Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Trabajo Del Grupo 04
Trabajo Del Grupo 04
HERRAMIENTAS DE SEGURIDAD
PKI, Proxy, Firewall, Router y VPN
Facilitador: Participantes:
Daniel Carneiro Azuaje Enri V-13.405.578
Hernández Irving V-13.490.152
Rea Marcy V-13.600.866
Caracas, Mayo 2010
INDICE
Contenido Pág.
Introducción……………………………………………………………… 03
Encriptación…. ………………………………………………………….. 04
PKI ………………………………………………………………………… 06
Proxy ……………………………………………………………………… 09
Firewall …………………………………………………………………… 17
Router …………………………………………………………………… 21
VPN ……………………………………………………………………… 24
Conclusión.………………..……………………………………………. 33
Referencias……………………………………………………………… 34
2
INTRODUCCION
Es importante resaltar que toda red, sea esta una LAN o una WAN
debe estar siempre protegida con las herramientas de seguridad
recomendadas bien sea a nivel de software como lo son los antivirus, los
certificados de seguridad, cortafuegos, y físicamente a través de Hardware
Firewall.
3
ENCRIPTACIÓN
4
los estándares de Internet utiliza una pareja de claves asimétricas. Una de
ellas se almacena en privado y la otra se usa libremente en público.
5
PKI
PKI (Public Key Infrastructure), cuyas significado en español es
Infraestructura de Clave Pública, podemos definirlas como un conjunto de
hardware, software, personas, políticas, y procedimientos necesarios para
crear, gestionar, distribuir, usar, almacenar y revocar certificados digitales.
6
La Criptografía de Llave Pública o Asimétrica: Tiene por objeto
distribuir la llave simétrica de forma segura. Está basada en el uso de un par
de llaves, una pública y otra privada, por cada entidad. La llave privada debe
permanecer en secreto y bajo el control del usuario. Usarla para cifrar y
descifrar es lo que demuestra que la posee y con ello queda garantizada la
autenticidad y confidencialidad. La llave pública puede y debe ser libremente
distribuida, lo más extensamente. Dichas llaves se caracterizan por que:
• Son diferentes.
• Están matemáticamente asociadas.
• No se puede obtener la llave privada a partir de la pública. Cada llave
únicamente puede descifrar lo que la otra ha cifrado, por tanto; con la
llave pública del suscriptor, cualquiera puede cifrar un mensaje, que
solo puede ser descifrado por la llave privada del suscriptor, así se
logra la confidencialidad.
7
pública del suscriptor, y el algoritmo de firma digital. Da por resultado un
valor, o Message Digest Value.
8
que posee la clave privada correspondiente, podrá descifrar la información.
Por otra parte, si un usuario envía información cifrada con su clave privada,
al descifrarla con su clave pública (acción que puede realizar cualquiera que
conozca dicha clave), puede asegurarse que ha sido ese usuario quién envió
la información, ya que sólo él posee la clave privada.
PROXY
9
En el contexto de las redes informáticas, el término proxy hace
referencia a un programa o dispositivo que realiza una acción en
representación de otro. Su finalidad más habitual es la de servidor proxy, que
sirve para permitir el acceso a Internet a todos los equipos de una
organización cuando sólo se puede disponer de un único equipo conectado,
esto es, una única dirección IP.
Ventajas
10
Desventajas
11
Funcionamiento
Funcionamiento
12
paquete para comprobar la versión. Si la versión es antigua o
simplemente no se encuentra en la caché, lo captura del servidor
remoto, lo devuelve al que lo pidió y guarda o actualiza una copia en
su caché para futuras peticiones.
Otros usos
13
Como método extra y de ayuda en las descargas mediante
aplicaciones P2P; el cual es usado en Lphant y algunos Mods del Emule.
Ventajas
Desventajas
14
• Un diseñador de páginas web puede indicar en el contenido de su web
que los navegadores no hagan una caché de sus páginas, pero este
método no funciona habitualmente para un proxy.
Proxies transparentes
15
Reverse Proxy / Proxy inverso
16
las direcciones fuente o destino de los paquetes IP son reescritas, sustituidas
por otras, he ahí el enmascaramiento.
17
Proxy abierto
Cross-Domain Proxy
18
En el caso de Flash, también han solucionado creando la revisión de
archivos xml de Cross-Domain, que permiten o no el acceso a ese dominio o
subdominio.
FIREWALL
De este modo un firewall puede permitir desde una red local hacia
Internet servicios de web, correo y ftp, pero no a IRC (Internet Relay Chat)
canal de charla en internet, que puede ser innecesario para nuestro trabajo.
También podemos configurar los accesos que se hagan desde Internet hacia
la red local y podemos denegarlos todos o permitir algunos servicios como el
de la web, (si es que poseemos un servidor web y queremos que este
accesible desde Internet). Dependiendo del firewall que tengamos también
podremos permitir algunos accesos a la red local desde Internet si el usuario
se ha autentificado como usuario de la red local.
19
Un firewall es un sistema o grupo de sistemas que impone una política
de seguridad entre la organización de red privada y el Internet. Es un
mecanismo para restringir acceso entre la Internet y la red corporativa
interna. Generalmente se instala un firewall en un punto estratégico donde
una red (o redes) se conectan a la Internet.
20
Objetivos del firewall
Limitación de un Firewalls
21
• No puede prohibir que los traidores o espías corporativos copien datos
sensitivos y los substraigan de la empresa.
• No puede proteger contra los ataques de la ingeniería social, por
ejemplo un Hacker que pretende ser un supervisor o un nuevo
empleado despistado.
• No puede proteger contra los ataques posibles a la red interna por
virus informativos a través de archivos y software.
Funcionamiento
Ventajas:
22
• Protección de información privada: Define que usuarios de la red y
que información va a obtener cada uno de ellos.
• Optimización de acceso: Define de manera directa los protocolos a
utilizarse.
• Protección de intrusos: Protege de intrusos externos restringiendo los
accesos a la red.
Desventajas:
ROUTER
23
están involucradas, la del emisor y la del destinatario, por eso se dice que
tiene dos misiones distintas aunque relacionadas.
Tipos de enrutadores
Los enrutadores pueden proporcionar conectividad dentro de las
empresas, entre las empresas e Internet, y en el interior de proveedores de
servicios de Internet (ISP). Los enrutadores más grandes (por ejemplo, el
CRS-1 de Cisco o el Juniper T1600) interconectan ISPs, se utilizan dentro de
los ISPs, o pueden ser utilizados en grandes redes de empresas.
Enrutadores de empresa
Todos los tamaños de enrutadores se pueden encontrar dentro de las
empresas. Si bien los más poderosos tienden a ser encontrados en ISPs,
instalaciones académicas y de investigación, las grandes empresas pueden
necesitarlos grandes.
24
El modelo de tres capas es de uso común, no todos de ellos necesitan
estar presentes en otras redes más pequeñas.
Acceso
Los enrutadores de acceso, incluyendo SOHO, se encuentran en sitios
de clientes como de sucursales que no necesitan de enrutamiento jerárquico
de los propios. Normalmente, son optimizados para un bajo costo.
Distribución
Los enrutadores de distribución agregan tráfico desde enrutadores de
acceso múltiple, ya sea en el mismo lugar, o de la obtención de los flujos de
datos procedentes de múltiples sitios a la ubicación de una importante
empresa. Los enrutadores de distribución son a menudo responsables de la
aplicación de la calidad del servicio a través de una WAN, por lo que deben
tener una memoria considerable, múltiples interfaces WAN, y transformación
sustancial de inteligencia.
También pueden proporcionar conectividad a los grupos de servidores
o redes externas. En la última solicitud, el sistema de funcionamiento del
enrutador debe ser cuidadoso como parte de la seguridad de la arquitectura
global. Separado del enrutador puede estar un Cortafuegos o VPN
concentrador, o el enrutador puede incluir estas y otras funciones de
seguridad. Cuando una empresa se basa principalmente en un campus,
podría no haber una clara distribución de nivel, que no sea tal vez el acceso
fuera del campus.
En tales casos, los enrutadores de acceso, conectados a una red de
área local (LAN), se interconectan a través de Core routers.
Núcleo
En las empresas, el core router puede proporcionar una "columna
vertebral" interconectando la distribución de los niveles de los enrutadores de
25
múltiples edificios de un campus, o a las grandes empresas locales. Tienden
a ser optimizados para ancho de banda alto.
Cuando una empresa está ampliamente distribuida sin ubicación
central, la función del Core router puede ser subsumido por el servicio de
WAN al que se suscribe la empresa, y la distribución de enrutadores se
convierte en el más alto nivel.
Enrutadores inalámbricos
A pesar de que tradicionalmente los enrutadores solían tratar con
redes fijas (Ethernet, ADSL, RDSI), en los últimos tiempos han comenzado a
aparecer enrutadores que permiten realizar una interfaz entre redes fijas y
móviles (Wi-Fi, GPRS, Edge, UMTS, FritzBox, WiMAX).
Un enrutador inalámbrico comparte el mismo principio que un
enrutador tradicional. La diferencia es que éste permite la conexión de
dispositivos inalámbricos a las redes a las que el enrutador está conectado
mediante conexiones por cable. La diferencia existente entre este tipo de
enrutadores viene dada por la potencia que alcanzan, las frecuencias y los
protocolos en los que trabajan.
En wifi estas distintas diferencias se dan en las denominaciones como
clase a/b/g/ y n.
VPN
Realmente una VPN no es más que una estructura de red corporativa
implantada sobre una red de recursos de carácter público, pero que utiliza el
mismo sistema de gestión y las mismas políticas de acceso que se usan en
las redes privadas, al fin y al cabo no es más que la creación en una red
pública de un entorno de carácter confidencial y privado que permitirá
trabajar al usuario como si estuviera en su misma red local.
26
En la mayoría de los casos la red pública es Internet, pero también
puede ser una red ATM o Frame Relay
27
La autenticación en redes virtuales es similar al sistema de inicio de
sesión a través de usuario y contraseña, pero tienes unas necesidades
mayores de aseguramiento de validación de identidades.
La mayoría de los sistemas de autenticación usados en VPN están
basados en sistema de claves compartidas.
La autenticación se realiza normalmente al inicio de una sesión, y
luego, aleatoriamente, durante el transcurso de la sesión, para asegurar que
no haya algún tercer participante que se haya podido entrometer en la
conversación.
Todas las VPNs usan algún tipo de tecnología de encriptación, que
empaqueta los datos en un paquete seguro para su envío por la red pública.
La encriptación hay que considerarla tan esencial como la
autenticación, ya que permite proteger los datos transportados de poder ser
vistos y entendidos en el viaje de un extremo a otro de la conexión.
28
participante de la conversación. Al recibir la información, ésta es
desencriptada usando su propia clave privada y la pública del generador de
la información. La gran desventaja de este tipo de encriptación es que resulta
ser más lenta que la de clave secreta.
FRAME RELAY
29
El uso de conexiones implica que los nodos de la red son
conmutadores, y las tramas deben llegar ordenadas al destinatario, ya que
todas siguen el mismo camino a través de la red, puede manejar tanto tráfico
de datos como de voz.
Al contratar un servicio Frame Relay, contratamos un ancho de banda
determinado en un tiempo determinado. A este ancho de banda se le conoce
como CIR (Commited Information Rate). Esta velocidad, surge de la división
de Bc (Committed Burst), entre Tc (Intervalo de tiempo). No obstante, una de
las características de Frame Relay es su capacidad para adaptarse a las
necesidades de las aplicaciones, pudiendo usar una mayor velocidad de la
contratada en momentos puntuales, adaptándose muy bien al tráfico en
ráfagas. Aunque la media de tráfico en el intervalo Tc (Intervalo de tiempo)
no deberá superar la cantidad estipulada Bc (Committed Burst).
Estos Bc bits, serán enviados de forma transparente. No obstante,
cabe la posibilidad de transmitir por encima del CIR contratado, mediante los
Be (Excess Burst). Estos datos que superan lo contratado, serán enviados en
modo best-effort, activándose el bit DE de estas tramas, con lo que serán las
primeras en ser descartadas en caso de congestión en algún nodo.
Las tramas que superen la cantidad de Bc+Be en el intervalo, serán
descartadas directamente sin llegar a entrar en la red, sin embargo las que
superan la cantidad Bc pero no Bc+Be se marcan como descartables (DE=1)
para ser estas las primeras en ser eliminadas en caso de congestión.
Para realizar control de congestión de la red, Frame Relay activa unos
bits, que se llaman FECN (Forward Explicit Congestion Notification), BECN
(Backward Explicit Congestion Notification) y DE (Discard Eligibility). Para
ello utiliza el protocolo LAPF, un protocolo de nivel de enlace que mejora al
protocolo LAPD.
FECN se activa, o lo que es lo mismo, se pone en 1, cuando hay
congestión en el mismo sentido que va la trama.
30
BECN se activa cuando hay congestión en el sentido opuesto a la
transmisión. DE = 1 indica que la trama será descartable en cuanto haya
congestión. Se utiliza el llamado Algoritmo del Cubo Agujereado, de forma
que se simulan 2 cubos con un agujero en el fondo: Por el primero de ellos
pasan las tramas con un tráfico inferior a CIR, el que supera este límite pasa
al segundo cubo, por el que pasará el tráfico inferior a CIR+EIR (y que
tendrán DE=1). El que supera este segundo cubo es descartado.
En cada nodo hay un gestor de tramas, que decide, en caso de
congestión, a quien notificar, si es leve avisa a las estaciones que generan
más tráfico, si es severa le avisa a todos. Siguiendo el algoritmo anterior,
podríamos descartar en el peor de los casos el tráfico que pasa a través del
segundo cubo. Este funcionamiento garantiza que se cumplen las
características de la gestión de tráfico.
Por otro lado, no lleva a cabo ningún tipo de control de errores o flujo,
ya que delega ese tipo de responsabilidades en capas superiores,
obteniendo como resultado una notable reducción del tráfico en la red,
aumentando significativamente su rendimiento. Esta delegación de
responsabilidades también conlleva otra consecuencia, y es la reducción del
tamaño de su cabecera, necesitando de menor tiempo de proceso en los
nodos de la red y consiguiendo de nuevo una mayor eficiencia. Esta
delegación de control de errores en capas superiores es debido a que Frame
Relay trabaja bajo redes digitales en las cuales la probabilidad de error es
muy baja.
Aplicaciones y Beneficios
• Reducción de complejidad en la red.
• Elecciones virtuales múltiples: son capaces de compartir la misma
línea de acceso.
31
• Equipo a costo reducido: se reduce las necesidades del hardware y el
procesamiento simplificado ofrece un mayor rendimiento por su
dinero.
• Mejora del desempeño y del tiempo de respuesta. Penetración directa
entre localidades con pocos atrasos en la red.
• Mayor disponibilidad en la red. Las conexiones a la red pueden
redirigirse automáticamente a diversos cursos cuando ocurre un error.
• Se pueden utilizar procedimientos de Calidad de Servicio (QoS)
basados en el funcionamiento Frame Relay.
• Tarifa fija. Los precios no son sensitivos a la distancia, lo que significa
que los clientes no son penalizados por conexiones a largas
distancias.
• Mayor flexibilidad. Las conexiones son definidas por los programas.
Los cambios hechos a la red son más rápidos y a menor costo si se
comparan con otros servicios.
• Ofrece mayores velocidades y rendimiento, a la vez que provee la
eficiencia de ancho de banda que viene como resultado de los
múltiples circuitos virtuales que comparten un puerto de una sola
línea.
• Los servicios de Frame Relay son confiables y de alto rendimiento.
Son un método económico de enviar datos, convirtiéndolo en una
alternativa a las líneas dedicadas.
• El Frame Relay es ideal para usuarios que necesitan una conexión de
mediana o alta velocidad para mantener un tráfico de datos entre
localidades múltiples y distantes.
• Opcionales WEB, Libros virtuales, redes.
32
para la interconexión de redes de área local (LANs, local area networks) y
redes de área extensa (WANs, wide area networks) sobre redes públicas o
privadas. La mayoría de compañías públicas de telecomunicaciones ofrecen
los servicios Frame Relay como una forma de establecer conexiones
virtuales de área extensa que ofrezcan unas prestaciones relativamente
altas. Frame Relay es una interfaz de usuario dentro de una red de
conmutación de paquetes de área extensa, que típicamente ofrece un ancho
de banda comprendida en el rango de 56 Kbps y 1.544 Mbps. Frame Relay
se originó a partir de las interfaces ISND y se propuso como estándar al
Comité Consultivo Internacional para Telegrafía y Telefonía (CCITT) en
1984. El comité de normalización T1S1 de los Estados Unidos, acreditado
por el Instituto americano de normalización (ANSI), realizó parte del trabajo
preliminar sobre Frame Relay
CONCLUSIÓN
33
viaja por la red, no podemos dejar de pensar en las posibilidades que nos
ofrecen los Router, las VPN, los Firewall, los PKI, El Frame Relay entre otros.
REFERENCIAS
34
• COMER, DOUGLAS (2000). Redes Globales de Información con Internet y
TCP/ IP. Prentice Hallsca.
35