1.

1 INTERCONEXIÓN DE REDES

La Ínter conectividad (Internetworking) puede ser definida

como:

“Comunicación entre dos o más redes”…IBM

“Proceso de comunicación el cual ocurre entre dos o más

redes que están conectadas entre sí de alguna manera”.

¿Por qué es importante la interconectividad de redes?

• Compartir recursos
• Acceso Instantáneo a bases de datos compartidas
• Insensibilidad a la distancia física y a la limitación
en el número de nodos
• Administración centralizada de la red
• Da una ventaja estratégica en el mercado
competitivo global

¿Qué retos existen? El reto de la interconectividad

• Reducción de presupuestos (tiempo, dinero)

• Escasez de ingenieros especializados en redes
• Capacidad de planeación, administración y soporte
• Retos técnicos y retos de admisnitración de redes

¿Que retos técnicos existen?

• Equipos de diferentes fabricantes

• Arquitecturas, plataformas, sistemas operativos,
protocolos, medios de comunicación diferentes
• Limitaciones en distancia y en tamaño de los
paquetes
 • Limitaciones en ancho de banda y potencia

¿Que retos de administración de redes existen?

• configuración
• Seguridad
• Confiabilidad
• Desempeño
• Localización, aislamiento, corrección y prevención
de fallas
• Planeación hacia el futuro

“El verdadero reto de la interconectividad es la conectividad

del transporte de información entre LAN dispersas
geográficamente”

¿Cómo se interconectan las redes? Las redes se conectan

mediante equipos de telecomunicaciones conocidos como
equipos de interconexión. Equipos de Interconexión Dos o
más redes separadas están conectados para intercambiar
datos o recursos forman una interred (internetwork). Enlazar
LANs en una interred requiere de equipos que realicen ese
propósito. Estos dispositivos están diseñados para
sobrellevar los obstáculos para la interconexión sin
interrumpir el funcionamiento de las redes. A estos
dispositivos que realizan esa tarea se les llama equipos de
Interconexión.

Existen equipos de Interconexión a nivel de:

» LAN: Hub, switch, repetidor, gateway, Puente, access
points.

» MAN: Repetidor, switch capa 3, enrutador,

multicanalizador, wireless bridges. Puente, modem
analógico, modem ADSL, modem CABLE, DSU/CSU.

» WAN: Enrutador, multicanalizador, modem analógico,

DSU/CSU, modem satelital.
1.1.1 MODEM/ MULTIPLEXOR/ SWITCH/ HUB

EL MODEM

Es otro de los periféricos que con el tiempo se ha convertido

ya en imprescindible y pocos son los modelos de ordenador
que no estén conectados en red que no lo incorporen. Su
gran utilización viene dada básicamente por dos motivos:
Internet y el fax, aunque también le podemos dar otros usos
como son su utilización como contestador automático incluso
con funciones de centralita o para conectarnos con la red
local de nuestra oficina o con la central de nuestra empresa.

Aún en el caso de estar conectado a una red, ésta tampoco

se libra de éstos dispositivos, ya que en este caso será la
propia red la que utilizará el modem para poder conectarse a
otras redes o a Internet estando en este caso conectado a
nuestro servidor o a un router.

Lo primero que hay que dejar claro es que los modem se

utilizan con líneas analógicas, ya que su propio nombre
indica su principal función, que es la de modular-demodular
la señal digital proveniente de nuestro ordenador y
convertirla a una forma de onda que sea asimilable por dicho
tipo de líneas.

Es cierto que se suelen oír expresiones como modem ADSL o

incluso modem RDSI, aunque esto no es cierto en estos
casos, ya que estas líneas de tipo digital no necesitan de
ningún tipo de conversión de digital a analógico, y su función
en este caso es más parecida a la de una tarjeta de red que
a la de un modem.

MULTIPLEXOR

En el campo de las telecomunicaciones el multiplexor se

utiliza como dispositivo que puede recibir varias entradas y
transmitirlas por un medio de transmisión compartido. Para
ello lo que hace es dividir el medio de transmisión en
múltiples canales, para que varios nodos puedan
comunicarse al mismo tiempo. Una señal que está
multiplexada debe demultiplexarse en el otro extremo.
Según la forma en que se realice esta división del medio de
transmisión, existen varias clases de multiplexación:

• Multiplexación por división de frecuencia

• Multiplexación por división de tiempo
• Multiplexación por división de código
• Multiplexación por división de longitud de onda

SWITCH

Para el término en programación, véase estructuras de

control.

Un switch (en castellano “conmutador”) es un dispositivo

electrónico de interconexión de redes de computadoras que
opera en la capa 2 (nivel de enlace de datos) del modelo OSI
(Open Systems Interconection. Un switch interconecta dos o
más segmentos de red, funcionando de manera similar a los
puentes (bridges), pasando datos de un segmento a otro, de
acuerdo con la dirección MAC de destino de los datagramas
en la red. Un switch en el centro de una red en estrella. Un
switch en el centro de una red en estrella.

Los switches se utilizan cuando se desea conectar múltiples

redes, fusionándolas en una sola. Al igual que los bridges,
dado que funcionan como un filtro en la red, mejoran el
rendimiento y la seguridad de las LANs (Local Area Network-
Red de Área Local).

HUB
Hub tiene varios significados, según el contexto en el cual es
empleado.

Tiene los siguientes significados técnicos:

1.- En inglés hub es el centro de una rueda, en el que

coinciden los radios y donde se encuentra el eje. El término
se utiliza internacionalmente para identificar sistemas que
mantienen una fuerte dependencia de un punto central.

2.- En informática un hub o concentrador es un equipo de

redes que permite conectar entre sí otros equipos y
retransmite los paquetes que recibe desde cualquiera de
ellos a todos los demás. Los hubs han dejado de ser
utilizados, debido al gran nivel de colisiones y tráfico de red
que propician.

3.- En la aviación comercial se entiende por hub un

aeropuerto grande del que salen y al que llegan vuelos de
larga distancia que se realizan mediante aviones de gran
capacidad. Estos aeropuertos grandes tienen también
enlaces con ciudades más pequeñas, que son servidas con
aviones de tamaño menor. Mediante este sistema las
compañías aéreas pueden llenar sus aviones grandes en los
trayectos de largo recorrido. En el caso ideal, los horarios de
los vuelos de corto alcance están coordinados de tal manera
con los vuelos de largo recorrido, que los pasajeros tienen
que esperar únicamente el tiempo preciso para tomar el
siguiente vuelo.

4.- También traducido como “centro de distribución”.

1.1.3 PUENTE

Un puente o bridge es un dispositivo de interconexión de

redes de ordenadores que opera en la capa 2 (nivel de
enlace de datos) del modelo OSI.
Funciona a través de una tabla de direcciones MAC
detectadas en cada segmento a que está conectado. Cuando
detecta que un nodo de uno de los segmentos está
intentando transmitir datos a un nodo del otro, el bridge
copia la trama para la otra subred. Por utilizar este
mecanismo de aprendizaje automático, los bridges no
necesitan configuración manual.

La principal diferencia entre un bridge y un hub es que el

segundo pasa cualquier trama con cualquier destino para
todos los otros nodos conectados, en cambio el primero sólo
pasa las tramas pertenecientes a cada segmento. Esta
característica mejora el rendimiento de las redes al disminuir
el tráfico inútil. ATT MAURICIO ROSADO TEC. COMITANCILLO

PUENTE O BRIDGE

Al igual que un repetidor, un bridge puede unir segmentos o

grupos de trabajo LAN. Sin embargo, un bridge puede,
además, dividir una red para aislar el tráfico o los problemas.
Por ejemplo, si el volumen del tráfico de uno o dos equipos o
de un departamento está sobrecargando la red con los datos
y ralentizan todas las operaciones, el bridge podría aislar a
estos equipos o al departamento. Los bridges se pueden
utilizar para:

• Extender la longitud de un segmento.

• Proporcionar un incremento en el número de
equipos de la red.
• Reducir los cuellos de botella del tráfico resultantes
de un número excesivo de equipos conectados.
• Dividir una red sobrecargada en dos redes
separadas, reduciendo la cantidad de tráfico en
cada segmento y haciendo que la red sea más
eficiente.
• Enlazar medios físicos diferentes como par
trenzado y Ethernet coaxial.
Los bridges trabajan a nivel de enlace de datos del modelo
de referencia OSI y, por tanto, toda la información de los
niveles superiores no está disponible para ellos. Más que
distinguir entre un protocolo y otro, los bridges pasan todos
los protocolos que aparecen en la red. Todos los protocolos
se pasan a través de los bridges, de forma que aparecen en
los equipos personales para determinar los protocolos que
pueden reconocer.

Los bridges trabajan en el nivel MAC y, por ello, algunas

veces se conocen como bridges de nivel MAC. Un bridge de
nivel MAC:

• Escucha todo el tráfico.

• Comprueba las direcciones origen y destino de
cada paquete.
• Construye una tabla de encaminamiento, donde la
información está disponible.
• Reenvían paquetes de la siguiente forma:
o o Si el destino no aparece en la tabla de
encaminamiento, el bridge reenvía el paquete
a todos los segmentos.
o o Si el destino aparece en la tabla de
encaminamiento, el bridge reenvía el paquete
al segmento correspondiente (a menos que
este segmento sea también el origen).

FUNCIONAMIENTO:

Un bridge funciona considerando que cada nodo de la red

tiene su propia dirección. Un bridge reenvía paquetes en
función de la dirección del nodo destino.
Realmente, los bridges tienen algún grado de inteligencia
puesto que aprenden a dónde enviar los datos. Cuando el
tráfico pasa a través del bridge, la información sobre las
direcciones de los equipos se almacena en la RAM del bridge.
El bridge utiliza esta RAM para generar una tabla de
encaminamiento en función de las direcciones de origen.
Inicialmente, la tabla de encaminamiento del bridge está
vacía. Cuando los nodos transmiten los paquetes, la
dirección de origen se copia en la tabla de encaminamiento.
Con esta información de la dirección, el bridge identifica qué
equipos están en cada segmento de la red.

Una red grande no está limitada a un solo bridge. Se pueden

utilizar múltiples bridge para combinar diferentes redes
pequeñas en una red más grande.

Ventajas de un Bridge:

Los bridges tienen todas las características de los

repetidores, pero también proporcionan más ventajas.
Ofrecen mejor rendimiento de red que los repetidores. Las
redes unidas por bridges se han dividido y, por tanto, un
número menor de equipos compiten en cada segmento por
los recursos disponibles. Visto de otra forma, si una gran red
Ethernet se dividió en dos segmentos conectados por un
bridge, cada red nueva transportaría un número menor de
paquetes, tendríamos menos colisiones y operaría de forma
mucho más eficiente. Aunque cada red estaría separada, el
bridge pasaría el tráfico apropiado entre ellas. Un bridge
puede constituir una pieza de equipamiento autónoma,
independiente (un bridge externo) o se puede instalar en un
servidor. Si el sistema operativo de red (NOS) lo admite,
puede instalar una o más tarjetas de red (NIC) generando un
bridge interno. Su popularidad en grandes redes de debe a
que:

• Son sencillos de instalar y transparentes a los

usuarios.
• Son flexibles y adaptables.
• Son relativamente baratos.

1.1.4 ROUTER
La primera función de un router, la más básica, es, como ya
hemos indicado, saber si el destinatario de un paquete de
información está en nuestra propia red o en una remota.
Para determinarlo, el router utiliza un mecanismo llamado
“máscara de subred”. La máscara de subred es parecida a
una dirección IP (la identificación única de un ordenador en
una red de ordenadores, algo así como su nombre y apellido)
y determina a que grupo de ordenadores pertenece uno en
concreto. Si la máscara de subred de un paquete de
información enviado no se corresponde a la red de
ordenadores de por ejemplo, nuestra oficina, el router
determinará, lógicamente que el destino de ese paquete
está en alguna otra red.

A diferencia de un Hub o un switch del tipo layer 2, un router

inspecciona cada paquete de infromación para tomar
decisiones a la hora de encaminarlo a un lugar a otro. Un
switch del tipo “layer 3″ si tiene también esta funcionalidad.

Cada PC conectado a una red (bien sea una local o a la red

de redes - Internet-) tiene lo que llamamos una tarjeta de
red. La tarjeta de red gestiona la entrada salida de
información y tiene una identificación propia llamada
identificación MAC. A esta identificación MAC la podriamos
llamar identificación física, sería como las coordenadas
terrestres de nuestra casa. Es única, real y exacta. A esta
identificación física le podemos asociar una identificación
lógica, la llamada IP. Siguiendo con el ejemplo de la casa, la
identificación física (MAC) serian sus coordenadas terrestres,
y su identificación lógica sería su dirección (Calle Pepe nº3).
La identificación lógica podría cambiar con el tiempo (por
ejemplo si cambian de nombre a la calle) pero la
identificación física no cambia.

Pues bien, el router asocia las direcciones físicas (MAC) a

direcciones lógicas (IP). En comunicaciones informáticas, una
dirección física (Mac) puede tener varias direcciones lógicas
(IP). Podemos conocer las direcciones Mac e IP de nuestro PC
tecleando, desde una ventana de DOS, “winipcfg” (en
Windows 98) o “ipconfig” (en Windows 2000 / XP). Una vez
nos identificamos en internet por nuestras direcciones
lógicas, los routers entre nosotros y otros puntos irán
creando unas tablas que, por decirlo de algún modo localizan
donde estamos. Es como si estamos en un cruce de
carreteras, y vemos que los coches de Francia siempre
vienen del desvío del norte, pues lo memorizamos, y cuando
un coche nos pregunte como se va a Francia le diremos que
por el desvió del norte (espero que los entendidos me
perdonen esta simplificación). Los routers crean unas tablas
de como se suele ir a donde. Si hay un problema, el router
prueba otra ruta y mira si el paquete llega al destino, si no
es así, prueba otra, y si esta tiene éxito, la almacena como
posible ruta secundaria para cuando la primera (la más
rápida no funcione). Toda esta información de rutas se va
actualizando miles de veces por segundo durante las 24
horas del día.
Es un dispositivo que conecta dos redes locales y es el
responsable de controlar el tráfico entre ellas y de
clasificarlo. En sistemas complejos suele ser un filtro de
seguridad para prevenir daños en la red local. Es posible
conectar varias redes locales de forma que los ordenadores o
nodos de cada una de ellas tengan acceso a todos los
demás. Estos dispositivos operan en el tercer nivel de red
(Capa de Red) del modelo OSI, y enlazan los tres primeros
niveles de este modelo. Los routers redirigen paquetes de
acuerdo al método entregado por los niveles mas altos.
Actualmente, son capaces de manejar un protocolo o varios
protocolos a la vez. Son también llamados sistemas
intermediarios. Originalmente, fueron usados para
interconectar múltiples redes corriendo el mismo protocolo
de alto nivel (por ejemplo; TCP/IP) con múltiples caminos de
transmisión origen/destino.
Entre los más usados en la actualidad se encuentran los de
la empresa CISCO. CONSIDERACIONES DE RUTEO:

• Ruteo Estático: Ocurre cuando uno requiere

predefinir todas las rutas a las redes destinos.
• Ruteo Dinámico: Ocurre cuando la información de
ruteo es intercambiada periódicamente entre los
routers. permite rutear información basada en el
conocimiento actual de la topología de la red.
• Sobrecarga: Al intercambiar la información de ruteo
entre router y actualizar las tablas de rutas
internas, requiere una cierta cantidad de recursos
adicionales. Estos recursos no son directamente
involucrados en mover directamente información
útil del usuario, esto pasa a ser un requerimiento
adicional y son por lo tanto considerados como
sobrecargas. Esta puede influir sobre trafico de red,
memoria y CPU

Ventajas y desventajas del uso de routers:

Los routers son configurables. Esto permite al administrador

tomar decisiones de ruteo (rutas estáticas en caso de fallas),
así como hacer sincronización del desempeño de la interred.

• Son relativamente fáciles de mantener una vez

configurados, ya que muchos protocolos pueden
actualizar sus tablas de ruta de una manera
dinámica.
• Los routers proveen características entre intereses,
esto previene incidentes que pudieran ocurrir en
una sub red, afectando a otras sub redes. Así como
también previene la presencia de intrusos.
• Los routers no son afectados por los contrastes de
los tiempos de retardos como ocurre en los bridges.
Esto significa que los routers no están limitados
topológicamente.
 • Los routers son inteligentes y pueden seleccionar el
camino más aconsejable entre dos o más
conexiones simultáneas. Esto además permite
hacer balances de la carga lo cual alivia las
congestiones. Dentro de las desventajas se pueden
mencionar que requieren una cantidad significativa
de tiempo para instalarlos y configurarlos
dependiendo de la topología de la red y de los
protocolos usados. **Los routers son dependientes
del protocolo, cada protocolo a rutear debe ser
conocido por el router. Tienen un mayor costo que
los Bridges y son más complejos.

Operativo de internerworking. Un router puede ser

exclusivamente un dispositivo LAN, o puede ser
exclusivamente un dispositivo WAN, pero también puede
estar en la frontera entre una LAN y una WAN y ser un
dispositivo LAN y WAN al mismo tiempo.

1.1.5 BROUTERS
Como sugiere el nombre, un bruoter (bridge/router) es un
conector que ayuda a transferir la información entre redes y
que combina simultáneamente las funciones de bridge y
router, y que elige “la mejor solución de los dos”.

Los Brouters trabajan como router con los protocolos

encaminables y como bridge con los que no lo son. Tratan
estas funciones independientemente y proporcionan soporte
de hardware para ambos. MAURICIO ROSADO TEC. COMI

Un brouter puede chequear primero si la red soporta el

protocolo usado por el paquete que recibe y, si no lo hace,
en lugar de descartar el paquete, lo reenvía usando
información de direcciones físicas.
Los brouters pueden encaminar uno o varios protocolos,
como TCP/IP y XNS, y puentear todo el tráfico restante.

Los brouters pueden:

• Encaminar protocolos encaminables seleccionados.

• Actuar de bridge entre protocolos no encaminables.
• Proporcionar un mejor coste y gestión de
interconexión que el que proporcionan los bridges y
routers por separado.

Ventajas e inconvenientes de los bridge/routers

Brouters ofrecen todas las ventajas de los routers para

protocolos de router, y todas aquellas de los bridges para
protocolos de bridge. Pensando que ellos son los sistemas
más complejos de instalar, proporcionan el más alto grado
de flexibilidad, lo que los hace ideales para rápidos cambios
o expansiones de la red.

1.1.6 GATEWAYS

Un gateway es un equipo que permite interconectar redes

con protocolos y arquitecturas completamente diferentes a
todos los niveles de comunicación. La traducción de las
unidades de información reduce mucho la velocidad de
transmisión a través de estos equipos.
Operan en los niveles más altos del modelo de referencia OSI
y realizan conversión de protocolos para la interconexión de
redes con protocolos de alto nivel diferentes.

Los gateways incluyen los 7 niveles del modelo de referencia

OSI, y aunque son más caros que un bridge o un router, se
pueden utilizar como dispositivos universales en una red
corporativa compuesta por un gran número de redes de
diferentes tipos.

Los gateways tienen mayores capacidades que los routers y

los bridges porque no sólo conectan redes de diferentes
tipos, sino que también aseguran que los datos de una red
que transportan son compatibles con los de la otra red.
Conectan redes de diferentes arquitecturas procesando sus
protocolos y permitiendo que los dispositivos de un tipo de
red puedan comunicarse con otros dispositivos de otro tipo
de red.

Tipos de Gateways

• Gateway asíncrono

Sistema que permite a los usuarios de computadoras

personales acceder a grandes ordenadores (mainframes)
asíncronos a través de un servidor de comunicaciones,
utilizando líneas telefónicas conmutadas o punto a punto.
Generalmente están diseñados para una infraestructura de
transporte muy concreta, por lo que son dependientes de la
red.

• Gateway SNA

Permite la conexión a grandes computadoras con

arquitectura de comunicaciones SNA (System Network
Architecture, Arquitectura de Sistemas de Red), actuando
como terminales y pudiendo transferir archivos o listados de
impresión.

• Gateway TCP/IP

Estos gateways proporcionan servicios de comunicaciones

con el exterior vía RAL? O WAN y también funcionan como
interfaz de cliente proporcionando los servicios de aplicación
estándares de TCP/IP.

• Gateway PAD X.25

Son similares a los asíncronos; la diferencia está en que se

accede a los servicios a través de redes de conmutación de
paquetes X.25.

• Gateway FAX

Los servidores de Fax proporcionan la posibilidad de enviar y

recibir documentos de fax.

Ventajas y Desventajas

Ventajas 1.- Simplifican la gestión de red.

2.- Permiten la conversión de

 protocolos.
1.- Su gran capacidad se traduce en
un alto precio de los equipos...

2.- La función de conversión de

protocolos impone una sustancial
Desventa sobrecarga en el gateway, la cual se
jas traduce en un relativo bajo
rendimiento. Debido a esto, un
gateway puede ser un cuello de
botella potencial si la red no está
optimizada para mitigar esta
posibilidad.

Los gateways interconectan redes heterogéneas; por

ejemplo, pueden conectar un servidor Windows NT de
Microsoft a una Arquitectura de red de los sistemas IBM
(SNA). Los gateways modifican el formato de los datos y los
adaptan al programa de aplicación del destino que recibe
estos datos.

Los gateways son de tarea específica. Esto significa que

están dedicados a un tipo de transferencia. A menudo, se
referencial por su nombre de tarea (gateway Windows NT
Server a SNA).

Un gateway utiliza los datos de un entorno, desmantela su

pila de protocolo anterior y empaqueta los datos en la pila
del protocolo de la red destino. Para procesar los datos, el
gateway:

• Desactiva los datos de llegada a través de la pila

del protocolo de la red.
• Encapsula los datos de salida en la pila del
protocolo de otra red para permitir su transmisión.
Algunos gateways utilizan los siete niveles del modelo OSI,
pero, normalmente, realizan la conversión de protocolo en el
nivel de aplicación. No obstante, el nivel de funcionalidad
varía ampliamente entre los distintos tipos de gateways.

Una utilización habitual de los gateways es actuar como

traductores entre equipos personales y mini equipos o
entornos de grandes sistemas. Un gateway en un host que
conecta los equipos de una LAN con los sistemas de mini
equipo o grandes entornos (mainframe) que no reconocen
los equipos conectados a la LAN.

En un entorno LAN normalmente se diseña un equipo para

realizar el papel de gateway. Los programas de aplicaciones
especiales en los equipos personales acceden a los grandes
sistemas comunicando con el entorno de dicho sistema a
través del equipo gateway. Los usuarios pueden acceder a
los recursos de los grandes sistemas sólo cuando estos
recursos están en sus propios equipos personales.
Normalmente, los gateways se dedican en la red a
servidores.

Pueden utilizar un porcentaje significativo del ancho de

banda disponible para un servidor, puesto que realizan
tareas que implican una utilización importante de recursos,
tales como las conversiones de protocolos. Si un servidor
gateway se utiliza para múltiples tareas, será necesario
adecuar las necesidades de ancho de banda y de RAM o se
producirá una caída del rendimiento de las funciones del
servidor.

Los gateways se consideran como opciones para la

implementación, puesto que no implican una carga
importante en los circuitos de comunicación de la red y
realizan, de forma eficiente, tareas muy específicas.
1.1.7 TUNELIZACION DE PROTOCOLOS

Protocolo tunelizado

Un protocolo tunelizado es un protocolo de red que

encapsula un protocolo de sesión dentro de otro. El protocolo
A es encapsulado dentro del protocolo B, de forma que el
primero considera al segundo como si estuviera en el nivel
de enlace de datos. La técnica de tunelizar se suele utilizar
para trasportar un protocolo determinado a través de una
red que, en condiciones normales, no lo aceptaría. Otro uso
de la tunelización de protocolos es la creación de diversos
tipos de redes privadas virtuales.

Túnel SSH

El protocolo SSH (secure shell) se utiliza con frecuencia para

tunelizar tráfico confidencial sobre Internet de una manera
segura. Por ejemplo, un servidor de ficheros puede compartir
archivos usando el protocolo SMB (Server Message Block),
cuyos datos no viajan cifrados. Esto permitiría que una
tercera parte, que tuviera acceso a la conexión (algo posible
si las comunicaciones se realizan en Internet) pudiera
examinar a conciencia el contenido de cada fichero
trasmitido.

Para poder montar el sistema de archivo de forma segura, se

establece una conexión mediante un túnel SSH que
encamina todo el tráfico SMB al servidor de archivos dentro
de una conexión cifrada SSH. Aunque el protocolo SMB sigue
siendo inseguro, al viajar dentro de una conexión cifrada se
impide el acceso al mismo.

Por ejemplo, para conectar con un servidor Web de forma

segura, utilizando SSH, haríamos que el Cliente (informática)
Web, en vez de conectarse al servidor directamente, se
conecte a un cliente SSH. El cliente SSH se conectaría con el
servidor tunelizado, el cual a su vez se conectaría con el
servidor Web final. Lo atractivo de este sistema es que
hemos añadido una capa de cifrado sin necesidad de alterar
ni el cliente ni el servidor Web.

Tunelizar para evitar un Cortafuegos

La técnica de tunelizar puede ser usada también para evitar

o circunvalar en cortafuegos. Pare ello, se encapsula el
protocolo bloqueado en los cortafuegos dentro de otro
permitido, habitualmente HTTP.

TUNELES

El túnel es un método por el cual se hace uso de una red

intermedia para transferir datos de un extremo a otro. Los
paquetes que se transmiten se encapsulan sobre otro
encabezado correspondiente al protocolo de túnel, este
nuevo encabezado contiene la información necesaria para
que el paquete atravesando la red intermedia llegue al
destino correspondiente, una vez llegados a destino son
desencapsulados y dirigidos al destino final. Un túnel es un
canal virtual, configurado entre dos sistemas remotos que se
encuentran en diferentes redes, sobre una conexión real que
involucra más de un nodo intermedio.

La técnica de “tunneling” consiste en encapsular un mensaje

de un protocolo dentro de sí mismo aprovechando ciertas
propiedades del paquete externo con el objetivo de que el
mensaje sea tratado de forma diferente a como habría sido
tratado el mensaje encapsulado. De esta forma un paquete
puede “saltar” la topología de una red. Por ejemplo, un túnel
puede ser usado para evitar un firewall (con los peligros
consecuentes de esta decisión). Esta es una consideración a
tener en cuenta al configurar un túnel.

El túnel es creado encapsulando un protocolo de red dentro

de los paquetes del mismo protocolo, que serán llevados por
la red real. Adicionalmente, el paquete encapsulado es
encriptado por el emisor, en acuerdo con el receptor (el
sistema que se encuentra en del otro lado del túnel) de
manera que sólo ambos extremos puedan acceder a los
datos transportados. Éste tipo de comunicación solo es
posible si el protocolo soporta esta facilidad, denominada
modo túnel. La otra modalidad posible, modo transporte,
provee protección sólo para protocolos de la capa superior.

De esta forma, el túnel es simplemente la ruta que toman los

paquetes encapsulados (y encriptados), dentro de un
paquete del mismo protocolo, entre las dos redes. Un
atacante puede interceptar los mensajes que viajen por el
túnel, pero los datos encapsulados están encriptados y solo
pueden ser recuperados por el destinatario final. En el
sistema de destino, el mensaje encapsulado es extraído del
paquete recibido, desencriptado, y reinyectado en la red a la
que pertenece el receptor (en el caso de un gateway).

Con el uso en modo túnel, el encabezado IP interno

(encapsulado) es encriptado, ocultando la identidad del
destinatario y del origen del tráfico. Los mismos servicios
pueden ofrecerse a un usuario móvil al cual se asigna un IP
dinámicamente para una conexión de conexión telefónica: se
establece un canal en modo túnel al firewall del ISP
funcionando como un gateway de seguridad. En relación con
una conexión o canal seguro, cabe introducir un concepto
importante: el de Asociación de Seguridad (Security
Asociation - SA). Una asociación de seguridad (AS) es una
instancia de una política de seguridad junto con
componentes claves. Las SAS son identificadas de forma
única por una dirección de destino, un protocolo de
seguridad y un índice de parámetros de seguridad o SPI (un
conjunto de atributos se seguridad).

Las SAs son independientes entre ellas. Una conexión de

datos protegida necesita un conjunto de SAs, una por cada
dirección y protocolo. Las SAs pueden actuar en una
dirección o en ambas. Una SA en modo túnel es una SA
aplicada a un túnel, por ejemplo, un túnel IP.

Siempre que en una asociación de seguridad esté

involucrado un gateway de seguridad, dicha SA debe operar
en modo túnel; de otra forma, si sólo están involucrados
sistemas finales (o gateways de seguridad que no actúen
como tales –no transporte tráfico de datos, por Ej. comandos
SNMP para administración de red), puede operar también en
modo transporte. Por esto, un sistema final (un host)
también debe soportar ambos modos de operación,
transporte y túnel (ya que puede comunicarse con un
gateway, que operará en modo túnel).

Las características más importantes de los protocolos que

soportan “tunneling” son encriptado de datos, autenticación,
autorización e integridad de datos; muchas de estas
características son posibles gracias al encriptado completo
del paquete encapsulado. Una distinción a destacar es que el
hecho de que un paquete esté encapsulado en otro no
implica que esté encriptado, tampoco lo inverso. De esta
forma se obtienen distintos beneficios que responden a
necesidades y conveniencias específicas. En los protocolos
de capa 2 (PPTP, L2F, L2PF) el túnel se negocia por ambos
extremos de la conexión a la hora de la creación del mismo
así también la asignación de direcciones o los parámetros de
encriptación y/o de compresión.
1.1.8 CREACION REDES VIRTUALES

Una red de área local (LAN) esta definida como una red de
computadoras dentro de un área geográficamente acotada
como puede ser una empresa o una corporación. Uno de los
problemas que nos encontramos es el de no poder tener una
confidencialidad entre usuarios de la LAN como pueden ser
los directivos de la misma, también estando todas las
estaciones de trabajo en un mismo dominio de colisión el
ancho de banda de la misma no era aprovechado
correctamente. La solución a este problema era la división de
la LAN en segmentos físicos los cuales fueran
independientes entre si, dando como desventaja la
imposibilidad de comunicación entre las LANs para algunos
de los usuarios de la misma.

La necesidad de confidencialidad como así el mejor

aprovechamiento del ancho de banda disponible dentro de la
corporación ha llevado a la creación y crecimiento de las
VLANs.

Una VLAN se encuentra conformada por un conjunto de

dispositivos de red interconectados (hubs, bridges, switches
o estaciones de trabajo) la definimos como como una subred
definida por software y es considerada como un dominio de
Broadcast que pueden estar en el mismo medio físico o bien
puede estar sus integrantes ubicados en distintos sectores
de la corporación (Figura 1).

La tecnología de las VLANs se basa en el empleo de

Switches, en lugar de hubs, de tal manera que esto permite
un control mas inteligente del tráfico de la red, ya que este
dispositivo trabaja a nivel de la capa 2 del modelo OSI y es
capaz de aislar el tráfico, para que de esta manera la
eficiencia de la red entera se incremente. Por otro lado, al
distribuir a los usuarios de un mismo grupo lógico a través
de diferentes segmentos, se logra el incremento del ancho
de banda en dicho grupo de usuarios.

Segmentación

Con los switches se crean pequeños dominios, llamados

segmentos, conectando un pequeño hub de grupo de trabajo
a un puerto de switch o bien se aplica micro segmentación la
cual se realiza conectando cada estación de trabajo y cada
servidor directamente a puertos de switch teniendo una
conexión dedicada dentro de la red, con lo que se consigue
aumentar considerablemente el ancho de banda a
disposición de cada usuario.

Una de las ventajas que se pueden notar en las VLAN es la

reducción en el trafico de la red ya que solo se transmiten
los paquetes a los dispositivos que estén incluidos dentro del
dominio de cada VLAN, una mejor utilización del ancho de
banda y confidencialidad respecto a personas ajenas a la
VLAN, alta performance, reducción de latencia, facilidad para
armar grupos de trabajo.

La comunicación que se hace entre switches para

interconectar VLANs utiliza un proceso llamado Trunking. El
protocolo VLAN Trunk Protocol (VTP) es el que se utiliza para
esta conexión, el VTP puede ser utilizado en todas las líneas
de conexión incluyendo ISL, IEEE 810.10. IEEE 810.1Q y ATM
LANE.

Tipos de VLAN

VLAN de puerto central Es en la que todos los nodos de una

VLAN se conectan al mismo puerto del switch.

VLAN Estáticas

Los puertos del switch están ya preasignados a las

estaciones de trabajo.
Por puerto

Se configura por una cantidad “n” de puertos en el cual

podemos indicar que puertos pertenecen a cada VLAN. Para
la Figura 1 tendríamos en el Switch 9 puertos de los cuales el
1,5 y 7 pertenecen a la VLAN 1; el 2, 3 y 8 a la VLAN 2 y los
puertos 4, 6 y 9 a la VLAN 3 como la tabla lo indica (Figura
2).

Puerto VLAN 1 1 2 2 3 2 4 3 5 1 6 3 7 1 8 2 9 3

Ventajas:

Facilidad de movimientos y cambios. Microsegmentación y

reducción del dominio de Broadcast. Multiprotocolo: La
definición de la VLAN es independiente del o los protocolos
utilizados, no existen limitaciones en cuanto a los protocolos
utilizados, incluso permitiendo el uso de protocolos
dinámicos. Desventajas:

Administración: Un movimiento en las estaciones de trabajo

hace necesaria la reconfiguración del puerto del switch al
que esta conectado el usuario. Esto se puede facilitar
combinando con mecanismos de LAN Dinámicas. Por
dirección MAC Los miembros de la VLAN están especificados
en una tabla por su dirección MAC (Figura 3).

MAC VLAN

12.15.89. bb.1d.aa 1 12.15.89.bb.1d.aa 2 aa.15.89.b2.15.aa

2 1d.15.89.6b.6d.ca 2 12.aa.cc.bb.1d.aa 1

Ventajas:

Facilidad de movimientos: No es necesario en caso de que

una terminal de trabajo cambie de lugar la reconfiguración
del switch. Multiprotocolo. Se pueden tener miembros en
múltiples VLANs. Desventajas:

Problemas de rendimiento y control de Broadcast: el tráfico

de paquetes de tipo Multicast y Broadcast se propagan por
todas las VLANs. Complejidad en la administración: En un
principio todos los usuarios se deben configurar de forma
manual las direcciones MAC de cada una de las estaciones
de trabajo. También se puede emplear soluciones de DVLAN.
Por protocolo Asigna a un protocolo una VLAN. El switch se
encarga de dependiendo el protocolo por el cual venga la
trama derivarlo a la VLAN correspondiente (Figura 4).

Protocolo VLAN

IP 1 IPX 2 IPX 2 IPX 2 IP 1

Ventajas:

Segmentación por protocolo. Asignación dinámica.

Desventajas

Problemas de rendimiento y control de Broadcast: Por las

búsquedas en tablas de pertenencia se pierde rendimiento
en la VLAN. No soporta protocolos de nivel 2 ni dinámicos.
Por direcciones IP Esta basado en el encabezado de la capa 3
del modelo OSI. Las direcciones IP a los servidores de VLAN
configurados. No actúa como router sino para hacer un
mapeo de que direcciones IP están autorizadas a entrar en la
red VLAN. No realiza otros procesos con la dirección IP.

Ventajas:

Facilidad en los cambios de estaciones de trabajo: Cada

estación de trabajo al tener asignada una dirección IP en
forma estática no es necesario reconfigurar el switch.
Desventajas:
El tamaño de los paquetes enviados es menor que en el caso
de utilizar direcciones MAC. Perdida de tiempo en la lectura
de las tablas. Complejidad en la administración: En un
principio todos los usuarios se deben configurar de forma
manual las direcciones MAC de cada una de las estaciones
de trabajo. Por nombre de usuario Se basan en la
autenticación del usuario y no por las direcciones MAC de los
dispositivos.

Ventajas:

Facilidad de movimiento de los integrantes de la VLAN.

Multiprotocolo. Desventajas:

En corporaciones muy dinámicas la administración de las

tablas de usuarios.

VLAN Dinámicas (DVLAN)

Las VLAN dinámicas son puertos del switch que

automáticamente determinan a que VLAN pertenece cada
puesto de trabajo. El funcionamiento de estas VLANs se basa
en las direcciones MAC, direcciones lógicas o protocolos
utilizados. Cuando un puesto de trabajo pide autorización
para conectarse a la VLAN el switch chequea la dirección
MAC ingresada previamente por el administrador en la base
de datos de las mismas y automáticamente se configura el
puerto al cual corresponde por la configuración de la VLAN.
El mayor beneficio de las DVLAN es el menor trabajo de
administración dentro del armario de comunicaciones
cuando se cambian de lugar las estaciones de trabajo o se
agregan y también notificación centralizada cuando un
usuario desconocido pretende ingresar en la red.

Capa de Red: ELAN o Redes LAN Emuladas Si bien el

concepto de VLAN se creo para las redes LAN, la necesidad
llevo a ampliar los horizontes con el crecimiento de las redes
ATM. Para los administradores de las VLAN se crearon una
serie de estándares para simular en una red ATM una VLAN.
Por un lado una tecnología orientada a no conexión, qué es
el caso de las LANS y por el otro una orientada a conexión
como en el caso de ATM. En el caso de las LANS se trabaja
con direcciones MAC, mientras en ATM se usan direcciones
ATM y se establecen circuitos virtuales permanentes, por
esta razón se requiere hacer cambios de direcciones MAC a
ATM.

Ventajas:

Facilidad de administración. Facilidad de movimientos y

cambios. Multiprotocolo.

Desventajas:

Aplicable solo a Ethernet y Token Ring. No explota la calidad

de Calidad de servicio (QoS) de ATM.

1.2 PROTOCOLOS EN REDES WAN

Un protocolo de red es como un lenguaje para la

comunicación de información. Son las reglas y
procedimientos que se utilizan en una red para comunicarse
entre los nodos que tienen acceso al sistema de cable. Los
protocolos gobiernan dos niveles de comunicaciones:

Los protocolos de alto nivel: Estos definen la forma en que se

comunican las aplicaciones.

Los protocolos de bajo nivel: Estos definen la forma en que

se transmiten las señales por cable.

Como es frecuente en el caso de las computadoras el

constante cambio, también los protocolos están en continuo
cambio. Actualmente, los protocolos más comúnmente
utilizados en las redes son Ethernet, Token Ring y ARCNET.
Cada uno de estos esta diseñado para cierta clase de
topología de red y tienen ciertas características estándar.

Ethernet

Actualmente es el protocolo más sencillo y es de bajo costo.

Utiliza la topología de “Bus” lineal.

Token Ring

El protocolo de red IBM es el Token ring, el cual se basa en la

topología de anillo.

Arnet

Se basa en la topología de estrella o estrella distribuida, pero

tiene una topología y protocolo propio.
Algunos protocolos sólo trabajan en ciertos niveles OSI. El
nivel al que trabaja un protocolo describe su función. Por
ejemplo, un protocolo que trabaje a nivel físico asegura que
los paquetes de datos pasen a la tarjeta de red (NIC) y
salgan al cable de la red.

Los protocolos también pueden trabajar juntos en una

jerarquía o conjunto de protocolos. Al igual que una red
incorpora funciones a cada uno de los niveles del modelo
OSI, distintos protocolos también trabajan juntos a distintos
niveles en la jerarquía de protocolos.

Los niveles de la jerarquía de protocolos se corresponden con

los niveles del modelo OSI. Por ejemplo, el nivel de aplicación
del protocolo TCP/IP se corresponde con el nivel de
presentación del modelo OSI. Vistos conjuntamente, los
protocolos describen la jerarquía de funciones y
prestaciones.

Cómo funcionan los protocolos La operación técnica en la

que los datos son transmitidos a través de la red se puede
dividir en dos pasos discretos, sistemáticos. A cada paso se
realizan ciertas acciones que no se pueden realizar en otro
paso. Cada paso incluye sus propias reglas y procedimientos,
o protocolo.

• El equipo origen

Los protocolos en el equipo origen:

1.- Se dividen en secciones más pequeñas, denominadas

paquetes.

2.- Se añade a los paquetes información sobre la dirección,

de forma que el equipo de destino pueda determinar si los
datos le pertenecen.

3.- Prepara los datos para transmitirlos a través de la NIC y

enviarlos a través del cable de la red.

• El equipo de destino

Los protocolos en el equipo de destino constan de la misma

serie de pasos, pero en sentido inverso.

1.- Toma los paquetes de datos del cable y los introduce en

el equipo a través de la NIC.

2.- Extrae de los paquetes de datos toda la información

transmitida eliminando la información añadida por el equipo
origen.

3.- Copia los datos de los paquetes en un búfer para

reorganizarlos enviarlos a la aplicación.

Los equipos origen y destino necesitan realizar cada paso de

la misma forma para que los datos tengan la misma
estructura al recibirse que cuando se enviaron.
Protocolos en una arquitectura multinivel

En una red, tienen que trabajar juntos varios protocolos. Al

trabajar juntos, aseguran que los datos se preparan
correctamente, se transfieran al destino correspondiente y se
reciban de forma apropiada.

El trabajo de los distintos protocolos tiene que estar

coordinado de forma que no se produzcan conflictos o se
realicen tareas incompletas. Los resultados de esta
coordinación se conocen como trabajo en niveles.

1.2.1 PPTP (POINT TO POINT TUNNELING PROTOCOL)

White
Indicado Direcci Contr Protoco Informaci Indicad
CRC
r Inicio ón ol lo ón or Fin
1 1 o 2 2 o 4
1 Byte 1 Bytes Variable 1 Byte
Bytes Bytes Bytes

Indicador Inicio: Indicador estándar de inicio de paquete de

HDLC (0111110). Dirección: Se llena con 11111111 para
indicar que todas las estaciones de trabajo deben aceptar el
paquete. Control: Valor predeterminado 00000011, esto
indica que es un paquete sin número. Protocolo: Indica que
paquete esta en la parte de la información. Información:
Carga útil del paquete. CRC: Control de redundancia cíclica.
Indicador Fin: Indicador de fin de paquete, con un valor
estándar 01111110. Los tamaños de los campos del paquete
se pueden negociar por medio del LCP, también de esta
forma obviar los campos de Dirección y control.
PAC
Dispositivo conectado a una o más líneas PSTN o ISDN con la
capacidad de operar con PPP y manejo del protocolo PPTP. El
PAC solo necesita implementar TCP/IP para el paso del tráfico
hacia una o más PNS. También puede trabajar con túneles en
protocolos no IP.
PNS
Un PNS esta preparado para operar en un servidor de
propósito general. El PNS maneja del lado del servidor el
protocolo PPTP. Como el PPTP cuenta con TCP/IP y es
independiente de la interfaz de hardware utilizada, el PNS
puede utilizar cualquier combinación de interfaces IP
incluyendo periféricos de LAN y WAN.

ICMP
Protocolo de control de errores en Internet. Este protocolo se
complementa con el IP. Se utilizan este tipo de mensajes
para el aviso a los host de posibles anomalías en el ruteo de
los paquetes.
IGMP
Protocolo de administración del grupo Internet. Este
protocolo es parte del ICMP descrito anteriormente, IGMP se
utiliza para intercambiar información acerca del estado de
pertenencia entre routers IP que admiten multidifusión y
miembros de grupos de multidifusión.

1.2.2 PPP (Point to Point Protocol

Protocolo de bajo nivel que permite transferir paquetes de

información a través de una línea asíncrona o síncrona. Es
capaz de optimizar el uso de la línea mediante conexión y
desconexión dinámica, es la conexión más rápida para
Internet y la utilizada por casi todos los proveedores. El PPP
es el programa que llama por teléfono, como puede ser el
Trumpet Winsock, el Config PPP? Del MacOS? O el Acceso
Telefónico a Redes de Windows 95 (Tipo de Servidor PPP).
Protocolo para comunicaciones entre ordenadores mediante
una interfaz de serie. Utiliza el protocolo Internet.

¿Para qué sirve el protocolo PPP?

El protocolo PPP proporciona un método estándar para

transportar datagramas multiprotocolo sobre enlaces simples
punto a punto entre dos “pares” (a partir de aquí, y hasta el
final de este trabajo, utilizaremos el término “par” para
referirnos a cada una de las máquinas en los dos extremos
del enlace -en inglés es peer-).

Estos enlaces proveen operación bidireccional full dúplex y

se asume que los paquetes serán entregados en orden.

Tiene tres componentes:

1. Un mecanismo de enmarcado para encapsular

datagramas multiprotocolo y manejar la detección de
errores.

2. Un protocolo de control de enlace (LCP, Link Control

Protocol) para establecer, configurar y probar la conexión de
datos.

3. Una familia de protocolos de control de red (NCPs,

Network Control Protocols) para establecer y configurar los
distintos protocolos de nivel de red.

PROTOCOLO PUNTO A PUNTO

• PPP es un protocolo WAN de enlace de datos. Se diseño

como un protocolo abierto para trabajar con varios
protocolos de capa de red, como IP, IPX y Apple Talk.

Se puede considerar a PPP la versión no propietaria de HDLC,

aunque el protocolo subyacente es considerablemente
diferente. PPP funciona tanto con encapsulación síncrona
como asíncrona porque el protocolo usa un identificador para
denotar el inicio o el final de una trama. Dicho indicador se
utiliza en las encapsulaciones asíncronas para señalar el
inicio o el final de una trama y se usa como una
encapsulación síncrona orientada a bit. Dentro de la trama
PPP el Bit de entramado es el encargado de señalar el
comienzo y el fin de la trama PPP (identificado como
01111110).

• El campo de direccionamiento de la trama PPP es un

Broadcast debido a que PPP no identifica estaciones
individuales.

PPP se basa en el protocolo de control de enlaces LCP (Link

Control Protocol), que establece, configura y pone a prueba
las conexiones de enlace de datos que utiliza PPP. El
protocolo de control de red NCP (Network Control Protocol)
es un conjunto de protocolos (uno por cada capa de red
compatible con PPP) que establece y configura diferentes
capas de red para que funcionen a través de PPP. Para IP, IPX
y Apple Talk, las designaciones NCP son IPCP, IPXCP y
ATALKCP, respectivamente. PPP soporta los siguientes tipos
de interfaces físicas:

• Serie Sincronía
• Serie Asíncrona
• RDSI
• HSSI

Establecimiento de una conexión PPP tiene 3 fases:

1. Establecimiento del enlace: en esta fase cada dispositivo

PPP envía paquetes LCP para configurar y verificar el enlace
de datos.

2 . Autenticación: fase opcional, una vez establecido el

enlace es elegido el método de autenticación. Normalmente
los métodos de autenticación son PAP y CHAP.
3 . Protocolo de capa de red, en esta fase el router envía
paquetes NCP para elegir y configurar uno o más protocolos
de capa de red. A partir de esta fase los datagramas pueden
ser enviados.

Autenticación PAP

PAP (protocolo de autenticación de contraseña) proporciona

un método de autenticación simple utilizando un intercambio
de señales de dos vías. El proceso de autenticación solo se
realiza durante el establecimiento de inicial del enlace. Una
vez completada la fase de establecimiento PPP, el nodo
remoto envía repetidas veces al router extremo su usuario y
contraseña hasta que se acepta la autenticación o se corta la
conexión. PAP no es un método de autenticación seguro, las
contraseñas se envían en modo abierto y no existe
protección contra el registro de las mismas o los ataques
externos.

Autenticación CHAP

CHAP (protocolo de autenticación por intercambio de señales

por desafió) es un método de autenticación mas seguro que
PAP. Se emplea durante el establecimiento del enlace y
posteriormente se verifica periódicamente para verificar la
identidad del router remoto utilizando señales de tres vías.
La contraseña es encriptada utilizando MD5, una vez
establecido el enlace el router agrega un mensaje desafió
que es verificado por ambos routers, si ambos coinciden se
acepta la autenticación de lo contrario la conexión se cierra
inmediatamente. CHAP ofrece protección contra ataques
externos mediante el uso de un valor de desafió variable que
es único e indescifrable. Esta repetición de desafíos limita la
posibilidad de ataques.

1.2.3 PSTN (PUBLIC SWITCHED TELEPHONE NETWORK)

Conectividad analógica
La misma red que utiliza nuestro teléfono está disponible
para los equipos. El nombre de esta red mundial es la Red
telefónica pública conmutada (PSTN). En el marco de la
informática, podemos pensar en PSTN como un gran enlace
WAN que ofrece líneas telefónicas de llamada de grado de
voz.

Líneas de llamada

El hecho de que PSTN fuese diseñada principalmente para la

comunicación de voz hace que sea lenta. Las líneas
analógicas de llamada requieren módems que pueden
incluso hacerlas más lentas todavía. Por otro lado, la calidad
de la conexión es inconsistente debido a que PSTN es una
red de circuitos conmutados. Cualquier sesión de
comunicación única será tan buena como los circuitos
enlazados para esta sesión determinada. Sobre largas
distancias, por ejemplo, país a país, pueden resultar
considerablemente inconsistentes en los circuitos de una
sesión a la siguiente.

Líneas analógicas dedicadas

A diferencia de las líneas de llamada que deben volver a
abrir la sesión cada vez que se utilizan, las líneas analógicas
dedicadas (o alquiladas) se mantienen abiertas en todo
momento. Una línea analógica alquilada es más rápida y
fiable que una conexión de llamada. Sin embargo, es
relativamente cara puesto que el proveedor de servicio está
dedicando recursos a la conexión alquilada,
independientemente de si se está utilizando la línea o no.
¿De llamada o dedicada?

Ningún tipo de servicio es el mejor para todos los usuarios.

La mejor opción dependerá de un número de factores
destacando:

• La cantidad de tiempo de conexión que se utilizará.

• El coste del servicio.
• La importancia de tener tasas de transferencia de
datos superiores y más fiables que una línea
condicionada.
• La necesidad de tener una conexión 24 horas al
día.

Si no es frecuente la necesidad de establecer la

conectividad, pueden resultar más adecuadas las líneas de
llamada. Si es necesaria una conexión de alto nivel de
fiabilidad y de utilización continua, entonces no resulta
adecuada la calidad del servicio que proporciona una línea
de llamada.

1.3 UNIONES Y CONEXIONES WAN

Los protocolos de capa física WAN describen cómo

proporcionar conexiones eléctricas, mecánicas,
operacionales, y funcionales para los servicios de una red de
área amplia. Estos servicios se obtienen en la mayoría de los
casos de proveedores de servicio WAN tales como las
compañías telefónicas, portadoras alternas, y agencias de
Correo, Teléfono, y Telégrafo (PTT: Post, Telephone and
Telegraph).

Topología de redes WAN Cuando se usa una subred punto a

punto, una consideración de diseño importante es la
topología de interconexión del enrutador. Las redes WAN
típicamente tienen topologías irregulares. Las posibles
topologías para una subred punto a punto son: Estrella,
Anillo, Bus, Árbol.

Configuración de estrella: En este esquema, todas las

estaciones están conectadas por un cable a un módulo
central (Central hub), y como es una conexión de punto a
punto, necesita un cable desde cada PC al módulo central.
Una ventaja de usar una red de estrella es que ningún punto
de falla inhabilita a ninguna parte de la red, sólo a la porción
en donde ocurre la falla, y la red se puede manejar de
manera eficiente. Un problema que sí puede surgir, es
cuando a un módulo le ocurre un error, y entonces todas las
estaciones se ven afectadas. Configuración de anillo: En
esta configuración, todas las estaciones repiten la misma
señal que fue mandada por la terminal transmisora, y lo
hacen en un solo sentido en la red. El mensaje se transmite
de terminal a terminal y se repite, bit por bit, por el repetidor
que se encuentra conectado al controlador de red en cada
terminal. Una desventaja con esta topología es que si algún
repetidor falla, podría hacer que toda la red se caiga, aunque
el controlador puede sacar el repetidor defectuoso de la red,
evitando así algún desastre. Un buen ejemplo de este tipo de
topología es el de Anillo de señal, que pasa una señal, o
token a las terminales en la red. Si la terminal quiere
transmitir alguna información, pide el token, o la señal. Y
hasta que la tiene, puede transmitir. Claro, si la terminal no
está utilizando el token, la pasa a la siguiente terminal que
sigue en el anillo, y sigue circulando hasta que alguna
terminal pide permiso para transmitir.
Topología de bus: También conocida como topología lineal
de bus, es un diseño simple que utiliza un solo cable al cual
todas las estaciones se conectan. La topología usa un medio
de transmisión de amplia cobertura ( broadcast médium ), ya
que todas las estaciones pueden recibir las transmisiones
emitidas por cualquier estación. Como es bastante simple la
configuración, se puede implementar de manera barata. El
problema inherente de este esquema es que si el cable se
daña en cualquier punto, ninguna estación podrá transmitir.
Aunque Ethernet puede tener varias configuraciones de
cables, si se utiliza un cable de bus, esta topología
representa una red de Ethernet.

Topología de árbol: Esta topología es un ejemplo

generalizado del esquema de bus. El árbol tiene su primer
nodo en la raíz, y se expande para afuera utilizando ramas,
en donde se encuentran conectadas las demás terminales.
Ésta topología permite que la red se expanda, y al mismo
tiempo asegura que nada más existe una “ruta de datos”
(data path) entre 2 terminales cualesquiera.

Generalidades

En casi todas las WAN, la red contiene numerosos cables o

líneas telefónicas, cada una conectada a un par de
enrutadores. Si dos enrutadores que no comparten un cable
desean comunicarse, deberán hacerlo indirectamente, por
medio de otros dos enrutadores. Cuando se envía un
paquete de un enrutador a otro a través de uno o más
enrutadores intermedios, el paquete se recibe completo en
cada enrutador intermedio, se almacena hasta que la línea
de salida requerida está libre, y a continuación se reenvía.
Una subred basada en este principio se llama “de punto a
punto”, de almacenar y reenviar, o de paquete conmutado.
Casi todas las redes de área amplia (Excepto aquellas que
usan satélites) tienen subredes de almacenar y reenviar.
Cuando los paquetes son pequeños y el tamaño de todos es
el mismo, suelen llamarse celdas.

Una posibilidad para una WAN es un sistema de satélite o de

radio en tierra. Cada enrutador tiene una antena por medio
de la cual puede enviar y recibir. Todos los enrutadores
pueden oír las salidas enviadas desde el satélite y en
algunos casos pueden oír también la transmisión ascendente
de los otros enrutadores hacia el satélite. Algunas veces los
enrutadores están conectados a una subred punto a punto
de gran tamaño, y únicamente algunos de ellos tienen una
antena de satélite. Por su naturaleza las redes de satélite son
de difusión y son más útiles cuando la propiedad de difusión
es importante.

Líneas Dedicadas y Líneas Conmutadas

Las redes WAN pueden incluir tanto líneas dedicadas como

líneas conmutadas.

Una línea dedicadaes una conexión permanente entre dos

puntos que normalmente se alquila por meses.

Un servicio de línea conmutada no requiere conexiones

permanentes entre dos puntos fijos. En su lugar, permite a
los usuarios establecer conexiones temporales entre
múltiples puntos cuya duración corresponde a la de la
transmisión de datos. Existen dos tipos de servicios
conmutados: Servicios de conmutación de circuitos, similares
a los servicios utilizados en las llamadas telefónicas.
Servicios de conmutación de paquetes, que se ajustan mejor
a la transmisión de datos.

Servicios de conmutación de circuitos: En una conexión

de conmutación de circuitos se establece un canal dedicado,
denominado circuito, entre dos puntos por el tiempo que
dura la llamada. El circuito proporciona una cantidad fija de
ancho de banda durante la llamada y los usuarios sólo pagan
por esa cantidad de ancho de banda el tiempo que dura la
llamada.

Las conexiones de conmutación de circuitos tienen dos

serios inconvenientes.

• El primero es que debido a que el ancho de banda

en estas conexiones es fijo, no manejan
adecuadamente las avalanchas de tráfico,
requiriendo frecuentes retransmisiones.
• El segundo inconveniente es que estos circuitos
virtuales sólo tienen una ruta, sin caminos
alternativos definidos. Por esta razón cuando una
línea se cae, es necesario que un usuario
intervenga reencamine el tráfico manualmente o se
detiene la transmisión.

Servicios de conmutación de paquetes: Los servicios de

conmutación de paquetes suprimen el concepto de circuito
virtual fijo. Los datos se transmiten paquete a paquete a
través del entramado de la red o nube, de manera que cada
paquete puede tomar un camino diferente a través de la red.
Como no existe un circuito virtual predefinido, la
conmutación de paquetes puede aumentar o disminuir el
ancho de banda según sea necesario, pudiendo manejar
adecuadamente las avalanchas de paquetes de forma
adecuada. Los servicios de conmutación de paquetes son
capaces de enrutar los paquetes, evitando las líneas caídas o
congestionadas, debido a los múltiples caminos en la red.

1.3.1 Dds/ Dso/ Ds 1/ Ti/ E 1/ T 3/ Switched 56

DDS ( Conectividad Digital)

En algunos casos, las líneas analógicas proporcionan
conectividad suficiente. No obstante, cuando una
organización genera demasiado tráfico WAN, se tiene que el
tiempo de transmisión hace que la conexión analógica sea
ineficiente y costosa.

Las organizaciones que requieren un entorno más rápido y

seguro que el proporcionado por las líneas analógicas,
pueden cambiar a las líneas de servicios de datos digitales
(DDS). DDS proporciona comunicación síncrona punto a
punto a 2,4, 4,8, 9,6 o 56 Kbps. Los circuitos digitales punto
a punto son dedicados y suministrados por diferentes
proveedores de servicio de telecomunicaciones.

El proveedor de servicio garantiza ancho de banda completo

en ambas direcciones configurando un enlace permanente
desde cada punto final a la LAN.

La principal ventaja de las líneas digitales es que

proporcionan una transmisión cerca del 99 por 100 libre de
errores. Las líneas digitales están disponibles de diversas
formas, incluyendo DDS, T1, T3, T4 y Switched-56.

No se requiere módem puesto que DDS utiliza comunicación

digital. En su lugar, DDS envía datos desde un bridge o
router a través de un dispositivo denominado Unidad de
servicio de canales/Unidad de servicio de datos (CSU/DSU;
Channel Service Unit/Data Service Unit).

Este dispositivo convierte las señales digitales estándar que

genera el ordenador en el tipo de señales digitales (bipolar)
que forman parte del entorno de comunicación síncrona.
Además, contiene la electrónica suficiente para proteger la
red del proveedor de los servicios DDS.
Servicio T1
Para velocidades de datos muy altas, el servicio T1 es el tipo
de línea digital más utilizado. Se trata de una tecnología de
transmisión punto a punto que utiliza dos pares de hilos (un
par para enviar y otro para recibir) para transmitir una señal
en ambos sentidos (full-duplex) a una velocidad de 1,544
Mbps. T1 se utiliza para transmitir señales digitales de voz,
datos y vídeo.

Las líneas T1 están entre las más caras de todos los enlaces
WAN. Los abonados que ni necesitan ni pueden generar el
ancho de banda de una línea T1 pueden abonarse a uno a
más canales T1 con incrementos de 64 Kbps, conocido como
Fractional T-1 (FT-1).

• Multiplexación.Desarrollado por los Laboratorios

Bell, T1 utiliza la tecnología denominada
multiplexación. Diferentes señales de distintas
fuentes se reúnen en un componente denominado
multiplexor y se envían por un cable para la
transmisión. En el punto destino de recepción, los
datos se convierten en su formato original. Esta
perspectiva surgió cuando se saturaban los cables
telefónicos que transportaban sólo una conversión
por cable. La solución al problema, denominada red
T-Portadora, permitió a los Laboratorios Bell
transportar muchas llamadas sobre un cable.
• División del canal.Un canal T1 puede transportar
1,544 megabits de datos por segundo, la unidad
básica de un servicio T-Portadora. T1 la divide en
24 canales y muestrea cada canal 8.000 veces por
segundo. Con este método, T1 permite 24
transmisiones simultáneas de datos sobre cada par
de dos hilos.
Cada muestra del canal incorpora ocho bits. Cada uno de los
24 canales pueden transmitir a 64 Kbps puesto que cada
canal se muestrea 8.000 veces por segundo. Este estándar
de velocidad de datos se conoce como DS-0. La velocidad de
1,544 Mbps se conoce como DS-1.

Las velocidades de DS-1 se pueden multiplexar para

proporcionar incluso velocidades de transmisión superiores,
conocidas como DS-1C, DS-2, DS-3 y DS-4.
Nivel de Sistema de Canales Canales Velocidad de
señal portadora T-1 de voz datos (Mbps)
DS-0 N/A N/A 1 0,064
DS-1 T1 1 24 1,544
DS-1C T-1C 2 48 3,152
DS-2 T2 4 96 6,312
DS-3 T3 28 672 44,736
DS-4 T4 168 4.032 274,760
Servicio T3
Los servicios de líneas alquiladas T3 y Fractional T3
proporcionan servicios de datos y voz desde 6 Mbps hasta 45
Mbps. Ofrecen los servicios de líneas alquiladas de más altas
posibilidades disponibles hoy en día. T3 y FT-3 se diseñan
para el transporte de grandes volúmenes de datos a alta
velocidad entre dos puntos fijos. Una línea T3 se puede
utilizar para reemplazar diferentes líneas T1.
Servicio Switched-56
Las compañías telefónicas de larga y pequeña distancia
ofrecen el servicio Switched-56, un servicio de llamada
digital LAN a LAN que transmite los datos a 56 Kbps.
Realmente, Switched-56 es una versión de circuito
conmutado de una línea DDS a 56 Kbps. La ventaja de
Switched-56 es que se utiliza por demanda, eliminando, por
tanto, el coste de una línea dedicada. Cada equipo que
utiliza este servicio debe estar equipado con una CSU/DSU
que pueda llamar a otro sitio Switched-56.

1.3.2 X 25 Frame Relay Isdn Atm Smds Tecnologia Adsl

Sonet

X25

Uno de los protocolos estándar más ampliamente utilizado es

X.25 del ITU-T, que fue originalmente aprobado en 1976 y
que ha sufrido numerosas revisiones desde entonces. El
estándar especifica una interfaz entre un sistema host y una
red de conmutación de paquetes. Este estándar se usa de
manera casi universal para actuar como interfaz con una red
de conmutación de paquetes y fue empleado para la
conmutación de paquetes en ISDN. El estándar emplea tres
niveles de protocolos:

• Nivel físico
• Nivel de enlace
• Nivel de paquete

Estos tres niveles corresponden a las tres capas más bajas

del modelo OSI. El nivel físico define la interfaz física entre
una estación (computadora, terminal) conectada a la red y el
enlace que vincula esa estación a un nodo de conmutación
de paquetes.

El estándar denomina a los equipos del usuario como equipo

terminal de datos – DTE (Data Terminal Equipment) y al nodo
de conmutación de paquetes al que se vincula un DTE como
equipo terminal de circuito de datos – DCE (Data Cicuit-
terminating Equipment). X.25 hace uso de la especificación
de la capa física X.21, pero se lo sustituye en muchos casos
por otros estándares, tal como RS-232 de la EIA.
El nivel de enlace garantiza la transferencia confiable de
datos a través del enlace de datos, mediante la transmisión
de datos mediante una secuencia de tramas. El estándar del
nivel de enlace se conoce como LAPB (Link Access Protocol
Balanced). LAPB es un subconjunto de HDLC de ISO en su
variante ABM (Asynchronous Balanced Mode).

El nivel de paquete ofrece un servicio de circuito virtual

externo. Este servicio le permite a cualquier subscriptor de la
red establecer conexiones lógicas, denominados circuitos
virtuales, con otros subscriptores.

Las redes conmutadas por paquetes utilizando redes

compartidas se introdujeron para reducir costos de las líneas
alquiladas La 1ª de estas redes conmutadas por paquetes se
estandarizó como el grupo de protocolos X.25

X.25 ofrece una capacidad variable y compartida de baja

velocidad de transmisión que puede ser conmutada o
permanente

X.25 es un protocolo de capa de red y los suscriptores

disponen de una dirección de red . Los VC se establecen con
paquetes de petición de llamadas a la drección destino. Un
nº de canal identifica la SVC resultante. Los paquetes de
datos rotulados con el nº del canal se envian a la dirección
correspondiente. Varios canales pueden estar activos en una
sola conexión

Los suscriptores se conectan a la red por linea alquilada o

por acceso telefónico. Las redes X.25 pueden tener canales
preestablecidos entre los suscriptores ( un PVC )

X.25 se rarifica por tráfico enviado (no el tiempo de conexión

ni la distancia). Los datos se pueden enviar a velocidad igual
o menor a la capacidad de la conexión.
X.25 poca capacidad (generalmente máximo 48kbps), los
aquejes sujetos a demoras de las redes compartidas

Frame relay es el sustituto a X.25. Aplicaciones típicas de

X.25 = lectores de tarjetas de TPV

Frame Relay

La configuración de la red parece similar a la de X.25. Pero la

velocidad es de hasta 4Mbps (y superior) Frame relay es un
protocolo más sencillo que opera a nivel de capa de enlace
de datos y no de red

No realiza ningún control de flujo o de errores. El resultado

de la administración simplificada de las tramas es una
reducción en la latencia, y las medidas tomadas para evitar
la acumulación de tramas en los switches intermedios
ayudan a reducir las fluctuaciones de fase

La mayoría de las conexiones Fame relay son PVC y no SVC.

La conexión al extremo de la red con frecuencia es una línea
alquilada

Algunos proveedores ofrecen conexiones telefónicas usando

líneas ISDN. El canal D ISDN se usa para configurar un SVC
en uno o más canales B

Las tarifas de Frame relay: en función de capacidad del

puerto de conexión al extremo de la red, la capacidad
acordada y la velocidad de información suscrita (CIR) de los
distintos PVC a trabes del puerto

Frame relay ofrece una conectividad permanente,

compartida, de BW mediano, con tráfico tanto de voz como
datos. Ideal para conectar las LAN de una empresa. El router
de la LAN necesita solo una interfaz aún cuando se usen
varias VC
 • Se considera como un enlace WAN digital orientado a
conexion
• Se basa en la tecnología de conmutación de paquetes
• Menor gasto y latencia que X.25
• Se puede usar para interconectar LANs
• Se suele implementar con PVC
• De 56kbps a 45Mbps
• Es flexible y soporta ráfagas de datos
• Usa una sola interfaz para varias conexiones

ATM

Modo de transferencia asíncrona (ATM). Nace por la

necesidad de una tecnología de red compartida permanente
que ofreciera muy poca latencia y fluctuación a BW muy
altos. Velocidad de TX de datos superior a 155Mbps

Arquitectura basada en celdas más que en tramas)

Las celdas ATM tienen siempre una longitud fija de 53 bytes.

Encabezado de 5 bytes + 48 bytes de carga

Las celdas pequeñas de longitud fija: adecuadas para tráfico

de voz y video que no toleran demoras

La celda ATM de 53 bytes es menos eficiente que las tramas

y paquetes más grandes de Frame relay y X.25

Cuando la celda esta transportando paquetes de capa de red

segmentados, la carga general será mayor por que el switch
ATM tiene que reagrupar los paquetes en el destino.

Una línea ATM típica necesita de un 20% de BW más que

Frame Relay para transportar el mismo volumen de datos de
capa de red
ATM ofrece tanto los PVC como los SVC (los PVC son más
comunes en la WAN)

ATM permite varios circuitos virtuales en una sola conexion

de línea alquilada al extremo de la red

1.3.3 Circuitos Virtuales

• Circuitos virtuales. Dentro de la subred normalmente se
llama una conexión un circuito virtual. En un circuito virtual
uno evita la necesidad de elegir una ruta nueva para cada
paquete. Cuando se inicializa la conexión se determina una
ruta de la fuente al destino que es usada por todo el tráfico.
Cada ruteador tiene que guardar adónde debiera reenviar los
paquetes para cada uno de los circuitos que lo pasan. Los
paquetes tienen un campo de número de circuito virtual en
sus encabezamientos, y los ruteadores usan este campo, la
línea de entrada, y sus tablas de ruta para reenviar el
paquete en la línea de salida propia. Se cobra el tiempo que
la conexión existe, que corresponde a la reservación de
entradas de tabla, ancho de banda, etc. MAURICIO ROSADO
TEC.COMI
CIRCUITOS VIRTUALES

Un circuito virtual (VC por sus siglas en inglés) es una

sistema de comunicación por el cual los datos de un usuario
origen pueden ser transmitidos a otro usuario destino a
través de más de un circuito de comunicaciones real durante
un cierto periodo de tiempo, pero en el que la conmutación
es transparente para el usuario.Un ejemplo de protocolo de
circuito virtual es el ampliamente utilizado TCP (Protocolo de
Control de Transmisión).

Es una forma de comunicación mediante conmutación de

paquetes en la cual la información o datos son
empaquetados en bloques que tienen un tamaño variable a
los que se les denomina paquetes. El tamaño de los bloques
lo estipula la red.
Los paquetes suelen incluir cabeceras con información de
control. Estos se transmiten a la red, la cual se encarga de su
encaminamiento hasta el destino final. Cuando un paquete
se encuentra con un nodo intermedio, el nodo almacena
temporalmente la información y encamina los paquetes a
otro nodo según las cabeceras de control.

Es importante saber que en este caso los nodos no necesitan

tomar decisiones de encaminamiento, ya que la dirección a
seguir viene especificada en el propio paquete.

Las dos formas de encaminación de paquetes son:

• Datagramas y
• Circuitos Virtuales.

En los circuitos virtuales, al comienzo de la sesión se

establece una ruta única entre las ETD (entidades terminales
de datos) o los host extremos. A partir de aquí, todos los
paquetes enviados entre estas entidades seguirán la misma
ruta.

Las dos formas de establecer la transmisión mediante

circuitos virtuales son los circuitos virtuales conmutados
(SVC) y los circuitos virtuales permanentes (PVC).

Los circuitos virtuales conmutados (SVC) por lo general se

crean ex profeso y de forma dinámica para cada llamada o
conexión, y se desconectan cuando la sesión o llamada es
terminada. Un ejemplo de circuito virtual conmutado es la
red telefónica tradicional así como los enlaces ISDN. Se
utilizan principalmente en situaciones donde las
transmisiones son esporádicas.En terminología ATM esto se
conoce como conexión virtual conmutada. Se crea un circuito
virtual cuando se necesita y existe sólo durante la duración
del intercambio específico.

Un ejemplo sería:
1.- La ETD A solicita el envío de paquetes a la ETD E.

2.- Cuando la conexión ya está establecida se comienzan a

enviar los paquetes de forma ordenada por la ruta uno tras
otro.
3.- Cuando la ETD E recibe el último paquete, se libera la
conexión, por lo que el circuito virtual deja de existir.

También se puede establecer un circuito virtual permanente

(PVC) a fin de proporcionar un circuito dedicado entre dos
puntos. Un PVC es un circuito virtual establecido para uso
repetido por parte de los mismos equipos de transmisión.

En un PVC la asociación es idéntica a la fase de transferencia

de datos de una llamada virtual. Los circuitos permanentes
eliminan la necesidad de configuración y terminación
repetitivas para cada llamada. Es decir se puede usar sin
tener que pasar por la fase de estableciendo ni liberación de
las conexiones.

El circuito está reservado a una serie de usuarios y nadie

más puede hacer uso de él. Una característica especial que
en el SVC no se daba es que si dos usuarios solicitan una
conexión, siempre obtienen la misma ruta.

El resumen general en cuanto a redes de comunicación sería

el siguiente esquema:
1.4.-Redes Públicas
Red pública:

Una red pública se define como una red que puede usar
cualquier persona y no como las redes que están
configuradas con clave de acceso personal. Es una red de
computadoras interconectadas, capaz de compartir
información y que permite comunicar a usuarios sin importar
su ubicación geográfica.

Redes Públicas

Las redes públicas son los recursos de telecomunicación de

área extensa pertenecientes a las operadoras y ofrecidos a
los usuarios a través de suscripción. Estas operadoras
incluyen a:

• Compañías de servicios de comunicación

local. Entre estas compañías tenemos a TELCOR.
• Compañías de servicios de comunicación a
larga distancia.Una compañía de comunicación a
larga distancia (IXC: Interexchange carriers) es un
operador de telecomunicaciones que suministra
servicios de larga distancia como AT&T, MCI y US
SPRINT.

Proveedores de servicios de valor añadido. Los proveedores

de servicio de valor añadido (VACs: Value-added carriers)
como Compu Serve? Information y GE Information Services,
ofrecen con frecuencia, servicios de comunicación de área
amplia como complemento
2.1TECNOLOGÍA DE ENCRIPTACIÓN AVANZADA
WinZip 9.0 y posterior, soporta la encriptación AES de 128 y
256 bits, la cual provee seguridad criptográfica más amplia
que el método de encriptación tradicional Zip 2.0 usado en
versiones anteriores de WinZip.
La encriptación avanzada de WinZip (certificada FIPS-197),
utiliza el algoritmo criptográfico Rijndael, el cual en el año
2001, fue especificado por el "National Institute of Standards
and Technology (NIST)" en "Federal Information Processing
Standards (FIPS) Publication 197" como "Advanced
Encryption Standard" (AES).
Después de tres años de competencia, el AES fue anunciado
por la "NIST" como una técnica de encriptación aprobada
para ser usada por el Gobierno de los Estados Unidos de
América, empresas privadas y particulares. Al ser
implementado como un componente clave del protocolo de
seguridad en general, el AES permite un alto grado de
seguridad criptográfica además de ser eficiente y rápido.
La encriptación AES de WinZip es tan fácil de usar como la
tradicional encriptación Zip 2.0: Todo lo que usted debe
hacer es seleccionar el nivel de encriptación y la contraseña.
I Adicionalmente a la nueva tecnología de encriptación AES,
WinZip provee un número de mejoras en la utilidad para
facilitarle el uso de la encriptación. Lo más relevante es que
ahora usted puede encriptar archivos que se encuentren ya
comprimidos; anteriormente sólo se podían encriptar
archivos mientras se iban agregando a un archivo Zip.
Nota: Los destinatarios a quienes envíe archivos
comprimidos y encriptados AES, tienen que tener una
herramienta de compresión compatible para poder
decodificar los archivos. Hemos publicado (en inglés) las
especificaciones para crear archivos encriptados AES
compatibles con WinZip, esperamos que otros proveedores
de herramientas de compresión soporten este formato.
WinZip puede leer los archivos encriptados AES protegidos
con contraseña creados por PKZIP para Windows.

2.2 VALIDACIÓN DE FIRMAS

La firma digital es definida por los organismos de regulación

como una herramienta tecnológica que permite garantizar la
autoría e integridad de los documentos digitales,
posibilitando que éstos gocen de una característica que
únicamente era propia de los documentos en papel.

Una firma digital es un conjunto de datos asociados a un

mensaje digital que permite garantizar la identidad del
firmante y la integridad del mensaje.

¿Que utilidad puede tener?

Básicamente se puede firmar cualquier documento

electrónico, un archivo de Word, un e-mail y por supuesto la
Historia Clínica electrónica de sus pacientes. En la medida
que se propague su utilización y se expanda su uso podrá ser
fundamental para la validación de facturaciones, certificados
o aún prescribir medicamentos.

Comed es una empresa de Servicios que apoya la acción de

la Sociedad Argentina de Cardiología desde hace más de
cinco años, mediante la gestión de su página Web, de los
sistemas de envíos de resúmenes de Congresos, de este
portal de noticias, de los boletines de novedades por correo
electrónico y otras actividades. Actualmente ofrecen a los
miembros de SAC y a otras instituciones médicas la emisión
gratuita de la firma digital.

Con tal motivo, sus integrantes efectuarán una exposición

sobre el tema el día 30 de marzo de 2008 a partir de las 17
hs en el Aula C de la Sociedad Argentina de Cardiología,
Azcuénaga 980 Cap Fed., donde se contestarán las
preguntas sobre el sistema y se podrá iniciar la gestión de la
firma digital.

Es necesario concurrir con un documento de identificación,

para constancia ante la autoridad certificarte de la firma
digital.

Validación de firmas digitales

Para validar la firma digital debemos introducir la

ubicación del archivo que contiene la firma digital y hacer
"clic" sobre "Validar firma".

2.2. Firma digital

La firma digital o firma electrónica es, en la transmisión
de mensajes telemáticos y en la gestión de documentos
electrónicos, un método criptográfico que asocia la
identidad de una persona o de un equipo informático al
mensaje o documento. En función del tipo de firma, puede,
además, asegurar la integridad del documento o mensaje.
La firma electrónica, como la firma ológrafa (autógrafa,
manuscrita), puede vincularse a un documento para
identificar al autor, para señalar conformidad (o
disconformidad) con el contenido, para indicar que se ha
leído o, según el tipo de firma, garantizar que no se pueda
modificar su contenido.
La firma digital de un documento es el resultado de aplicar
cierto algoritmo matemático, denominado función hash, a su
contenido, y seguidamente aplicar el algoritmo de firma (en
el que se emplea una clave privada) al resultado de la
operación anterior, generando la firma electrónica o digital.
El software de firma digital debe además efectuar varias
validaciones, entre las cuales podemos mencionar:

• Vigencia del certificado digital del firmante,

• Revocación del certificado digital del firmante (puede
ser por OCSP o CRL),
• Inclusión de sello de tiempo.

La función hash es un algoritmo matemático que permite

calcular un valor resumen de los datos a ser firmados
digitalmente, funciona en una sola dirección, es decir, no es
posible a partir del valor resumen calcular los datos
originales. Cuando la entrada es un documento, el resultado
de la función es un número que identifica inequívocamente
al texto. Si se adjunta este número al texto, el destinatario
puede aplicar de nuevo la función y comprobar su resultado
con el que ha recibido. No obstante este tipo de operaciones
no están pensadas para que las lleve a cabo el usuario, sino
que se utiliza software que automatiza tanto la función de
calcular el valor hash como su verificación posterior.
Las posibilidades de red
Para que sea de utilidad, la función hash debe satisfacer dos
importantes requisitos. Primero, debe ser difícil encontrar
dos documentos cuyo valor para la función "hash" sea
idéntico. Segundo, dado uno de estos valores, debe ser
imposible producir un documento con sentido que de lugar a
ese "hash".
Existen funciones "hash" específicamente designadas para
satisfacer estas dos importantes propiedades. SHA y MD5
son dos ejemplos de este tipo de algoritmos.
Algunos sistemas de cifrado de clave pública se pueden usar
para firmar documentos. El firmante cifra el "hash" calculado
de un documento con su clave privada y cualquiera que
quiera comprobar la firma y ver el documento, no tiene más
que usar la clave pública del firmante para descifrar el
"hash", y comprobar que es el que corresponde al
documento.

2.3 FIREWALLS Y VPN (VIRTUAL PRÍVATE NETWORK |

RED PRIVADA VIRTUAL)

VPN es la solución de TiendaLinux.com para conectar las

redes de datos distantes de su empresa utilizando como
canal de comunicación la red Internet de una manera
eficiente y segura.
Para permitir la comunicación entre redes que no tienen una
conexión física entre si pero que tienen como red común a la
red Internet, se hace necesario la implementación de una
VPN (Virtual Private Network) por su sigla en ingles, para
poder transmitir datos entre ellas como si estuvieran
físicamente conectadas entre si.
La implantación de VPN (Virtual Private Network) permite
opcionalmente la transferencia de datos de manera segura
utilizando un mecanismo de cifrado de datos que garantice
la confidencialidad de la información, así mismo las políticas
de seguridad del sistema impedirán que personas no
autorizadas tengan acceso a la VPN.
Existen varias maneras de implementar una VPN,
afortunadamente ya existe un estándar establecido para
Internet II y que es soportado en la actual versión de
Internet I (IP v.4), este estándar se llama IPSec.
Nosotros implementamos servidores Linux con soporte VPN
para una mayor flexibilidad o utilizamos routers (dispositivos
de hardware) previamente configurados para este propósito.
Con una VPN no requiere adquirir canales dedicados
excesivamente costosos, por lo que le podemos ofrecer la
mejor relación costo / beneficio.

VPN (Virtual Private Network)

Una red privada virtual (VPN por sus siglas en inglés
-Virtual Private Network) es una red privada de datos que
hace uso de una infraestructura pública de
telecomunicaciones como podría ser Internet, manteniendo
la privacidad a través del uso de un protocolo de
entubamiento y de procedimientos de seguridad. Una red
privada virtual puede ser comparada con un sistema privado
de telecomunicaciones que utiliza líneas propias o alquiladas
y que sólo puede ser utilizada por una compañía. La idea de
las VPN es otorgarle a las compañías, las mismas
capacidades a costos mucho más bajos, usando la
infraestructura pública compartida en lugar de una privada.

Las compañías telefónicas han provisto de recursos

compartidos seguros para mensajes de voz durante años.
Una red privada virtual hace esto posible, pero para los
datos. Hoy día, las compañías buscan usar una red privada
virtual tanto para su extranet como para su intranet de área
amplia.

Utilizar una red privada virtual involucra cifrar los datos

antes de enviarlos a través de la red pública y descifrarlos
instantes antes de entregarlos a su destino final. Un nivel
adicional de seguridad, supone cifrar no sólo los datos sino
también las direcciones de red de origen y destino. Microsoft,
3Com y otras compañías han desarrollado un protocolo de
entubamiento punto a punto (PPTP - Point-to-Point Tunneling
Protocol) y la primera ha extendido el soporte de este
protocolo a sus sistemas operativos. El software/hardware de
las VPN típicamente es instalado como parte del servidor
firewall de las compañías.

2.4 PROTOCOLOS DE SEGURIDAD

Un escenario típico consiste de un número de principales,

Tales como individuos, compañías, computadoras, lectores
de Tarjetas magnéticas, los cuales se comunican usando una
Variedad de canales (teléfono, correo electrónico, radio. . .) o
Dispositivos físicos (tarjetas bancarias, pasajes, cédulas. . .).
Un protocolo de seguridad define las reglas que gobiernan
Estas comunicaciones, diseñadas para que el sistema pueda
Soportar ataques de carácter malicioso. Protegerse contra
todos los ataques posibles es generalmente Muy costoso, por
lo cual los protocolos son diseñados bajo Ciertas premisas
con respecto a los riesgos a los cuales el Sistema está
expuesto. La evaluación de un protocolo por lo Tanto
envuelve dos preguntas básicas: ¿Es el modelo de riesgo
Realista? ¿El protocolo puede controlar ese nivel de riesgo?

Un protocolo de seguridad es la parte visible de una

aplicación, es el conjunto de programas y actividades
programadas que cumplen con un objetivo específico y que
usan esquemas de seguridad criptográfica.
El ejemplo más común es SSL (Secure Sockets Layer) que
vemos integrado en el Browser de Netscape y hace su
aparición cuando el candado de la barra de herramientas se
cierra y también sí la dirección de Internet cambia de http a
https, otro ejemplo es PGP que es un protocolo libre
ampliamente usado de intercambio de correo electrónico
seguro, uno más es el conocido y muy publicitado SET que
es un protocolo que permite dar seguridad en las
transacciones por Internet usando tarjeta de crédito, IPsec
que proporciona seguridad en la conexión de Internet a un
nivel más bajo.
Estos y cualquier protocolo de seguridad procura resolver
algunos de los problemas de la seguridad como la integridad,
la confidencialidad, la autenticación y el no rechazo,
mediante sus diferentes características
Las características de los protocolos se derivan de las
múltiples posibilidades con que se puede romper un sistema,
es decir, robar información, cambiar información, leer
información no autorizada, y todo lo que se considere no
autorizado por los usuarios de una comunicación por red.
Enseguida vemos un escenario donde puede ocurrir algo de
esto:
Por ejemplo sobre la seguridad por Internet se deben de
considerar las siguientes tres partes: seguridad en el browser
(Netscape o Explorer), la seguridad en el Web Server (el
servidor al cual nos conectamos) y la seguridad de la
conexión.
Un ejemplo de protocolo es SET, objetivo efectuar
transacciones seguras con tarjeta de crédito, usa certificados
digitales, criptografía de clave pública y criptografía clave
privada.
SSL es el protocolo de comunicación segura más conocido y
usado actualmente, SSL [81] [82] actúa en la capa de
comunicación y es como un túnel que protege a toda la
información enviada y recibida. SSL es usado en gran
cantidad de aplicaciones que requieren proteger la
comunicación.
Con SSL se pueden usar diferentes algoritmos para las
diferentes aplicaciones, por ejemplo usa DES, TDES, RC2,
RC4, MD5, SHA-1, DH y RSA, cuando una comunicación
esta bajo SSL la información que es cifrada es:
El URL del documento requerido El contenido del documento
requerido El contenido de cualquier forma requerida Los
“cookies” enviados del browser al servidor Los “cookies”
enviados del servidor al browser El contenido de las
cabeceras de los http
El procedimiento que se lleva acabo para establecer una
comunicación segura con SSL es el siguiente:
1) EL cliente (browser) envía un mensaje de saludo al
Server “ClientHello”
2) El servidor responde con un mensaje “ServerHello”
3) El servidor envía su certificado 4) El servidor solicita
el certificado del cliente
5) El cliente envía su certificado: si es válido continua
la comunicación si no para o sigue la comunicación sin
certificado del cliente 6) El cliente envía un mensaje
“ClientKeyExchange” solicitando un intercambio de
claves simétricas si es el caso
7) El cliente envía un mensaje “CertificateVerify” si se
ha verificado el certificado del servidor, en caso de que
el cliente este en estado de autenticado
8) Ambos cliente y servidor envían un mensaje
“ChangeCipherSpec” que significa el comienzo de la
comunicación segura.
9) Al término de la comunicación ambos envían el
mensaje “finished” con lo que termina la comunicación
segura, este mensaje consiste en un intercambio del
hash de toda la conversación, de manera que ambos
están seguros que los mensajes fueron recibidos
intactos (íntegros).
La versión más actual de SSL es la v3, existen otro protocolo
parecido a SSL solo que es desarrollado por IETF que se
denomina TLS (Transport Layer Security Protocol) y difiere
en que usa un conjunto un poco más amplio de algoritmos
criptográficos. Por otra parte existe también SSL plus, un
protocolo que extiende las capacidades de SSL y tiene por
mayor característica que es interoperable con RSA, DSA/DH
y CE (Criptografía Elíptica).

El protocolo SSL
SET
Este protocolo esta especialmente diseñado para asegurar
las transacciones por Internet que se pagan con tarjeta de
crédito. Esto es debido a que una gran cantidad de
transacciones de compra por Internet son efectuadas con
tarjeta de crédito, por otro lado SSL deja descubierto alguna
información sensible cuando se usa para lo mismo. La
principal característica de SET [77][79][80][83], es que
cubre estos huecos en la seguridad que deja SSL.
Por ejemplo con SSL solo protege el número de tarjeta
cuando se envía del cliente al comerciante, sin embargo no
hace nada para la validación del número de tarjeta, para
chequear sí el cliente esta autorizado a usar ese número de
tarjeta, para ver la autorización de la transacción del banco
del comerciante etc., Además que el comerciante puede
fácilmente guardar el número de tarjeta del cliente. En fin,
todas estas debilidades son cubiertas por SET, éste permite
dar seguridad tanto al cliente, al comerciante como al banco
emisor de la tarjeta y al banco del comerciante.
1) El cliente inicializa la compra: consiste en que el
cliente usa el browser para seleccionar los productos a
comprar y llena la forma de orden correspondiente.
SET comienza cuando el cliente hace clic en “pagar” y
se envía un mensaje de iniciar SET.
2) El cliente usando SET envía la orden y la
información de pago al comerciante: el software
SET del cliente crea dos mensajes uno conteniendo la
información de la orden de compra, el total de la
compra y el número de orden. El segundo mensaje
contiene la información de pago, es decir, el número de
la tarjeta de crédito del cliente y la información del
banco emisor de la tarjeta. El primer mensaje es
cifrado usando un sistema simétrico y es empaquetada
en un sobre digital que se cifra usando la clave pública
del comerciante. El segundo mensaje también es
cifrado pero usando la clave pública del banco (esto
previene que el comerciante tenga acceso a los
números de tarjetas de los clientes). Finalmente el
cliente firma ambos mensajes.
3) El comerciante pasa la información de pago al
banco: el software SET del comerciante genera un
requerimiento de autorización, éste es comprimido
(con un hash) y firmado por el comerciante para probar
su identidad al banco del comerciante, además de ser
cifrado con un sistema simétrico y guardado en un
sobre digital que es cifrado con la clave pública del
banco.
4) El banco verifica la validez del requerimiento:
el banco descifra el sobre digital y verifica la identidad
del comerciante, en el caso de aceptarla descifra la
información de pago del cliente y verifica su identidad.
En tal caso genera una requerimiento de autorización
lo firma y envía al banco que genero la tarjeta del
cliente.
5) El emisor de la tarjeta autoriza la transacción:
el banco del cliente (emisor de la tarjeta) confirma la
identidad del cliente, descifra la información recibida y
verifica la cuenta del cliente en caso de que no haya
problemas, aprueba el requerimiento de autorización,
lo firma y lo regresa al banco del comerciante.
6) El banco del comerciante autoriza la
transacción: una ves recibida la autorización del
 banco emisor, el banco del comerciante autoriza la
transacción la firma y la envía al servidor del
comerciante.
7) El servidor del comerciante complementa la
transacción: el servidor del comerciante da a conocer
que la transacción que la tarjeta fue aprobada y
muestra al cliente la conformidad de pago, y procesa la
orden que pide el cliente terminado la compra cuando
se le son enviados los bienes que compró el cliente.
8) El comerciante captura la transacción: en la
fase final de SET el comerciante envía un mensaje de
“captura” a su banco, esto confirma la compra y
genera el cargo a la cuenta del cliente, así como
acreditar el monto a la cuenta del comerciante.
9) El generador de la tarjeta envía el aviso de
crédito al cliente: el cargo de SET aparece en estado
de cuenta del cliente que se le envía mensualmente.

Protocolo SET
SET requiere un certificado digital en cada paso de
autenticación y usa dos pares de claves, una para el cifrado
del sobre digital y otra para la firma, (SSL solo usa un par de
claves), actualmente SET usa la función hash SHA-1, DES y
RSA de 1024 bits, estos parámetros fueron tomados para ser
compatible con los certificados existentes, aunque el piloto
de SET usó el sistema asimétrico de cifrado con curvas
elípticas y se piensa que soporte también curvas elípticas en
la próxima versión de SET.

3.1 REDES CONVERGENTES

Antecedentes
La implementación exitosa de redes convergentes aún se
enfrenta a retos, que se manifiestan más claramente cuando
estas redes intentan competir con la tradicional red de
telefonía basada en PBXs.
La juventud de las redes convergentes hace que sea difícil
aún alcanzar los niveles de disponibilidad y escalabilidad de
otras redes pero se trata de campos en los que dichas redes
convergentes están experimentando sustanciales mejoras.
La unión de los nuevos servicios y los avances mencionados
están haciendo que estas redes de nueva generación se
presenten hoy como la base para el desarrollo de nuevos
modelos de negocio tanto en entornos fijos como en móviles.
Ante el desarrollo de las redes de datos durante la década de
los 90, se ha planteado la posibilidad de utilizarlas para el
envío de información multimedia, como imágenes, voz o
incluso música. Estas redes, basadas en el protocolo IP, han
conseguido introducirse en el mundo de los negocios.

Definición de una Red Convergente

Una red convergente no es únicamente una red capaz de
transmitir datos y voz sino un entorno en el que además
existen servicios avanzados que integran estas capacidades,
reforzando la utilidad de los mismos.
A través de la convergencia, una compañía puede reinventar
tanto sus redes de comunicaciones como toda su
organización. Una red convergente apoya aplicaciones
vitales para estructurar el negocio -Telefonía IP,
videoconferencia en colaboración y Administración de
Relaciones con el Cliente (CRM) que contribuyen a que la
empresa sea más eficiente, efectiva y ágil con sus clientes.

La industria de las telecomunicaciones ha evolucionado para

ofrecer soluciones que se adapten a este nuevo marco. Un
cambio tecnológico en el que el Protocolo Internet (IP) juega
un papel primordial. La oferta ahora es más amplia, además
de los circuitos tradicionales diseñados principalmente para
la transmisión de voz, surgen nuevas redes IP que trasmiten
datos, voz y vídeo. Se amplían así mismo los servicios con
soluciones de alto valor añadido: correo de voz,
almacenamiento y envío de faxes, mensajería unificada,
centro de atención de llamadas en Web, llamada de Internet
en espera etc.

FUJITSU suministra soluciones y servicios de Redes, tanto en

su infraestructura básica como en servicios de valor añadido
sobre la misma. En un mercado tan competitivo, sólo la
especialización y el valor añadido nos permiten ofrecer una
diferenciación con el resto:

• VPN (Redes Privadas Virtuales) La seguridad de una red

privada utilizando Internet como medio de
comunicación.
• Redes WirelessConexión en o entre edificios cercanos de
forma sencilla y económica evitando obras de cableado
y ofreciendo movilidad absoluta a los usuarios de su red.
• Telefonía IPComunicaciones totalmente integradas en la
misma red IP, con una amplia gama de nuevas
aplicaciones como la mensajería unificada, movilidad de
extensiones, call centers IP, y un largo etcétera.
• Redes de distribución de contenidos Soluciones
destinadas a evitar las congestiones del ancho de banda
y la escasa velocidad en la red cuando se transmiten
grandes cantidades de información. Con las redes de
distribución de contenidos, se obtiene sobre la
estructura de red actual, una nueva red más inteligente.
• Vídeo en red Sistemas de transmisión de vídeo bajo
demanda, vídeo streaming y videoconferencia sobre IP o
RDSI que facilitan la comunicación entre empresas o
delegaciones que estén en diferentes emplazamientos
físicos, obteniendo de esta forma un importante ahorro
en costes por conceptos como desplazamientos, y
fomentando la comunicación.

3.2 EL IMPACTO DE LAS REDES EN LOS NEGOCIOS

Según Net Impact en su más reciente edición, las
aplicaciones habilitadas para Web poseen una mayor
flexibilidad para la apertura y ampliación de la aplicación y
los datos a una gama más amplia de empleados, asociados,
proveedores y clientes.

Los estudios anteriores de Net Impact han demostrado una

relación entre la presencia de aplicaciones habilitadas en la
Web y las mejoras en los resultados de negocios, como la
satisfacción de los clientes, los ahorros en costos y la
generación de utilidades.

Aproximadamente las dos terceras partes de las aplicaciones

en red en las organizaciones conectadas en América Latina
están habilitadas en la Web, excluyendo los portales que, por
definición, utilizan tecnología de Internet.

“Tal como podría esperarse –dice el estudios, las aplicaciones

de red que se han desarrollado o desplegado en los últimos
cinco a 10 años son, con mayor probabilidad, habilitadas
para la Web”.

No obstante, mientras que el software de CRM, SFA

(automatización de la fuerza de ventas) y SCM ha sido el
enfoque de las inversiones durante los últimos cinco años, no
todas las implementaciones de estas aplicaciones en
América Latina necesariamente se basan en la Web.

Aproximadamente una cuarta parte (22%) de las

implantaciones de CRM en las organizaciones conectadas en
América Latina aún no están habilitadas para la Web. Las
implementaciones de CRM en las organizaciones del sector
público y de servicios financieros son mucho más propensas
a encontrarse habilitadas para la Web, lo que indica
inversiones recientes en estas aplicaciones o una mayor
voluntad para reemplazar los sistemas legados con la
siguiente generación de software.

“La distribución relativamente uniforme de aplicaciones

habilitadas para la Web a lo largo y ancho de los tamaños de
las organizaciones conectadas en América Latina sugiere
que, o bien fueron capaces de evolucionar más rápidamente
a aplicaciones basadas para la Web o no habían hecho
inversiones demasiado grandes en los sistemas de legado, lo
que permitió que postergaran su adopción de aplicaciones
basadas en la Web”, explica el documento.
Las organizaciones conectadas de menor tamaño (menos de
100 empleados) tuvieron un nivel alto de aplicaciones que
utilizan tecnología basada en la Web, lo que sugiere una gran
disponibilidad de aplicaciones escaladas y adaptadas para
organizaciones pequeñas o aplicaciones ofrecidas por
proveedores de servicios que se pueden acceder a través de
la Web.

El enfoque tecnológico primario es interno

Según datos entregados por Net Impact, la mayoría de las
organizaciones (62%) enfocan sus inversiones tecnológicas
en proporcionar o automatizar servicios dentro de la
organización.

Debido a este enfoque interno, un número menor de

empresas están tratando actualmente de utilizar la
tecnología para proporcionarle servicios directamente a los
usuarios finales o a otras organizaciones externas: 36 % de
las organizaciones le prestan soporte actualmente a los
clientes finales o a los ciudadanos (en el caso de entidades
del sector público) a través de la tecnología y una de cada
cinco se conectan a organizaciones externas.
“Una explicación para el bajo porcentaje de organizaciones
que automatizan servicios por fuera de su firewall es que la
infraestructura tecnológica y la actitud de negocios hacia los
clientes finales podría aún no haber logrado una masa crítica
que justifique inversiones por parte de las organizaciones
conectadas”, expone el documento.

Las empresas descubren que los beneficios de la

convergencia afectan directamente los ingresos netos:

Las soluciones convergentes nos hacen más productivos,

pues simplifican el usar aplicaciones y compartir
información.
Tener una red para la administración significa que el ancho
de banda será usado lo más eficientemente posible, a la vez
que permite otras eficiencias y ahorros de costos: en
personal, mantenimiento, cargos de interconexión,
activaciones, mudanzas y cambios.

Los costos más bajos de la red, productividad mejorada,

mejor retención de clientes, menor tiempo para llegar al
mercado-son los beneficios netos que posibilitan las
soluciones de redes convergentes.

Reducción de costos de personal para la administración de

red y mantenimiento.

Viabilidad de las Redes Convergentes

En lo general, los directores y/o gerentes de IT presentan

grandes proyectos de convergencia los cuales enfrentan el
problema de su justificación.

Es recomendable, crear una visión de la red convergente de

la empresa y empezar por resolver en etapa esta visión.

Las recomendaciones son:

1. Empezar por la red WAN de la empresa (si la tiene),

unificar en un mismo medio voz, datos y video por un mismo
medio, nos da los beneficios de:

Administrar un solo equipo (router)

Aprovechar anchos de banda desperdiciados por la demanda

de cada aplicación (voz, datos, video, etc.)

Aprovechar anchos de banda por horarios, existen

generalmente diferentes picos de demanda en cada
aplicación (voz, datos, video, etc.)

Eliminar costos de larga distancia y servicio medido

2. Adquisición de nueva infraestructura por crecimiento de
nuevas necesidades se realiza ya en un ambiente de una red
convergente, es decir, adquirir teléfonos IP, switches
preparados para telefonía IP con calidad de servicio (QoS).

3. Sustitución tecnológica se va realizando en función de que

el equipamiento está ya obsoleto o inservible.

4. Necesidades de seguridad en las conversaciones de voz,

una llamada entre teléfonos IP, la voz está encriptada.

5. Reducción de pérdidas de información y conectividad que

afectan los procesos productivos del negocio

6. Justificación basada en nuevas aplicaciones que

aumentarán la productividad y rentabilidad del negocio.

Al final del proyecto, Usted tendrá una Red Convergente en

el cual se justificó por los ahorros y beneficios que aportó a
la empresa.

3.3 CASOS DE ESTUDIO DE REDES EN LOS NEGOCIOS

RETOS DEL NEGOCIO

Proveer a todos los empleados acceso uniforme y de alto

desempeño.
Implementar la nueva plataforma Enterprise Resource
Planning a través de toda la empresa.
Mejorar las relaciones con el cliente.
Permitir intercambio de data con clientes y suplidores.

SOLUCION:
MANAGED NETWORK SOLUTION VALOR AL NEGOCIO:
Optimizar: Aplicaciones de la empresa y procesos que lleven
a operaciones más eficientes.
Crecimiento: Utilizar uniformidad en la red y aplicaciones
corporativas para extraer analizar y usar data para nuevos
mercados.
Éxito: Mejor desempeño de la red local para mejor
comunicación y colaboración

TRASFONDO E INDUSTRIA:
Como un proveedor de soluciones de esterilización para
manufactureros de equipo médico, farmacéuticas, y la
industria de procesamiento de alimentos, Sterigenics
Internacional Inc. Ofrece una mezcla de análisis, consultoría,
asistencia técnica, capacidad de procesamiento y servicios
de laboratorios. SteriPro Consulting es un recurso para la
fase de pre-esterilización del desarrollo de nuevos productos.
SteriPro Labs ofrece resultados a pruebas, así como
interpretaciones y alternativas informadas para ayuda a
clientes a rendir productos efectivos y seguros para que se
pueda mercadear lo más rápido posible. En la industria de
alimentos, Sterigenics ofrece sistemas para la reducción de
microbios en alimentos y empaques de comida.
Con 40 localidades de servicio en 11 países alrededor del
mundo, Sterigenics ofrece tecnología en todas las principales
modalidades de esterilización incluyendo: Gamna, EO, E-
beam y rayos X.

RETOS CLAVE:
En el 2004, Sterigenics se embarca en una nueva etapa, la
empresa se desprendió de su matriz (Ion Beam Applications).
Sterigenics Internacional es una empresa de PPM Capital
Limited y PPM American Capital Partners LLC. La recién
formada compañía se enfrentaba a un sinnúmero de retos,
pero el mayor era la integración de todas las localidades
alrededor del mundo. De igual forma ya era momento de
cambiar la infraestructura y los procesos internos. El recién
contratado Vice-Presidente de Informática tenía la tarea de
hacer la transformación que iba a depender de una
plataforma ERP (Enterprise Resource Planning). La empresa
ya estaba utilizando diferentes sistemas legacy.
El primer reto lo era la infraestructura. De las 40 localidades
muchas de ellas estaban conectadas a través de cuentas
individuales de DSL, otras utilizaban Frame Relay a 16kbps y
otras utilizaban Dial-Up. La empresa no tenia personal para
operar la red 24/7 y su red era una colección de unidades isn
manejo y sin monitorea regadas en diferentes partes del
planeta. Había que hacer cambios y pronto. Necesitaban una
red expandible, desempeñable, confiable y disponible y
sobre todo muy manejada por un suplidor confiable.
Sterigenics necesitaba una red que proveyera una
plataforma sólida par el ERP, enfocada en las finanzas y
operaciones de la empresa para mejor monitoreo y manejo
de la misma. En un futuro iba a necesitar apoyar las
aplicaciones de Recursos Humanos, Mercadeo y Ventas.

EL RIESGO DE INTERNET
RIESGO DE LA BANDA ANCHA

Ventajas:
 Acceso a alta velocidad
 Siempre conectado
 Numero IP fijo

QUE QUIERE UN PIRATA DE NOSOTROS

¿Cual es el valor de nuestro ordenador?
 Perdida de datos
 Datos confidenciales
 Quedarse sin ordenador
 Tiempo de trabajo
 Uso indebido del ordenador
 Reputación

¿Quien se dedica a la piratería informática?

Herramientas de los piratas:
 Exploradores de puertos
 Buscadores de claves
 Gusano
 Caballo de Troya

HISTORIA DE LA PIRATERIA INFORMATICA

• Se remonta a los años 60s donde todavía no estaba

introducido el ordenador personal, los piratas que antes
se hacían llamar phreakers o phone freaks, fanáticos del
teléfono tenían como objetivo poder realizar llamadas
telefónicas de larga distancia sin tener que pagar. Para
esto se desarrollaban dispositivos con los que se
aprovechaban de las debilidades del sistema.
• El secreto de la caja azul se basaba en el recién
instalado sistema de señalización de la compañía bell.
Con estas sistema todas las señales de control que se
transmitían a través del mismo canal telefónico.
HACKERS, CRACKERS Y OTROS
• HACKER: es una persona que posee unos especiales
conocimientos y habilidades en el uso de la informática
y disfruta resolviendo retos técnicos.

• CRACKER: son especie de hackers que no respetan sus

buenos principios.

• SAMURAI: se trata de un hacker que ofrece sus servicios

para realizar una labor legal, son contratados para
auditar los siste4mas de seguridad de las redes de las
empresas

• WHACKER: comparte la filosofía de un hacker, pero llaga

a tener sus habilidades.
EL PIRATA MÁS FAMOSO DE NUESTROS DIAS.
• Kevin David Mitnick (El cóndor)
• Nació en 1963 en el sur de California. A los 16 años
entro en el sistema informático de su colegio
• A los 18 años logro acceder a la BD de registros de
llamadas telefónicas de la compañía pacific bell.
• A los 20 años accedió a un ordenador del pentágono a
través de la red arpanet
• A los 24 años utilizo ilegalmente tarjetas de crédito
telefónicas y robo sw. Al año siguiente obtuvo una copia
del prototipo del k.o. llamado VMS
• Logro entrar en los ordenadores de empresas como:
nokia, fujitsu, nec, Novell, Sun Microsystems, motorola y
apple.
EL PRIMER GUSANO
La palabra gusano fue utilizada en los años 70s por shock y
jon hupp. Su programa gusano pretendía encargarse de
realizar tareas de gestión interna.
El programa archivaría viejos ficheros, realizaría copias de
seguridad y efectuaría copias de seguridad y efectuaría
copias rutinarias.
EL GUSANO DE INTERNET
• El autor de este programa fue Robert morris de 23 años
graduado de la universidad de harvard, el padre de este
fue un experto en delitos informáticos.
• El programa entro a los ordenadores de arpanet
ocupando cada vez mas espacio en los ordenadores que
estaban conectados ala red, de ahí paso a la red de
informática de departamento de defensa de los estados
unidos y luego paso a internet

PRIMER CABALLO DE TROYA

• Fue creado en 1983 por bob wallace tenia la virtud de
ser gratuito. A el se le ocurrió ocultar en un dicho
programa un código que borraba y corrompía los
archivos del disco duro. Los usarios pasaban esta
 versión del procesador de textos de unos a otros sin
darse cuenta de sus desdichas.
• Los troyanos han encontrado nuevos campos de
actuación por un lado pueden encargarse de buscar
información sensible y enviarsela al pirata y por otro
lado pueden abrir una puerta trasera por donde el pirata
puede acceder al equipo infectado.

El truco de los troyanos radica en saber ocultarse bien para

que no los detecten
• Se ocultan en programas ejecutables, archivos de
sonido.
• Utilizan el nombre de programas reales aun sin tener la
funcionalidad.
• Utilizan el nombre de un archivo del sistema.
• Juegan con las extensiones del los archivos, dándole al
nombre de un archivo ejecutable la apariencia de un
archivo de texto o de imagen.
ALGUNAS EXTENSIONES
• API: acrobat plug-in
• Bat: batch
• Wma: Windows media audio
• Wsf: Windows script file
• Js: java script
• Cpl: control panel extensión
• Com: comando
• Dpl: Delhi package library

¿Que es un firewall?

Es un dispositivo software o hardware que filtra todo el

tráfico que nuestro ordenador o red de ordenadores se
intercambian con Internet o con la red local a la que esta
conectado.
¿Qué hace un firewall?
  Mira el trafico de entrada, pero solo los buenos firewalls
miran, además, el trafico de salida.
Características más comunes:
 Bloqueo de trafico de entrada basado en la dirección del
remitente.
 Bloqueo de tráfico saliente baso en la dirección del
remitente.
 Bloqueo del trafico basado en le protocolo utilizado.
 Bloqueo de tráfico basado en su contenido.
 Gestión de los recursos internos.
 Gestión de las direcciones IP privadas.
 Gestión de red privada virtual.
 Cache de datos.
 Informe de actividad del firewall.
 Balance de cargas.

¿Como trabaja?
Para permitir la adaptación de posibilidades, los firewall
trabajan aplicando las reglas de filtrado que les define el
usuario.

Reglas de filtrado
╠ ¿permito todo el tráfico saliente, de forma que todos los
usuarios internos puedan acceder a cualquier recurso de
Internet?
╠ ¿impido todo el tráfico saliente de correo electrónico de
cualquier posible servidor interno de correo?
╠ ¿impido todo el tráfico entrante, excepto el dirigido al
servidor Web publico?

╠ ¿permito el acceso de cualquier tipo a nuestro servidor

Web público?
╠ ¿registro todas las conexiones rechazadas por el
firewall?
╠ ¿registro todas las conexiones a páginas Web
externas?...
 Para aplicar estas reglas, los firewall analizan el contenido
de los paquetes:

 Dirección IP.
 Nombres de dominio.
 Protocolos.

Que no hace un firewall

Ω Proteger de los ataques internos.

Ω Proteger de la ingeniería social.
Ω Virus y caballos de Troya.
Ω Inexpertos administradores de firewall.

La clasificación en firewall

Firewall personal: es utilizado para proteger a un solo

ordenador o una pequeña red de ordenadores
Firewall departamental: estos dispositivos están diseñados
para proteger los ordenadores de una red local de una
pequeña oficina.
Firewall corporativo: se trata de equipos orientados a
gestionar miles de ordenadores dispersos de las grandes
empresas.

TIPOS DE CORTAFUEGOS POR PROFUNDIDAD DE

ANÁLISIS

Filtrado de paquetes: estos facilitan un control de acceso

básico basado en la información sobre el protocolo de los
paquetes. Simple mente dejan o no pasar los paquetes de
acuerdo con el protocolo de comunicación que utiliza el
paquete
Servidor Proxy: este tipo de cortafuegos puede tomar
decisiones basados en análisis completo de todo un conjunto
de paquetes asociados a la seguridad.

Análisis completo de paquetes: estos se basan en la

misma técnica de filtrado de paquetes, pero, en vez de
simplemente analizar la dirección de la cabecera del
paquete, va interpretando paquetes hasta que tiene la
información suficiente para asegurar su seguridad.
Características de un firewall personal
Firewall personal:
 puede llegar a ser gratis
 Funcionan en los sistemas operativos de los ordenadores
(Windows 98, XP, Linux, mac.)

 Bajo coste:
• Fácil de instalar y de utilizar
• Fácil de configurar
• Toma de decisión automática.
• Presentación de alertas

La seguridad de NTFS

Windows NT,2000 y XP utilizan el sistema de archivos

conocidos como NTFS (sistema de archivos de nueva
tecnología) este sistema es mucho mas seguro que el
sistema FAT (tabla de localización de archivos) este sistema
se utiliza para organizar y almacenar los archivos en el
disco duro este sistema puede tener 16 o 32 bits
Red privada
Una VPN se utiliza para crear un canal de comunicación
completamente segura entre 2 ordenadores para hacer esto
se utilizan los protocolos de cifrado PPTP o L2TP
Compartir una conexión a Internet
Microsoft incorporo en la segunda edición de Windows 98 la
facilidad de compartir su acceso a Internet con otros
ordenadores para ello incluyo una funcionalidad NAT en su
componente de red que llamo conexión compartida a
Internet, gracias a este componente un ordenador con
Windows 98 puede compartir su acceso a Internet con otros
ordenadores de su red local
Windows NT
Esta diseñado para poder ofrecer unas condiciones de
conexión mas seguras que las ofrecidas por Windows 98 o
Me. Windows NT dispone de ciertas capacidades de filtrado
de paquetes que pueden ser configuradas para cada
adaptador de red.
Windows 2000
• Mejores opciones de filtrado de paquetes. Puede filtrar
tanto los paquetes entrantes como salientes, para un
determinado puerto y dirección origen o destino.
• Dispone de funcionalidad NAT. Windows NT no dispone
de NAT.
• Admite el manejo de trafico IPSec.

LAS COMUNICACIONES CON WINDOWS

Un ordenador puede necesitar dos tipos de comunicaciones:

a Internet y a la red de área local de la empresa o el hogar.
En el acceso a Internet con modem de línea telefónica se
puede configurar con una herramienta de Windows conocida
como acceso telefónico de redes.

En el primer caso, la conexión suele configurarse con el

programa de instalación incluido en el modem.
El segundo caso, aunque lo proveedores de estas soluciones
suelen incluir también una herramienta de instalación,
realmente, lo que se hace en el ordenador es configurar una
red local donde la puerta de enlace es el numero IP del
router.
Los componentes de la comunicación
Los protocolos de comunicaciones son los encargados de
recibir los datos binarios que les facilitan los adaptadores de
red, para una vez eliminados los datos de control de la
comunicación, entregar la información a las aplicaciones que
manejan los usuarios

EXISTEN DOS TIPOS DE APLICACIONES DE USUARIOS

APLICACIONES DEL CLIENTE.- son utilizadas para acceder a

los recursos compartidos por otros ordenadores. Un
programa navegador Web (como Internet Explorer) o un
programa lector de correo electrónico son ejemplos de
aplicaciones cliente.
APLICACIONES DEL SERVIDOR.- son aquellas que permiten
compartir recursos con otros ordenadores. Por ejemplo, un
servidor Web permite publicar un servicio Web, o un servidor
de correo permite mantener buzones de correo.
RED LOCAL DE MICROSOFT
Microsoft utiliza un protocolo propio con el que crea una red
local. Este protocolo, llamado NetBEUI (interfaz de usuario
extendida para netBIOS).

LAS REDES MICROSOFT DISPONE DE DOS

APLICACINES:

1. Compartir archivos e impresoras

2. Cliente para redes Microsoft

LA SEGURIDAD EN REDES MICROSOFT

Windows instala automáticamente el componente cliente
para redes Microsoft detectar la presencia de cualquier tipo
de red.
Al hacer esto Windows habilita los puertos TCP 137, 138 y
139; para compartir archivos e impresoras. Esto, aunque un
ordenador no tenga compartido los recursos, un pirata puede
utilizarlos para acceder a la información del ordenador.
Una forma de aumentar la seguridad el Windows es creando
nombres de usuarios y contraseñas para cada uno de los
usuarios; esto crea una barrera adicional de seguridad, por
ejemplo: si se detecta una anomalía en una de las cuentas
de usuario simplemente se borra y se crea una nueva.

PRACTICA 1 RED PRIVADA VIRTUAL

INSTALAR EL HAMACHI
El Hamachi es un programa que se usa para poder jugar en
red LAN.
Para que funcione el Hamachi, tienes que tener el WINDOWS
XP, con el service PACK 2.
Aquí dejo la versión mas actual de Hamachi en español,
aunque el manual es para la versión en inglés, pero es
comprensible.
Descargar HAMACHI 1.0.1.2-es

A continuación vamos a ver como se instala:

clic en ejecutar...
clic en EJECUTAR:
HACEN CLICK EN NEXT:
ASEGURENSE QUE ESTE ACTIVADO ESE CHECK.
CLICK EN NEXT:

TAMBIEN DEBE ESTAR ESE CHECK AHI , PARA QUE

CREE UN ACCESO DIRECTO AL HAMACHI EN EL
ESCRITORIO...
DAN CLICK EN NEXT
CLICK EN INSTALL

CLICK EN NEXT:
CLICK EN FINISH:

CIERRAN ESTA OTRA VENTANA:

LO ACTUALIZAN EN EL TERCER BOTON, UPDATE

HAMACHI:
DICER QUE SI:

ENCIENDEN EL PROGRAMA CON EL PRIMER BOTON

QUE ES EL BOTON DE ENCENDIDO (POWER ON)
ESCRIBEN SU NICK (ESE NICK APARECERA EN EL
HAMACHI)
LUEGO CLICK EN CREATE:
FINALMENTE HACEN CLICK EN "SI".
HAY VECES TARDA ENTRE 1 A 5 MINUTOS EN
CONECTARSE.
SI TODO ESTA BIEN DEBE SALIR ASI:
PRACTICA 3. INSTALACION DE ZONE ALARM PRO
Y
Manual de Zone Alarm Pro
ZoneAlarm es un sistema de seguridad
para Internet que te permite tener el
control de los programas que tienen
acceso a la misma.
El programa contiene 5 utilidades de
fácil manejo: un firewall, una aplicación
de control de funciones, asignaciones
de niveles de bloqueo y zonas, y
bloqueos de internet. Firewall te
permite controlar el acceso a tu
computadora, conteniendo el modo
"Stealth" que te permite estar invisible
frente al internet. La aplicación de
control te permite decidir que
aplicaciones pueden o no utilizar
internet,
asegurándote que ninguna aplicación
envíe información a través de la Web.

Para aprender este curso es esencial

tengas instalado el programa
ZoneAlarm Pro v4.0.123.002 si no lo
tienes aquí abajo está disponible el link
de descarga.

Bajarlo!

La Seguridad en Internet
ZoneAlarm proporciona la seguridad esencial para con
cualquier PC conectada Internet, especialmente las
conexiones de Dial-Up, ADSL o de cable módem. ZoneAlarm
le protege contra programas maliciosos, como los caballos
de Troya, permitiendo controlar el tráfico de Internet de su
ordenador y cómo las aplicaciones tienen acceso a Internet.
Esté fantástico firewall puede bloquear tentativas de
conectar con su compu de Internet. El alto nivel de la
seguridad hace su PC invisible a Internet así que usted no
será una blanco para los hackers y los intrusos. Los niveles
de seguridad proporcionan la manera más conveniente de
configurar el firewall, sin requerirle programar protocolos y
los accesos.
Cuando una aplicación en su Máquina intenta tener acceso a
Internet, ZoneAlarm se cerciora de que tenga su permiso
primero. Esto asegura de que un programa no se haga
furtivamente con sus datos.
ZoneAlarm aparece como panel en su escritorio de Windows,
como se muestra abajo. Puede también usar ZoneAlarm
usando la barra de herramientas del escritorio.

Índice
1. Características.
2. El panel de alarmas - le deja registrar y visión alarmas
3. El panel de bloqueo - le deja bloquear su conexión
Internet
4. El botón de parada - la parada de emergencia
5. El panel de seguridad - configura el cortafuego.

1. Características

Bloqueo de Internet
Como el bloqueo de la puerta de su casa, el bloqueo de
Internet en ZoneAlarm controla si los datos pueden viajar
entre su PC e Internet o red local. Invirtiendo el bloqueo o
cesando el envió o recepción de datos de las aplicaciones de
su PC hacia/desde Internet o red local.
Para invertir el bloqueo, presione el botón de bloqueo.

El Bloqueo Automático
El mecanismo automático de bloqueo activa el mismo
cuando no está utilizando Internet o cuando no esta
atendiendo a su escritorio. Puede configurar ZoneAlarm para
activar el bloqueo automáticamente cuando se active el
protector de pantalla, o después de un período de
inactividad.
ZoneAlarm le da la opción de asignar un permiso a una
aplicación para puentear el bloqueo. Esto permite, por
ejemplo, a un cliente de correo la comprobación de
mensajes incluso cuando el acceso a Internet esta
bloqueado para el resto de las aplicaciones.

Zonas locales e Internet

ZoneAlarm divide la red mundial en dos zonas: la zona local
y la zona Internet. La zona local consiste en las
computadoras de en una red de área local, que están
conectados con los suyos. Solamente se añadirán
deliberadamente direcciones de la zona local conectada y
perteneciente a la zona local. La zona Internet incluye el
resto de computadoras conectado a Internet y no
perteneciente a red local.
ZoneAlarm le deja fijar los niveles de seguridad
independientemente para la zona local e Internet, dejándole
conectar fácilmente con los usuarios y servicios en Internet,
y salvaguardar al resto de Internet.
Puede ampliar la zona local para incluir direccionamientos y
los rangos más allá de su red de área local. Usando las
características avanzadas del panel de seguridad puede
agregar, corregir, y quitar rápidamente un host/site,
direcciones IP, IP subnets, y rangos IP.

Permisos Del Programa

Cuando un programa intenta tener acceso a Internet la
primera vez, ZoneAlarm preguntará si desea permitirle el
acceso a Internet. Al seleccionar " sí " permite que el
programa acceda a Internet hasta que salga del programa;
Al seleccionar " no " niega al programa el acceso a Internet
hasta que cierre el programa y lo abra otra vez.

El modo de acceso por defecto a Internet para todas las

aplicaciones es pedir permiso cada vez que ejecuta el
programa. Puede utilizar el panel de programas para
cambiar los permisos de acceso a los programas que han
tenido acceso a Internet.
Marcando la opción " Remember the answer each I use this
program " permitirá que en un futuro ZoneAlarm no le
pregunte al abrir la aplicación. Esto es útil para programas,
como su navegador, que siempre necesitara permiso para
acceder a Internet. Puede corregir siempre la configuración
de acceso de una aplicación más adelante en el panel de
programas.

El panel de programas permite especificar diversos permisos

de acceso a un programa en Internet o red local. Por
ejemplo, puede permitir un acceso del cliente de ftp a
Internet y red local, pero restringe su programa de correo a
la red local

Actividad Del Servidor

ZoneAlarm le permite detectar y controlar los programas
que acceden a Internet desde el servidor que esperan a
escuchar peticiones entrantes de otras computadoras. Los
ejemplos de programas del servidor incluyen Web, ftp, y los
servidores de correo. Muchos programas de tipo troyano
también se diseñan para ser servidores, esperando para
conectarse desde clientes remotos.
En el panel de programas destacan que actúan como
servidores y las aplicaciones que escuchan puertos con una
mano debajo del icono del programa.
El panel de configuraciones del programa le deja elegir qué
programas se permiten actuar como servidores. ZoneAlarm
negará el acceso a Internet, y visualiza una alerta en el
escritorio de Windows, cuando un programa que no se
permite ser un servidor escucha activamente conexiones
entrantes
Las aplicaciones tipo ICQ, NetMeeting requieren los derechos
de servidor para funcionar correctamente con ZoneAlarm.

Las Alarmas Del Firewall

Cuando el firewall bloquea las comunicaciones de Internet
publicarán una alarma al objeto de que esté enterado de la
actividad bloqueada.
Por defecto, ZoneAlarm visualiza una notificación de alerta
visual en la forma de un rectángulo pop-up amarillo. Esta
alarma contiene la fuente, el destino, el protocolo, el acceso,
la hora y la fecha de la comunicación bloqueada. En el caso
de una petición saliente bloqueada, la alarma incluirá la
aplicación que es bloqueada.
Las alarmas se pueden registrar en un fichero de texto para
su revisión posterior, y para informar de los intentos de
bloqueo. La notificación visual de alerta puede ser
desactivada y algunas alarmas se pueden someter al
analizador alerta de los laboratorios de la zona.

Algunas alarmas visualizarán " un botón mas " de

Información. Presionar " More Info " para enviar la
información de alerta a nuestro analizador, el resultado será
visualizado en su navegador. Esperamos asistir
inmediatamente con ediciones de configuración de
aplicaciones para alarmas de comunicación, y ofrecer las
herramientas para investigar la conexión en mayor detalle.

ZoneAlarm MailSafe - Protección De Conexión De

correo
ZoneAlarm intercepta scripts en visual basic en el correo
que recibe mientras ZoneAlarm se está ejecutando y aísla
las conexiones que advierte antes de ejecutarlas.
La mayoría de usuarios nunca tendrán la necesidad de
recibir los scripts asociados al correo y debe ser sospechoso.
Los scripts son programas que pueden dañar sus archivos,
violar o infectar otras máquinas con virus. Ejemplos de
Scripts en visual basic maliciosos enviados por correo son el
virus " Love Letter " y su replica " Funny joke "
ZoneAlarm MailSafe no borra los virus, sino que, por el
contrario protege su PC contra ese peligro, identificando y
dando la opción de cancelar la escritura antes de que se
ejecute.
ZoneAlarm Mailsafe esta activo por defecto y puede ser
habilitado o deshabilitado desde el panel de seguridad.
Incluso cuando ZoneAlarm esta en ejecución con MailSafe
activo, es importante usar un antivirus y, en general, tratar
el correo con precaución.

2. El Panel de Alarmas
El panel de alarmas visualiza la actividad en Internet de su
conexión. La barra roja muestra los datos que son enviados
(uploaded) a Internet y la verde los recibidos. Hay dos
conjuntos de gráficos que visualizan la misma información:
la diferencia es que el grafico superior muestra el tráfico
actual; el gráfico inferior visualiza una historia corta del
tráfico. El tráfico actual se muestra también en un icono de
la barra de inicio.

Cuando ve actividad en Internet en el panel de alarmas, el

icono de la aplicación que se esta ejecutando parpadea.
Para ver el panel de alarmas expandido, haga clic en el
botón "aleros" del panel de alarmas.
El panel ampliado de alarmas visualiza un resumen de la
actividad y de las alarmas desde que ZoneAlarm fue
ejecutado:

* la cantidad total de datos enviados y recibidos por todas

las aplicaciones;
* una lista de alarmas actuales, con la opción de someter la
alarma al analizador alerta;
* la opción para registrar alarmas y cambiar la notificación
de alerta visual.

Las alarmas actuales visualizan la información alerta actual:

el IP ADDRESS, el acceso, el protocolo y la hora y la fecha de
la conexión; un mensaje corto describe la alarma entrante o
saliente que se ha bloqueado y posiblemente la aplicación
que causaba la alarma.
Esta información se puede someter al analizador alerta para
obtener una información más detallada en cuanto a la
naturaleza. Cuando se presiona el botón de "more Info", la
información alerta se envía a nuestra Web en orden a
comparar en nuestra base de conocimientos las razones y
causas.
Si desea seguir la IP ADDRESS de una conexión entrante
bloqueada, puede utilizar el WHOIS o traceroute para
encontrar al posible propietario del IP ADDRESS.

Las configuraciones de alerta le permiten decidir qué hacer

con una alarma. Las alarmas se pueden registrar en un
fichero de texto en formato CSV, y la notificación alerta
visual se puede deshabilitar.
Al registrar las alarmas, el registro se salva como ZALog.txt
en la localización por defecto de ZoneAlarm, en una carpeta
llamada Internet en el directorio de Windows. El tamaño del
registro se visualiza al lado de la localización, y este puede
ser suprimido cuando sea demasiado grande.
Las entradas del registro tienen este aspecto:

" FWIN, 2000/03/07, 14:44:58, -8:00 GMT,

Src=192.168.168.116:0, Dest=192.168.168.113:0,
incoming, ICMP "

FWIN indica que el cortafuego bloqueó una petición entrante

de conectar con su ordenador. La entrada también incluye la
información siguiente:
* Fecha y hora
* IP ADDRESS de la fuente y puerto de acceso
* IP ADDRESS del destino y puerto de acceso
* Indicación del tipo de transporte TCP, UDP, ICMP, o IGMP

" FWOUT, 2000/03/07, 14:47:02, -8:00 GMT, QuickTime

player applications tried to access the Internet. Remote
Host: 206:80:6:45:53 "
FWOUT indica que el cortafuego bloqueó una petición de
salida de su ordenador. La entrada también incluye la
información siguiente:
* Fecha y hora
* IP ADDRESS de la fuente y puerto de acceso
* IP ADDRESS del destino y puerto de acceso
* Indicacion del tipo de transporte TCP, UDP, ICMP, o IGMP

" El PE, 2000/03/22, 17:17:11 -8:00 GMT, Netscape

Navigator applications file, 206.80.6.45:53 "
La entrada "PE" le informa que una aplicación en su PC
intento tener acceso a Internet. La entrada también incluye
la información siguiente:
* Fecha y hora
* La aplicación en su ordenador que intento tener acceso a
Internet
* El IP ADDRESS y el puerto de acceso con los cuales la
aplicación intentaba conectar.

3. El Panel de Bloqueo
El panel de bloqueo es un botón que le deja parar el acceso
de las aplicaciones a Internet. Al hacer clic en el candado
habilita el acceso a Internet y al volverlo a pulsar lo
desabilita. Cuando el candado está abierto y la barra del
temporizador es verde , el acceso a Internet se permite.

Si la barra del temporizador visualiza un temporizador con

cuenta descendiente, ese es el tiempo restante antes de
que el bloqueo automatico enganche.
Cuando el acceso a Internet ha sido bloqueado, el candado
estara cerrado. La barra del temporizador sera roja y la
visualización del temporizador ahora muestran la cantidad
de tiempo que queda para el bloqueo.

Para visualizar el panel de bloqueo expandido haga clic en el

botón situado bajo la barra del temporizador.
Cuando está ampliado, el panel de configuracion del
bloqueo de Internet le permite configurar como quiere que
trabaje el bloqueo automatico.

Puede elegir bloquear el acceso a Internet automáticamente

cuando su protector de pantalla se activa o despues de un
periodo de inactividad en Internet.
Si el acceso a Internet es bloqueado cuando el protector de
pantalla se activa este se abrira cuando se desactive el
mismo.
Nota, sin embargo, si el bloqueo automático se habilita con
la opcion de periodo inactivo, necesitará hacer clic
encendido el botón del bloqueo para abrir el acceso Internet.

El "look Mode" puede ser fijado de modo que los programas

de bloqueo puedan tener acceso a Internet ". Esto permite la
actividad en Internet para las aplicaciones que se han dado
los derechos de puentear el bloqueo. Los programas como
clientes de correo pasaran el bloqueo para comprobar si
existe correo mientras que otras aplicaciones no tendran
acceso.
El "High Security" parara toda la actividad en Internet a
todas las aplicaciones sin importar las configuraciones de
acceso del programa. Vea los programas para más
información.
4. Botón de Parada
Presionar el botón de "stop" para cesar inmediatamente
todo el tráfico de Internet. Presione este botón si piensa que
un programa puede estar utilizando Internet
incorrectamente.
El botón de "stop" cesara todo el acceso a Internet,
reemplazando las configuraciones de bloqueo en el panel de
programas. Esto es útil para detener Troyanos y otros
programas que desean acceder a su información privada.

Para reactivar el acceso a Internet presione el botón de

"stop" otra vez.
Observe que al usar el botón de paro de emergencia corta
totalmente las conexiones a Internet. Las conexiones y la
transferencia de datos por todos los programas sobre su
Computadora deben ser restauradas.

5. El Panel de Seguridad
El panel de seguridad visualiza los niveles de seguridad los
permisos generales del servidor para las zonas locales e
Internet. La característica de protección de la conexión del
correo de ZoneAlarm MailSafe también se habilita en este
panel.
ZoneAlarm divide los ordenadores de la red mundial en dos
zonas: la zona local y la zona de Internet. La zona local
incluye los ordenadores que están conectados con su PC en
una red de área local (LAN), y puede incluir cualquier otra
computadora y red que elija agregar a su zona local. La zona
Internet incluye todo el Internet que no está en la zona local.
Cada zona tiene un selector del nivel de la seguridad ,
permitiendo que seleccione un nivel de seguridad para cada
zona. Las configuraciones por defecto son medias para la
zona local y alta para la zona Internet. Si los niveles se
incrementan, el firewall dinámico pone más restricciones de
acceso a su PC para protegerle contra amenazas potenciales
El "block local/internet servers" para cada zona evita que
todos los programas actúen como servidores para esa zona.
Controlando esta opción, no se permitirá a ninguna
aplicación escuchar los puertos, incluso si ha marcado "
permite la opción de servidor " en el panel de programas .
Esto le permite temporalmente bloquear hacia fuera toda la
actividad del servidor a una zona sin cambiar las
configuraciones del servidor del programa.

El nivel de seguridad para la zona Internet debe ser igual o

más alto que el nivel seleccionado para la zona local.
Zona Local
El nivel de acceso de seguridad por defecto para la zona
local es medio. La aplicacion de privilegios desde el panel de
programas y configuraciones de bloqueo de Internet se
cumplirá para todos los niveles de acceso. En niveles más
altos de seguridad, el Firewall dinámico de ZoneAlarm
bloquea el acceso a los servicios de la red y de sistema:

Bajo: se cumplirán privilegios de la aplicación y las

configuraciones de Internet solamente. Deja su PC visible a
otras Máquinas en la zona local. El Firewall no bloquea el
fichero o impresora a y desde la zona local.
Medio: configuración local de la zona por defecto. Archivos,
impresora y los servicios de Windows están permitidos para
las computadoras que pertenecen a la zona local. El bloqueo
automático es realzado por el firewall y bloquea todos los
accesos. LA Compu es visible a la zona local.
Alto: la flexibilidad más alta de la seguridad y de la
aplicación. El firewall bloquea el acceso de la zona local a los
servicios de Windows (NetBIOS) y a archivos e impresora. Su
PC está en el modo de Stealth: todos los puertos que no
están en uso por un programa se bloquean y no son visibles
para la zona local. Este modo abre automáticamente los
puertos solamente cuando un programa aprobado los
necesita.

Por defecto, ninguna computadora pertenece a la zona local.

Vea por favor la sección 5,3 para agregar las máquinas a su
zona local.

Zona Internet
El nivel de acceso de seguridad por defecto para la zona
Internet es alto. Como sucede en la zona local, estos
aumentos en los niveles de seguridad implican más
restricciones.

Baja: se cumplirán privilegios de la aplicación y

configuraciones de Internet solamente. Deja su PC visible a
otros ordenadores en la zona Internet. El cortafuego no
bloquea archivos o impresora a y desde la zona Internet.
Media: Archivos e impresora están permitidos. El Firewall
bloquea el acceso a la zona Internet a los servicios de
Windows (NetBIOS). El bloqueo automático es realzado por
el firewall y bloquea todos los accesos. La PC es visible a la
zona Internet.
Alta: configuración por defecto, el cortafuego bloquea el
acceso de la zona Internet a los servicios de Windows
(NetBIOS) y a archivos e impresora. Su computadora está en
el modo de Stealth: todos los puertos que no están en uso
por un programa son bloqueados, y no son visibles a la zona
Internet. Este modo abre automáticamente los puertos
solamente cuando un programa aprobado los necesita.

Características Avanzadas
Las propiedades avanzadas le permiten ampliar el alcance
de su zona local, esto permite mantener la configuración de
seguridad de la zona de Internet en un alto nivel, permite la
selección de PCS que se conecten con su computadora en su
nivel de seguridad de la zona local.
Los adaptadores "subnets" listan todos sus adaptadores de
red y del dial-up. Controlar un adaptador agrega
automáticamente el resto de computadoras en el subset
local de ese adaptador de red a la zona local. Si su red es
una red de área local pequeña, ésta agrega
automáticamente todas las máquinas próximas a su zona
local. ZoneAlarm configura automáticamente los "adaptar
subnets".

Si su PC es parte de una red de área local, necesitará

colocar un marca de verificación al lado de las Placas de red
bajo "adaptar subnets". Esto asegurará de que tenga acceso
a los recursos necesarios de su red de área local.

Nota para usuarios de cable módem: Si utiliza una

Placa de red conectada directamente con un cable módem
para conectar con Internet, deberían dejar los subnets del
cable deshabilitados, para evitar que sus vecinos puedan
tener acceso a su PC.
Si estas configuraciones por defecto para la zona local no
resuelven sus necesidades, ZoneAlarm le deja agregar las
computadoras y las redes de computadoras a su zona local.

Las propiedades de zona avanzadas le permiten agregar

otros ordenadores a su zona local. Presionar el botón de la
adición le da la opción para agregar una PC principal (o sitio)
por nombre, IP ADDRESS, un rango de direccionamientos IP,
o una IP de una subnet.

Host/Site
Agrega un nombre de PC a su zona local. Deberá incorporar
el nombre del PC, y puede incorporar un nombre de dominio
(tal como " ftp.zonelabs.com ") o un nombre de Windows (tal
como " FTPSERVER ").
Observe por favor que un solo nombre de PC puedo referir a
más de una Computadora real, si dos o más servidores
cooperan para balancear sus cargas. Si éste es el caso,
todas las computadoras que corresponden serán agregadas
a la zona local.

IP adres
Agrega una sola IP ADDRESS que se refiere a una sola
compu de su zona local.

Rango Del IP
La adición de un rango de IP agrega una serie de direcciones
consecutivas de IP a su zona local.

Subnet IP
Agrega un subnet a su zona local. Esto es útil en las oficinas
en donde la red de Area Local se divide en subnets
múltiples. Por ejemplo, si la impresora de la red está en una
subnet diferente que su PC, el firewall dinámico bloqueará el
acceso a la impresora. Agregando el subnet de la impresora
a la zona local le permitirá utilizar la impresora de red con su
PC, así como cualquier otra computadora en el subnet de la
impresora.

Si está en una configuración corporativa, su PC puede ser

parte de una red corporativa más grande. Esta red se puede
dividir en redes más pequeñas, o subnets. ZoneAlarm no
reconocerá los subnets que su PC no ha seleccionado como
parte de su zona local. Esto se convierte en un problema si
su computadora está en un diverso subnet que ciertos
recursos tales como impresoras de una red. Las
características avanzadas habilitan que el firewall dinámico
agregue tal recurso a su zona local.

ZoneAlarm MailSafe

ZoneAlarm intercepta "visual Basic Script" en el correo

recibido mientras que ZoneAlarm se esta ejecutando y aísla
los "Attachments" antes de que se ejecuten.
La mayoria de usuarios nunca tendran necesidad de recibir
Script por correo y deben sospechar de estos. Los "Script
Attachments" son programas que pueden causar daño a sus
archivos, violar su privacidad, infectar otras máquinas con
virus peligrosos. Ejemplo de "VBScript" maligno recibido por
correo es el "Love Letter" y su replica "Funny Joke".

ZoneAlarm MailSafe no borra los virus de script, pero

protege su PC de daños por escritura permitiendolo
identificar y cancelar el programa antes de que se ejecute.

ZoneAlarm MailSafe esta activo por defecto y puede ser

habilitado o desabilitado en el panel de seguridad.

ZoneAlarm MailSafe trabaja con clientes de correo que usan

protocolos POP3 e IMAP, los protocolos mas comunes usados
por el correo, al mismo tiempo, ZoneAlarm MailSafe detecta
"VBScript", pero no otros tipos de Script (Por ejemplo
JavaScript).

Incluso al ejecutar ZoneAlarm con MailSafe activo, es

importante usar un antivirus y, en general, tratar el correo
con precaución.
Manual Zone Alarm Free, recomendado para dar los
primeros pasos con un firewall. Paso a paso explicada la
instalacion y configuracion de este firewall gratuito.

Para novat@s en ésto de los firewall, recomiendo dar los

primeros pasos con uno de éstos dos: Sygate o ZoneAlarm.
El Sygate es un poquito más complejo (poco ) en
configuración, pero a cambio te ofrece más dominio, ya que
incluye control de puertos y alguna otra cosilla interesante

GUÍA DE INICIO RÁPIDO DE MCAFEE® PERSONAL

FIREWALL PLUS
Protección confiable contra hackers.
McAfee Personal Firewall Plus ofrece protección firewall de entrada y salida. Personal
Firewall
Plus se puede configurar y administrar utilizando McAfee® SecurityCenter™. La Guía de
Inicio
Rápido tiene la finalidad de presentarle información acerca de:
 Introducción
 Cómo tener acceso a su producto
 Lo nuevo e Instrucciones
 Cerciórese de que está seguro
User Guide | Consumer Security Solutions
Guía de Inicio Rápido de McAfee® Personal Firewall Plus
Introducción
Su producto de McAfee y SecurityCenter simplifican la protección de su equipo. A
continuación encontrará más información sobre cómo instalar:
Instalación de su producto desde un CD
 Inserte su CD del producto en la unidadde CD-ROM
 .La pantalla de instalación de McAfee sedebe mostrar automáticamente. Si la
instalación no empieza automáticamente, haga clic en Inicio en la barra de tareas de
Windows y, enseguida, haga clic en Ejecutar. En el cuadro de diálogo Ejecutar,
teclee D:\SETUP.EXE (donde “D” es la letra de su unidad de CD-ROM).
Haga clic en Aceptar.

Instalación de su producto desde nuestro sitio en Internet

 Visite el sitio de McAfee y haga clic en Mi cuenta.
 Si se solicita, ingrese su correo electrónico de suscripción y su contraseña;
enseguida, haga clic en Iniciar sesión para abrir su página Información de la
cuenta.
 Encuentre su producto en la lista y haga clic en el icono Descargar.
  Revise y acepte el CLUF (Contrato de Licencia para el Usuario Final).
 Haga clic en Descargar para obtener el Administrador de descargas.
 Siga las indicaciones para ejecutar el Administrador de descargas.
Para saber más

> Inserte el CD de su producto en su unidad de CD-ROM.

> Abra el Explorador de Windows: Haga clic en Inicio en el escritorio de Windows y luego
haga clic en Buscar.
> Encuentre la carpeta Manual y haga doble clic en User Guid.pdf que desee abrir.
User Guide | Consumer Security Solutions
Guía de Inicio Rápido de McAfee® Personal Firewall Plus
Cómo tener acceso a su producto
Luego de la instalación, los programas McAfee se inician automáticamente y se ejecutan en
segundo plano. Para abrir SecurityCenter, siga una de estas instrucciones:
1. Haga doble clic en el Icono del escritorio.
2. Haga clic en Inicio, seleccione Todos los programas (o Programas), luego McAfee y
finalmente McAfee SecurityCenter.
3. Haga doble clic en el icono M en la bandeja de sistema, al lado del reloj.

Luego de abrir SecurityCenter, puede ver los productos McAfee que tiene instalados al hacer
clic en el vínculo Ver Detalles en la esquina inferior izquierda de la consola. Sus productos
McAfee se pueden administrar directamente en SecurityCenter.
User Guide | Consumer Security Solutions
Guía de Inicio Rápido de McAfee® Personal Firewall Plus Lo nuevo e
Instrucciones
Conozca la mejor manera de aprovechar las configuraciones de “cargar y listo” de McAfee al
leer más acerca de las siguientes funciones.
 McAfee SecurityCenter
 Protección de Firewall
 Desempeño y rendimiento para su equipo
 McAfee® SiteAdvisor™
  Network Manager
 McAfee® Shredder
Lo nuevo: McAfee SecurityCenter
Su producto se conecta al nuevo McAfee SecurityCenter, así que ahora puede ver el estado de
protección de su equipo en un solo lugar.

ser
Guide | Consumer Security Solutions
Guía de Inicio Rápido de McAfee® Personal Firewall Plus Cómo utilizar
SecurityCenter
Luego de instalarlo, SecurityCenter desplegará un estado de protección completo con una
marca verde. Si su estado de protección cambia durante el transcurso de su suscripción,
McAfee le indicará las acciones de seguridad recomendadas para que su estado vuelva a estar
de color verde. Los tres diferentes niveles de seguridad se muestran a continuación.
Lo nuevo: Protección de Firewall mejorada
Su producto McAfee le ofrece una seguridad completa de entrada y salida que confía
automáticamente en los programas buenos y conocidos, mientras que ayuda a bloquear el
spyware, los troyanos y los registradores de claves. El firewall también le protege contra
exploraciones y ataques de hackers, supervisa las actividades en Internet y redes, le informa
de eventos hostiles o sospechosos y le brinda información detallada acerca del tráfico de
Internet.
El firewall presenta el “Modo sigiloso”, que le permite navegar por Internet y permanecer
fuera del radar de los hackers o de cualquiera que desee encontrarle a usted o a su equipo.
Instrucciones para la protección de firewall
La protección de firewall ha sido previamente configurada y no requiere acción de su parte. Si
usted es un usuario experto y desea reconfigurar al firewall, consulte el Menú avanzado en
SecurityCenter.
Instrucciones para el Modo Sigiloso
Puede cambiar al Modo Sigiloso al hacer clic en Internet y redes desde la consola principal de
SecurityCenter. Haga clic en la función Configurar y, en Protección de Firewall, haga clic en
Avanzado. Busque el control deslizante del Nivel de seguridad. Puede aumentar el nivel de
seguridad dependiendo de cuánto desee ocultarse. Si desea encender el Modo Sigiloso, mueva
el indicador a Sigilo.

User Guide | Consumer Security Solutions

Guía de Inicio Rápido de McAfee® Personal Firewall Plus Lo nuevo:
Herramientas para el desempeño y el rendimiento de su equipo
Su producto incluye herramientas para el desempeño y el rendimiento de su equipo que
ayudan a optimizarlo manteniéndolo limpio y ejecutándose sin problemas. Con estas
herramientas integradas puede eliminar archivos basura y otros archivos temporales que son
innecesarios. También puede emplear el “Desfragmentador de disco” para desfragmentar su
equipo y el “Programador de tareas” para programar tareas de manera que se ejecuten a
determinada hora.
Instrucciones: Herramientas para el desempeño y el rendimiento de su equipo
Obtenga acceso a estas funciones a través de la función Tareas comunes >
Mantenimiento del equipo.

Guía de Inicio Rápido de McAfee® Personal Firewall Plus

Haga clic en Mantenimiento del equipo.
Puede eliminar la basura acumulada en su equipo con tan solo hacer clic en Inicio bajo la
sección McAfee QuickClean. Empiece el proceso de desfragmentación en su disco duro al
hacer clic en el botón Analizar. Verá la siguiente pantalla durante la desfragmentación:

Luego de completarse el análisis, haga clic en Desfragmentar para desfragmentar su disco

duro.User Guide | Consumer Security Solutions

Guía de Inicio Rápido de McAfee® Personal Firewall Plus

Puede establecer un horario exacto para que su equipo se limpie automáticamente.
Lo nuevo: McAfee SiteAdvisor
SiteAdvisor agrega calificaciones de seguridad a los sitios y a los resultados de un motor de
búsqueda basándose en amplias pruebas de seguridad de spam, spyware y fraude en línea.
Instrucciones: McAfee SiteAdvisor
Luego de descargarlo e instalarlo, SiteAdvisor hace todo el trabajo por usted. Al buscar con
Google, Yahoo!, MSN u otros, las calificaciones de seguridad de SiteAdvisor aparecen al lado
de los resultados de la búsqueda y un pequeño botón en la barra de herramientas del
explorador cambia de control basándose en las pruebas de seguridad de SiteAdvisor.

User Guide | Consumer Security Solutions

Guía de Inicio Rápido de McAfee® Personal Firewall Plus

Lo nuevo: McAfee Network Manager
McAfee Network Manager presenta una vista gráfica de los equipos y componentes que
forman su red casera. Puede utilizar Network Manager para supervisar de manera remota el
estado de protección de cada equipo administrado en su red y arreglar de la misma forma las
vulnerabilidades de seguridad reportadas en dichos equipos.
Instrucciones: McAfee Network Manager
Inicie Network Manager de la lista de Tareas comunes de SecurityCenter. El mapa de red
ofrece una representación gráfica de los equipos y los componentes que conforman su red
casera. Para configurar Network Manager, consulte el Menú Avanzado en SecurityCenter.

Lo nuevo: McAfee Shredder

Shredder le permite “triturar” digitalmente sus archivos confidenciales, eliminando
eficazmente cualquier rastro de archivos de su equipo, lo cual es muy útil sobre todo al
regalar, vender o simplemente desechar equipos antiguos. Esta nueva función mejora su
privacidad al ayudar a erradicar las huellas que dejan los archivos borrados y a los que
podrían tener acceso los hackers u otros usuarios no autorizados.
Instrucciones: McAfee Shredder
Seleccione Shredder en “Herramientas” para borrar fácilmente un archivo, varias
carpetas o hasta todo un disco.
User Guide | Consumer Security Solutions
Guía de Inicio Rápido de McAfee® Personal Firewall Plus Cerciórese de que está
seguro

McAfee le ayuda a cerciorarse de que siempre estará seguro al mejorar y actualizar continua y
automáticamente su protección.
Mejoras y actualizaciones automáticas de software
Mientras dure su suscripción, SecurityCenter actualizará automáticamente sus programas de
McAfee siempre que haya nuevas funciones o mejoras disponibles.
User Guide | Consumer S ecurity Solutions

Guía de Inicio Rápido de McAfee® Personal Firewall Plus

McAfee, Inc. 3965 Freedom Circle, Santa Clara, CA 95054, 888.847.8766, www.mcafee.com
McAfee and/or additional marks herein are registered trademarks or trademarks of McAfee,
Inc. and/or its affiliates in the US and/or other countries. McAfee Red in connection with
security is distinctive of McAfee brand products. All other registered and unregistered
trademarks herein are the sole property of their respective owners. © 2006 McAfee, Inc. All
Rights Reserved. McAfee_2007_MPF-UG-ES-MX-1206.
Estado de protección y alertas de seguridad
SecurityCenter también le informa con una alerta del Administrador de Protección cuando su
estado de seguridad cambia a amarillo o rojo. Cuando vea alguna de estas alertas, haga clic en
el globo o el icono para abrir SecurityCenter de manera que pueda revisar y responder al
problema.

Tras instalar la máquina virtual "Windows 2003

Server" que va a realizar las funciones de servidor de
nuestra red, hemos de proceder a realizar una
configuración básica de nuestro servidor, para lo cual
arrancamos nuestro equipo (si hemos realizado la
instalación con el programa VMWare, seleccionamos la
máquina virtual "SERVIDOR" y pulsamos sobre el
botón de VMWare), y cuando el sistema operativo
nos pida la correspondiente autenticación, pulsaremos
la combinación de teclado "CTRL+ALT+SUP" (para la
máquina virtual hemos de pulsar la combinación de
teclado "CTRL+ALT+INS", y no la típica
"CTRL+ALT+SUP", asociada a la máquina anfitriona), e
indicaremos como nombre de usuario "Administrador"
y como contraseña la que hubiéramos especificado en
el proceso de instalación.

La primera ventana que nos muestra "Windows 2003

Server" es la siguiente, en la que activaremos la casilla
"No mostrar esta página al iniciar sesión", para
posteriormente cerrar la ventana.

NOTA: Si hemos realizado la instalación de nuestro

servidor Windows 2003 en una máquina virtual,
deberemos pinchar aquí para analizar como instalar las
herramientas de configuración del entorno de trabajo.
A continuación pulsaremos con el botón derecho del
ratón sobre el "Escritorio" de nuestro Windows 2003
Server, y seleccionaremos la opción "Propiedades",
mostrándose una ventana en la que nos ubicaremos
sobre la pestaña "Escritorio" y luego pulsaremos sobre
el botón "Personalizar Escritorio...", mostrándose una
nueva ventana en la que sobre la pestaña "General"
activaremos las casillas correspondientes a "Mis
Documentos", "Mi PC", "Mis Sitios de Red" e "Internet
Explorer", para tener disponibles dichos elementos en
el "Escritorio". Completaremos el proceso pulsando
sobre los correspondientes botones "Aceptar" hasta
ver en el Escritorio los 4 iconos especificados.

El siguiente paso es proceder a configurar el interface

de red de nuestra máquina virtual; para ello con el
botón derecho del ratón haremos un clic sobre el icono
"Mis sitios de red" y seleccionaremos la opción
"Propiedades"; en la ventana que se muestra a
continuación nos ubicaremos sobre el icono "Conexión
de área local" y haremos de nuevo clic con el botón
derecho del ratón, seleccionando la opción
"Propiedades", mostrándose a continuación una
ventana de "Propiedades de Conexión de área local",
en la que nos situaremos sobre "Protocolo de Internet
(TCP/IP)", y posteriormente pulsaremos sobre el botón
"Propiedades".

En este caso, debido a las características propias del

entorno donde estamos creando nuestro servidor,
asignamos como dirección IP para nuestro servidor la
dirección 192.168.0.220, con máscara de subred
255.255.255.0 y puerta de enlace 192.168.0.254;
además indicamos como servidor DNS preferido la
propia dirección IP de este servidor (192.168.0.220), y
como alternativo el servidor DNS 194.179.1.101.
NOTA: El servidor DNS primario debe ser el indicado,
pero el secundario puede ser cualquier otro existente
en Internet (no necesariamente el indicado), por
ejemplo 195.55.30.16el que nos haya indicado nuestro
Proveedor de Servicios de Internet (ISP).
Hemos de tener presente que el direccionamiento IP
indicado para el equipo y la puerta de enlace pueden y
normalmente deben, ser modificables, de modo que
cada alumno los adecue al rango de direccionamiento
IP de su entorno de trabajo local y de su router de
salida a Internet; con carácter general el alumno
indicará como IP en "Puerta de enlace predeterminada"
la IP de su router, y como IP y máscara del servidor,
una libre de un rango del router (por ejemplo si la IP de
nuestro router es 192.168.1.254, pondremos dicha IP
como puerta de enlace, y al servidor le podemos
asignar la IP 192.168.1.220 con máscara
255.255.255.0); esto debemos tenerlo presente para el
resto del curso, pues a lo largo del curso se hará
referencia a las IPs 192.168.0.220 y 192.168.0.254
como IPs del servidor y el router respectivamente, y lo
que cada alumno deberá hacer es utilizar el
direccionamiento I.P. que tenga configurado para sus
máquinas virtuales en su entorno de trabajo.
Hemos seleccionado como primer servidor DNS el
propio servidor local, ya que pese a no ser un servidor
visible en Internet, será la máquina que resuelva todas
las URL asociadas a recursos internos de nuestra red.
Como dirección IP del primer servidor DNS debemos
especificar la propia dirección IP del Servidor Windows
2003
NOTA: En el curso vamos a configurar una dirección IP
en nuestra máquina en la misma red que nuestro
router. Es evidente que no siempre va a coincidir la
configuración de nuestra red con la del alumno que
realiza el curso, por ello deberá realizar una traslación
de nuestras direcciones IP a las direcciones IP que
tiene en el entorno donde desarrolle el curso. Así por
ejemplo un usuario podría ejecutar en una ventana MS-
DOS la orden ipconfig /all y obtendría para el
adaptador de área local una información de
características similares a las de la siguiente ventana:

Así pues la configuración que tiene este usuario en su

ordenador la podemos resumir en la siguiente tabla:
Datos
Configuración
Usuario
Dirección IP 10.203.2.2
Máscara de
255.255.255.0
Red
Puerta de
10.203.2.54
Enlace
Servidores 195.55.30.16 y
DNS 194.179.1.101

Con la información anterior y para realizar el curso, los

datos que debería utilizar el alumno para configurar el
adaptador de red de su equipo servidor podemos
resumirlos en la siguiente tabla, que compara la
configuración especificada en el curso, con la que el
alumno debería realizar en base a los datos de
"ipconfig /all"
 Datos Datos
Configuración Configuración
Servidor Curso Servidor Usuario
Dirección IP 192.168.0.220 10.203.2.220
Máscara de
255.255.255.0 255.255.255.0
Red
Puerta de
192.168.0.254 10.203.2.54
Enlace
Servidores 192.168.0.220 y 195.55.30.16 y
DNS 194.179.1.101 194.179.1.101

NOTA: La IP del servidor no tiene porque ser la 220;

vale una cualquiera por encima del número 200 que
esté libre (indicamos 200 porque nuestro servidor
DHCP servirá hasta dicha dirección IP inclusive).
Obviamente el alumno debe realizar sus propias tablas
para adaptar el direccionamiento IP de su servidor
Windows 2003 al de su entorno de trabajo, y seguir el
resto del curso con el direccionamiento IP propio de su
contexto que haya indicado en la tabla "Datos
configuración Servidor Usuario".
El último elemento que configuraremos en este
apartado, es la segunda partición del disco duro virtual
que definimos en el proceso de instalación,
formateando el volumen con formato NTFS; para ello
abriremos "Mi PC", y con el botón derecho del ratón
sobre la unidad "E", seleccionando la opción
"Formatear", mostrándose la siguiente ventana; es
MUY IMPORTANTE especificar "NTFS" como sistema
de archivos para esta unidad, le damos el nombre
DATOS, y marcamos la casilla "Formato rápido".

NOTA: Al pulsar sobre el botón "Iniciar" se mostrará

una pantalla de advertencia de que serán borrados
todos los datos de dicha unidad; pulsaremos sobre el
botón "Aceptar" para comenzar el formateo de la
unidad.
También aprovecharemos la oportunidad para
renombrar la unidad "C", pulsando con el botón
derecho del ratón ella y seleccionando la opción
"Cambiar nombre", especificaremos el nombre
"OPERATIVO".
Para finalizar este apartado descargaremos el último
"Service Pack" para el sistema operativo Windows
2003 (actualmente el SP2), para corregir todos
aquellos problemas o vulnerabilidades que dicho
"Service Pack" soluciona; en la URL
"http://www.microsoft.com/spain/windowsserver2003/d
efault.mspx" podemos acceder a su descarga.
Una vez que dispongamos del fichero de instalación
del SP2 para Windows 2003, para proceder a su
instalación, haremos un doble clic sobre el fichero de
instalación, mostrándose la siguiente ventana:

En ella se informa de que se está procediendo al

proceso de descompresión y verificación del fichero
descargado, una vez finalizado aparecerá la siguiente
ventana, en la que tras pulsar en el botón "Siguiente"
comenzará el proceso de instalación.
En la ventana que el proceso de instalación muestra a
continuación, debemos aceptar el contrato de licencia,
seleccionando la opción "Acepto" y posteriormente
pulsando sobre el botón "Siguiente"

En la siguiente ventana, se nos informa de que va a ser

realizada una copia de seguridad de los ficheros que
van a ser sustituidos al instalar el SP2 de Windows
2003; pulsamos directamente sobre el botón
"Siguiente".
En ese momento comenzará el proceso de instalación
del SP2; esperaremos pacientemente hasta que dicho
proceso finalice, aproximadamente 30 minutos.
Una vez que se complete la instalación del SP2,
debemos reiniciar el S.O. para que los cambios
efectuados puedan tener efecto; así pues pulsaremos
sobre el botón "Finalizar" para que los cambios tengan
efecto tras el reinicio de la máquina.

Posteriormente debemos configurar como va a

realizarse la descarga de los parches críticos de
Microsoft en nuestro servidor, accediendo a través del
"Panel de Control" al icono "Actualizaciones
Automáticas", y seleccionando la opción deseada;
nosotros optaremos por la opción "Descargar
automáticamente las actualizaciones y notificarme
cuando estén listas para instalar", lo cual nos obligará
a revisar en nuestro servidor cada cierto tiempo si hay
nuevas actualizaciones para instalar, y en caso de ser
así analizar si procede o no su instalación.
Otra opción podría haber sido seleccionar la primera
de las opciones, de forma que las actualizaciones se
descargasen automáticamente en día y hora
prefijados, y posteriormente se instalasen en la
máquina sin intervención alguna del administrador de
la misma; no cabe duda de que esta segunda opción
es mucho más cómoda, pero implicaría que se
pudieran instalar parches que generaran algún
problema en nuestro servidor por incompatibilidades
con algún software instalado en el mismo.
NOTA: La decisión de como realizar la descarga e
instalación de los parches críticos para nuestro
servidor, debe realizarla el administrador de la
máquina.

Independientemente de lo anterior, podemos ir a

"Windows Update" por si hubiera algún parche crítico,
publicado posteriormente al último "Service Pack",
para "forzar" la instalación del mismo en nuestro
servidor, pulsamos sobre el botón "Inicio", y elegimos
la opción "Windows Update" en el apartado de "Todos
los Programas", mostrándose una ventana de
advertencia, en la cual activaremos la casilla "No
volver a mostrar este mensaje" y pulsaremos
posteriormente sobre el botón "Aceptar".

A continuación se muestra la siguiente pantalla que

nos solicita permiso para instalar un software en
nuestro servidor que permita la gestión de las
actualizaciones de Windows; pulsaremos sobre el
botón "Instalar" para permitir dicha instalación.

En este instante se muestra la siguiente pantalla, en la

cual pulsamos directamente sobre el botón "Instalar
ahora" para descargar e instalar la nueva versión de
esta aplicación (Windows Update).

Tras ello dará comienzo la descarga del software

actualizado para nuestro equipo; una vez completada
dicha descarga, será cargada la página de
actualización de Microsoft ("Windows Update"),
pudiendo comenzar el proceso de instalación de los
parches necesarios para nuestro equipo pulsando
sobre el botón "Rápida".
NOTA: Podemos "filtrar" los parches que deseamos
instalar si pulsamos sobre el botón "Personalizada".
Puede ocurrir que antes de dar comienzo al proceso de
instalación de las actualizaciones se muestre la
siguiente pantalla, en la cual pulsaremos directamente
sobre el botón "Sí".
A continuación comienza la búsqueda de los parches
que necesita actualmente nuestro servidor;
pulsaremos sobre el botón "Instalar las
actualizaciones" para proceder a su instalación.

En este momento se nos presenta la siguiente pantalla

que nos informa de los términos de la licencia para la
instalación de las actualizaciones; pulsamos sobre el
botón "Acepto" para proceder definitivamente a su
instalación.
En el proceso de instalación se nos preguntará si
deseamos instalar Internet Explorer 7, a lo cual
responderemos afirmativamente pulsando en la
pantalla de la imagen inferior sobre el botón "Instalar".
A continuación se muestran los términos del acuerdo
de licencia, los cuales aceptaremos pulsando sobre
directamente en la pantalla de la imagen inferior sobre
el botón "Acepto".

Antes de proceder a la instalación, hemos de validar la

copia de Windows 2003 Server instalada, así pues
pulsamos en la pantalla correspondiente sobre el botón
"Validar", y tras ello, si la validación ha sido positiva,
será mostrada la siguiente pantalla, en la cual
pulsaremos directamente sobre el botón "Siguiente".
En este instante da comienzo la instalación en nuestro
equipo Windows 2003 Server de la aplicación Internet
Explorer 7
Una vez concluida la instalación de Internet Explorer 7,
se siguen instalando el resto de actualizaciones; tras
concluir la instalación de todas ellas pulsaremos sobre
el botón "Reiniciar Ahora" para concluir el proceso.

Una vez completado el reinicio del equipo, para poder

dar por cerrado este apartado, debemos de llevar a
cabo la activación del producto. Habremos observado
como en la parte inferior derecha de nuestra pantalla
nos aparece un "bocadillo" recordándonos que nos
quedan 30 días (o menos) para activar el producto;
debemos hacerlo pues sino al cabo de dicho tiempo no
podremos iniciar sesión en el equipo, imposibilitándose
el acceso al mismo. Así pues pinchamos sobre el icono
que nos muestra dicho "bocadillo", presentándose la
siguiente ventana, en la que activaremos la opción "Sí,
activar Windows a través de Internet ahora", y a
continuación sobre el botón "Siguiente"
En la nueva ventana mostrada activaremos el radio
botón "No, no deseo registrar ahora, sólo activar
Windows", y pulsaremos posteriormente sobre el botón
"Siguiente"
Tras ello da comienzo el proceso de activación del
producto instalado a través de Internet; cuando el
proceso concluye, se muestra la siguiente ventana en
la que pulsaremos sobre el botón "Aceptar", tras lo
cual podemos dar por cerrado este apartado.

A partir de este instante tendremos correctamente

registrada nuestra copia de Windows 2003 Server.