República Bolivariana de Venezuela

Ministerio del Poder Popular para la Educación Superior

Universidad Nacional Experimental
“Simón Rodríguez”
Cátedra: Auditoria de Sistemas
Carrera: Administración Mención: Informática

HERRAMIENTAS DE SEGURIDAD
PKI, Proxy, Firewall, Router y VPN

Facilitador: Participantes:
Daniel Carneiro Azuaje Enri V-13.405.578
Hernández Irving V-13.490.152
Rea Marcy V-13.600.866
 Caracas, Mayo 2010
INDICE

Contenido Pág.

Introducción……………………………………………………………… 03

Encriptación…. ………………………………………………………….. 04

PKI ………………………………………………………………………… 06

Proxy ……………………………………………………………………… 09

Firewall …………………………………………………………………… 17

Router …………………………………………………………………… 21

VPN ……………………………………………………………………… 24

Frame Relay …………………………………………………………….. 27

Conclusión.………………..……………………………………………. 33

Referencias……………………………………………………………… 34

2
 INTRODUCCION

El ser humano en la búsqueda constante de estar comunicado e

informado creo Internet que no es mas que una gran red mundial de
ordenadores (es, mejor dicho, una red de redes, como veremos más
adelante). Con el pasar del tiempo tanto las organizaciones como los seres
humanos no hemos visto en la necesidad de interactuar con la red mundial
INTERNET; En vista de esto cada día surgen nuevas herramientas que nos
llevan a optimizar el uso de las interconexiones y además a proteger toda la
información con la seguridad mayor posible.

Las organizaciones se han visto en las necesidades de expandirse no

solo a nivel nacional sino también internacionalmente, lo que trae como
necesidad las interconexiones entre distintas redes locales con localidades
remotas usando bien sea el camino virtual VPN punto a punto o el camino
físico FRAME RELAY.

Es importante resaltar que toda red, sea esta una LAN o una WAN
debe estar siempre protegida con las herramientas de seguridad
recomendadas bien sea a nivel de software como lo son los antivirus, los
certificados de seguridad, cortafuegos, y físicamente a través de Hardware
Firewall.

3
ENCRIPTACIÓN

La encriptación es el proceso para volver ilegible información

considera importante. La información una vez encriptada sólo puede leerse
aplicándole una clave.

Básicamente la información es encriptada por el emisor usando un

programa que entremezcla la información utilizando un código asegurado. El
receptor descifra la información utilizando un código análogo exclusivo,
cualquier persona que intercepte el mensaje verá simplemente información
entremezclada que no tendrá ningún sentido sin el código o llave necesaria
para leerla.

El propósito del encritamiento es mantener oculta la información

que consideramos privada a cualquier persona o sistema que no tenga
permitido verla.
Se trata de una medida de seguridad que es usada para almacenar o
transferir información delicada que no debería ser accesible a terceros. Estas
pueden ser contraseñas, números de tarjetas de crédito, conversaciones
privadas, etc.

Para encriptar información se utilizan complejas fórmulas matemáticas

y para desencriptar, se debe usar una clave como parámetro para esas
fórmulas.

El texto plano que está encriptado o cifrado se llama criptograma. El

encriptamiento abarca diversos métodos de convertir un texto normal en
caracteres ilegibles, que protege al texto de lectores y usuarios no
autorizados. El receptor del texto encriptado utiliza una clave para devolver el
texto a su forma original. La criptografía de clave pública, que es la base de

4
los estándares de Internet utiliza una pareja de claves asimétricas. Una de
ellas se almacena en privado y la otra se usa libremente en público.

Desde los cifrados más sencillos de letras cambiantes hasta los

actuales cifrados de seguridad matemáticamente probada, la criptografía ha
progresado enormemente usándose en diversas aplicaciones. La criptografía
permite almacenar datos de forma segura en una red que no suele garantizar
una gran seguridad.

Actualmente PGP Corporation, es uno de los proveedores líder de

software de encriptamiento de datos y correo electrónico en el mundo,
además cuenta con una amplia gama de recursos de encriptamiento en su
Web.

Existen distintos tipos de encriptamiento y distintos niveles de

complejidad para hacerlo. Como con cualquier código, los de encriptamiento
pueden ser rotos si se cuenta con tiempo y recursos suficientes. Los
altamente sofisticados niveles de encriptamiento con que se cuenta hoy en
día hacen muy difícil descifrar la información encriptada.

Una forma muy común de encriptamiento son los sistemas

criptográficos de llave pública-llave-abierta. Éste sistema utiliza dos llaves
diferentes para cerrar y abrir los archivos y mensajes. Las dos llaves están
matemáticamente ligadas. Una persona puede distribuir su llave pública a
otros usuarios y utilizada para enviarle mensajes encriptados. La persona
guarda en secreto la llave privada y la utiliza para decodificar los mensajes
que le han enviado con la llave pública.

Otro elemento del encriptamiento es la autentificación, el proceso de

verificar que un archivo o mensaje no ha sido alterado a lo largo del trayecto
entre el emisor y el receptor.

5
PKI
PKI (Public Key Infrastructure), cuyas significado en español es
Infraestructura de Clave Pública, podemos definirlas como un conjunto de
hardware, software, personas, políticas, y procedimientos necesarios para
crear, gestionar, distribuir, usar, almacenar y revocar certificados digitales.

Una PKI bien construida debe proporcionar:

• Identidad / Auditoria: las partes involucradas son quienes dicen

ser, es decir, quien suscribe el documento y quien lo firma.
• Confidencialidad: que el documento sea únicamente accesible
para las partes implicadas, es decir, para los verificadores.
• Integridad: debe asegurarse la capacidad de detectar si un
documento firmado ha sido manipulado, en pocas palabras, que
los documentos recibidos sean tal y como fueron creados por el
autor.
• No Repudio: es la prueba de la emisión del documento, el autor
no puede negar haber firmado el documento.

La Infraestructura de Llave Pública o PKI, es la integración de:

• La Criptografía de llave pública o asimétrica, usada para la firma

digital.
• La Criptografía de llave simétrica usada para cifrar.
• El Message Digest o Hash.
• La Gestión de los pares de Llaves Público / Privados (El no
compromiso de la llave privada, a través de un procedimiento de
distribución segura de llaves.)

6
 La Criptografía de Llave Pública o Asimétrica: Tiene por objeto
distribuir la llave simétrica de forma segura. Está basada en el uso de un par
de llaves, una pública y otra privada, por cada entidad. La llave privada debe
permanecer en secreto y bajo el control del usuario. Usarla para cifrar y
descifrar es lo que demuestra que la posee y con ello queda garantizada la
autenticidad y confidencialidad. La llave pública puede y debe ser libremente
distribuida, lo más extensamente. Dichas llaves se caracterizan por que:

• Son diferentes.
• Están matemáticamente asociadas.
• No se puede obtener la llave privada a partir de la pública. Cada llave
únicamente puede descifrar lo que la otra ha cifrado, por tanto; con la
llave pública del suscriptor, cualquiera puede cifrar un mensaje, que
solo puede ser descifrado por la llave privada del suscriptor, así se
logra la confidencialidad.

Criptografía de Llave Simétrica o Secreta: Se basa en el uso de una

única llave entre las partes implicadas, suscriptor y verificador.

El proceso de cifrado con llave simétrica usa un algoritmo, la llave, el

mensaje y el message digest, siendo muy complicado por métodos
informáticos obtener el camino inverso.

El Message Digest Value: Es una versión corta y de longitud fija de

un mensaje, que no se puede recobrar a partir del Message Digest. Es
completamente diferente si cambia un solo bit del mensaje original.

El suscriptor lo obtiene a partir de algoritmos de message digest como

SHA-1, Ripe_MD, o algoritmos de firma digital que lo incluyen como DSA o
RSA, Más el mensaje original, y la llave privada del suscriptor. El verificador
lo obtiene descifrando la firma digital recibida del suscriptor, utilizando la llave

7
pública del suscriptor, y el algoritmo de firma digital. Da por resultado un
valor, o Message Digest Value.

El objeto es que el verificador se asegure de la integridad de los datos

transmitidos, lo que se logra comparando el valor del message digest
descifrado por el verificador utilizando su llave privada, y el que ha recibido,
descifrado por la llave pública del suscriptor. Si éstos son iguales, entonces
se confirma la integridad del mensaje.

PKI es la forma común de referirse a un sistema complejo necesario

para la gestión de certificados digitales y aplicaciones de la firma digital.

La firma digital es un paquete de información de tamaño fijo,

dependiente del documento original y sólo puede generarse por el poseedor
de la clave privada. La base tecnológica para la firma digital está
fundamentada principalmente en el uso de ciertos algoritmos criptográficos,
con unas características que permiten obtener el nivel de seguridad
requerido.

A diferencia de los algoritmos de cifrado simétrico, en los que la

información se cifra y descifra con la misma clave, los algoritmos asimétricos
basan su funcionamiento en un par de claves (matemáticas dependientes)
para cada usuario, con la característica de que la información cifrada con una
clave, sólo puede descifrarse con la otra del mismo par.

A cada usuario se debe asignar un par de claves, que se denominan

clave pública y clave privada. Como indican sus nombres, la clave pública
puede ser conocida por todo el mundo, mientras que la clave privada debe
ser custodiada por el usuario y nunca hacerse pública.

Si se desea enviar información confidencial a un usuario, se le enviará

la información cifrada con su clave pública, de tal forma que sólo ese usuario,

8
que posee la clave privada correspondiente, podrá descifrar la información.
Por otra parte, si un usuario envía información cifrada con su clave privada,
al descifrarla con su clave pública (acción que puede realizar cualquiera que
conozca dicha clave), puede asegurarse que ha sido ese usuario quién envió
la información, ya que sólo él posee la clave privada.

Una Firma Digital posee dos características básicas:

• Sólo puede ser generada por el poseedor de la clave privada y puede

ser verificada por cualquiera que conozca la clave pública del firmante.
• Es dependiente del documento a firmar, es decir, la firma digital de un
documento no puede emplearse para firmar otro documento.

El proceso de generación de una Firma Digital consiste en:

Emplear un algoritmo de Hashing se genera un resumen, de tamaño

fijo, del documento. Se cifra el Hash empleando la clave privada del usuario.
Deberá transmitirse o almacenarse el documento original y la firma, para ello
deben realizarse los siguientes pasos:

A partir del Documento Original, se genera de nuevo el Hash,

empleando la clave pública del firmante, se descifra la firma digital. Se
comprueba si ambos Hashes coinciden, si es así, la firma es auténtica, si no
lo es, el documento ha sido modificado y/o la firma es falsa.

Adicionalmente, debe comprobarse que el certificado digital es válido.

El certificado puede haber caducado, o puede haber sido revocado por una
de las partes.

PROXY

9
 En el contexto de las redes informáticas, el término proxy hace
referencia a un programa o dispositivo que realiza una acción en
representación de otro. Su finalidad más habitual es la de servidor proxy, que
sirve para permitir el acceso a Internet a todos los equipos de una
organización cuando sólo se puede disponer de un único equipo conectado,
esto es, una única dirección IP.

Ventajas

En general (no sólo en informática), los proxies hacen posibles varias

cosas nuevas:

• Control: sólo el intermediario hace el trabajo real, por tanto se pueden

limitar y restringir los derechos de los usuarios, y dar permisos sólo al
proxy.
• Ahorro. Por tanto, sólo uno de los usuarios (el proxy) ha de estar
equipado para hacer el trabajo real.
• Velocidad. Si varios clientes van a pedir el mismo recurso, el proxy
puede hacer caché: guardar la respuesta de una petición para darla
directamente cuando otro usuario la pida. Así no tiene que volver a
contactar con el destino, y acaba más rápido.
• Filtrado. El proxy puede negarse a responder algunas peticiones si
detecta que están prohibidas.
• Modificación. Como intermediario que es, un proxy puede falsificar
información, o modificarla siguiendo un algoritmo.
• Anonimato. Si todos lo usuarios se identifican como uno sólo, es
difícil que el recurso accedido pueda diferenciarlos. Pero esto puede
ser malo, por ejemplo cuando hay que hacer necesariamente la
identificación.

10
Desventajas

En general (no sólo en informática), el uso de un intermediario puede

provocar:

• Abuso. Al estar dispuesto a recibir peticiones de muchos usuarios y

responderlas, es posible que haga algún trabajo que no toque. Por
tanto, ha de controlar quién tiene acceso y quién no a sus servicios,
cosa que normalmente es muy difícil.
• Carga. Un proxy ha de hacer el trabajo de muchos usuarios.
• Intromisión. Es un paso más entre origen y destino, y algunos
usuarios pueden no querer pasar por el proxy. Y menos si hace de
caché y guarda copias de los datos.
• Incoherencia. Si hace de caché, es posible que se equivoque y dé
una respuesta antigua cuando hay una más reciente en el recurso de
destino. En realidad este problema no existe con los servidores proxy
actuales, ya que se conectan con el servidor remoto para comprobar
que la versión que tiene en cache sigue siendo la misma que la
existente en el servidor remoto.
• Irregularidad. El hecho de que el proxy represente a más de un
usuario da problemas en muchos escenarios, en concreto los que
presuponen una comunicación directa entre 1 emisor y 1 receptor
(como TCP/IP).

11
Funcionamiento

Un proxy permite a otros equipos conectarse a una red de forma

indirecta a través de él. Cuando un equipo de la red desea acceder a una
información o recurso, es realmente el proxy quien realiza la comunicación y
a continuación traslada el resultado al equipo inicial. En unos casos esto se
hace así porque no es posible la comunicación directa y en otros casos
porque el proxy añade una funcionalidad adicional, como puede ser la de
mantener los resultados obtenidos (por ejemplo una página web) en una
caché que permita acelerar sucesivas consultas coincidentes. Con esta
denominación general de proxy se agrupan diversas técnicas.

Proxy de web / Proxy cache de web

Se trata de un proxy para una aplicación específica; el acceso a la

web. Aparte de la utilidad general de un proxy, proporciona una caché para
las páginas web y los contenidos descargados, que es compartida por todos
los equipos de la red, con la consiguiente mejora en los tiempos de acceso
para consultas coincidentes. Al mismo tiempo libera la carga de los enlaces
hacia Internet.

Funcionamiento

1. El cliente realiza una petición (Mediante un navegador web) de un

recurso de Internet (una página web o cualquier otro archivo)
especificado por una URL.
2. Cuando el proxy caché recibe la petición, busca la URL resultante en
su caché local. Si la encuentra, contrasta la fecha y hora de la versión
de la página demanda con el servidor remoto. Si la página no ha
cambiado desde que se cargo en caché la devuelve inmediatamente,
ahorrándose de esta manera mucho tráfico pues sólo intercambia un

12
 paquete para comprobar la versión. Si la versión es antigua o
simplemente no se encuentra en la caché, lo captura del servidor
remoto, lo devuelve al que lo pidió y guarda o actualiza una copia en
su caché para futuras peticiones.

El caché utiliza normalmente un algoritmo para determinar cuándo un

documento está obsoleto y debe ser eliminado de la caché, dependiendo de
su antigüedad, tamaño e histórico de acceso. Dos de esos algoritmos
básicos son el LRU (el usado menos recientemente, en inglés "Least
Recently Used") y el LFU (el usado menos frecuentemente, "Least Frequently
Used").

Los proxies web también pueden filtrar el contenido de las páginas

Web servidas. Algunas aplicaciones que intentan bloquear contenido Web
ofensivo están implementadas como proxies Web. Otros tipos de proxy
cambian el formato de las páginas web para un propósito o una audiencia
específicos, para, por ejemplo, mostrar una página en un teléfono móvil o
una PDA. Algunos operadores de red también tienen proxies para interceptar
virus y otros contenidos hostiles servidos por páginas Web remotas.

Un cliente de un ISP manda una petición a Google la cual llega en un

inicio al servidor Proxy que tiene este ISP, no va directamente a la dirección
IP del dominio de Google. Esta página concreta suele ser muy solicitada por
un alto porcentaje de usuarios, por lo tanto el ISP la retiene en su Proxy por
un cierto tiempo y crea una respuesta en mucho menor tiempo. Cuando el
usuario crea una búsqueda en Google el servidor Proxy ya no es utilizado; el
ISP envía su petición y el cliente recibe su respuesta ahora sí desde Google.

Otros usos

13
 Como método extra y de ayuda en las descargas mediante
aplicaciones P2P; el cual es usado en Lphant y algunos Mods del Emule.

Ventajas

• Ahorro de Tráfico: las peticiones de páginas Web se hacen al

servidor Proxy y no a Internet directamente. Por lo tanto, aligera el
tráfico en la red y descarga los servidores destino, a los que llegan
menos peticiones.
• Velocidad en Tiempo de respuesta: el servidor Proxy crea un caché
que evita transferencias idénticas de la información entre servidores
durante un tiempo (configurado por el administrador) así que el
usuario recibe una respuesta más rápida.
• Demanda a Usuarios: puede cubrir a un gran número de usuarios,
para solicitar, a través de él, los contenidos Web.
• Filtrado de contenidos: el servidor proxy puede hacer un filtrado de
páginas o contenidos basándose en criterios de restricción
establecidos por el administrador dependiendo valores y
características de lo que no se permite, creando una restricción
cuando sea necesario.
• Modificación de contenidos: basándose en la misma función del
filtrado, y llamado Privoxy, tiene el objetivo de proteger la privacidad
en Internet, puede ser configurado para bloquear direcciones y
Cookies por expresiones regulares y modifica en la petición el
contenido.

Desventajas

• Las páginas mostradas pueden no estar actualizadas si éstas han sido

modificadas desde la última carga que realizó el proxy caché.

14
 • Un diseñador de páginas web puede indicar en el contenido de su web
que los navegadores no hagan una caché de sus páginas, pero este
método no funciona habitualmente para un proxy.

• El hecho de acceder a Internet a través de un Proxy, en vez de

mediante conexión directa, impide realizar operaciones avanzadas a
través de algunos puertos o protocolos.

• Almacenar las páginas y objetos que los usuarios solicitan puede

suponer una violación de la intimidad para algunas personas.

Proxies transparentes

Muchas organizaciones (incluyendo empresas, colegios y familias)

usan los proxies para reforzar las políticas de uso de la red o para
proporcionar seguridad y servicios de caché. Normalmente, un proxy Web o
NAT no es transparente a la aplicación cliente: debe ser configurada para
usar el proxy, manualmente. Por lo tanto, el usuario puede evadir el proxy
cambiando simplemente la configuración. Una ventaja de tal es que se puede
usar para redes de empresa.

Un proxy transparente combina un servidor proxy con NAT (Network

Address Translation) de manera que las conexiones son enrutadas dentro
del proxy sin configuración por parte del cliente, y habitualmente sin que el
propio cliente conozca de su existencia. Este es el tipo de proxy que utilizan
los proveedores de servicios de internet (ISP). En España, la compañía más
expandida en cuanto a ADSL se refiere, ISP Telefónica, dejó de utilizar proxy
transparente con sus clientes a partir de Febrero de 2006.

15
Reverse Proxy / Proxy inverso

Un reverse proxy es un servidor proxy instalado en el domicilio de uno

o más servidores web. Todo el tráfico entrante de Internet y con el destino de
uno de esos servidores web pasa a través del servidor proxy.

Hay varias razones para instalar un reverse Proxy, entre ellas

podemos nombrar:

• Seguridad: el servidor proxy es una capa adicional de defensa y por

lo tanto protege los servidores web.
• Cifrado / Aceleración SSL: cuando se crea un sitio web seguro,
habitualmente el cifrado SSL no lo hace el mismo servidor web, sino
que es realizado por el reverse proxy, el cual está equipado con un
hardware de aceleración SSL (Security Sockets Layer).
• Distribución de Carga: el "reverse proxy" puede distribuir la carga
entre varios servidores web. En ese caso, el reverse Proxy puede
necesitar reescribir las URL de cada página web (traducción de la
URL externa a la URL interna correspondiente, según en qué servidor
se encuentre la información solicitada).
• Caché de contenido estático: Un reverse proxy puede descargar los
servidores web almacenando contenido estático como imágenes u
otro contenido gráfico.

Proxy NAT (Network Address Translation) / Enmascaramiento

Otro mecanismo para hacer de intermediario en una red es el NAT. La

traducción de direcciones de red NAT (Network Address Translation) también
es conocida como enmascaramiento de IPs. Es una técnica mediante la cual

16
las direcciones fuente o destino de los paquetes IP son reescritas, sustituidas
por otras, he ahí el enmascaramiento.

Esto es lo que ocurre cuando varios usuarios comparten una única

conexión a Internet. Se dispone de una única dirección IP pública, que tiene
que ser compartida. Dentro de la red de área local (LAN) los equipos
emplean direcciones IP reservadas para uso privado y será el proxy el
encargado de traducir las direcciones privadas a esa única dirección pública
para realizar las peticiones, así como de distribuir las páginas recibidas a
aquel usuario interno que la solicitó. Estas direcciones privadas se suelen
elegir en rangos prohibidos para su uso en Internet como 192.168.x.x,
10.x.x.x, 172.16.x.x y 172.31.x.x

Esta situación es muy común en empresas y domicilios con varios

ordenadores en red y un acceso externo a Internet. El acceso a Internet
mediante NAT proporciona una cierta seguridad, puesto que en realidad no
hay conexión directa entre el exterior y la red privada, y así nuestros equipos
no están expuestos a ataques directos desde el exterior.

Mediante NAT también se puede permitir un acceso limitado desde el

exterior, y hacer que las peticiones que llegan al proxy sean dirigidas a una
máquina concreta que haya sido determinada para tal fin en el propio proxy.

La función de NAT reside en los cortafuegos y resulta muy cómoda

porque no necesita de ninguna configuración especial en los equipos de la
red privada que pueden acceder a través de él como si fuera un
encaminador.

17
Proxy abierto

Este tipo de proxy que acepta peticiones desde cualquier ordenador,

esté o no conectado a su red.

En esta configuración el proxy ejecutará cualquier petición de

cualquier ordenador que pueda conectarse a él, realizándola como si fuera
una petición del proxy. Por lo que permite que este tipo de proxy se use
como pasarela para el envío masivo de correos de spam. Un proxy se usa,
normalmente, para almacenar y redirigir servicios como el DNS o la
navegación Web, mediante el cacheo de peticiones en el servidor proxy, lo
que mejora la velocidad general de los usuarios. Este uso es muy
beneficioso, pero al aplicarle una configuración abierta a todo internet, se
convierte en una herramienta para su uso indebido.

Debido a lo anterior, muchos servidores, como los de IRC, o correo

electrónicos, deniegan el acceso a estos proxys a sus servicios, usando
normalmente listas negras ("BlackList").

Cross-Domain Proxy

Típicamente usado por tecnologías web asíncronas (flash, ajax,

comet, entre otras) que tienen restricciones para establecer una
comunicación entre elementos localizados en distintos dominios.

En el caso de Ajax, por seguridad sólo se permite acceder al mismo

dominio origen de la página web que realiza la petición. Si se necesita
acceder a otros servicios localizados en otros dominios, se instala un Cross-
Domain proxy en el dominio origen que recibe las peticiones ajax y las
reenvía a los dominios externos.

18
 En el caso de Flash, también han solucionado creando la revisión de
archivos xml de Cross-Domain, que permiten o no el acceso a ese dominio o
subdominio.

FIREWALL

Es un dispositivo de seguridad que funciona como cortafuegos entre

redes, permitiendo o denegando las transmisiones de una red a la otra. Un
uso típico es situarlo entre una red local y la red Internet, como dispositivo de
seguridad para evitar que los intrusos puedan acceder a información
confidencial.

Un firewall es sencillamente un filtro que controla todas las

comunicaciones que pasan de una red a la otra y en función de lo que sean
permite o deniega su paso. Para permitir o denegar una comunicación el
firewall examina el tipo de servicio al que corresponde, como pueden ser el
web, el correo o el IRC (Internet Relay Chat) canal de charla en internet.
Dependiendo del servicio el firewall examina si la comunicación es entrante o
saliente y dependiendo de su dirección puede permitirla o no.

De este modo un firewall puede permitir desde una red local hacia
Internet servicios de web, correo y ftp, pero no a IRC (Internet Relay Chat)
canal de charla en internet, que puede ser innecesario para nuestro trabajo.
También podemos configurar los accesos que se hagan desde Internet hacia
la red local y podemos denegarlos todos o permitir algunos servicios como el
de la web, (si es que poseemos un servidor web y queremos que este
accesible desde Internet). Dependiendo del firewall que tengamos también
podremos permitir algunos accesos a la red local desde Internet si el usuario
se ha autentificado como usuario de la red local.

19
 Un firewall es un sistema o grupo de sistemas que impone una política
de seguridad entre la organización de red privada y el Internet. Es un
mecanismo para restringir acceso entre la Internet y la red corporativa
interna. Generalmente se instala un firewall en un punto estratégico donde
una red (o redes) se conectan a la Internet.

Un buen Firewall para Internet puede ayudarle a impedir que extraños

accedan al PC desde Internet. Los Firewalls pueden ser de dos tipos, de
software o de hardware, y proporcionan una frontera de protección que
ayuda a mantener fuera a los invasores no deseados de Internet.

La existencia de un firewall en un sitio Internet reduce las

probabilidades de ataques externos a los sistemas corporativos y redes
internas, además puede servir para evitar que los propios usuarios internos
comprometan la seguridad de la red al enviar información peligrosa (como
passwords no encriptados o datos sensitivos para la organización) hacia el
mundo externo.

Si el Firewall observa alguna actividad sospechosa, es decir, que

alguien externo esté intentando acceder al Pc o que algún programa espía
trate de enviar información sin consentimiento, el Firewall advertirá con una
alarma en el sistema.

Básicamente la razón para la instalación de un firewall es casi siempre

la misma: proteger una red privada contra intrusos dentro de un esquema de
conectividad a Internet.

En la mayoría de los casos, el propósito es prevenir el acceso de

usuarios no autorizados a los recursos computacionales en una red privada y
a menudo prevenir el tráfico no autorizado de información propietaria hacia el
exterior.

20
Objetivos del firewall

Un firewall sirve para múltiples propósitos, entre los cuales se puede

mencionar:

• Restricción de entrada de usuarios a puntos cuidadosamente

controlados de la red interna.
• Prevención ante los intrusos que tratan de ganar espacio hacia el
interior de la red y los otros esquemas de defensas establecidos.
• Restricción de uso de servicios tanto a usuarios internos como
externos.
• Determinar cuáles de los servicios de red pueden ser accesados
dentro de ésta por los que están fuera, es decir, quién puede entrar a
utilizar los recursos de red pertenecientes a la organización.

Todo el tráfico que viene de la Internet o sale de la red corporativa

interna pasa por el firewall de tal forma que él decide si es aceptable o no.

Limitación de un Firewalls

• Puede únicamente autorizar el paso del tráfico, y él mismo podrá ser

inmune a la penetración. Desafortunadamente, este sistema no puede
ofrecer protección alguna una vez que el agresor lo traspasa o
permanece en torno a éste.
• No puede proteger contra aquellos ataques que se efectúen fuera de
su punto de operación.
• No puede proteger de las amenazas a que está sometido por traidores
o usuarios inconscientes.

21
 • No puede prohibir que los traidores o espías corporativos copien datos
sensitivos y los substraigan de la empresa.
• No puede proteger contra los ataques de la ingeniería social, por
ejemplo un Hacker que pretende ser un supervisor o un nuevo
empleado despistado.
• No puede proteger contra los ataques posibles a la red interna por
virus informativos a través de archivos y software.

Funcionamiento

Un Firewall funciona, en principio, denegando cualquier tráfico que se

produzca cerrando todos los puertos del PC. En el momento que un
determinado servicio o programa intente acceder al ordenador nos lo hará
saber. Podremos en ese momento aceptar o denegar dicho tráfico, pudiendo
asimismo hacer (para no tener que repetir la operación cada vez)
permanente la respuesta hasta que no se cambie la política de aceptación.

También se puede configurar el Firewall de manera que reciba sin

problemas cierto tipo de datos (FTP, chat o correo, por ejemplo) y que filtre el
resto de posibilidades. Windows XP cuenta con un Firewall, aunque muy
sencillo. Sólo te permite filtrar la información que entra al ordenador, y no la
que sale.

Ventajas y Desventajas del firewall

Ventajas:

22
 • Protección de información privada: Define que usuarios de la red y
que información va a obtener cada uno de ellos.
• Optimización de acceso: Define de manera directa los protocolos a
utilizarse.
• Protección de intrusos: Protege de intrusos externos restringiendo los
accesos a la red.

Desventajas:

• No protege de ataques que no pasen a través del firewall.

• No protege amenazas y ataques de usuarios negligentes.
• No protege de la copia de datos importantes si se ha obtenido acceso
a ellos.
• No protege de ataques de ingeniería social (ataques mediante medios
legítimos. Por ejemplo el atacante contacta a la víctima haciéndose
pasar por empleado de algún banco, y solicita información
confidencial, por ejemplo, datos de la tarjeta de crédito, con el pretexto
de la renovación de dicha tarjeta).

ROUTER

Su nombre proviene de enrutador, es decir, buscador del camino o

ruta. Éste es un dispositivo de hardware para interconexión de red de
ordenadores que opera en la capa tres (nivel de red). Un enrutador es un
dispositivo para la interconexión de redes informáticas que permite asegurar
el enrutamiento de paquetes entre redes o determinar la ruta que debe tomar
el paquete de datos. El router en vez de mover un mensaje entre todas las
redes que componen Internet éste mueve el mensaje entre las dos redes que

23
están involucradas, la del emisor y la del destinatario, por eso se dice que
tiene dos misiones distintas aunque relacionadas.

Tipos de enrutadores
Los enrutadores pueden proporcionar conectividad dentro de las
empresas, entre las empresas e Internet, y en el interior de proveedores de
servicios de Internet (ISP). Los enrutadores más grandes (por ejemplo, el
CRS-1 de Cisco o el Juniper T1600) interconectan ISPs, se utilizan dentro de
los ISPs, o pueden ser utilizados en grandes redes de empresas.

Proveedor Edge Router: Situado en el borde de una red ISP, habla

BGP externo (eBGP)a un destinatario (sS).

Conectividad Small Office, Home Office (SOHO)

Los enrutadores se utilizan con frecuencia en los hogares para
conectar a un servicio de banda ancha, tales como IP sobre cable o DSL. Un
enrutador usado en una casa puede permitir la conectividad a una empresa a
través de una red privada virtual segura.
Si bien funcionalmente similares a los enrutadores, los enrutadores
residenciales usan traducción de dirección de red en lugar de enrutamiento.
En lugar de conectar ordenadores locales a la red directamente, un
enrutador residencial debe hacer que los ordenadores locales parezcan ser
un solo equipo.
Enrutador de 4 puertos, usado en el hogar y en pequeñas empresas.

Enrutadores de empresa
Todos los tamaños de enrutadores se pueden encontrar dentro de las
empresas. Si bien los más poderosos tienden a ser encontrados en ISPs,
instalaciones académicas y de investigación, las grandes empresas pueden
necesitarlos grandes.

24
 El modelo de tres capas es de uso común, no todos de ellos necesitan
estar presentes en otras redes más pequeñas.

Acceso
Los enrutadores de acceso, incluyendo SOHO, se encuentran en sitios
de clientes como de sucursales que no necesitan de enrutamiento jerárquico
de los propios. Normalmente, son optimizados para un bajo costo.

Distribución
Los enrutadores de distribución agregan tráfico desde enrutadores de
acceso múltiple, ya sea en el mismo lugar, o de la obtención de los flujos de
datos procedentes de múltiples sitios a la ubicación de una importante
empresa. Los enrutadores de distribución son a menudo responsables de la
aplicación de la calidad del servicio a través de una WAN, por lo que deben
tener una memoria considerable, múltiples interfaces WAN, y transformación
sustancial de inteligencia.
También pueden proporcionar conectividad a los grupos de servidores
o redes externas. En la última solicitud, el sistema de funcionamiento del
enrutador debe ser cuidadoso como parte de la seguridad de la arquitectura
global. Separado del enrutador puede estar un Cortafuegos o VPN
concentrador, o el enrutador puede incluir estas y otras funciones de
seguridad. Cuando una empresa se basa principalmente en un campus,
podría no haber una clara distribución de nivel, que no sea tal vez el acceso
fuera del campus.
En tales casos, los enrutadores de acceso, conectados a una red de
área local (LAN), se interconectan a través de Core routers.

Núcleo
En las empresas, el core router puede proporcionar una "columna
vertebral" interconectando la distribución de los niveles de los enrutadores de

25
múltiples edificios de un campus, o a las grandes empresas locales. Tienden
a ser optimizados para ancho de banda alto.
Cuando una empresa está ampliamente distribuida sin ubicación
central, la función del Core router puede ser subsumido por el servicio de
WAN al que se suscribe la empresa, y la distribución de enrutadores se
convierte en el más alto nivel.

Enrutadores inalámbricos
A pesar de que tradicionalmente los enrutadores solían tratar con
redes fijas (Ethernet, ADSL, RDSI), en los últimos tiempos han comenzado a
aparecer enrutadores que permiten realizar una interfaz entre redes fijas y
móviles (Wi-Fi, GPRS, Edge, UMTS, FritzBox, WiMAX).
Un enrutador inalámbrico comparte el mismo principio que un
enrutador tradicional. La diferencia es que éste permite la conexión de
dispositivos inalámbricos a las redes a las que el enrutador está conectado
mediante conexiones por cable. La diferencia existente entre este tipo de
enrutadores viene dada por la potencia que alcanzan, las frecuencias y los
protocolos en los que trabajan.
En wifi estas distintas diferencias se dan en las denominaciones como
clase a/b/g/ y n.

VPN
Realmente una VPN no es más que una estructura de red corporativa
implantada sobre una red de recursos de carácter público, pero que utiliza el
mismo sistema de gestión y las mismas políticas de acceso que se usan en
las redes privadas, al fin y al cabo no es más que la creación en una red
pública de un entorno de carácter confidencial y privado que permitirá
trabajar al usuario como si estuviera en su misma red local.

26
 En la mayoría de los casos la red pública es Internet, pero también
puede ser una red ATM o Frame Relay

Funcionamiento de una VPN:

Como hemos indicado en un apartado anterior, desde el punto de vista

del usuario que se conecta a ella, el funcionamiento de una VPN es similar al
de cualquier red normal, aunque realmente para que el comportamiento se
perciba como el mismo hay un gran número de elementos y factores que
hacen esto posible.

La comunicación entre los dos extremos de la red privada a través de

la red pública se hace estableciendo túneles virtuales entre esos dos puntos
y usando sistemas de encriptación y autentificación que aseguren la
confidencialidad e integridad de los datos transmitidos a través de esa red
pública. Debido al uso de estas redes públicas, generalmente Internet, es
necesario prestar especial atención a las cuestiones de seguridad para evitar
accesos no deseados.

La tecnología de túneles (Tunneling) es un modo de envío de datos en

el que se encapsula un tipo de paquetes de datos dentro del paquete de
datos propio de algún protocolo de comunicaciones, y al llegar a su destino,
el paquete original es desempaquetado volviendo así a su estado original.
En el traslado a través de Internet, los paquetes viajan encriptados,
por este motivo, las técnicas de autenticación son esenciales para el correcto
funcionamiento de las VPNs, ya que se aseguran a emisor y receptor que
están intercambiando información con el usuario o dispositivo correcto.

27
 La autenticación en redes virtuales es similar al sistema de inicio de
sesión a través de usuario y contraseña, pero tienes unas necesidades
mayores de aseguramiento de validación de identidades.
La mayoría de los sistemas de autenticación usados en VPN están
basados en sistema de claves compartidas.
La autenticación se realiza normalmente al inicio de una sesión, y
luego, aleatoriamente, durante el transcurso de la sesión, para asegurar que
no haya algún tercer participante que se haya podido entrometer en la
conversación.
Todas las VPNs usan algún tipo de tecnología de encriptación, que
empaqueta los datos en un paquete seguro para su envío por la red pública.
La encriptación hay que considerarla tan esencial como la
autenticación, ya que permite proteger los datos transportados de poder ser
vistos y entendidos en el viaje de un extremo a otro de la conexión.

Existen dos tipos de técnicas de encriptación que se usan en las VPN:

• Encriptación de clave secreta, o privada.
• Encriptación de clave pública.

En la encriptación con clave secreta se utiliza una contraseña secreta

conocida por todos los participantes que van a hacer uso de la información
encriptada. La contraseña se utiliza tanto para encriptar como para
desencriptar la información. Este tipo de sistema tiene el problema que, al
ser compartida por todos los participantes y debe mantenerse secreta, al ser
revelada, tiene que ser cambiada y distribuida a los participantes, lo que
puede crear problemas de seguridad.

La encriptación de clave pública implica la utilización de dos claves,

una pública y una secreta. La primera es enviada a los demás participantes.
Al encriptar, se usa la clave privada propia y la clave pública del otro

28
participante de la conversación. Al recibir la información, ésta es
desencriptada usando su propia clave privada y la pública del generador de
la información. La gran desventaja de este tipo de encriptación es que resulta
ser más lenta que la de clave secreta.

En las redes virtuales, la encriptación debe ser realizada en tiempo

real, de esta manera, los flujos de información encriptada a través de una red
lo son utilizando encriptación de clave secreta con claves que son válidas
únicamente para la sesión usada en ese momento.

FRAME RELAY

Frame Relay o (Frame-mode Bearer Service) es una técnica de

comunicación mediante retransmisión de tramas para redes de circuito
virtual, introducida por la ITU-T a partir de la recomendación I.122 de 1988.
Consiste en una forma simplificada de tecnología de conmutación de
paquetes que transmite una variedad de tamaños de tramas o marcos
(frames) para datos, perfecto para la transmisión de grandes cantidades de
datos.
La técnica Frame Relay se utiliza para un servicio de transmisión de
voz y datos a alta velocidad que permite la interconexión de redes de área
local separadas geográficamente a un costo menor.
Frame Relay proporciona conexiones entre usuarios a través de una
red pública, del mismo modo que lo haría una red privada punto a punto, esto
quiere decir que es orientado a la conexión.
Las conexiones pueden ser del tipo permanente, (PVC, Permanent
Virtual Circuit) o conmutadas (SVC, Switched Virtual Circuit). Por ahora solo
se utiliza la permanente. De hecho, su gran ventaja es la de reemplazar las
líneas privadas por un sólo enlace a la red.

29
 El uso de conexiones implica que los nodos de la red son
conmutadores, y las tramas deben llegar ordenadas al destinatario, ya que
todas siguen el mismo camino a través de la red, puede manejar tanto tráfico
de datos como de voz.
Al contratar un servicio Frame Relay, contratamos un ancho de banda
determinado en un tiempo determinado. A este ancho de banda se le conoce
como CIR (Commited Information Rate). Esta velocidad, surge de la división
de Bc (Committed Burst), entre Tc (Intervalo de tiempo). No obstante, una de
las características de Frame Relay es su capacidad para adaptarse a las
necesidades de las aplicaciones, pudiendo usar una mayor velocidad de la
contratada en momentos puntuales, adaptándose muy bien al tráfico en
ráfagas. Aunque la media de tráfico en el intervalo Tc (Intervalo de tiempo)
no deberá superar la cantidad estipulada Bc (Committed Burst).
Estos Bc bits, serán enviados de forma transparente. No obstante,
cabe la posibilidad de transmitir por encima del CIR contratado, mediante los
Be (Excess Burst). Estos datos que superan lo contratado, serán enviados en
modo best-effort, activándose el bit DE de estas tramas, con lo que serán las
primeras en ser descartadas en caso de congestión en algún nodo.
Las tramas que superen la cantidad de Bc+Be en el intervalo, serán
descartadas directamente sin llegar a entrar en la red, sin embargo las que
superan la cantidad Bc pero no Bc+Be se marcan como descartables (DE=1)
para ser estas las primeras en ser eliminadas en caso de congestión.
Para realizar control de congestión de la red, Frame Relay activa unos
bits, que se llaman FECN (Forward Explicit Congestion Notification), BECN
(Backward Explicit Congestion Notification) y DE (Discard Eligibility). Para
ello utiliza el protocolo LAPF, un protocolo de nivel de enlace que mejora al
protocolo LAPD.
FECN se activa, o lo que es lo mismo, se pone en 1, cuando hay
congestión en el mismo sentido que va la trama.

30
 BECN se activa cuando hay congestión en el sentido opuesto a la
transmisión. DE = 1 indica que la trama será descartable en cuanto haya
congestión. Se utiliza el llamado Algoritmo del Cubo Agujereado, de forma
que se simulan 2 cubos con un agujero en el fondo: Por el primero de ellos
pasan las tramas con un tráfico inferior a CIR, el que supera este límite pasa
al segundo cubo, por el que pasará el tráfico inferior a CIR+EIR (y que
tendrán DE=1). El que supera este segundo cubo es descartado.
En cada nodo hay un gestor de tramas, que decide, en caso de
congestión, a quien notificar, si es leve avisa a las estaciones que generan
más tráfico, si es severa le avisa a todos. Siguiendo el algoritmo anterior,
podríamos descartar en el peor de los casos el tráfico que pasa a través del
segundo cubo. Este funcionamiento garantiza que se cumplen las
características de la gestión de tráfico.
Por otro lado, no lleva a cabo ningún tipo de control de errores o flujo,
ya que delega ese tipo de responsabilidades en capas superiores,
obteniendo como resultado una notable reducción del tráfico en la red,
aumentando significativamente su rendimiento. Esta delegación de
responsabilidades también conlleva otra consecuencia, y es la reducción del
tamaño de su cabecera, necesitando de menor tiempo de proceso en los
nodos de la red y consiguiendo de nuevo una mayor eficiencia. Esta
delegación de control de errores en capas superiores es debido a que Frame
Relay trabaja bajo redes digitales en las cuales la probabilidad de error es
muy baja.

Aplicaciones y Beneficios
• Reducción de complejidad en la red.
• Elecciones virtuales múltiples: son capaces de compartir la misma
línea de acceso.

31
 • Equipo a costo reducido: se reduce las necesidades del hardware y el
procesamiento simplificado ofrece un mayor rendimiento por su
dinero.
• Mejora del desempeño y del tiempo de respuesta. Penetración directa
entre localidades con pocos atrasos en la red.
• Mayor disponibilidad en la red. Las conexiones a la red pueden
redirigirse automáticamente a diversos cursos cuando ocurre un error.
• Se pueden utilizar procedimientos de Calidad de Servicio (QoS)
basados en el funcionamiento Frame Relay.
• Tarifa fija. Los precios no son sensitivos a la distancia, lo que significa
que los clientes no son penalizados por conexiones a largas
distancias.
• Mayor flexibilidad. Las conexiones son definidas por los programas.
Los cambios hechos a la red son más rápidos y a menor costo si se
comparan con otros servicios.
• Ofrece mayores velocidades y rendimiento, a la vez que provee la
eficiencia de ancho de banda que viene como resultado de los
múltiples circuitos virtuales que comparten un puerto de una sola
línea.
• Los servicios de Frame Relay son confiables y de alto rendimiento.
Son un método económico de enviar datos, convirtiéndolo en una
alternativa a las líneas dedicadas.
• El Frame Relay es ideal para usuarios que necesitan una conexión de
mediana o alta velocidad para mantener un tráfico de datos entre
localidades múltiples y distantes.
• Opcionales WEB, Libros virtuales, redes.

Frame Relay constituye un método de comunicación orientado a

paquetes para la conexión de sistemas informáticos. Se utiliza principalmente

32
para la interconexión de redes de área local (LANs, local area networks) y
redes de área extensa (WANs, wide area networks) sobre redes públicas o
privadas. La mayoría de compañías públicas de telecomunicaciones ofrecen
los servicios Frame Relay como una forma de establecer conexiones
virtuales de área extensa que ofrezcan unas prestaciones relativamente
altas. Frame Relay es una interfaz de usuario dentro de una red de
conmutación de paquetes de área extensa, que típicamente ofrece un ancho
de banda comprendida en el rango de 56 Kbps y 1.544 Mbps. Frame Relay
se originó a partir de las interfaces ISND y se propuso como estándar al
Comité Consultivo Internacional para Telegrafía y Telefonía (CCITT) en
1984. El comité de normalización T1S1 de los Estados Unidos, acreditado
por el Instituto americano de normalización (ANSI), realizó parte del trabajo
preliminar sobre Frame Relay

CONCLUSIÓN

Miles de compañías se encuentran en estos momentos investigando

como proteger su información debido a que el avance de las
telecomunicaciones es muy rápido. Cada vez más, las interconexiones
remotas se hacen más comunes debido al mundo globalizado que estamos
viviendo en la actualidad. Es por ello que para lograr optimizar las
interconexiones de redes locales con otras ciudades o países remotos del
mundo entero y agregar además seguridad a la información que reside o

33
viaja por la red, no podemos dejar de pensar en las posibilidades que nos
ofrecen los Router, las VPN, los Firewall, los PKI, El Frame Relay entre otros.

Router: Un enrutador es un dispositivo para la interconexión de redes

informáticas que permite asegurar el enrutamiento de paquetes entre redes o
determinar la ruta que debe tomar el paquete de datos.
VPN: Realmente una VPN no es más que una estructura de red
corporativa implantada sobre una red de recursos de carácter público, pero
que utiliza el mismo sistema de gestión y las mismas políticas de acceso que
se usan en las redes privadas.
FIREWALL: Es un dispositivo de seguridad que funciona como
cortafuegos entre redes, permitiendo o denegando las transmisiones de una
red a la otra. Un uso típico es situarlo entre una red local y la red Internet,
como dispositivo de seguridad para evitar que los intrusos puedan acceder a
información confidencial.
PKI: (Public Key Infrastructure), cuyo significado en español es
Infraestructura de Clave Pública, podemos definirlas como un conjunto de
hardware, software, personas, políticas, y procedimientos necesarios para
crear, gestionar, distribuir, usar, almacenar y revocar certificados digitales.

REFERENCIAS

• PKI, Documento en línea http://www.pki-page.org/ (Consulta Mayo

2010).

• STALLINGS, WILLIAM (2004). Comunicaciones y Redes de Computadores.

Prentice Hall. ISBN 84-205-4110-9.

34
• COMER, DOUGLAS (2000). Redes Globales de Información con Internet y
TCP/ IP. Prentice Hallsca.

• Frame Relay, Documento en línea

http://es.wikipedia.org/wiki/Frame_Relay (Consulta Mayo 2010).

35