Introducción a los Principios y

Sistemas de Arquitecturas de
Diseño Seguro en
Redes .

Ing. Carlos Cervantes Garcés

TECNOLOGÍAS Y SEGURIDAD DE LA
INFORMACIÓN
Seminario Taller
Módulo I
 Conozca al Expositor

Carlos Enrique CERVANTES GARCÉS

Especialista en Conectividad y Cableado Estructurado

(carloscg3@hotmail.com)

957990882

- Estudios de Especialización y Post Grado en USA/ MEXICO /CHILE

- Mas de 20 años de experiencia en soluciones de Nettworking .

- Mas de 20 años de experiencia en Cableado Estructurado de Fibra y Cobre .

- Implementaciones exitosas en: LAP (Areopuerto de Lima –Perú), MTC, Red

Dorsal de UNMSM , AMBEV, Plan Huascarán , entre otras .

- Ponente y catedrático en las diferentes Universidades del país y Latino

américa.

- Autor de artículos de Tecnologías de Información en medios Especializados .

2
 Índice

Introducción a los Principios y Sistemas de Arquitecturas de Diseño Seguro en Redes

Introducción, la importancia de tener una red segura y como implementar

soluciones actuales . Comparativa del Modelo OSI y TCP/IP.

Arquitectura de Servicios de Seguridad Introducción, conceptos y aplicaciones

3 Diseño y construcción de redes y sistemas seguros

 LA IMPORTANCIA DE
TENER UNA RED
SEGURA Y COMO
TEMA IMPLEMENTAR

01 SOLUCIONES

ACTUALES .

Comparativa del Modelo

OSI y TCP/IP.
Definiciones y Conceptos asociados a Seguridad?

 Un requisito para las instituciones,

empresas y de misión Crítica.

 Manejo Centralizado y Control

 Un continuo proceso que requiere

implementaciones de Red en
Multiples Niveles.

 Establecer políticas consistentes en

sociedades de Banda Ancha.
 Que es la Seguridad Informática ?

 Son reglas, políticas y acciones para asegurar la

operatibilidad de una empresa o institución.

 Factores de Riesgo

Ambientales

Tecnológicos

Humanos
 El Internet está Manejando el
Mercado de la Seguridad

Importancia del Valor Comercial en Internet

 24x7 acceso de Información

 Comercio Electrónico

 Cloud Computing.

 Redes Privadas Virtuales (VPNs)

 El aprendizaje y entrenamiento Interactivo

 Conferencias

 Empleados Teleworkers
 Las Redes Hace 10 Años

Redes Cerradas

Telecommuter PSTN

Modem
Mobile User
Frame Relay
Branch X.25
Office Leased Line

PSTN
 Las Redes Hace 5 Años

Very Redes Hybridas Business

Remote
Partners
Office

1000’s of Remote
Main
Workers
Office
Internet/IP
VPN

Private
Remote
Line
Office
Network

Regional
Mobile
Office Home
Workers
Offices
 Las Redes en la Actualidad

Redes Abiertas
Broadband
ADSL/CABLE
Telecommuters
Internet

Mobile
Users
Internet-Based
Intranet (VPN)
Internet-Based Business
Extranet (VPN) Partner
Branch
Remote Office
home Branch
PSTN Office
Los Cambios en la SEGURIDAD

 Los Negocios están sufriendo cambios dramáticos: E-commerce,

VPNs, aplicaciones y consultas en en la Nube, cloud computing,
etc.)

 Las Redes estan evolucionando rápidamente y enforma dinámica,

de los ambientes Cerrados a ambientes completamente abiertos.

 Los temas de seguridad son de vital importancia, dado que los

ambientes son dinámicos y Abiertos (entorno Web).

 Solo la seguridad en la red nos dará la garantía de Transacciones

correctas, integras y verdaderas.
 El Valor de la Seguridad en la Red

 Esfuerzo en conjunto para para

obtener un plan único de
seguridad y direción.

 Definición de Políticas Internas

de seguridad en la Red.

 Gran Escalabilidad de acuerdo

al desarrollo de la
infraestructura.

 Inversión de acuerdo a los

niveles de protección deseados.
 Normativas de Seguridad Informática

 ISO 17799

Código de buenas prácticas para gestión de seguridad

Informática.

 ISO / IEC 27002

Especificaciones del Sistema de Administración de
Seguridad de la Información. Pertenece a las familia de
Normas ISO 27000.
 ISO 17799
 Esta organizada en capítulos de 11 secciones y 39
Objetivos de Control en los que se tratan los distintos
criterios a tener en cuenta en cada tema, para llevar
adelante una correcta GESTION DE SEGURIDAD DE
LA INFORMACIÓN.

 Alcance

- Recomendaciones para la gestión de seguridad de la Información.

- Garantías de Continuidad del negocio y auditoría interna.

- Base común para el desarrollo de estándares de seguridad.

EL MODELO OSI
(Modelo de Capas)

15
 Por qué un Modelo de capas?

 Reduce la complejidad
N+1  Estandariza interfaces
 Facilita la ingeniería modular
 Garantiza la interoperatibilidad de
tecnologías
 Facilita la enseñanza y el aprendizaje

Garantiza la interoperatibilidad de tecnologías

 Modelo OSI

 Open System Interface (OSI) = Interconexión de sistemas abiertos

 Creado por la Organización Internacional de Estándares (ISO) en 1984

 Marco de referencia para crear redes

 Utilizado por los fabricantes y diseñadores

Capas
 Capa de Aplicación

 Provee servicios de red (procesos) para

las aplicaciones.
Application  Por ejemplo, una computadora sobre
Presentation una LAN, puede guardar archivos en un

Session servidor utilizando redirectores de red

provistos por un Sistema Operativo de
Transport
red.
Network
 Los redirectores de red permiten a las
Data-Link aplicaciones como Word y Excel “ver” la
Physical red.
 Ejemplos: FTP, WWW, Telnet, SMTPl,
etc
 Capa de Presentación

 Provee la representación de datos y

formateo de códigos.

Application
 El formateo de códigos incluye la
Presentation compresión y encriptación
 Básicamente, la capa de presentación
Session garantiza que los datos que llegan
Transport desde la red puedan ser utilizados por la
aplicación y que la información enviada
Network por la aplicación se pueda transmitir a
través de la red.
Data-Link  Protocolo: Define formatos de datos y
reglas para convertir de un formato a
Physical
otro.
 Capa de Sesión

 Establece, mantiene y administra las

sesiones entre aplicaciones.
 Utiliza el control de diálogo y la separación de
Application diálogo para administrar la sesión

Presentation  Protocolo: Administración de tokens, inserción

de puntos de chequeo
Session
 Algunos protocolos:
Transport
 NFS (Network File System)
Network  SQL (Structured Query Language)

Data-Link  RCP (Remote Call Procedure)

 ASP (AppleTalk Session Protocol)
Physical
 SCP (Session Control Protocol)
 X-window
 Capa de Transporte

 Proveee confiabilidad, control de flujo y

corrección de errores a través del uso de
TCP.
Application
 TCP segmenta los datos, agregando una
Presentation cabecera de control de información para
la secuencia y reconocimiento de los
Session paquetes recibidos.
Transport  La cabecera del segmento incluye
también los puertos de origen y destino
Network para las aplicaciones de capa superior
 TCP usa ventanas y es orientado a
Data-Link
conexión.
Physical  UDP no es orientado a conexión.
 Capa de Red

 Responsable por el direccionamiento

lógico del paquete y la determinación del
camino.
 Administración de buffers, control de la
Application congestión, contabilidad, filtraje (firewalls).
 X25, Frame Relay y ATM para redes de
Presentation conmutación, e IP para redes
interconectadas.
Session
 El direccionamiento es realizado por los
Transport protocolos enrutados como IP, IPX,
AppleTalk y DECnet.
Network  La determinación del camino es realizado
por los protocolos de enrutamiento como
Data-Link
RIP, IGRP, EIGRP, OSPF y BGP.
Physical  Ultimo nivel que se implementa dentro de
la red. Los restantes niveles sólo se
implementan en los equipos terminales
 Capa de Enlace de Datos

 Provee acceso al medio

 Maneja la notificación de errores, la
topología de la red, control de flujo y
direccionamiento físico de la trama.
Application  Control de Acceso al Medio a través de
métodos:
Presentation  Determinístico—token passing
Session  Non-determinístico—topología
broadcast (dominios de colisión)
Transport  Establece los límite de la trama mediante
la inclusión de un patrón de bit
Network
determinado al principio y final de la
Data-Link trama. Enviar tramas entre pares
 Protocolo: direcciones (de esta capa),
Physical implementar Control de Acceso al Medio
(MAC)(Ej. CSMA/CD). HDLC, LLC, etc
 Trama Ethernet 802.3

Tramas Giant :

Tramas Runt :

25
 Capa Física

 Provee los medios eléctricos, mecánicos, de

procedimiento y funcionales para activar y mantener

Application el enlace físico entre los sistemas.

 El medio incluye el flujo de bits y puede ser...

Presentation
 Cable UTP
Session
 Cable Coaxial
Transport  Cable de Fibra Óptica

Network  La atmósfera

Data-Link

Physical
 Comunicaciones de par-a-par

 La comunicación entre pares se hace

utilizando el PDU de cada capa. Por ejemplo la
capa de red del origen y del destino son pares
y utilizan paquetes para comunicarse.
 Ejemplo de Encapsulación

 Al escribir un email. SMTP toma los

datos y los pasa a la capa de
Application
Presentación.
Presentation
 La capa de Presentación codifica los
Session
datos como ASCII.
Transport
 La capa de Sesión establece una
Network
conexión con el destino con el
Data-Link
propósito de transportar los datos.
Physical
 Ejemplo de encapsulación

 La capa de Transporte segmenta los

datos usando TCP y lo envía a la capa
de Red para el direccionamiento.
Application
 La capa de Red direcciona y encamina
Presentation
el paquete usando IP.
Session

Transport
 La capa de Enlace de Datos encapsula
el paquete dentro de una trama y lo
Network
direcciona para una entrega local
Data-Link
(MACs)
Physical
 La capa Física envía los bits por el
medio.
TCP / IP

La pila de
Protocolos TCP/IP

Agrupación de Protocolos
Transfer Control Protocol /
Internet Protocol
El modelo TCP/IP

La capa de Aplicación:
 Maneja protocolos de alto nivel,
aspectos de representación,
codificación y control de diálogo
 Terminal Virtual (TELNET)
 Transferencia de Archivos
(FTP)
 Correo Electrónico (SMTP)
 Servicio de Nombres
(DNS)
 Servicio de Noticias
(NNTP)
 Web (HTTP)
 Windows sockets
 Garantiza que los datos estén
correctamente empaquetados para
la siguiente capa
 Equipamiento: Proxy, Gateway
El modelo TCP/IP

La capa de Transporte
 Ve aspectos de calidad del
servicio, la confiabilidad, el
control de flujo y la corrección
de errores.
 TCP ofrece maneras flexibles y
de alta calidad para crear
comunicaciones de red
confiables, sin problemas de
flujo y con un nivel de error bajo
 Mantiene un diálogo entre el
origen y el destino mientras
empaqueta la información de la
capa de aplicación en unidades
denominadas segmentos
 TCP, UDP, sliding windows
 Equipamiento: Switch L4
El modelo TCP/IP

La capa de Internet
 Envia paquetes origen desde
cualquier red en la
internetwork y que estos
paquetes lleguen a su destino
independiente de la ruta y de
las redes que recorrieron para
llegar hasta allí
 IP es el protocolo que rige esta
capa. ICMP, ARP, RARP
 Produce la determinación de la
mejor ruta y la conmutación de
paquetes
 Equipamiento
 Routers
 Switch Layer 3.
TCP/IP

La capa de Acceso a la red

 Se ocupa de todos los aspectos
que requiere un paquete IP para
realizar realmente un enlace
físico y luego realizar otro
enlace físico
 Incluye los detalles de
tecnología LAN y WAN y todos
los detalles de las capas física y
de enlace de datos del modelo
OSI
 Equipamiento:
 Fisica: Repetidores (Hub),
Tranceivers
 Enlace de Datos: Bridge,
Switch, Conversores de
Medios
REDES WAN Y TIPOS DE ACCESO A
INTERNET

35
 1. Redes WAN
Introducción
Conexiones remotas (geográficamente distantes) a una red:
• LAN – LAN
• PC – LAN
 1. Redes WAN
Tipos de redes WAN más comunes:

• Dedicados
•Frame Relay
• ATM
• MPLS
• Conmutados
• Analógicos
• Digitales
 Redes WAN

Enlaces Dedicados: Frame Relay

- Es la evolución de las redes X.25
- Red de conmutación de paquetes
- Comparte dinámicamente el ancho de banda
- Emplea técnicas de multiplexación estadística
- Se emplean DTE (propiedad del cliente) y DCE (propiedad del carrier)
- Emplea circuitos virtuales (SVC y PVC) y son identificados por los DLCI

DLCI DTE
DTE
12 Packet DLCI
Switch 12 DLCI
41

DCE

DCE

DLCI
18

DLCI
DTE 23
DLCI DCE DCE DTE
23

DTE
 Redes WAN

Enlaces Dedicados: ATM

- ATM: Asynchronous Transfer Mode
- Especialmente diseñado para la transmitir múltiples tipos de servicios
- Multiplexación y conmutación de celdas de tamaño fijo (53 byte)
- Red formada por switches ATM y equipos ATM de borde
- Creación de un enlace: Virtual Path (VP) y Virtual Channel (VC).
- VP = Múltiples VC

Router
Estación de Trabajo ATM ATM
Switch Switch

ATM
Switch

Servidor de Video ATM DTE

Switch

Switch LAN
 Redes WAN

Enlaces Dedicados: MPLS

MPLS es un estándar IP de conmutación de paquetes del IETF, que trata de

proporcionar algunas de las características de las redes orientadas a conexión a las
redes no orientadas a conexión. En el encaminamiento IP sin conexión tradicional, la
dirección de destino junto a otros parámetros de la cabecera, es examinada cada vez
que el paquete atraviesa un router. La ruta del paquete se adapta en función del estado
de las tablas de encaminamiento de cada nodo, pero, como la ruta no puede
predecirse, es difícil reservar recursos que garanticen la QoS; además, las búsquedas
en tablas de encaminamiento hacen que cada nodo pierda cierto tiempo, que se
incrementa en función de la longitud de la tabla.

40
 Redes WAN

BENEFICIOS DEL MPLS

La migración a IP está provocando profundos cambios en el sector de las

telecomunicaciones y configura uno de los retos más importantes para los ISP,
inmersos actualmente en un proceso de transformación de sus infraestructuras de cara
a incorporar los beneficios de esta tecnología. MPLS nació con el fin de incorporar la
velocidad de conmutación del nivel 2 al nivel 3; a través de la conmutación por
etiqueta; pero actualmente esta ventaja no es percibida como el principal beneficio, ya
que los Routers Gigabit son capaces de realizar búsquedas de rutas en las tablas IP a
suficiente velocidad como para soportar todo tipo de interfaces. Los beneficios que
MPLS proporciona a las redes IP son:
- Cursar tráfico con diferentes calidades de clases de servicio o CoS (Class of
Service) o grados de calidad de servicio o QoS (Quality of Service)

- Crear redes privadas virtuales o VPN (Virtual Private Networks) basadas en IP.

41
 Redes WAN

Enlaces Dedicados: MPLS

MPLS es un estándar IP de conmutación de paquetes del IETF, que trata de

proporcionar algunas de las características de las redes orientadas a conexión a las
redes no orientadas a conexión. En el encaminamiento IP sin conexión tradicional, la
dirección de destino junto a otros parámetros de la cabecera, es examinada cada vez
que el paquete atraviesa un router. La ruta del paquete se adapta en función del estado
de las tablas de encaminamiento de cada nodo, pero, como la ruta no puede
predecirse, es difícil reservar recursos que garanticen la QoS; además, las búsquedas
en tablas de encaminamiento hacen que cada nodo pierda cierto tiempo, que se
incrementa en función de la longitud de la tabla.

42
 Redes WAN

Enlaces Conmutados: Análogos

- Hasta 56 Kbps de transmisión
- Emplea la red pública telefónica (PSTN)
- En lado central se usa los sistemas RAS y en el usuario un modem
Enlace Análogo Enlace Digital Enlace Análogo
Conversión
A/D Conversión Conversión
Conversión D/A A/D
D/A

PSTN < 33.6 Kbps

< 33.6 Kbps
Enlace Análogo - Análogo
Modem
Central Central Receptor de
Generador de Telefónica Telefónica La llamada
La llamada

Conversión
Conversión A/D
D/A

< 56 Kbps
PSTN PRI
Enlace Análogo - Digital
Modem
Central Central Receptor de
Generador de Telefónica Telefónica La llamada
La llamada

Enlace Análogo Enlace Digital

 1. Redes WAN
Enlaces Conmutados: Digitales
- Nombre común: ISDN o RDSI
- Hasta 128 Kbps de transmisión
- Permite transmisión de voz y datos simultáneamente sobre canales B de 64 Kbps
- Un tercer canal (D) se emplea para señalización
- Servicios: BRI (2 canales B + D) y PRI (según ITU-T, 30 canales B + 2 D)

PSTN PRI
128 Kbps

NT-1
Central Central Receptor de
Generador de Telefónica Telefónica La llamada
La llamada

Enlace Digital
 Acceso Internet
Medios de accesos
Workstation PC
Satélite
E-1
Módem
Analógico
Mini T-3 Kiosco

RDSI
2

ATM INTERNET
Cable
Frame módem
Servidores Relay
xDSL Handheld
ISDN

Ethernet

SERVIDORES CLIENTES
 Acceso Internet

Introducción

Direcciones IP

Formadas por 4 grupos de 8 octetos

(ejemplo: 159.27.122.3)
Asignadas por la IANA (Internet Assigner Number
Authority) que apartir del 2003 pasa a ser ICANN
(Corporación de Internet para la Asignación
Nombres y números en:

-El RIPE NCC (Résaux IP Européens Network

Coordination Centre).

-El LACNIC (Latino américa Centro américa

Network Information Centre).

- El ARIN (American Registry for Internet

Numbers).
 Acceso Internet
Introducción

DNS (Domain Name System) Sistema de

Nombres de Dominio:

Es la forma de designar servidores en

Internet, a través de una enorme base de
datos de correspondencias con IP´s.

Existen servidores DNS con tablas de

correspondencias entre nombres y direcciones
IP, que son gestionados por los NIC (Network
Information Center) de cada país.

rDNS
 Acceso Internet

rDNS (Reverse Domain Name System)

 Muchos servidores de correo electrónico en Internet,

están configurados para rechazar los correos
electrónicos entrantes desde cualquier dirección IP que
no tenga DNS inversa.

 Por tanto si usted utiliza su propio servidor de correo,

cómo en el caso de toda nuestra gama de alojamiento
dedicado, debe existir la DNS inversa, para la dirección
IP desde la que el correo saliente se envía.

 No importa hacia donde apunta su dirección IP el

registro DNS inverso, siempre y cuando el dominio
esté alojado en ese servidor. Si aloja varios dominios
en un servidor de correo electrónico, simplemente
debe configurar la rDNS para cualquier nombre de
dominio que usted considerare como primario.

48
 Acceso Internet
Introducción

Direcciones URL (Universal Resource Locators)

Definen:
Nombre del recurso (nombre de archivo).
Nodo de Internet en que se encuentra.
Protocolo de acceso al recurso.

Ejemplos:
http://www.ie.edu/ie_ingles/index.htm
Protocolo HTTP
Dirección: www.ie.edu Nodo con IP 195.53.226.130
Archivo index.htm

ftp://ftp.consulta.pe/LEEME
Protocolo FTP
Dirección tfp.consulta.pe
Archivo LEEME
Funciones de LACNIC

50
Estructura de Acceso a Internet | NAP PERU

Metodología de Acceso a Internet Local

NAP PERÚ (Network Access Point)

Punto de interconexión neutral de acceso a internet y servicios de Peering

Para trafico local.

www.nap.pe

Explicaciones , en pizarra y con diapositivas de como funciona el NAP

PERÚ, los sevicios de Peering , integrantes , anchos de banda repartidos
para los integrantes .
 Bibliografía Digital

ICANN contract for IANA, March 2003

•ISI/ICANN transition agreement

IANA website

52
 Bibliografía Digital

Telefonica del Perú | NAPeru - NAP Peru

www.nap.pe/?page_id=356

NAP Peru

www.nap.pe/

53