PRINCIPIOS FIREWALL, STATEFULL, STATELESS

Un firewall es un dispositivo de seguridad, veamos exactamente lo que hace y

en que se basa su funcionamiento.
Un firewall es un dispositivo que funciona como cortafuegos entre redes, permitiendo o
denegando las transmisiones de una red a la otra. Un uso típico es situarlo entre una
red local y la red Internet, como dispositivo de seguridad para evitar que los intrusos
puedan acceder a información confidencial.

Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan
de una red a la otra y en función de lo que sean permite o deniega su paso. Para
permitir o denegar una comunicación el firewall examina el tipo de servicio al que
corresponde, como pueden ser el web, el correo o el IRC. Dependiendo del servicio el
firewall decide si lo permite o no. Además, el firewall examina si la comunicación es
entrante o saliente y dependiendo de su dirección puede permitirla o no.

De este modo un firewall puede permitir desde una red local hacia Internet servicios de
web, correo y ftp, pero no a IRC que puede ser innecesario para nuestro trabajo.
También podemos configurar los accesos que se hagan desde Internet hacia la red
local y podemos denegarlos todos o permitir algunos servicios como el de la web, (si
es que poseemos un servidor web y queremos que accesible desde Internet).
Dependiendo del firewall que tengamos también podremos permitir algunos accesos a
la red local desde Internet si el usuario se ha autentificado como usuario de la red
local.

Un firewall puede ser un dispositivo software o hardware, es decir, un aparatito que se

conecta entre la red y el cable de la conexión a Internet, o bien un programa que se
instala en la máquina que tiene el modem que conecta con Internet. Incluso podemos
encontrar ordenadores computadores muy potentes y con softwares específicos que lo
único que hacen es monitorizar las comunicaciones entre redes.

TCP/UDP

El protocolo UDP

UDP es un protocolo no orientado a conexión. Es decir cuando una maquina A envía

paquetes a una maquina B, el flujo es unidireccional. La transferencia de datos es
realizada sin haber realizado previamente una conexión con la maquina de destino
(maquina B), y el destinatario recibirá los datos sin enviar una confirmación al emisor
(la maquina A). Esto es debido a que la encapsulación de datos enviada por el
protocolo UDP no permite transmitir la información relacionada al emisor. Por ello el
destinatario no conocerá al emisor de los datos excepto su IP.

El protocolo TCP

Contrariamente a UDP, el protocolo TCP está orientado a conexión. Cuando una

máquina A envía datos a una máquina B, la máquina B es informada de la llegada de
datos, y confirma su buena recepción. Aquí interviene el control CRC de datos que se
basa en una ecuación matemática que permite verificar la integridad de los datos
transmitidos. De este modo, si los datos recibidos son corruptos, el protocolo TCP
permite que los destinatarios soliciten al emisor que vuelvan a enviar los datos
corruptos.
3WAY HANDSHAKE

Protocolo de acuerdo a 3 vías

El mecanismo es el siguiente

0. El host receptor, que en el caso de más común será un servidor, espera

pasivamente una conexión ejecutando las primitvas LISTEN y ACCEPT.

1. En primer lugar, el host que deséa iniciar la conexión ejecuta una primitiva
CONNECT especificando la dirección IP y el puerto con el que se deséa conectar, el
tamaño máximo del segmento que está dispuesto a aceptar y opcionelmente otros
datos, como alguna contraseña de usuario. Entonces la primitiva CONNCET hace una
apertura activa, enviando al otro host un paquete que tiene el bit SYN (ver formato de
un segmento TCP más abajo) activado, indicándole también el número de secuencia
inicial "x" que usará para enviar sus mensajes.

2. El host receptor recibe el segmento revisa si hay algún proceso activo que haya
ejecutado un LISTEN en el puerto solicitado, es decir, preparado para recibir datos por
ese puerto. Si lo hay, el proceso a la escucha recibe el segmento TCP entrante,
registra el número de secuencia "x" y, si deséa abrir la conexión, responde con un
acuse de recibo "x + 1" con el bit SYN activado e incluye su propio número de
secuencia inicial "y", dejando entonces abierta la conexión por su extremo. El número
de acuse de recibo "x + 1" significa que el host ha recibido todos los octetos hasta e
incluyendo "x", y espera "x + 1" a continuación. Si no deséa establecer la conexión,
envía un contestación con el bit RST activado, para que el host en el otro extremo lo
sepa.

3. El primer host recibe el segmento y envía su confirmación, momento a partir del cual
puede enviar datos al otro extremo, abriendo entonces la conexión por su extremo.

4. La máquina receptora recibe la confirmación y entiende que el otro extremo ha

abierto ya su conexión, por lo que a partir de ese momento también puede ella enviar
datos. Con ésto, la conexión ha quedado abierta en ambos sentidos

RUTEO LINK STATE

A los protocolos de enrutamiento de link-state (como OSPF) también se les conoce

como protocolos de shortest path first y se desarrollan en torno al algoritmo
shortest path first (SPF) de Edsger Dijkstra.

Los protocolos de estado de enlace son protocolos de enrutamiento de gateway

interior, se utilizan dentro de un mismo AS (sistema autónomo) el cual puede dividirse
en sectores más pequeños como divisiones lógicas llamadas Áreas.
PAQUETES ESTADO-ENLACE:

La información acerca del estado de dichos enlaces se conoce como link-states. esta
información incluye:
La dirección IP de la interfaz y la máscara de subred.
El tipo de red, como Ethernet (broadcast) o enlace serial punto a punto.
El costo de dicho enlace.
Cualquier router vecino en dicho enlace.

CARACTERÍSTICAS LINK-STATE

Mediante los paquetes de saludo, los routers conocerán a sus vecinos. Posteriormente
enviarán paquetes LSP Con información sobre el estado enlace de las redes
conectadas directamente ;Los vecinos son bombardeados con estos paquetes LSP y
los almacenan en una base de datos .

Gracias a esta base de datos de paquetes LSP ,los routers crean el mapa topológico
completo y así pueden calcular la mejor ruta para cada red de destino .

Los protocolos de enrutamiento de link-state normalmente requieren más memoria,

más procesamiento de CPU y, en ocasiones, un mayor ancho de banda que los
protocolos de enrutamiento vector distancia.

UNCIONAMIENTO LINK-STATE
1. Cada router obtiene información sobre sus propios enlaces, sus propias redes
conectadas directamente.
2. Cada router es responsable de reunirse con sus vecinos en redes conectadas
directamente. (Paquetes de saludo)
3. Cada router crea un Paquete de link-state (LSP) que incluye el estado de cada
enlace directamente conectado. ( ID de vecino, el tipo de enlace y el ancho de banda).
4. Cada router satura con el LSP a todos los vecinos, que luego almacenan todos los
LSP recibidos en una base de datos. Los vecinos luego saturan con los LSP a sus
vecinos hasta que todos los routers del área hayan recibido los LSP. Cada router
almacena una copia de cada LSP recibido por parte de sus vecinos en una base de
datos local.
(Después de la inundación LSP Inicial generalmente requieren menos ancho de banda
para comunicar cambios en una topología) .
5. Cada router utiliza la base de datos para construir un mapa completo de la topología
y calcula el mejor camino hacia cada red de destino. El algoritmo SPF se utiliza para
construir el mapa de la topología y determinar el mejor camino hacia cada red
Otros detalles de su comportamiento y respuestas de exámen Cisco CCNA2:
– Mandan paquetes de estado-enlace cuando un enlace se activa o se desactiva. –
Cada router determina de manera independiente la ruta a cada red. – IS-IS y OSPF
utilizan el algoritmo Dijkastra. Este algoritmo acumula costos a lo largo de cada ruta,
desde el origen hasta el destino.
– Al recibir un LSP de un router vecino, un router de estado de enlace inmediatamente
saturará el LSP a los vecinos.
– La base de datos de estado de enlace en los routers de enlace de datos dentro de
un área ,debe ser idéntica para construir un árbol SPF preciso.
– Eventos que hacen que el router de estado de enlace envíe el LSP a todos los
vecinos :
 Cada vez que la topología de red cambia.
 En la puesta en marcha inicial del router o del protocolo de enrutamiento .

– El último paso en el proceso de enrutamiento de estado de enlace es:

SPFcalcula la mejor ruta a cada red destino
– Afirmaciones que describen correctamente el proceso de enrutamiento de link state:
 Todos los Routers en el área tienen bases de datos de link-state
 Cada router en el área inunda los LSP hacia todos los vecinos
– ¿Qué función proporcionan los protocolos de estado de enlace modernos para
minimizar el procesamiento y los requisitos de memoria ?
 Dividir topologías de enrutamiento en áreas más pequeñas
– Para alcanzar la convergencia de red cuáles son los tres pasos que realiza cada
router de link-state? :
 Construir un paquete de Link.State (LSP) que contiene el estado de cada
enlace directamente conectado .
 Inundar el LSP a todos los vecinos, los cuales luego almacenan todos los LSP
recibidos en una base de datos .
 Construir un mapa completo de la topología y calcular el mejor camino hacia
cada red destino .
– Lo que agiliza la convergencia en una red que usa el Enrutamiento de estado de
enlace es:
 Las actualizaciones se desencadenan cuando se producen cambios en la red

– ¿Por qué es difícil que se produzcan routing loops en redes que usan enrutamiento
de estado de enlace?

 Cada router desarrolla una visión completa y sincronizada de la red

VECTOR DISTANCIA

Vector Distancia: Su métrica se basa en lo que se le llama en redes “Numero de

Saltos”, es decir la cantidad de routers por los que tiene que pasar el paquete para
llegar a la red destino, la ruta que tenga el menor numero de saltos es la mas optima y
la que se publicará.

lgunos protocolos de enrutamiento dinámicos son:

- RIP : Protocolo de enrutamiento de gateway Interior por vector distancia.

- IGRP: Protocolo de enrutamiento de gateway Interior por vector distancia, del cual es
propietario CISCO.
- EIGRP: Protocolo de enrutamiento de gateway Interior por vector distancia, es una
versión mejorada de IGRP.
- OSPF: Protocolo de enrutamiento de gateway Interior por estado de enlace.
- BGP: Protocolo de enrutamiento de gateway exterior por vector ditancia.

RIP

RIP (Routing information protocolo, protocolo de información de

encaminamiento)

RIP es un protocolo de encaminamiento interno, es decir para la parte interna de la

red, la que no está conectada al backbone de Internet. Es muy usado en sistemas de
conexión a internet como infovia, en el que muchos usuarios se conectan a una red y
pueden acceder por lugares distintos.

Cuando un usuarios se conecta el servidor de terminales (equipo en el que finaliza la

llamada) avisa con un mensaje RIP al router más cercano advirtiendo de la dirección
IP que ahora le pertenece.

Así podemos ver que RIP es un protocolo usado por distintos routers para intercambiar
información y así conocer por donde deberían enrutar un paquete para hacer que éste
llegue a su destino.

OSPF (Open shortest path first, El camino más corto primero)

OSPF se usa, como RIP, en la parte interna de las redes, su forma de funcionar es
bastante sencilla. Cada router conoce los routers cercanos y las direcciones que
posee cada router de los cercanos. Además de esto cada router sabe a que distancia
(medida en routers) está cada router. Así cuando tiene que enviar un paquete lo envía
por la ruta por la que tenga que dar menos saltos.

Así por ejemplo un router que tenga tres conexiones a red, una a una red local en la
que hay puesto de trabajo, otra (A) una red rápida frame relay de 48Mbps y una línea
(B) RDSI de 64Kbps. Desde la red local va un paquete a W que esta por A a tres saltos
y por B a dos saltos. El paquete iría por B sin tener en cuenta la saturación de la linea
o el ancho de banda de la linea.

La O de OSPF viene de abierto, en este caso significa que los algoritmos que usa son
de disposición pública.
 BGP es un protocolo muy complejo que se usa en la interconexión de redes
conectadas por un backbone de internet. Este protocolo usa parámetros como ancho
de banda, precio de la conexión, saturación de la red, denegación de paso de
paquetes, etc. para enviar un paquete por una ruta o por otra. Un router BGP da a
conocer sus direcciones IP a los routers BGP y esta información se difunde por los
routers BGP cercanos y no tan cercanos. BGP tiene su propios mensajes entre
routers, no utiliza RIP.

BGP es usado por grandes proveedores de conectividad a internet. Por ejemplo una
empresa (A) tiene alquilada una línea a telefónica-data. La empresa A no hace BGP y
posiblemente los routers más cercanos no utilizarán BGP pero si los que interconecten
Telefónica-Data con Hispanix (punto neutro de interconexión en España).

IPsec

IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos cuya

función es asegurar las comunicaciones sobre el Protocolo de Internet (IP)
autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec también incluye
protocolos para el establecimiento de claves de cifrado.

Los protocolos de IPsec actúan en la capa de red, la capa 3 del modelo OSI.Otros
protocolos de seguridad para Internet de uso extendido, como SSL, TLS y SSH operan
de la capa de transporte (capas OSI 4 a 7) hacia arriba. Esto hace que IPsec sea más
flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo
TCP y UDP, los protocolos de capa de transporte más usados. IPsec tiene una ventaja
sobre SSL y otros métodos que operan en capas superiores. Para que una aplicación
pueda usar IPsec no hay que hacer ningún cambio, mientras que para usar SSL y
otros protocolos de niveles superiores, las aplicaciones tienen que modificar su código.

IPsec está implementado por un conjunto de protocolos criptográficos para (1)

asegurar el flujo de paquetes, (2) garantizar la autenticación mutua y (3) establecer
parámetros criptográficos.

La arquitectura de seguridad IP utiliza el concepto de asociación de seguridad (SA)

como base para construir funciones de seguridad en IP. Una asociación de seguridad
es simplemente el paquete de algoritmos y parámetros (tales como las claves) que se
está usando para cifrar y autenticar un flujo particular en una dirección. Por lo tanto, en
el tráfico normal bidireccional, los flujos son asegurados por un par de asociaciones de
seguridad. La decisión final de los algoritmos de cifrado y autenticación (de una lista
definida) le corresponde al administrador de IPsec.

Para decidir qué protección se va a proporcionar a un paquete saliente, IPsec utiliza el

índice de parámetro de seguridad (SPI), un índice a la base de datos de asociaciones
de seguridad (SADB), junto con la dirección de destino de la cabecera del paquete,
que juntos identifican de forma única una asociación de seguridad para dicho paquete.
Para un paquete entrante se realiza un procedimiento similar; en este caso IPsec coge
las claves de verificación y descifrado de la base de datos de asociaciones de
seguridad.

En el caso de multicast, se proporciona una asociación de seguridad al grupo, y se

duplica para todos los receptores autorizados del grupo. Puede haber más de una
asociación de seguridad para un grupo, utilizando diferentes SPIs, y por ello
permitiendo múltiples niveles y conjuntos de seguridad dentro de un grupo. De hecho,
cada remitente puede tener múltiples asociaciones de seguridad, permitiendo
autenticación, ya que un receptor sólo puede saber que alguien que conoce las claves
ha enviado los datos. Hay que observar que el estándar pertinente no describe cómo
se elige y duplica la asociación a través del grupo; se asume que un interesado
responsable habrá hecho la elección.

Modos de funcionamiento

Modo transporte

En modo transporte, sólo la carga útil (los datos que se transfieren) del paquete IP es
cifrada y/o autenticada. El enrutamiento permanece intacto, ya que no se modifica ni
se cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera de autenticación
(AH), las direcciones IP no pueden ser traducidas, ya que eso invalidaría el hash. Las
capas de transporte y aplicación están siempre aseguradas por un hash, de forma que
no pueden ser modificadas de ninguna manera (por ejemplo traduciendo los números
de puerto TCP y UDP). El modo transporte se utiliza para comunicaciones ordenador a
ordenador.

Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definido por
RFCs que describen el mecanismo de NAT-T

El propósito de este modo es establecer una comunicación segura punto a punto,

entre dos hosts y sobre un canal inseguro. Este ejemplo ilustra esto:

Modo tunel

En el modo túnel, todo el paquete IP (datos más cabeceras del mensaje) es cifrado y/o
autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que
funcione el enrutamiento. El modo túnel se utiliza para comunicaciones red a red
(túneles seguros entre routers, p.e. para VPNs) o comunicaciones ordenador a red u
ordenador a ordenador sobre Internet. El propósito de este modo es establecer una
comunicación segura entre dos redes remotas sobre un canal inseguro. Este ejemplo
ilustra esto:

Cabeceras

Cabecera IP

La cabecera del paquete IP es la siguiente:

Donde:

 ver Es la versión del protocolo IP. IPsec se monta sobre IPv4.

 hlen Longitud de la cabecera, en palabras de 32 bits. Su valor mínimo es de 5
para una cabecera correcta, y el máximo de 15. El tamaño de la cabecera
nunca incluye el tamaño del payload o de la cabecera siguiente.
 TOS Indica una serie de parámetros sobre la calidad de servicio deseada
durante el tránsito por una red. Algunas redes ofrecen prioridades de servicios,
considerando determinado tipo de paquetes “más importantes” que otros (en
particular estas redes solo admiten los paquetes con prioridad alta en
momentos de sobrecarga).
 pkt len Es el tamaño total, en octetos, del datagrama, incluyendo el tamaño de
la cabecera y el de los datos. El tamaño máximo de los datagramas usados
 normalmente es de 576 octetos (64 de cabeceras y 512 de datos). Una
máquina no debería envíar datagramas mayores a no ser que tenga la certeza
de que van a ser aceptados por la máquina destino.

En caso de fragmentación este campo contendrá el tamaño del fragmento, no el del

datagrama original.

 ID Indica el identificador del fragmento actual en caso de que el paquete

estuviera fragmentado
 fgls Actualmente utilizado sólo para especificar valores relativos a la
fragmentación de paquetes:

bit 0: Reservado; debe ser 0

bit 1: 0 = Divisible, 1 = No Divisible (DF)
bit 2: 0 = Último Fragmento, 1 = Fragmento Intermedio (le siguen más fragmentos)
(MF)

La indicación de que un paquete es indivisible debe ser tenida en cuenta bajo

cualquier circunstancia. Si el paquete necesitara ser fragmentado, no se enviará.

 frag offset En paquetes fragmentados indica la posición, en unidades de 64

bits, que ocupa el paquete actual dentro del datagrama original. El primer
paquete de una serie de fragmentos contendrá en este campo el valor 0.
 TTL Indica el máximo número de enrutadores que un paquete puede atravesar.
Cada vez que algún nodo procesa este paquete disminuye su valor en uno por
cada router que pase. Cuando llegue a ser 0, el paquete no será reenviado.
 proto Indica el protocolo de siguiente nivel utilizado en la parte de datos del
datagrama. Los más utilizados son:

Codigo Descripción
1 ICMP — Internet Control Message Protocol
2 IGMP — Internet Group Management Protocol
4 IP en IP (una encapsulación IP)
6 TCP — Transmission Control Protocol
17 UDP — User Datagram Protocol
41 IPv6 — next-generation TCP/IP
47 GRE — Generic Router Encapsulation (usado por PPTP)
50 IPsec: ESP — Encapsulating Security Payload
51 IPsec: AH — Authentication Header

Otros códigos se encuentran en la web de IANA

Cabecera IPsec AH (authentication only)

AH está dirigido a garantizar integridad sin conexión y autenticación de los datos de

origen de los datagramas IP. Para ello, calcula un Hash Message Authentication Code
(HMAC) a través de algún algoritmo hash operando sobre una clave secreta, el
contenido del paquete IP y las partes inmutables del datagrama. Este proceso
restringe la posibilidad de emplear NAT, que puede ser implementada con NAT
transversal. Por otro lado, AH puede proteger opcionalmente contra ataques de
repetición utilizando la técnica de ventana deslizante y descartando paquetes viejos.
AH protege la carga útil IP y todos los campos de la cabecera de un datagrama IP
excepto los campos mutantes, es decir, aquellos que pueden ser alterados en el
tránsito. En IPv4, los campos de la cabecera IP mutantes (y por lo tanto no
autenticados) incluyen TOS, Flags, Offset de fragmentos, TTL y suma de verificación
de la cabecera. AH opera directamente por encima de IP, utilizando el protocolo IP
número 51. Un cabecera AH mide 32 bits, he aquí un diagrama de cómo se organizan:

* next hdr Identifica cuál es el siguiente protocolo, es decir, cual es el protocolo

que será autentificado, cuál es el payload.

 AH len El tamaño del paquete AH.

 RESERVED Reservado para futuras aplicaciones. Debe estar a 0
 Security parameters index (SPI) Indica los parametros de seguridad, que en
combinación con los parámetros IP, identifican la asociación de seguridad del
paquete
 Sequence Number Es un número creciente usado para prevenir ataques por
repetición. El número está incluido en los datos encriptados, así que cualquier
alteración será detectada
 Authentication Data Contiene el valor de identificación de integridad. Puede
contener relleno.Se calcula sobre el paquete entero, incluidas la mayoría de las
cabeceras. El que recibe calcula otra vez el hash, y si este no coincide, el
paquete se tira.

AH en Modo Transporte

La manera más fácil de entender el modo transporte es que protege el

intercambio de información entre dos usuarios finales. La protección puede ser
autentificación o encriptación (o las dos), pero no se hace usando un tunel (para eso
está el modo túnel). No es una vpn, es una simple conexión segura entre dos usuarios
finales.

En AH en Modo Transporte, el paquete IP es modificado ligeramente para incluir una

nueva cabecera AH entre la cabecera IP y la información transmitida (TCP, UDP, etc) y
después se requiere un proceso “de arrastre” que interconecta las distintas cabeceras
entre ellas.

Este proceso “de arrastre” se necesita para que el paquete original IP sea
reconstituido cuando llegue a su destino; cuando las cabeceras IPsec han sido
validadas en el receptor, se despojan las cabeceras IPsec y la carga a transmitir (TCP,
UDP, etc) es guardada nuevamente en la cabecera IP.

Cuando el paquete llega a su siguiente destino y pasa el test de autenticidad, la

cabecera AH es quitada y el campo proto=AH es reemplazado con el siguiente
protocolo de la carga transmitida (TCP, UDP, etc). Esto pone al datagrama es
su estado original, y puede ser enviado al proceso original.

AH en Modo Túnel

El modo túnel es el más común para dar una funcionalidad de VPN, donde un paquete
IP es encapsulado dentro de otro y enviado a su destino.
Igual que en el modo transporte, el paquete es “sellado” con un ICV para autentificar al
que envia la información para prevenir modificaciones durante el tránsito. Pero a
diferencia del modo de transporte, el modo túnel encapsula todo el paquete IP, no sólo
la carga util (TCP, UDP ,etc). Esto hace que el destinatario del paquete sea uno
diferente al destinatario original. Esto ayuda a la formación de un túnel.

Cuando un paquete en modo túnel llega a su destino, pasa el mismo proceso de

autentificación igual que cualquier paquete AH-IPsec. Este proceso hace que se
despoje de sus cabeceras IP y AH, luego nos queda el datagrama original, que es
enrutado mediante un proceso normal.

La mayoria de las implementaciones tratan el final del túnel como una interfaz de red
virtual -exactamente igual que una Ethernet o localhost - y el tráfico entrante y saliente
de él está sujeto a todas las decisiones normales de enrutamiento.

El paquete reconstituido puede ser entregado a la máquina local o enrutado donde sea
(dependiendo de la dirección IP encontrada en el paquete encapsulado), pero de
ninguna manera vuelve a estar sujeto a las protección de IPsec. Esta finaliza al final
del túnel. A partir de allí es tratado como un datagrama IP normal.

Tal como el modo de transporte es usado estrictamente para asegurar conexiones de

extremo a extremo entre dos ordenadores, el modo túnel es usado normalmente entre
pasarelas (routers, firewalls o dispositivos VPN) para proveer una Red Privada Virtual
(VPN)

¿Transporte o Túnel?

Curiosamente, no hay un campo explícito “Modo” en IPsec que distinga entre el modo
de transporte y el modo túnel. Lo que los distingue es el campo *siguiente cabecera
(next head)* en la cabecera AH.

Cuando el valor de “siguiente cabecera” es IP, significa que este paquete encapsula un
datagrama IP entero (incluyendo los campos de destino y origen IP que nos permiten
saber donde va el paquete que va encapsulado después de la desencapsulación. Así
se comporta el modo túnel.

Otro valor cualquiera (TCP, UDP, ICMP, etc) significa que estamos usando el modo
transporte y se trata de una conexión segura extremo a extremo.

El nivel superior de un datagrama IP es estructurado de la misma manera, sin tener en

cuenta el modo, y los routers inmediatos tratan todo tipo de tráfico IPsec/AH de la
misma manera que el tráfico normal, sin una inspección más profunda.

Hay que darse cuenta que un host - en contraposición a una pasarela - es necesario
que soporte los dos modos, de transporte y túnel, pero en una conexión host-to-host
parece superfluo usar el modo túnel.

Además, una pasarela (router, firewall, etc.) tiene que tener soporte únicamente para
modo túnel, sin embargo tener soporte para el modo transporte es útil sólo cuando la
pasarela se considera como destino ella misma, como en caso de funciones de
administración de red.
Algoritmos de autentificación

AH lleva un campo (Integrity Check Value) para comprobar la integridad del paquete y
que nadie lo ha manipulado durante el trayecto. El valor de ese campo está dado por
algoritmos de encriptación tales como MD5 o SHA-1.

Más que usar un checksum convencional, el cual podría no proveer una securidad real
contra una manipulación intencional, este usa una Hashed Message Authentication
Code (HMAC), que incorpora una clave secreta mienstras se crea el hash. Aunque un
atacante puede recalcular un hash fácilmente, sin la clave secreta no sería capaz de
crear el ICV apropiado.

Huelga decir que IPsec no define ni obliga como debe hacerse la autentificación,
simplemente ofrece un marco de seguridad en la que los dos hosts que realizan la
comunicación se ponen de acuerdo sobre que sistema usar. Pueden usarse firmas
digitales o funciones de encriptación, pero es obligatorio que ambos los conozcan y
sepan como usarlos

NAT y AH

AH da una protección muy fuerte a los paquetes porque cubre todas las partes
que se consideran inmutables. Pero esta protección tiene un coste: AH es
incompatible con NAT (Network Address Translation).

NAT se usa para trazar un rango de direcciones privadas (192.168.1.X) de una

conjunto (normalmente más pequeño) de direcciones públicas, para reducir la
demanda de direcciones IP públicas. En este proceso, la cabecera IP se modifica “al
vuelo” por el dispositivo NAT para cambiar las direcciones IP de origen y destino.

Cuando es cambiada la dirección de origen de la cabecera IP, se fuerza a recalcular el

checksum de la cabecera. Esto se tiene que hacer a parte, porque el dispositivo NAT
es como un “agujero” en el camino del origen al destino, y esta situación requiere
decrementar el campo TTL(Time to Live).

Dado que el campo TTL y el checksum de la cabecera siempre son modificados “al
vuelo”, AH sabe que tiene que excluirlos de su protección, pero no tiene que excluir a
las direcciones IP. Estas están incluidas en el constrol de integridad, y cualquier
cambio en las direcciones ip de origen y destino va a hacer que el control de integridad
falle cuando llegue al destinatario. Dado que el valor del control de integridad contiene
una llave secreta que sólo la saben el host origen y el host destino, el dispositivo
NAT no puede recalcular el ICV.

Las mismas se aplican también al PAT(Port Address Translation), el cual traza

múltiples direcciones IP en una en una sola dirección IP externa. No solo se modifican
las direcciones IP “al vuelo”, sino además los números de los puertos UDP y TCP (a
veces hasta la carga úlil que se transfiere. Esto requiere una sistema más sofisticado
por parte del dispositivo NAT, y unas modificaciones más extensas en todo el
datagrama IP.

Por esta razón,AH - en el modo Túnel o Transporte - es totalmente incompatible con

NAT y sólo se puede emplear AH cuando las redes de origen y destino son
alcanzables sin traducción.
Hay que decir que esta dificultad no se aplica al ESP, ya que su autentificación y
encriptación no incorpora la cabecera IP modificada por NAT. Aún asi, NAT también
impone algunos desafíos incluso en ESP (explicado más adelante).

NAT traduce las direcciones IP al vuelo, pero también guarda un registro de que
conexiones siguen el camino traducido y así poder enviar las respuestas al origen de
manera correcta. Cuando se usa TCP o UDP, esto se hace mediante los números de
los puertos (que pueden ser reescritos al vuelo o no), pero IPsec no da ninguna
interfaz para hacer esto.

ESP (Encapsulating Security Payload)

Añadir encriptacion hace que ESP sea un poco más complicado, ya que la
encapsulación rodea a la carga útil es algo más que precederla con AH: ESP
incluye cabecera y campos para dar soporte a la encriptacion y a una autentificación
opcional. Además, provee los modos de transporte y túnel, los cuales nos son ya
familiares.

Las RFCs de IPsec no insisten demasiado en un sistema particular de encriptación,

pero normalmente se utiliza DES, triple-DES, AES o Blowfish para asegurar la carga
útil de “ojos indiscretos”. El algoritmo usado para una conexión en particular es
definido por la Security Association (SA), y esta SA incluye no sólo la el algoritmo,
también la llave usada.

A diferencia de AH, que da una pequeña cabecera antes de la carga útil, ESP rodea la
carga útil con su protección. Los parámetros de seguridad Index y Sequence Number
tienen el mismo propósito que en AH, pero nos encontramos como relleno en la cola
del paquete el campo “siguiente campo” y el opcional “Authentication data”.

Es posible usar ESP sin ninguna encriptación (usar el algoritmo NULL), sin embargo
estructura el paquete de la misma forma. No nos da ninguna confidencialidad a los
datos que estamos transmitiendo, y sólo tiene sentido usarlo con una la autentificación
ESP. No tiene sentido usar ESP sin encriptación o autentificación (a no ser que
estemos simplemente probando el protocolo).

El relleno sirve para poder usar algoritmos de encriptación orientados a bloques, dado
que tenemos que crear una carga a encriptar que tenga un tamaño múltiplo de su
tamaño de bloque. El tamaño del relleno viene dado por el campo pad len. El campo
next hdr nos da el tipo (IP, TCP, UDP,etc) de la carga útil, aunque esto sea usado
como un punto para volver hacia atras en el paquete para ver que hay en el AH.

Además de la encriptación, ESP puede proveer autentificación con la misma

HMAC de AH. A diferencia de AH, esta autentifica sólo la cabecera ESP y la
carca útil encriptada, no todo el paquete IP. Sorprendentemente, esto no hace que la
seguridad de la autentificación más débil, pero nos da algunos beneficios importantes.

Cuando un forastero examina un paquete IP que contiene datos ESP, es

prácticamente imposible adivinar que es lo que tiene dentro, excepto por los datos
encontrados en la cabecera IP (siendo interesantes las direcciones IP de origen y
destino). El atacante va a saber casi seguro que son datos ESP (está en la cabecera
que son datos ESP), pero no va a saber de que tipo es la carga útil.
Incluso la presencia de Authentication Data no puede ser determina solamente con
mirar al paquete. Esta resolucion está hecha por la Security Parameters Index, que
hace referencia al conjunto de parámetros precompartidos para esta conexión.

ESP en Modo Transporte

Al igual que en AH, el modo transporte encapsula justamente la carga la carga útil del
datagraya y está diseñado justamente para comunicaciones extremo-a-extremo. La
cabecera IP original se deja (excepto por el campo cambiado Protocol), y esto hace -
además de otras cosas - que las direcciones IP de origen y destino se quedan como
están.

ESP en Modo Túnel

El ESP en modo Túnel encapsula el datagrama IP entero y lo encripta:

Proveer una conexión encriptada en modo túnel es dar una forma muy cercana a
como se crea una VPN, y es lo que se nos viene a la cabeza a la mayoría cuando
pensamos acerca de IPsec. Además de esto, tenemos que añadir autentificación. Esta
parte se trata en la siguiente sección.

A diferencia de AH, donde un forastero puede ver fácilmente que es lo que sse
transmite en modo Túnel o Transporte, usando ESP eso no ocurre; esa información no
está disponible para el forastero. El caso es que en el modo túnel (poniendo next=IP),
el datagrama IP entero original es parte de la carga útil encriptada, y no será visible
para nadie que no pueda desencriptar el paquete.

Construyendo una VPN real

Con la explicación de AH y ESP ahora somos capaces de habilitar la

encriptación y la autentificación para construir una VPN real. El objetivo de la
VPN es juntar dos redes seguras a través de una red insegura, tal como sería tirar
un cable Ethernet muy grande entre las dos redes seguras. Es una tecnología muy
usada para juntar por ejemplo filiales de compañias con la sede central de la
compañia, dando a los usuarios acceso a recursos que no pueden caer en manos
indebidas, tales como documentos secretos.

Claramente, una red VPN segura requiere las dos cosas: autentificación y
encriptación. Sabemos que la única manera de conseguir encriptación es ESP, pero
ESP y AH pueden proveer autentificacióN: ¿cuál de las dos usar?

La solución obvia de envolver ESP dentro de AH es tecnicamente posible, pero en la

práctica no es muy usada por las limitaciones de AH respecto al NAT. Usar AH+ESP
puede hacer que no podamos atravesar el dispositivo NAT.

En cambio, ESP+Auth es usado en modo Túnel para encapsular completamente el

tráfico a traves de una red no segura, protegiendo este trafico con encriptación y
autentificación.

El tráfico protegido de esta manera produce información inútil para un intruso, ya que
los dos hosts que se comunican están conectados a través de una VPN. Esta
información puede ayudar al atacante a entender que los dos hosts se comunican por
un canal seguro, pero nunca revela el contenido del tráfico. Incluso el tipo de tráfico
encapsulado en el protocolo (TCP, UDP o ICMP) está oculto para las personas de
fuera.

Lo particularmente bonito de este modo de operación es que los usuarios finales no

saben nada de la VPN o las medidas de seguridad tomadas. Desde que una VPN está
implementada por una pasarela, este trata la VPN como otra interfaz, y enruta el traico
que va a otra parte como normalmente lo haría.

Este paquete-en-paquete puede ser anidado a más niveles: Host A y Host B pueden
establecer su propia conexión autenticada (via AH) y comunicarse sobre una VPN.
Esto pondría un paquete AH dentro de un paquete con una cobertura ESP+Auth.

Security Association y SPI

Es obvio que si los dos hosts o pasarelas van a establecer una conexión segura, se
requiere algún tipo de clave secreta compartida para llevar a cabo la función de
autentificación o la y/o la clave del algoritmo de encriptación. La cuestión es como
esos “secretos” son establecidos a para poder ser dirigidos desde cualquier sitio, y
para los propósitos de esta guía vamos a suponer que han llegado “mágicamente” a
su lugar.

Cuando un datagrama IPsec - AH o ESP - llega a una una interfaz, ¿cómo sabe la
interfaz que conjunto de parámetros usar (clave, algoritmo y políticas)? Un host puede
tener varias conversaciones simultáneas, cada una con un diferente conjunto de
claves y algoritmos, y tenemos que tener un gobernador que lleve todo este proceso.

Estos parámetros son especificados por la Security Association (SA), una colección de
parametros específicos de conexión, y cada pareja pueden tener uno o más
colecciones de parámetros específicos de conexión. Cuando llega el datagrama son
usadas tres piezas de los datos para localizar dentro de la base de datos o Security
Associations Database (SADB) la SA correcta.

 Dirección IP de la pareja (el usuario con el que nos estamos comunicando)

 Protocolo IPsec (AH o ESP)
 Security Parameter Index

Hay muchas maneras para asociar este triplete a un socket IP, el cual está denotado
de forma única por la dirección IP, protocolo y el número del puerto

Una SA es de sentido único, así que una conexión en los dos sentidos (el caso típico)
requiere al menos dos. Además, cada protocolo (ESP/AH) tiene su propia SA en cada
dirección, por tanto una conexión completa AH+ESP VPN requiere 4 SAs. Todas ellas
están en la Security Associations Database.

En la SADB tenemos una cantidad ingente de información, pero sólo podemos tocar
una parte de esta:

 AH: algoritmo de autenticación

 AH: secreto de autenticación
 ESP: algoritmo de encriptación
 ESP: clave secreta de encriptación
 ESP: autenticación activada si/no
 Algunos parámetros de intercambio de llaves
  Restricciones de enrutamiento
 Política de filtración de IPs

Algunas implementaciones mantienen la SPD (Security Policy Database) con

herramientas de tipo consola, otras con GUIs y otras proveen una interfaz basada en
web sobre la red. El grado de detalle mantenido por cualquier implementación en
particular depende de las facilidades ofrecidas, así como si está en modo Host o modo
Pasarela (Gateway).

Administración de claves secretas

Finalmente, vamos a cubrir brevemente el asunto de la administración de claves. Este

área incluye varios protocolos y muchas opciones,

IPsec sería casi inútil sin las facilidades criptográficas de autenticación y encriptación,
y este hecho requiere que las llaves que se usan sólo las sepan los participantes en la
comunicación y nadie más.

La forma más obvia y sencilla de establecer las directivas de securidad es de forma

manual: un grupo genera ese conjunto de directivas de securidad y las hace llegar a
los otros compañeros. Todas las personas implicadas en la comunicación segura
instalan esas directivas como Security Association en la SPD.

Este proceso no es muy recomendado, ya que no es del todo seguro: el mero hecho
de hacer llegar las directivas de seguridad a otro lado, a su SPD puede exponer esas
directivas a personas ajenas a la comunicación en el tránsito. In instalaciones más
grandes con más dispositivos usando una clave precompartidas, esas claves pueden
transigir un despliegue perjudicial para las nuevas claves.

IKE - Internet Key Exchange - existe para que los puntos terminales del túnel puedan
montar de manera apropiada sus Security Associations, incluyendo las directivas de
seguridad que van a usar. IKE usa el ISAKMP (Internet Security Association Key
Management Protocol) como un framework para dar soporte al establecimiento de una
SA compatible con los dos extremos

Existe un soporte para múltiples protocolos de intercambio de claves, siendo Oakley el

mas usado. Huelga decir que el intercambio de claves de IPSec tiene lugar
normalmente en el puerto 500 de UDP

IKE V1 Y V2

Internet key exchange (IKE) es un protocolo usado para establecer una Asociación
de Seguridad (SA) en el protocolo IPsec. IKE emplea un intercambio secreto de claves
de tipo Diffie-Hellman para establecer el secreto compartido de la sesión. Se suelen
usar sistemas de clave pública o clave pre-compartida.

Supone una alternativa al intercambio manual de claves. Su objetivo es la negociación

de una Asociación de Seguridad para IPSEC. Permite, además, especificar el tiempo
de vida de la sesión IPSEC, autenticación dinámica de otras máquinas, etc.

Fases IKE

La negociación IKE está compuesta por dos fases: fase 1 y fase 2.1
  El objetivo de la primera fase IKE es establecer un canal de comunicación
seguro usando el algoritmo de intercambio de claves Diffie-Hellman para
generar una clave de secreto compartido y así cifrar la comunicación IKE. Esta
negociación establece una única SA ISAKMP Security Association (SA).2
bidireccional. La autenticación puede ser realizada usando tanto una clave
compartida (pre-shared key) (secreto compartido), firmas digitales, o cifrado de
clave pública.3 La fase 1 opera tanto en modo principal como agresivo. El modo
principal protege la identidad de los extremos, mientras que el modo agresivo
no lo hace.1

 En la segunda fase IKE, los extremos usan el canal seguro establecido en la

primera fase para negociar una Asociación de Seguridad (SA) en nombre de
otros servicios como IPsec. La negociación consiste en un mínimo de dos SAs
unidireccionales.4 Phase 2 opera sólo en Quick Mode.1

Problemas de IKE

Originalmente IKE poseía numerosas opciones de configuración, pero carecía de

sencillez general para la negociación automática en los entornos donde se
implementaba de forma universal. De esta forma, ambos extremos debían estar de
acuerdo en implementar exactamente el mismo tipo de asociación de seguridad (SA)
(parámetro a parámetro) o la conexión no se establecería. Se añadía a este problema
la dificultad de interpretar la salida de depuración (debug), en caso de que existiese.

Las especificaciones de IKE estaban abiertas a diferentes interpretaciones, lo que se

interpretaba como fallos en su diseño (Dead-Peer-Detection es un ejemplo),
provocando que diferentes implementaciones de IKE no fueran compatibles entre sí,
haciendo que no fuera posible establecer una asociación de seguridad dependiendo
de las opciones que se eligieran, aunque ambos extremos aparecieran como
correctamente configurados.

Mejoras introducidas con IKEv2

La necesidad de una revisión del protocolo IKE fue incorporada en el apéndice A del
RFC 4306. Los siguientes problemas fueron detallados:

 Menor número de RFCs: Las especificaciones IKE estaban descritas en al

menos tres RFCs, más si incluimos NAT transversal y otras extensiones comunes.
IKEv2 combina todas estas descripciones en un solo RFC, además de incorporar
mejoras al NAT transversal y en general al método de atravesar cortafuegos.
 Soporte estándar en movilidad: Existe una extensión para IKEv2 llamada
MOBIKE, con objeto de soportar la movilidad y el multihoming para IKE y ESP.
Usando esta extensión, IKEv2 y IPsec puede ser usada por usuarios móviles.
 NAT transversal: La encapsulación de IKE y ESP por UDP en el puerto 4500
permite a estos protocolos atravesar cortafuegos que usan NAT5
 Soporte SCTP: IKEv2 permite el uso del protocolo SCTP usado en telefonía IP
VoIP.
 Intercambio simple de mensajes: IKEv2 necesita cuatro mensajes para el
mecanismo de intercambio inicial, mientras que IKE necesitaba de ocho.
 Menor número de mecanismos criptográficos: IKEv2 emplea mecanismos
criptográficos para proteger los paquetes que envía, de forma muy parecida a
los que hace el protocolo ESP para proteger los paquetes IPsec. Esto
repercute en implementaciones y certificaciones más sencillas y para Common
 Criteria and FIPS 140-2, que requieren que cada implementación criptográfica
sea validada de forma independiente.

 Confiabilidad y administración de estado: IKEv2 usa números de secuencia y

acuses de recibo para proporcionar confiabilidad. También provee sistemas de
procesamiento de errores y compartición del estado. Se descubrió que IKE
podría finalizar la conexión debido a la falta de sistemas que intormen sobre el
estado, al estar ambos extremos a la espera de la otra parte para iniciar una
acción que nunca se produciría. Se desarrollaron algunas soluciones como
Dead-Peer-Detection, pero no se llegaron a estandarizar. Esto implica que
diferentes implementaciones de este tipo de soluciones no eran siempre
compatibles entre sí.

 Resistencia al ataque de denegación de servicio (DoS): IKEv2 no realiza

procesamiento hasta que determina si el extremo que realiza la petición
realmente existe. Esto permite evitar el gasto en procesamiento realizado en
cifrado/descifrado que se producía al sufrir un ataque desde IP falsas.

WIRELESS LAN
Una red de área local inalámbrica, también conocida como WLAN (del inglés
wireless local area network), es un sistema de comunicación inalámbrico flexible, muy
utilizado como alternativa a las redes de área local cableadas o como extensión de
éstas. Usan tecnologías de radiofrecuencia que permite mayor movilidad a los
usuarios al minimizar las conexiones cableadas. Estas redes van adquiriendo
importancia en muchos campos, como almacenes o para manufactura, en los que se
transmite la información en tiempo real a una terminal central. También son muy
populares en los night-clubs para compartir el acceso a Internet entre varias
computadoras.

Funcionamiento

Se utilizan ondas de radio para llevar la información de un punto a otro sin necesidad
de un medio físico guiado. Al hablar de ondas de radio nos referimos normalmente a
portadoras de radio, sobre las que va la información, ya que realizan la función de
llevar la energía a un receptor remoto. Los datos a transmitir se superponen a la
portadora de radio y de este modo pueden ser extraídos exactamente en el receptor
final.

A este proceso se le llama modulación de la portadora por la información que está

siendo transmitida. Si las ondas son transmitidas a distintas frecuencias de radio,
varias portadoras pueden existir en igual tiempo y espacio sin interferir entre ellas.
Para extraer los datos el receptor se sitúa en una determinada frecuencia, frecuencia
portadora, ignorando el resto. En una configuración típica de LAN (con cable) los
puntos de acceso (transceiver) conectan la red cableada de un lugar fijo mediante
cableado normalizado. El punto de acceso recibe la información, la almacena y la
transmite entre la WLAN y la LAN cableada. Un único punto de acceso puede soportar
un pequeño grupo de usuarios y puede funcionar en un rango de al menos treinta
metros y hasta varios cientos. El punto de acceso (o la antena conectada al punto de
acceso) es normalmente colocado en alto pero podría colocarse en cualquier lugar en
que se obtenga la cobertura de radio deseada. El usuario final accede a la red WLAN
a través de adaptadores. Estos proporcionan una interfaz entre el sistema de
operación de red del cliente (NOS: Network Operating System) y las ondas, mediante
una antena.
La naturaleza de la conexión sin cable es transparente a la capa del cliente.

Configuraciones de red para radiofrecuencia

Pueden ser de muy diversos tipos y tan simples o complejas como sea necesario. La
más básica se da entre dos ordenadores equipados con tarjetas adaptadoras para
WLAN, de modo que pueden poner en funcionamiento una red independiente siempre
que estén dentro del área que cubre cada uno. Esto es llamado red de igual a igual
(peer to peer). Cada cliente tendría únicamente acceso a los recursos del otro cliente
pero no a un servidor central. Este tipo de redes no requiere administración o
preconfiguración.

Instalando un Punto de Acceso se puede doblar la distancia a la cuál los dispositivos

pueden comunicarse, ya que estos actúan como repetidores. Desde que el punto de
acceso se conecta a la red cableada cualquier cliente tiene acceso a los recursos del
servidor y además gestionan el tráfico de la red entre los terminales más próximos.
Cada punto de acceso puede servir a varias máquinas, según el tipo y el número de
transmisiones que tienen lugar. Los puntos de acceso tienen un alcance finito, del
orden de 150 m en lugares o zonas abiertas. En zonas grandes como por ejemplo un
campus universitario o un edificio es probablemente necesario más de un punto de
acceso. La meta es cubrir el área con células que solapen sus áreas de modo que los
clientes puedan moverse sin cortes entre un grupo de puntos de acceso. Esto es
llamado roaming.

Para resolver problemas particulares de topologías, el diseñador de la red puede elegir

usar un Punto de Extensión (EPs) para aumentar el número de puntos de acceso a la
red, de modo que funcionan como tales pero no están enganchados a la red cableada
como los puntos de acceso. Los puntos de extensión funcionan como su nombre
indica: extienden el alcance de la red retransmitiendo las señales de un cliente a un
punto de acceso o a otro punto de extensión. Los puntos de extensión pueden
encadenarse para pasar mensajes entre un punto de acceso y clientes lejanos de
modo que se construye un puente entre ambos.

Uno de los últimos componentes a considerar en el equipo de una WLAN es la antena

direccional. Por ejemplo: si se quiere una Lan sin cable a otro edificio a 1 km de
distancia. Una solución puede ser instalar una antena en cada edificio con línea de
visión directa. La antena del primer edificio está conectada a la red cableada mediante
un punto de acceso. Igualmente en el segundo edificio se conecta un punto de acceso,
lo cual permite una conexión sin cable en esta aplicación.

Asignación de canales

Los estándares 802.11a y 802.11g utilizan la banda de 2,4 – 2,5 Ghz. En esta banda,
se definieron 11 canales utilizables por equipos WIFI, los cuales pueden configurarse
de acuerdo a necesidades particulares. Sin embargo, los 11 canales no son
completamente independientes (canales contiguos se superponen y se producen
interferencias) y en la práctica sólo se pueden utilizar 3 canales en forma simultánea
(1, 6 y 11). Esto es correcto para USA y muchos países de América Latina, pues en
Europa, el ETSI ha definido 13 canales. En este caso, por ejemplo en España, se
pueden utilizar 4 canales no-adyacentes (1, 5, 9 y 13). Esta asignación de canales
usualmente se hace sólo en el punto de acceso, pues los “clientes” automáticamente
detectan el canal, salvo en los casos en que se forma una red ad hoc o punto a punto
cuando no existe punto de acceso.
Seguridad

Uno de los problemas de este tipo de redes es precisamente la seguridad ya que

cualquier persona con una terminal inalámbrica podría comunicarse con un punto de
acceso privado si no se disponen de las medidas de seguridad adecuadas. Dichas
medidas van encaminadas en dos sentidos: por una parte está el cifrado de los datos
que se transmiten y en otro plano, pero igualmente importante, se considera la
autenticación entre los diversos usuarios de la red. En el caso del cifrado se están
realizando diversas investigaciones ya que los sistemas considerados inicialmente se
han conseguido descifrar. Para la autenticación se ha tomado como base el protocolo
de verificación EAP (Extensible Authentication Protocol), que es bastante flexible y
permite el uso de diferentes algoritmos.

Velocidad

Otro de los problemas que presenta este tipo de redes es que actualmente (a nivel de
red local) no alcanzan la velocidad que obtienen las redes de datos cableadas.

Además, en relación con el apartado de seguridad, el tener que cifrar toda la

información supone que gran parte de la información que se transmite sea de control y
no información útil para los usuarios, por lo que incluso se reduce la velocidad de
transmisión de datos útiles y no se llega a tener un buen acceso.

BALANCEADOR DE CARGA

Un balanceador de carga fundamentalmente es un dispositivo de hardware o

software que se pone al frente de un conjunto de servidores que atienden una
aplicación y, tal como su nombre lo indica, asigna o balancea las solicitudes que llegan
de los clientes a los servidores usando algún algoritmo (desde un simple Round Robin
hasta algoritmos más sofisticados).1

Es un método para distribuir la carga de trabajo en varias computadoras separadas o

agrupadas en un clúster.2

Para que se considere exitoso un balanceador de carga:

 Debe minimizar tiempos de respuesta.

 Mejorar el desempeño del servicio.
 Evitar la saturación.

Formas de implementar el balanceo de carga

 Balanceo de carga basado en DNS. Se hace por medio de registros DNS para
que una URL apunte a más de una dirección IP. Es fácil su implementación.
  Balanceo de carga basado en software. Por medio de los servidores WEB
comparten una dirección IP, la cual resuelve el dominio. Estos servidores
negocian entre ellos cual responderá a la siguiente petición.
 Balanceo de carga dedicado. Cualquier hardware que contenga una aplicación
de balanceo de carga de código libre o comercial.

Métodos de Balanceo de Carga

 De petición
 Basado en sesión
 De métodos

Métodos de Conexiones

 Round-Robin. Las peticiones se entregan uno a uno en los servidores.


 Weighted Round-Robin Las peticiones se entregan dependiendo del peso que
se le de a cada servidor.

 LeastConnection. Las peticiones se hacen dependiendo del número de

conexiones que tenga cada servidor.
 

 Weighted LeastConnection. Las peticiones se entregan dependiendo del peso

y el número de conexiones que se tengan.

Ventajas del Balanceo de Carga

 Se puede ampliar su capacidad fácilmente.

 Es de bajo costo.
 Transparente para el usuario.
 Funcionalidad permanente.
 Evita la saturación de servidores.

Ejemplos de balanceadores

A continuación se presenta una tabla de comparación con diferentes balanceadores de

carga.

Contras Pros Observaciones

 Para  Nativo de Linux
enrutamiento  Soporta varios
directo se tiene algoritmos de
que parchar el distribución
kernel  Failover protection El bug solo se presenta
LVS para el modo de
(con ldirector)
enrutamiento directo
 Parche solo
disponible para  Documentación
versiones 2.4 extensa
 Soporte  Failover protection
Ultra limitado
  No parece
tener
actualizaciones  Soporta varios
para kernel 3.x algoritmos de
Monkey  Fork de LVS distribución

 Custom kernel
 Poca
documentación
 Failover protection
 Poco conocido
 Soporta varios
Pound  Difícil
algoritmos de
encontrar un
distribución
paquete pre
compilado
 Documentación
extensa
 Cuenta con soporte
 Balancea en varias
capas La petición http parece
Zen Load  Soporta varios que la hace directa, si el
Appliance
Balancer algoritmos a nivel sitio no entra directo, no
TCP funciona.
 Fácil configuración

 Interfaz web
 Extensa
documentación
 Failover protection
No es principalmente
Apache
un balanceador  Soporta varios
algoritmos de
distribución
 No es  Failover protection
principalmente  Cuenta con soporte
un balanceador  Soporta balanceo
Pfsense en varias capas
 No es sencillo
configurarlo  Interfaz web
 Interfaz web
 Fácil configuración
 Documentación
extensa
Solo disponible en  Failover protection
Pirhana
redhat
 Soporta varios
algoritmos

IPS

Un sistema de prevención de intrusos (o por sus siglas en inglés IPS) es un

software que ejerce el control de acceso en una red informática para proteger a los
sistemas computacionales de ataques y abusos. La tecnología de prevención de
intrusos es considerada por algunos como una extensión de los sistemas de detección
de intrusos (IDS), pero en realidad es otro tipo de control de acceso, más cercano a
las tecnologías cortafuegos.

Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon para
resolver ambigüedades en la monitorización pasiva de redes de computadoras, al
situar sistemas de detecciones en la vía del tráfico. Los IPS presentan una mejora
importante sobre las tecnologías de cortafuegos tradicionales, al tomar decisiones de
control de acceso basados en los contenidos del tráfico, en lugar de direcciones IP o
puertos. Tiempo después, algunos IPS fueron comercializados por la empresa One
Secure, la cual fue finalmente adquirida por NetScreen Technologies, que a su vez fue
adquirida por Juniper Networks en 2004. Dado que los IPS fueron extensiones literales
de los sistemas IDS, continúan en relación.

También es importante destacar que los IPS pueden actuar al nivel de equipo, para
combatir actividades potencialmente maliciosas.

Funcionamiento

Un Sistema de Prevención de Intrusos o Intrusion Prevention System ("IPS" en sus

siglas en inglés), es un dispositivo de seguridad de red que monitorea el tráfico de red
y/o las actividades de un sistema, en busca de actividad maliciosa. Entre sus
principales funciones, se encuentran no sólo la de identificar la actividad maliciosa,
sino la de intentar detener esta actividad. Siendo ésta última una característica que
distingue a este tipo de dispositivos de los llamados Sistemas de Detección de
Intrusos o Intrusion Detection Systems ("IDS" en sus siglas en inglés).

Entre otras funciones (como en el caso del IDS) se tiene que puede alertar al
administrador ante la detección de intrusiones o actividad maliciosa, mientras que es
exclusivo de un Sistema de Prevención de Intrusos (IPS) establecer políticas de
seguridad para proteger al equipo o a la red de un ataque.

De ahí que se diga que un IPS protege a una red o equipo de manera proactiva
mientras que un IDS lo hace de manera reactiva.

Otras funciones importantes de estos dispositivos de red, son las de grabar

información histórica de esta actividad y generar reportes.

Los IPS se clasifican en cuatro difrentes tipos:

1. Basados en Red Lan (NIPS): monitorean la red lan en busca de tráfico de red
sospechoso al analizar la actividad por protocolo de comunicación lan. 2. Basados en
Red Wireless (WIPS): monitorean la red inalámbrica en busca de tráfico sospechoso al
analizar la actividad por protocolo de comunicación inalámbrico. 3. Análisis de
comportamiento de red (NBA): Examina el tráfico de red para identifica amenazas que
generan tráfico inusual, como ataques de denegación de servicio ciertas formas de
malware y violaciones a políticas de red. 4. Basados en Host (HIPS): Se efectúa
mediante la instalación de paquetes de software que monitoran un host único en busca
de actividad sospechosa

Los IPS categorizan la forma en que detectan el tráfico malicioso:

 Detección basada en firmas: como lo hace un antivirus.

  Detección basada en políticas: el IPS requiere que se declaren muy
específicamente las políticas de seguridad.
 Detección basada en anomalías: en función con el patrón de comportamiento
normal de tráfico.

Detección basada en firmas

Una firma tiene la capacidad de reconocer una determinada cadena de bytes en cierto
contexto, y entonces lanza una alerta. Por ejemplo, los ataques contra los servidores
Web generalmente toman la forma de URLs. Por lo tanto se puede buscar utilizando
un cierto patrón de cadenas que pueda identificar ataques al servidor web. Sin
embargo, como este tipo de detección funciona parecido a un antivirus, el
administrador debe verificar que las firmas estén constantemente actualizadas.

Detección basada en políticas

En este tipo de detección, el IPS requiere que se declaren muy específicamente las
políticas de seguridad. Por ejemplo, determinar que hosts pueden tener comunicación
con determinadas redes. El IPS reconoce el tráfico fuera del perfil permitido y lo
descarta.

Detección basada en anomalías

Este tipo de detección tiende a generar muchos falsos positivos, ya que es sumamente
difícil determinar y medir una condición ‘normal’. En este tipo de detección tenemos
dos opciones:

1. Detección estadística de anormalidades: El IPS analiza el tráfico de red por un

determinado periodo de tiempo y crea una línea base de comparación. Cuando
el tráfico varía demasiado con respecto a la línea base de comportamiento, se
genera una alarma.
2. Detección no estadística de anormalidades: En este tipo de detección, es el
administrador quien define el patrón «normal» de tráfico. Sin embargo, debido
a que con este enfoque no se realiza un análisis dinámico y real del uso de la
red, es susceptible a generar muchos falsos positivos.

Se podría mencionar un apartado a cerca de las estraegias utilizadas a fin de decubrir

nuevos tipos de ataque; entrando en esta clasificación los honey pots.

 Detección honey pot (jarra de miel): funciona usando un equipo que se

configura para que llame la atención de los hackers.

Detección honey pot (jarra de miel)

Aquí se utiliza un distractor. Se asigna como honey pot un dispositivo que pueda lucir
como atractivo para los atacantes. Los atacantes utilizan sus recursos para tratar de
ganar acceso en el sistema y dejan intactos los verdaderos sistemas. Mediante esto,
se puede monitorizar los métodos utilizados por el atacante e incluso identificarlo, y de
esa forma implementar políticas de seguridad acordes en nuestros sistemas de uso
real.
WAF

Un WAF (Web Application Firewall) es un dispositivo hardware o software que permite

proteger los servidores de aplicaciones web de determinados ataques específicos en
Internet. Se controlan las transacciones al servidor web de nuestro negocio.

Básicamente nos permite evitar (entre otras) los siguientes ataques:

- Cross-site scripting que consiste en la inclusión de código script malicioso en el
cliente que consulta el servidor web.
- SQL injection que consiste en introducir un código SQL que vulnere la Base de
Datos de nuestro servidor.
- Denial-of-service que consiste en que el servidor de aplicación sea incapaz de servir
peticiones correctas de usuarios.

Hay 2 tipos de WAF: Los que se residen en la red (es decir son un elemento más de la
red) y los que se basan en el servidor de aplicaciones (residen en el servidor).

Los WAF son elementos complementarios a las medidas de seguridad que soportan
los Firewall clásicos.

SMTP

El Simple Mail Transfer Protocol (SMTP) o “protocolo para transferencia simple de

correo”, es un protocolo de red utilizado para el intercambio de mensajes de correo
electrónico entre computadoras u otros dispositivos (PDA, teléfonos móviles, etcétera).
Fue definido en el RFC 2821 y es un estándar oficial de Internet.1

El funcionamiento de este protocolo se da en línea, de manera que opera en los

servicios de correo electrónico. Sin embargo, este protocolo posee algunas
limitaciones en cuanto a la recepción de mensajes en el servidor de destino (cola de
mensajes recibidos). Como alternativa a esta limitación se asocia normalmente a este
protocolo con otros, como el POP o IMAP, otorgando a SMTP la tarea específica de
enviar correo, y recibirlos empleando los otros protocolos antes mencionados (POP O
IMAP)

Modelo de procesamiento de correo

Modelo de procesamiento del correo.

El correo electrónico es presentado por un cliente de correo (MUA, agente de usuario

de correo) a un servidor de correo (MSA, agente de sumisión de correo) usando
SMTP. Una gran parte de los abastecedores de caja permiten la sumisión. Desde allí,
el MSA entrega el correo a su agente de transferencia postal mejor conocido como el
MTA (Mail Transfer Agent, Agente de Transferencia de Correo). En algunas ocasiones,
estos dos agentes son casos diferentes aunque hay que destacar que provienen del
mismo software de donde fueron lanzados sólo que presentan opciones diferentes
dentro de la misma máquina.

El procesamiento local que se presenta puede ser realizado en una sola máquina o
partido entre varias aplicaciones; en este segundo caso, los procesos implicados
pueden compartir archivos; aquí SMTP es usado para la transferencia de mensajes
internamente, con cada uno de los hosts configurados para usar la siguiente aplicación
como un anfitrión elegante. Para lograr la localización del servidor objetivo, el MTA
divisorio tiene que usar el sistema de nombre de dominio (DNS) para lograr la
búsqueda del registro interno de cambiado de correo conocido como registro MX para
la esfera del recipiente (la parte de la dirección a la derecha). Es en ese instante
cuando el registro de MX devuelto contiene el nombre del anfitrión objetivo.[cita requerida]

Luego el MTA se une al servidor de cambio como un cliente SMTP. Una vez que MX
acepta el mensaje entrante, este a su vez se lo da a un agente de entrega de correo
(MDA) para luego ser llevado a la entrega de correo local. El MDA, además de
entregar mensajes es también capaz de salvar mensajes en un buzón de formato, y la
recepción de correo puede ser realizada usando muchas computadoras. Hay dos
formas en que un MDA puede entregar mensajes: ya sea enviándolos directamente al
almacenamiento, o expedirlos sobre una red usando SMTP. Una vez entregado al
servidor de correo local, dicho correo es almacenado para la recuperación de la
hornada. Su recuperación se logra por medio de las aplicaciones de usuario final,
conocidas como clientes de correo electrónico, usando el Protocolo de Acceso de
Mensaje de Internet (IMAP), este protocolo que facilita tanto el acceso para enviar,
como el manejo de correo almacenado.

Puertos

Los administradores de servidor pueden elegir si los clientes utilizan TCP puerto 25
(SMTP) o el puerto 587 (Presentación) para retransmitir el correo saliente a una inicial
del servidor de correo.3 Las especificaciones y muchos servidores soportan ambos.
Aunque algunos servidores soportan el puerto 465 para el legado SMTP seguro en
violación de las especificaciones, es preferible utilizar los puertos estándar y
comandos ESMTP estándar de acuerdo con RFC 3207, si se debe utilizar una sesión
segura entre el cliente y el servidor.

Algunos servidores están configurados para rechazar toda la retransmisión en el

puerto 25, pero los usuarios válidos de autenticación en el puerto 587 pueden
retransmitir correo a cualquier dirección válida. [cita requerida] Algunos proveedores de
servicios de Internet interceptan el puerto 25, volviendo a dirigir el tráfico a su propio
servidor SMTP, independientemente de la dirección de destino. Esto significa que no
es posible para sus usuarios acceder a un servidor SMTP fuera de la red del ISP a
través del puerto 25.

Algunos servidores SMTP soportan el acceso autenticado en otro puerto que no sea
587 o 25 para permitir a los usuarios conectarse a ellos, incluso si el puerto 25 está
bloqueado, pero 587 es el puerto estándar y ampliamente apoyada por los usuarios
enviar correo nuevo. Microsoft Exchange Server 2013 SMTP puede escuchar en los
puertos 25, 587, 465, 475, y 2525, en función de servidor y si los roles se combinan en
un solo servidor.[cita requerida] Los puertos 25 y 587 se utilizan para proporcionar la
conectividad del cliente con el servicio de transporte en la parte delantera de la función
de servidor de acceso de cliente (CAS). Los puertos 25, 465 y 475 son utilizados por el
servicio de transporte de buzón de correo. Sin embargo, cuando la función de buzón
se combina con la función de CAS en un único servidor, el puerto 2525 se utiliza por la
función de buzón de SMTP desde el servicio de transporte de extremo delantero del
CAS, CAS, mientras que continúa para utilizar el puerto 25. Puerto 465 es utilizado por
el servicio de transporte de buzón de correo para recibir las conexiones de cliente
proxy de la función CAS. Puerto 475 es utilizado por la función de buzón para
comunicarse directamente con otras funciones de buzón, la transferencia de correo
entre el servicio de envío de transporte de buzón de correo y el servicio de entrega de
transporte buzón.4

Descripción del Protocolo

SMTP es un protocolo orientado a la conexión basado en texto, en el que un remitente

de correo se comunica con un receptor de correo electrónico mediante la emisión de
secuencias de comandos y el suministro de los datos necesarios en un canal de flujo
de datos ordenado fiable, normalmente un protocolo de control de transmisión de
conexión (TCP). Una sesión SMTP consiste en comandos originados por un cliente
SMTP (el agente de inicio, emisor o transmisor) y las respuestas correspondientes del
SMTP del servidor (el agente de escucha, o receptor) para que la sesión se abra y se
intercambian los parámetros de la sesión. Una sesión puede incluir cero o más
transacciones SMTP. Una transacción de SMTP se compone de tres secuencias de
comando / respuesta (véase el ejemplo a continuación).

Ellos son:

 MAIL: comando para establecer la dirección de retorno, también conocido

como Return-Path, remitente o sobre. Esta es la dirección para mensajes de
despedida.
 RCPT: comando, para establecer un destinatario de este mensaje. Este
mandato puede emitirse varias veces, una para cada destinatario. Estas
direcciones son también parte de la envolvente.
 DATA: para enviar el mensaje de texto. Este es el contenido del mensaje, en
lugar de su envoltura. Se compone de una cabecera de mensaje y el cuerpo
del mensaje separado por una línea en blanco. DATA es en realidad un grupo
de comandos, y el servidor responde dos veces: una vez para el comando de
datos adecuada, para reconocer que está listo para recibir el texto, y la
segunda vez después de la secuencia final de los datos, para aceptar o
rechazar todo el mensaje.

Resumen simple del funcionamiento del protocolo SMTP

 Cuando un cliente establece una conexión con el servidor SMTP, espera a que
éste envíe un mensaje “220 Service ready” o “421 Service non available”.
 Se envía un HELO desde el cliente. Con ello el servidor se identifica. Esto
puede usarse para comprobar si se conectó con el servidor SMTP correcto.
 El cliente comienza la transacción del correo con la orden MAIL FROM. Como
argumento de esta orden se puede pasar la dirección de correo al que el
servidor notificará cualquier fallo en el envío del correo (Por ejemplo, MAIL
FROM:<fuente@host0>). Luego si el servidor comprueba que el origen es
válido, el servidor responde “250 OK”.
 Ya le hemos dicho al servidor que queremos mandar un correo, ahora hay que
comunicarle a quien. La orden para esto es RCPT TO:<destino@host>. Se
pueden mandar tantas órdenes RCPT como destinatarios del correo queramos.
Por cada destinatario, el servidor contestará “250 OK” o bien “550 No such
user here”, si no encuentra al destinatario.
  Una vez enviados todos los RCPT, el cliente envía una orden DATA para
indicar que a continuación se envían los contenidos del mensaje. El servidor
responde “354 Start mail input, end with <CRLF>.<CRLF>” Esto indica al
cliente como ha de notificar el fin del mensaje.
 Ahora el cliente envía el cuerpo del mensaje, línea a línea. Una vez finalizado,
se termina con un <CRLF>.<CRLF> (la última línea será un punto), a lo que el
servidor contestará “250 OK”, o un mensaje de error apropiado.
 Tras el envío, el cliente, si no tiene que enviar más correos, con la orden QUIT
corta la conexión. También puede usar la orden TURN, con lo que el cliente
pasa a ser el servidor, y el servidor se convierte en cliente. Finalmente, si tiene
más mensajes que enviar, repite el proceso hasta completarlos.

Puede que el servidor SMTP soporte las extensiones definidas en el RFC 1651, en
este caso, la orden HELO puede ser sustituida por la orden EHLO, con lo que el
servidor contestará con una lista de las extensiones admitidas. Si el servidor no
soporta las extensiones, contestará con un mensaje "500 Syntax error, command
unrecognized".

En el ejemplo pueden verse las órdenes básicas de SMTP:

 HELO, para abrir una sesión con el servidor

 MAIL FROM, para indicar quien envía el mensaje
 RCPT TO, para indicar el destinatario del mensaje
 DATA, para indicar el comienzo del mensaje, éste finalizará cuando haya una
línea únicamente con un punto.
 QUIT, para cerrar la sesión
 RSET Aborta la transacción en curso y borra todos los registros.
 SEND Inicia una transacción en la cual el mensaje se entrega a una terminal.
 SOML El mensaje se entrega a un terminal o a un buzón.
 SAML El mensaje se entrega a un terminal y a un buzón.
 VRFY Solicita al servidor la verificación de todo un argumento.
 EXPN Solicita al servidor la confirmación del argumento.
 HELP Permite solicitar información sobre un comando.
 NOOP Se emplea para reiniciar los temporizadores.
 TURN Solicita al servidor que intercambien los papeles.

De los tres dígitos del código numérico, el primero indica la categoría de la respuesta,
estando definidas las siguientes categorías:

 2XX, la operación solicitada mediante el comando anterior ha sido concluida

con éxito
 3XX, la orden ha sido aceptada, pero el servidor esta pendiente de que el
cliente le envíe nuevos datos para terminar la operación
 4XX, para una respuesta de error, pero se espera a que se repita la instrucción
 5XX, para indicar una condición de error permanente, por lo que no debe
repetirse la orden

Una vez que el servidor recibe el mensaje finalizado con un punto puede almacenarlo
si es para un destinatario que pertenece a su dominio, o bien retransmitirlo a otro
servidor para que finalmente llegue a un servidor del dominio del receptor.
Ejemplo de una comunicación SMTP

En primer lugar se ha de establecer una conexión entre el emisor (cliente) y el receptor

(servidor). Esto puede hacerse automáticamente con un programa cliente de correo o
mediante un cliente telnet.

En el siguiente ejemplo se muestra una conexión típica. Se nombra con la letra C al

cliente y con S al servidor.

S: 220 Servidor SMTP

C: HELO miequipo.midominio.com
S: 250 Hello, please to meet you
C: MAIL FROM: <yo@midominio.com>
S: 250 Ok
C: RCPT TO: <destinatario@sudominio.com>
S: 250 Ok
C: DATA
S: 354 End data with <CR><LF>.<CR><LF>
C: Subject: Campo de asunto
C: From: yo@midominio.com
C: To: destinatario@sudominio.com
C:
C: Hola,
C: Esto es una prueba.
C: Hasta luego.
C:
C: .
C: <CR><LF>.<CR><LF>
S: 250 Ok: queued as 12345
C: quit
S: 221 Bye

Formato del mensaje

Como se muestra en el ejemplo anterior, el mensaje es enviado por el cliente después

de que éste manda la orden DATA al servidor. El mensaje está compuesto por dos
partes:

 Cabecera: en el ejemplo las tres primeras líneas del mensaje son la cabecera.
En ellas se usan unas palabras clave para definir los campos del mensaje.
Estos campos ayudan a los clientes de correo a organizarlos y mostrarlos. Los
más típicos son subject (asunto), from (emisor) y to (receptor). Éstos dos
últimos campos no hay que confundirlos con las órdenes MAIL FROM y RCPT
TO, que pertenecen al protocolo, pero no al formato del mensaje.
 Cuerpo del mensaje: es el mensaje propiamente dicho. En el SMTP básico
está compuesto únicamente por texto, y finalizado con una línea en la que el
único carácter es un punto.

SMTP vs Recuperación de correo

El protocolo de transferencia de correo simple (SMTP) solo se encarga de entregar el

mensaje. En un ambiente común el mensaje es enviado a un servidor de correo de
salto siguiente a medida que llega a su destino. El correo se enlaza basado en el
servidor de destino. Otros protocolos como el protocolo de oficina de correos (POP) y
el protocolo de acceso a mensaje de internet (IMAP) su estructura es para usuarios
individuales, recuperación de mensajes, gestión de buzones de correo. SMTP usa una
función, el procesamiento de colas de correo en un servidor remoto, permite que un
servidor de correo de forma intermitente conectado a mandar mensajes desde un
servidor remoto. El IMAP y el POP son protocolos inadecuados para la retransmisión
de correo de máquinas de forma intermitente-conectados, sino que están diseñados
para funcionar después de la entrega final.

Inicio remoto de mensaje en cola

Es una característica de SMTP que permite a un host remoto para iniciar el

procesamiento de la cola de correo en el servidor por lo que puede recibir mensajes
destinados a ella mediante el envío del comando TURN. Esta característica se
considera insegura pero usando el comando ETRN en la extensión RFC 1985 funciona
de forma más segura.

Petición de Reenvío de Correo Bajo Demanda (ODMR)

On-Demand Mail Relay (ODMR por sus siglas en Inglés) es una extensión de SMTP
estandarizada en la RFC 2645 que permite que el correo electrónico sea transmitido al
receptor después de que él ha sido aprobado. Usa la orden de SMTP ampliada ATRN,
disponible para la direcciones de IP dinámicas. El cliente publica EHLO y órdenes de
AUTH de servicios ODMR de correo, ODMR comienza a actuar como un cliente SMTP
y comienza a enviar todos los mensajes dirigidos a un cliente usando el protocolo
SMTP, al iniciar sesión el cortafuegos o el servidor pueden bloquear la sesión entrante
debido a IP dinámicas. Sólo el servidor ODMR, el proveedor del servicio, debe
escuchar las sesiones SMTP en una dirección de IP fija.

Internacionalización

Muchos usuarios cuyo lenguaje base no es el latín han tenido dificultades con el
requisito de correo electrónico en América. RFC 6531 fue creado para resolver ese
problema, proporcionando características de internacionalización de SMTP, la
extensión SMTPUTF8. RFC 6531 proporciona soporte para caracteres de varios bytes
y no para ASCII en las direcciones de correo electrónico. El soporte del
internacionalización actualmente es limitada pero hay un gran interés en la ampliación
de el RFC 6531. RFC en países como en china, que tiene una gran base de usuarios
en América.

Correo saliente con SMTP

Un cliente de correo electrónico tiene que saber la dirección IP de su servidor SMTP

inicial y esto tiene que ser dado como parte de su configuración (usualmente dada
como un nombre DNS). Este servidor enviará mensajes salientes en nombre del
usuario.

Restricción de acceso y salida al servidor de correo

En un ambiente de servidores, los administradores deben tomar medidas de control en

donde los servidores estén disponibles para los clientes. Esto permite implementar
seguridad frente a posibles amenazas. Anteriormente, la mayoría de los sistemas
imponían restricciones de uso de acuerdo a la ubicación del cliente, sólo estaba
permitido su uso por aquellos clientes cuya dirección IP es una de las controladas por
los administradores del servidor. Los servidores SMTP modernos se caracterizan por
ofrecer un sistema alternativo, el cual requiere de una autenticación mediante
credenciales por parte de los clientes antes de permitir el acceso.

Restringir el acceso por ubicación

Mediante este sistema, el servidor SMTP relativo al ISP no permitirá el acceso de los
usuarios que están fuera de la red del ISP. Específicamente, el servidor solo puede
permitir el acceso de aquellos usuarios cuya dirección IP fue proporcionada por el ISP,
lo cual es equivalente a exigir que estén conectados a internet mediante el mismo ISP.
Un usuario móvil suele estar a menudo en una red distinta a la normal de su ISP, y
luego descubrir que el envío de correo electrónico falla porque la elección del servidor
SMTP configurado ya no es accesible. Este sistema tiene distintas variaciones, por
ejemplo, el servidor SMTP de la organización sólo puede proporcionar servicio a los
usuarios en la misma red, esto se hace cumplir mediante cortafuegos para bloquear el
acceso de los usuarios en general a través de Internet. O puede que el servicio realice
comprobaciones de alcance en la dirección IP del cliente. Estos métodos son
utilizados normalmente por empresas e instituciones, como las universidades que
proporcionan un servidor SMTP para el correo saliente solo para su uso interno dentro
de la organización. Sin embargo, la mayoría de estos organismos utilizan ahora
métodos de autenticación de cliente, tal como se describe a continuación. Al restringir
el acceso a determinadas direcciones IP, los administradores de servidores pueden
reconocer fácilmente la dirección IP de cualquier agresor. Como esta representa una
dirección significativa para ellos, los administradores pueden hacer frente a la máquina
o usuario sospechoso. Cuando un usuario es móvil, y puede utilizar diferentes
proveedores para conectarse a internet, este tipo de restricción de uso es costoso, y la
alteración de la configuración perteneciente a la dirección de correo electrónico del
servidor SMTP saliente resulta ser poco práctica. Es altamente deseable poder utilizar
la información de configuración del cliente de correo electrónico que no necesita
cambiar.

Seguridad y spam

Artículo principal: Antispam

Una de las limitaciones del SMTP original es que no facilita métodos de autenticación
a los emisores, así que se definió la extensión SMTP-AUTH en RFC 2554.

A pesar de esto, el spam es aún el mayor problema. No se cree que las extensiones
sean una forma práctica para prevenirlo. Internet Mail 2000 es una de las propuestas
para reemplazarlo.[cita requerida]

Diferentes metodologías han aparecido para combatir el spam. Entre ellas destacan
DKIM, Sender Policy Framework (SPF) y desde el 2012 Domain-based Message
Authentication, Reporting and Conformance (DMARC).5

GATEWAY ANTIVIRUS
Gateway Anti-Virus permite a las aplicaciones en toda la empresa para comprobar los
archivos en busca de virus, proporcionando una JABÓN detección de virus basada en
servicios web. Las aplicaciones cliente adjuntar archivos a los mensajes SOAP y
someterlos al servicio Web Gateway Anti-Virus. El servicio web utiliza ClamAV para
escanear los archivos adjuntos en busca de virus y devuelve los resultados al cliente.
UTM

La gestión unificada de amenazas, que comúnmente se abrevia como UTM, es un

término de seguridad de la información que se refiere a una sola solución de
seguridad, y por lo general un único producto de seguridad, que ofrece varias
funciones de seguridad en un solo punto en la red. Un producto UTM generalmente
incluye funciones como antivirus, anti-spyware, anti-spam, firewall de red, prevención y
detección de intrusiones, filtrado de contenido y prevención de fugas. Algunas
unidades también ofrecen servicios como enrutamiento remoto, traducción de
direcciones de red (NAT, network address translation) y compatibilidad para redes
privadas virtuales (VPN, virtual private network). El encanto de la solución se basa en
la simplicidad, por lo que las organizaciones que puedan haber tenido proveedores o
productos para cada tarea de seguridad por separado, ahora los pueden tener todos
en una sola solución, con el apoyo de un único equipo o segmento de TI, y que se
ejecuta en una sola consola.

De qué manera los productos UTM bloquean un virus informático o muchos

virus

Los productos de gestión unificada de amenazas han ganado fuerza en el sector

debido a la aparición de amenazas combinadas, que son el resultado de la
combinación de diferentes tipos de malware y ataques que apuntan a partes
separadas de la red de forma simultánea. Puede ser difícil evitar estos tipos de
ataques cuando se utilizan distintos productos y proveedores para cada tarea de
seguridad específica, ya que cada aspecto tiene que administrarse y actualizarse de
forma individual a fin de permanecer actualizado de cara a las últimas formas de
malware y cibercrimen. A través de la creación de un único punto de defensa y el uso
de una sola consola, las soluciones UTM facilitan en gran medida la tarea de tratar con
amenazas variadas.

Aunque la gestión unificada de amenazas sí resuelve algunos problemas de seguridad

de red, no lo hace sin algunas desventajas, siendo la más grande que el único punto
de defensa que proporciona un producto UTM también crea un punto único de falla.
Debido a esto, muchas organizaciones optan por complementar su dispositivo UTM
con un segundo perímetro basado en software para detener cualquier malware que
pase por el firewall UTM.

PRODUCTOS FORTINET