ciento de las Violaciones e intrusiones a
los recursos informticos se realiza por el personal interno, debido a que
ste conoce los procesos, metodologas y tiene acceso a la informacin
sensible de su empresa, es decir, a todos aquellos datos cuya prdida
puede afectar el buen funcionamiento de la organizacin.
El resultado es la violacin de los sistemas, provocando la prdida o
modificacin de los datos sensibles de la organizacin, lo que puede
representar un dao con valor de miles o millones de dlares.

Que es la seguridad en redes?


Confidencialidad: solo el transmisor y el receptor deseado pueden
entender los contenidos de los mensajes
Autenticacin: el transmisor y el receptor quieren confirmar la
identidad de el otro
Integridad de los mensajes: el transmisor y el receptor quieren
asegurar que el mensaje no es alterado (en transito ni despus) sin
deteccin

Acceso y disponibilidad: servicios tienen que ser accesibles y


disponibles a los usuarios

Amigos y enemigos: Alice, Bob, Trudy


Conocidos en el mundo de la seguridad
Bob, Alice (amigos!) quieren comunicarse en forma segura
Trudy (intrusa) puede interceptar, borrar, e insertar mensajes

Quienes pueden ser Bob y Alice?


Gente como Bob y Alice!
Browser/servidor web usados para transacciones electrnicas (e.g.
compras en lnea)
Cliente/servidor bancario en lnea (e.g. Redbank)
Servidores DNS
Routers intercambiando actualizaciones de tablas

Que puede hacer un intruso?


escuchar: interceptar mensajes
activamente insertar mensajes en una conexin
impersonar: puede cambiar (spoof) direccin de origen de un
paquete (o cualquier campo en un paquete)
secuestrar: apoderarse de conexion activa al remover transmisor o
receptor, insertandose a cambio
negacin de servicio: prevenir que el servicio sea usado por otros
(e.g., al sobrecargar recursos, mandando informacin errnea que
haga que un servidor muera)

El lenguaje de la criptografa
criptografa de llaves simtricas: transmisor, receptor tienen llaves
idnticas
criptografa de llaves publicas (public-keys): llave de encriptacin es
publica, llave de decriptacin es secreta (privada)

Modelo general
Alice inicia enviando un mensaje ya sea a Bob o a un KDC confiable.
Conforme se envia este mensaje un tercer personaje denominado
Trudy puede interceptar estos mensajes.
Si algun protocolo existe y trabaja en esa comunicacin y su
autenticacion. Alice y Bob pueden estar seguros de que se estan
comunicando los dos.
Para autenticacin algunos protocolos usa claves de sesin secreta.

autenticacion
Protocol ap1.0 Alice dice Soy Alice

Autenticacion otra forma


Protocol ap3.0: Alice dice Yo soy Alice y manda su password secreta
para comprobarlo.

Autenticacion basada en clave secreta


compartida
Alice y bob ya compartieron una clave secreta KAB.
Estos protocolos se los conoce como desafio respuesta.

Autenticacion otra forma


Protocol ap3.1: Alice dice Yo soy Alice y envia su password secreta
encryptada para comprobarlo.

Autenticacion otro intento


Objetivo: evitar ataque de grabacin Nonce: numero (R) usado
solamente una vez
ap4.0: para probar que Alice esta en linea, Bob envia a Alice el
nonce, R. Alice debe retorn
ar R, encryptado con su llave simetrica compartida

Reglas Generales
Obligue al iniciador a que pruebe que es quien dice ser antes de que
el contestador tenga que hacerlo.
Tanto el iniciador como el contestador tiene que tener claves
diferentes.
Iniciador y terminador usen conjuntos diferentes para eleborar sus
desafios.
Hacer que el protocolo resista a ataques que involucre una segunda
sesion.
Si se viola alguna de esta reglas el protocolo puede romperse con
frecuencia.

Protocolo de autenticacion
Alice inicia enviando a Bob una marca aleatoria, RA como mensaje 1.
Bob responde seleccionando su propia marca aleatoria, RB, y
envindola junto con un HMAC (estructura de datos que consiste en
la marca aletaoria de Alice, mara aleatoria de Bob,. Sus identidades y
la clave secreta compartida).
Alioce recibe el ,mensaje dos y clacula el HMAC, si corresponde al
HMAC del mensaje, . Alice sabe que esta hablando con Bob.
Alice contesta a Bob con un Hmac que contiene solo las dos marcas
aletaorias

UNIVERSIDAD
NACIONAL DE LOJA
REA DE LA ENERGA, LAS INDUSTRIAS, Y LOS
RECURSOS NATURALES NO RENOVABLES.
CARRERA DE INGENIERIA EN ELECTRNICA Y
TELECOMUNICACIONES

SEGURIDAD EN LA CAPA DE Red IPsec


DOCENTE: ING JOHN TUCKER
MDULO: IX

IP sec

Estndar que proporciona servicios de seguridad a la


capa IP.
Puesto que la seguridad es un requisito indispensable
para el desarrollo de las redes IP, IPSec est recibiendo
un apoyo considerable:
Estndar abierto.

IPSec es, un conjunto de estndares para integrar en


IP funciones de seguridad basadas en criptografa.
Proporciona confidencialidad, integridad y
autenticidad de datagramas IP, combinando varias
tecnologias

Clave pblica (RSA),


Algoritmos de cifrado (DES, 3DES, IDEA, Blowfish),
Algoritmos de hash (MD5, SHA-1)
Certificados digitales X509v3.

Tecnologas de clave pblica (RSA)


1977 por ingenieros estadounidenses.
Es vlido tanto para cifrar como para firmar
digitalmente.
Los mensajes enviados se representan mediante
nmero
En este sistema cada usuario posee dos claves de
cifrado: una pblica y otra privada.

Algoritmos de cifrado (DES, 3DES, IDEA,


Blowfish)
Mtodo criptografico en el cual se usa una misma clave para cifrar y
descifrar mensajes.
Es importante que sea muy difcil adivinar el tipo de clave.
DES usa una clave de 56 bits, lo que significa que hay 256 claves
posibles (72.057.594.037.927.936 claves).
3DES , Blowfish e IDEA usan claves de 128 bits, lo que significa que
existen 2128 claves posibles.

Algoritmos de HASH
Entre los algoritmos de hash ms comunes estn:
SHA-1: algoritmo de hash seguro
Algoritmo de sntesis que genera un hash de 160 bits. Se utiliza, por
ejemplo, como algoritmo para la firma digital.
MD2 y MD4
Algoritmos de hash que generan un valor de 128 bits.
MD5
Esquema de hash de hash de 128 bits muy utilizado para autenticacin
cifrada. Gracias al MD5 se consigue, por ejemplo, que un usuario
demuestre que conoce una contrasea sin necesidad de enviar la
contrasea a travs de la red.

Certificados digitales
Permite garantizar tcnica y legalmente la identidad de
una persona en Internet.
El certificado digital permite la firma electrnica de
documentos
El certificado digital permite cifrar las
comunicaciones. Solamente el destinatario de la
informacin podr acceder al contenido de la misma.
Un Certificado Digital consta de una pareja de
claves criptogrficas, una pblica y una privada,
creadas con un algoritmo matemtico, de forma que
aquello que se cifra con una de las claves slo
se puede descifrar con su clave pareja.

El protocolo IPSec ha sido diseado de forma


modular, de modo que se pueda seleccionar el
conjunto de algoritmos deseados sin afectar a otras
partes de la implementacin.
Adems es perfectamente posible usar otros
algoritmos que se consideren ms seguros o ms
adecuados para un entorno especfico

Protocolos IPsec
Dentro de IPSec se distinguen los siguientes componentes:
Dos protocolos de seguridad que proporcionan mecanismos de
seguridad para proteger trfico IP
IP Authentication Header (AH)
IP Encapsulating Security Payload (ESP).

Un protocolo de gestin de claves Internet Key Exchange (IKE) que


permite a dos nodos negociar las claves y todos los parmetros
necesarios para establecer una conexin AH o ESP

PROTOCOLOS IPsec
IPsec utilizan un nmero de protocolos de seguridad para
proporcionar encriptacin de la transmisin, integridad,
validacin y autenticacin de origen de datos. Estos protocolos se
pueden dividir en dos tipos:
protocolos de paquetes (ESP), (AH), (IKE).
protocolos de servicio.

Protocolo AH
Encabezado
de
autenticacin
(AH):
proporciona
servicios
de
validacin,
autenticacin e integridad de datos. AH no
admite cifrado como ESP (por lo tanto
consume menos recursos del router) pero
proporciona una mayor seguridad de la capa
IP. AH se refiere principalmente a la identidad
de los socios de intercambio de datos y genera
firmas hash para asegurarse de que ninguna
modificacin de los datos ha tenido lugar
durante la transmisin.

Protocolo ESP

Carga de seguridad encapsuladora (ESP):


proporciona proteccin de contenido del
mensaje y manipulacin de datos mtodos de
mitigacin,
asegurando
confidencialidad,
autenticacin e integridad de paquetes.

Protocolo IKE
Internet Key Exchange (IKE):
proporciona
administracin
de
claves y administracin de la
Asociacin (SA) de seguridad con
intercambio de claves DiffieHellman. Con IKE, claves pueden ser
validadas y renovadas entre los
usuarios para asegurar que slo
llaveros pueden acceder a los datos
garantizados.

Ventajas
de
IPsec
prestaciones: paquetes IP que atraviesan redes pblicas

(inseguras) estn cifrados. Esto proporciona un alto rendimiento


solo cifrando los datos necesarios entre redes inseguras.
Seguridad de capa de red: IPsec opera en la capa de red y no
requiere modificacin de aplicaciones TCP/IP para asegurarlos.
Escalabilidad: Las VPN con IPsec pueden aplicarse sobre
cualquier red troncal compatible con IP como Internet. Su
implementacin simple tambin proporciona beneficios de
reduccin de costos operacionales.
Verstil: implementa diversos mecanismos de seguridad
como autenticacin de datos, encriptacin, digital integridad y
proteccin de repeticin, que evita la duplicacin de
operaciones antiguas y mitiga ataques denegacin de servicio.
Aceptacin Universal : IPsec es un estndar IETF reconocidos
en la industria y es apoyado por la mayora de sistemas
operativos.
Independencia de aplicacin : IPsec es transparente para las
aplicaciones (y capas superiores de OSI) y no se asigna a
cualquier una aplicacin especfica.

Desventajas de IPsec
Funcionamiento: IPsec puede requerir grandes cantidades de potencia de
procesamiento en los extremos de la VPN (gateways) para cifrar, descifrar y
autenticar el trfico.
Seguridad: IPsec porque se basa en claves pblicas, y la disminucion de seguridad
depende de una gestin segura de claves. Adems, las vulnerabilidades existentes
en la capa IP de la red remota pueden ser heredadas por la red corporativa a travs
del tnel IPsec.
Complejidad: las opciones de configuracin de IPsec son muy flexibles, pero tambin
excesivamente complejas. Errores de configuracin pueden exponer la red de la
empresa a riesgos de seguridad innecesarios e introducir debilidades en la VPN
Restricciones de Firewall : La conexin a una red de la organizacin desde una
ubicacin fuera del sitio puede no ser posible debido a las restricciones del firewall
corporativo (bloqueo de puertos UDP de IPsec especficas).
Gestin: IPsec emplea autenticacin de firma digital, que se basa en una
infraestructura de clave pblica (PKI). PKI requiere gestin de planificacin y
administrativa de ejecucin considerable. La mayora de las soluciones de VPN IPsec
tienen requisitos de instalacin de software y hardware de terceros. Software de
cliente de IPsec es necesaria en cada equipo que necesita acceso a un VPN basadas
en IPsec. Esto es una ventaja (mayor seguridad) y una desventaja (costo financiero y
administracin de VPN adicional).

Estrategia para una adecuada


implementacin de IPsec en VPN
Establecer un plan de implementacin de IPsec. Crear y probar cada poltica
completamente antes de implementar en un entorno de produccin.
La codificacin debe estar habilitada para proporcionar proteccin de la confidencialidad
para el trfico atraviesa VPNs.
Para una autenticacin ms robusta, utilice certificados en lugar de claves precompartidas.
Las VPNs siempre deben proporcionar proteccin de integridad de datos mediante la
implementacin de un algoritmo de integridad de datos tal como HMAC-SHA-1 o HMACMD5.
Una VPN debe utilizar un algoritmo de cifrado como AES de 128 bits o 168-bit 3DES para
proporcionar mitigacin de seguridad VPN. 56-bit DES estndar es vulnerable al ataque y
generalmente no se recomienda.
No permita que las comunicaciones publicas sin garanta ,con sitios remotos VPN.
Asegrese de que las polticas de seguridad estn ajustadas tanto como sea posible.

Una VPN debe contar con proteccin de repeticin, que permite a cada transaccin (o
paquetes) que se procesar una sola vez, independientemente del nmero de veces que
se recibe.
El valor mximo de configuracin de asociaciones de seguridad IKE vida debe ser 24 horas.
Valores de mxima SA de IPsec deben ser 8 horas.

Seguridad de la capa de red:


IPsec y redes privadas
virtuales VPNs.
Una red privada virtual (VPN) es una red privada construida dentro de una infraestructura de red
pblica, tal como la red mundial de Internet. Las empresas pueden usar redes privadas virtuales
para conectar en forma segura oficinas y usuarios remotos a travs de accesos a Internet
econmicos proporcionados por terceros, en vez de costosos enlaces WAN dedicados o enlaces
de marcacin remota de larga distancia.

Las redes privadas virtuales proporcionan el mayor nivel posible de seguridad mediante
seguridad IP (IPsec) cifrada o tneles VPN de Secure Sockets Layer (SSL) y tecnologas de
autenticacin. Estas tecnologas protegen los datos que pasan por la red privada virtual
contra accesos no autorizados. Las empresas pueden aprovechar la infraestructura estilo
Internet de la red privada virtual, cuya sencillez de abastecimiento permite agregar
rpidamente nuevos sitios o usuarios. Tambin pueden aumentar drsticamente el
alcance de la red privada virtual sin expandir significativamente la infraestructura.

Los dos tipos de redes virtuales privadas


cifradas
VPN IPsec de sitio a sitio: permite a las empresas extender los recursos de la red
a las sucursales, oficinas en el hogar y sitios de los partners comerciales.
VPN de acceso remoto: Esto extiende prcticamente todas las aplicaciones de
datos, voz o video a los escritorios remotos, emulando los escritorios de la oficina
central. Las redes VPN de acceso remoto pueden desplegarse usando redes VPN
SSL, IPsec o ambas, dependiendo de los requisitos de implementacin.

Eleccin de un mtodo de implementacin de VPN


Los administradores de TI suelen tener dos opciones a tener en cuenta al decidir
sobre un mtodo de aplicacin de VPN, a saber, IPsec y Secure Socket Layer (SSL).
VPNs basadas en IPSec permite el cifrado en cualquier aplicacin mediante la
instalacin de software de cliente por separado en cada dispositivo remoto
requiere acceso VPN. SSL VPN no requieren software cliente y el trabajo con
cualquier navegador Web HTTP estndar. IPsec se utiliza ms para las VPN de sitio
a sitio, mientras que SSL es ms adecuado para VPNs de acceso de cliente
remoto.

VPNs cuentan criptografa simtrica y


asimtrica.
La criptografa simtrica solo utiliza una clave para cifrar y descifrar el mensaje, que tiene que conocer el
emisor y el receptor previamente y este es el punto dbil del sistema, la comunicacin de las claves entre
ambos sujetos, ya que resulta ms fcil interceptar una clave que se ha transmitido sin seguridad (dicindola
en alto, mandndola por correo electrnico u ordinario o haciendo una llamada telefnica).

La criptografa asimtrica se basa en el uso


de dos claves: la pblica (que se podr difundir
sin ningn problema a todas las personas que
necesiten mandarte algo cifrado) y la privada
(que no debe de ser revelada nunca).

El modo transporte:
En este modo el contenido transportado dentro del datagrama AH o ESP son
datos de la capa de transporte (por ejemplo, datos TCP o UDP). Por tanto, la
cabecera IPSec se inserta inmediatamente a continuacin de la cabecera IP y
antes de los datos de los niveles superiores que se desean proteger
El modo tnel

En ste el contenido del datagrama AH o ESP es un datagrama IP completo,


incluida la cabecera IP original. As, se toma un datagrama IP al cual se aade
inicialmente una cabecera AH o ESP, posteriormente se aade una nueva
cabecera IP que es la que se utiliza para encaminar los paquetes a travs de la
red.

UNIVERSIDAD NACIONAL
DE LOJA
A.E.I.R.N.R.
C.I.E.Y.T

Francisco Narvez.
Jayro Arias
Luis Jaramillo
Eduardo Tandazo

INTRODUCCIN
TIPOS DE ENLACES DE RED
ENLACES PUNTO A PUNTO

Un solo emisor y
receptor
-PPP
-HDLC

ENLACES DE DIFUSIN
Mltiples emisores y
receptores
conectados al mismo
canal
Protocolos de Acceso
Mltiple
-CDMA
-CSMA
-Paso de testigo

TIPOS

TDMA

Se divide el tiempo para cada estacin y se asigna todo el espectro


a cada estacin.
Elimina las colisiones.
Cada estacin tendr una tasa de transmisin de X/N bps.
Cada estacin debe conocer el comienzo y posicin de su ranura.
Se utiliza tiempos de guarda para compensar los retardos de
propagacin.

FDMA

Se divide el ancho de banda para cada estacin y


se asigna todo el tiempo a cada estacin.
Se utilizan bandas de guarda para evitar
interferencias.
Cada estacin debe tener un filtro pasabanda
para poder seleccionar su banda de frecuencia.

CDMA
Cada estacin multiplica sus datos por su
cdigo.
Lo que se enva por el canal es la suma de esos
trminos de multiplicacin.
Entonces si una estacin quiere recibir datos
de otra, multiplica los datos del canal por el
cdigo de la estacin transmisora.

PROPIEDADES
Cada chips est formada por X (nmero de estaciones) elementos.
Multiplicacin de una secuencia por un escalar:
Si se multiplica un chips por un escalar, cada elemento de chip es
multiplicado por ese escalar.
Ej.: 2 x [+1 +1 -1 -1] = [+2 +2 -2 -2]
Producto interno:
Si se multiplican dos chips iguales, elemento a elemento y se suma el
resultado, se obtiene N.
Ej.: [+1 +1 -1 -1] . [+1 +1 -1 -1] = +1 +1 +1 +1 = 4
Si se multiplican dos chips diferentes, elemento a elemento y se suma el
resultado, se obtiene 0.
Ej.: [+1 +1 -1 -1] . [+1 +1 +1 +1] = +1 +1 -1 -1 = 0
Sumar dos chips significa sumar los elementos correspondientes y obtener
una nueva secuencia.

Protocolos de Acceso aleatorio


De manera general podemos definir a este tipo de protocolos como acceso
aleatorio en aquellos que relativamente controlan el acceso al canal ms no a
quien va a transmitir y aquellos que no restringen ninguna de estas dos
situaciones.

Aloha con Particiones o Ranurada


Protocolo que utiliza un mecanismo de control de acceso al canal y
permite un acceso aleatorio del nodo o estacin que desee
transmitir, por lo que se deben cumplir los siguientes principios en
sistema que lo haya implementado.
Todas las tramas constan de exactamente L bits.
El tiempo est dividido en particiones de L/R segundos (es decir, cada particin
equivale al tiempo que se tarda en transmitir una trama).
Eficiencia de 36,8%

Aloha con Particiones o Ranurada

Aloha normal
Es la versin original de Aloha Ranurado, por lo que es poco
utilizada, adems que cuenta con una eficiencia mucho menor que
su posterior versin.
Si una trama transmitida experimenta una colisin con una o ms
transmisiones de otros nodos, el nodo (despus de transmitir
completamente la trama que ha sufrido la colisin) retransmitir la
trama de forma inmediata con una probabilidad p.
En caso contrario, el nodo esperar durante un tiempo equivalente
al tiempo total de retransmisin de una trama.
Eficiencia de 18,4%

Aloha con Particiones o Ranurada

Figura 2. Transmisiones que interfieren en el protocolo ALOHA puro.

CSMA
CSMA (Carrier sense multiple access) Acceso mltiple con deteccin de portadora, es un protocolo
de gran relevancia sobre todo en tecnologas Ethernet, a diferencia de Aloha sus prestaciones y
eficiencia son mayores, permitiendo ofrecer un sistemas relativamente ptimo.

Para aplicaciones en la industria se dio la necesidad de agregarle


caractersticas adicionales a su estructura o formato de funcionamiento,
denominando a estas variaciones como:
CSMA No persistente
CSMA 1 persistente
CSMA p-persistente
CSMA/CD
CSMA/AC

CSMA

Figura 3. Diagrama espacio-tiempo para dos nodos CSMA con transmisiones que entran en colisin

PROTOCOLOS DE TOMA DE TURNOS

En la actualidad las redes Ethernet han


logrado extinguir casi en su totalidad a las
tecnologas que utilizan protocolos de toma
de turnos.

PROTOCOLO DE SONDEO (POLLING)


Protocolo de sondeo (polling). Este protocolo asigna a uno de los nodos como
nodo maestro. El nodo maestro sondea a cada uno de los otros nodos a la manera
de turno rotatorio (round robin). En particular, el nodo maestro enva primero un
mensaje al nodo que desea transmitir, dicindole que puede empezar hasta un
cierto nmero mximo de tramas. Despus de que el nodo 1 transmita una serie de
tramas, el nodo maestro le dir al nodo 2 que puede transmitir hasta el mximo
nmero de tramas. El procedimiento contina de esta forma ininterrumpidamente,
encargndose el nodo maestro de sondear a cada uno de los otros nodos de forma
cclica.

TOKEN
En este protocolo existe una trama de pequeo tamao y
de propsito especial conocida con el nombre de testigo
(token) que va siendo intercambiada entre los nodos en un
determinado orden fijo.
Cuando un nodo recibe el testigo, lo retiene si dispone de
alguna trama para transmitir; en caso contrario, reenva
inmediatamente el testigo al siguiente nodo. Si un nodo
tiene tramas que transmitir cuando recibe el testigo, enva
una trama detrs de otra, hasta el nmero mximo de
tramas permitido y luego reenva el testigo al siguiente
nodo. El mecanismo de paso de testigo es descentralizado y
extremadamente eficiente, aunque tambin tiene sus
propios problemas. Como es el fallo de un nodo puede
hacer que todo el canal quede inutilizable.

REDES TOKEN
TOKEN RING 802.5

FDDI

TOKEN RING 802.5


El control de acceso al medio funciona as:
Se tiene un Testigo que circula de una estacin a otra y que
incluyen en su interior un indicador para sealar si la red esta
ocupada o no.
Si una estacin desea transmitir y el testigo esta libre, lo captura y
lo transforma en ocupado y enva una trama por el canal.
Cada estacin recibe la trama, la regenera y la pasa a su vecino.
Hasta llegar al destino (direccionado en la Trama) copia la
informacin para su direccionamiento, modifica algunos bits para
indicar que ha sido copiada y la pasa de nuevo al anillo.
Cuando la trama llega de nuevo al estacin de origen, ste retirar
la trama y, puede seguir transmitiendo si aun no ha terminado su
tiempo de posesin del testigo; de lo contrario genera un nuevo
testigo hacia el anillo.

CARATERISTICAS
TOKEN(secuencia de bits con un formato predefinido)
Token Ring define al par trenzado (UTP o STP) como el
medio primario de transmisin, velocidades binarias de 4
a 16 Mbps y transmisin en banda base utilizando
codificacin Manchester Diferencial.
El anillo se implementa con una topologa fsica en
estrella utilizando un hub multipuerto (MAU).

Dispositivos intermedios MAU


Activos.-Necesitan
energa
para
sincronizacin y regeneracin de la
seal.
Pasivos.- No requieren energa solo
proveen los rels en cada puerto.
Inteligentes.-Incorporan funciones de
administracin de red.

FORMATO DE LA TRM TOKEN RING


Delimitador de Inicio: 1 byte con secuencia de violacin del cdigo Manchester Diferencial que determina el
inicio de TRM
Control de Acceso: 1 byte.
Control de TRM (FC): 1 byte que indica si se trata de una TRM de informacin o de control y el tipo de TRM de
control.
Direccin de destino (DA): 6 bytes que corresponden a la direccin de la tarjeta de red del estacin de
destino.
Direccin origen (SA): 6 bytes que corresponden a la direccin de la tarjeta de red del estacin de origen.
Datos: Informacin del protocolo de la capa superior que esta usando la TRM.
FCS: 4 bytes que utilizan CRC sobre los campos FC, DA, SA y datos.
Delimitador de Fin (ED): 1 byte que determina el fin de la TRM.
Estatus de TRM: 1 byte que contiene los bits A y C (por duplicado para aumentar la confiabilidad) que son
utilizados por el estacin destino para informar al estacin origen que ha reconocido su direccin y esta activo
y ha copiado la TRM.

VENTEJAS.Maneja TRM de diferente tamao limitadas nicamente por el tiempo


de posesin del testigo
No existen colisiones
Es determinstico
Puede manejar prioridades y mantiene un rendimiento excelente en
condiciones de alta utilizacin de la red.
DESVENTAJAS.Su eficiencia es baja en condiciones de baja carga
Su protocolo es complicado, tarjetas de red costosas
Naturaleza centralizada, monitor activo defectuoso afecta la operacin
de la red.

FDDI (FIBER DISTRIBUTED DATA


INTERFACE)
Son diseadas para redes LAN geogrficamente ms amplias,
incluyendo las redes de rea metropolitana (MAN,
Metropolitan Area Network). Especifica una red de 100Mbps
con Tokeng Passing sobre un anillo dual de fibra ptica.

Parmetros
Opera sobre FO multimodo o
monomodo
Codificacin de lnea 4B5B
NRZI
Separacin mxima entre
estaciones: 2 Km 60 km
Nmero mximo de estaciones
1000
Alcance mximo de la red
100 Km

FDDI especificaciones
MAC. Define como el medio es accesado incluyendo formato de
trama.
PHY. Define los procesos de codificacin/decodificacin de datos.
PMD. Define las caractersticas del medio de transmisin.

SMT. Define las configuraciones de las estaciones FDDI y el anillo.

SE DEFINEN DOS TIPOS DE ESTACIONES


Clase A o DAS:
Clase B o SAS:

TRES TIPOS DE TOLERANCIA A FALLAS


DUAL RING
OPTICAL BYPASS SWTICH
DUAL HOMING

DUAL RING

Optical Bypass Switch /DUAL HOMING

REDES DE REA
LOCAL (LAN)

Una red LAN es una telaraa de computadoras que se encuentran en una


determinada concentracin geogrfica, por ejemplo sea este un edificio, un
campus universitario, etc. El acceso de un usuario al internet desde un campus
universitario o corporativo, siempre es realizado a travs de una red LAN.

ETHERNET
Norma IEEE 802.3.
Una topologa en estrella en la que
los nodos individuales
(dispositivos) estn conectados
unos con otros a travs de un
equipo de red activo como un
conmutador.
El nmero de dispositivos
conectados a una LAN puede
oscilar entre dos y varios miles.

ETHERNET
Ethernet utiliza una tcnica de contencin MAC, llamada: Carrier sense
multiple access/collision detection (CSMA/CD).
El medio de transmisin fsico para una LAN por cable implica cables,
principalmente de par trenzado, o bien, fibra ptica.
En funcin del tipo de cables de par trenzado o de fibra ptica que se utilicen,
actualmente las velocidades de datos pueden oscilar entre 100 Mbit/s y
10.000 Mbit/s.
Por regla general, las redes siempre deben tener ms capacidad de la que se
necesita. Para preparar una red para el futuro es una buena idea disear una
red que solamente utilice el 30% de su capacidad.
Las redes se basan en el mecanismo de acceso aleatorio

TOKEN RING
Los N nodos de la LAN (host y
routers, su conexin va en anillo
con un acceso directo. Usa una
topologa donde cada computadora
est conectada a la siguiente
formando un anillo, con velocidades
de 4 a 16 Mbps.

TOKEN RING
Cuando la red se pone en marcha un token libre es generado y pasa
de computadora en computadora. Cuando una computadora desea
transmitir, espera a que este token libre pase por ella, le adhiere el
dato y el token pasa de ser libre ha ocupado.
El token sigue su viaje viajando de computadora en computadora
hasta llegar a su destino.
Si la recepcin en la computadora de destino es satisfactoria se enva
(con el token ocupado)
Cuando el proceso ha terminado, el computador origen cambia el
token de nuevo a token libre y lo pasa al siguiente computador.

FDDI (Fiber Distributed Data Interface)


El FDDI es una interfaz de datos
distribuidos para fibra. Diseado para
redes LAN geogrficamente amplias
incluidas las redes de rea
metropolitana (MAN Metropolitan
rea Network)

FDDI (Fiber Distributed Data Interface)


Uso para equipos que requieran velocidades mayores que los 10Mbps
disponibles de Ethernet o los 4Mbps del Token Ring.
Las Redes FDDI pueden soportar varias LANs de baja capacidad que
requieren un BackBone de alta velocidad.
El FDDI est formado por dos hilos o flujos de datos que fluyen en
direcciones opuestas por dos anillos.
En caso de haber problema con el anillo primario como podra ser una
ruptura del cable, este se reconfigura a si mismo transfiriendo datos al
secundario que continuara la transmisin.
Su acceso es por medio de paso del testigo de la token ring y puede
transmitir tantos paquetes como pueda producir en un tiempo
predeterminado antes de liberar el testigo. Como un equipo libera el
testigo cuando finaliza la transmisin, varios paquetes pueden circular
por el anillo al mismo tiempo.

CARACTERSTICA

DESCRIPCIN

Mtodo de acceso

Paso de testigo

Velocidad de Transferencia

FO de 155 Mbps a 622 Mbps

FDDI

TOKEN RING

Arquitectura half-duplex y manipulacin a nivel de smbolo. (O bytes).

Arquitectura full-dplex y manipulacin a nivel de bit.

El Token se enva inmediatamente detrs del paquete.

El Token se enva solo despus de que la direccin origen ha regresado.

Trafico regulado a travs del Token elegido.

El trfico es regulado a travs de bits de reserva y paridad de cada paquete.

Usa grupos de cdigo 4 de 5, hasta 10 % componentes dc.

Usa cdigos diferenciales Manchester. No componentes DC.

El anillo esta descentralizado, relojes individuales limitan el tamao de los paquetes.

Control centralizado con un reloj monitor activo, permitiendo paquetes muy largos.

Medio de fibra ptico.

Medio: par de cables.