Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan
de una red a la otra y en función de lo que sean permite o deniega su paso. Para
permitir o denegar una comunicación el firewall examina el tipo de servicio al que
corresponde, como pueden ser el web, el correo o el IRC. Dependiendo del servicio el
firewall decide si lo permite o no. Además, el firewall examina si la comunicación es
entrante o saliente y dependiendo de su dirección puede permitirla o no.
De este modo un firewall puede permitir desde una red local hacia Internet servicios de
web, correo y ftp, pero no a IRC que puede ser innecesario para nuestro trabajo.
También podemos configurar los accesos que se hagan desde Internet hacia la red
local y podemos denegarlos todos o permitir algunos servicios como el de la web, (si
es que poseemos un servidor web y queremos que accesible desde Internet).
Dependiendo del firewall que tengamos también podremos permitir algunos accesos a
la red local desde Internet si el usuario se ha autentificado como usuario de la red
local.
TCP/UDP
El protocolo UDP
El protocolo TCP
El mecanismo es el siguiente
1. En primer lugar, el host que deséa iniciar la conexión ejecuta una primitiva
CONNECT especificando la dirección IP y el puerto con el que se deséa conectar, el
tamaño máximo del segmento que está dispuesto a aceptar y opcionelmente otros
datos, como alguna contraseña de usuario. Entonces la primitiva CONNCET hace una
apertura activa, enviando al otro host un paquete que tiene el bit SYN (ver formato de
un segmento TCP más abajo) activado, indicándole también el número de secuencia
inicial "x" que usará para enviar sus mensajes.
2. El host receptor recibe el segmento revisa si hay algún proceso activo que haya
ejecutado un LISTEN en el puerto solicitado, es decir, preparado para recibir datos por
ese puerto. Si lo hay, el proceso a la escucha recibe el segmento TCP entrante,
registra el número de secuencia "x" y, si deséa abrir la conexión, responde con un
acuse de recibo "x + 1" con el bit SYN activado e incluye su propio número de
secuencia inicial "y", dejando entonces abierta la conexión por su extremo. El número
de acuse de recibo "x + 1" significa que el host ha recibido todos los octetos hasta e
incluyendo "x", y espera "x + 1" a continuación. Si no deséa establecer la conexión,
envía un contestación con el bit RST activado, para que el host en el otro extremo lo
sepa.
3. El primer host recibe el segmento y envía su confirmación, momento a partir del cual
puede enviar datos al otro extremo, abriendo entonces la conexión por su extremo.
La información acerca del estado de dichos enlaces se conoce como link-states. esta
información incluye:
La dirección IP de la interfaz y la máscara de subred.
El tipo de red, como Ethernet (broadcast) o enlace serial punto a punto.
El costo de dicho enlace.
Cualquier router vecino en dicho enlace.
CARACTERÍSTICAS LINK-STATE
Mediante los paquetes de saludo, los routers conocerán a sus vecinos. Posteriormente
enviarán paquetes LSP Con información sobre el estado enlace de las redes
conectadas directamente ;Los vecinos son bombardeados con estos paquetes LSP y
los almacenan en una base de datos .
Gracias a esta base de datos de paquetes LSP ,los routers crean el mapa topológico
completo y así pueden calcular la mejor ruta para cada red de destino .
UNCIONAMIENTO LINK-STATE
1. Cada router obtiene información sobre sus propios enlaces, sus propias redes
conectadas directamente.
2. Cada router es responsable de reunirse con sus vecinos en redes conectadas
directamente. (Paquetes de saludo)
3. Cada router crea un Paquete de link-state (LSP) que incluye el estado de cada
enlace directamente conectado. ( ID de vecino, el tipo de enlace y el ancho de banda).
4. Cada router satura con el LSP a todos los vecinos, que luego almacenan todos los
LSP recibidos en una base de datos. Los vecinos luego saturan con los LSP a sus
vecinos hasta que todos los routers del área hayan recibido los LSP. Cada router
almacena una copia de cada LSP recibido por parte de sus vecinos en una base de
datos local.
(Después de la inundación LSP Inicial generalmente requieren menos ancho de banda
para comunicar cambios en una topología) .
5. Cada router utiliza la base de datos para construir un mapa completo de la topología
y calcula el mejor camino hacia cada red de destino. El algoritmo SPF se utiliza para
construir el mapa de la topología y determinar el mejor camino hacia cada red
Otros detalles de su comportamiento y respuestas de exámen Cisco CCNA2:
– Mandan paquetes de estado-enlace cuando un enlace se activa o se desactiva. –
Cada router determina de manera independiente la ruta a cada red. – IS-IS y OSPF
utilizan el algoritmo Dijkastra. Este algoritmo acumula costos a lo largo de cada ruta,
desde el origen hasta el destino.
– Al recibir un LSP de un router vecino, un router de estado de enlace inmediatamente
saturará el LSP a los vecinos.
– La base de datos de estado de enlace en los routers de enlace de datos dentro de
un área ,debe ser idéntica para construir un árbol SPF preciso.
– Eventos que hacen que el router de estado de enlace envíe el LSP a todos los
vecinos :
Cada vez que la topología de red cambia.
En la puesta en marcha inicial del router o del protocolo de enrutamiento .
– ¿Por qué es difícil que se produzcan routing loops en redes que usan enrutamiento
de estado de enlace?
RIP
Así podemos ver que RIP es un protocolo usado por distintos routers para intercambiar
información y así conocer por donde deberían enrutar un paquete para hacer que éste
llegue a su destino.
OSPF se usa, como RIP, en la parte interna de las redes, su forma de funcionar es
bastante sencilla. Cada router conoce los routers cercanos y las direcciones que
posee cada router de los cercanos. Además de esto cada router sabe a que distancia
(medida en routers) está cada router. Así cuando tiene que enviar un paquete lo envía
por la ruta por la que tenga que dar menos saltos.
Así por ejemplo un router que tenga tres conexiones a red, una a una red local en la
que hay puesto de trabajo, otra (A) una red rápida frame relay de 48Mbps y una línea
(B) RDSI de 64Kbps. Desde la red local va un paquete a W que esta por A a tres saltos
y por B a dos saltos. El paquete iría por B sin tener en cuenta la saturación de la linea
o el ancho de banda de la linea.
La O de OSPF viene de abierto, en este caso significa que los algoritmos que usa son
de disposición pública.
BGP es un protocolo muy complejo que se usa en la interconexión de redes
conectadas por un backbone de internet. Este protocolo usa parámetros como ancho
de banda, precio de la conexión, saturación de la red, denegación de paso de
paquetes, etc. para enviar un paquete por una ruta o por otra. Un router BGP da a
conocer sus direcciones IP a los routers BGP y esta información se difunde por los
routers BGP cercanos y no tan cercanos. BGP tiene su propios mensajes entre
routers, no utiliza RIP.
BGP es usado por grandes proveedores de conectividad a internet. Por ejemplo una
empresa (A) tiene alquilada una línea a telefónica-data. La empresa A no hace BGP y
posiblemente los routers más cercanos no utilizarán BGP pero si los que interconecten
Telefónica-Data con Hispanix (punto neutro de interconexión en España).
IPsec
Los protocolos de IPsec actúan en la capa de red, la capa 3 del modelo OSI.Otros
protocolos de seguridad para Internet de uso extendido, como SSL, TLS y SSH operan
de la capa de transporte (capas OSI 4 a 7) hacia arriba. Esto hace que IPsec sea más
flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo
TCP y UDP, los protocolos de capa de transporte más usados. IPsec tiene una ventaja
sobre SSL y otros métodos que operan en capas superiores. Para que una aplicación
pueda usar IPsec no hay que hacer ningún cambio, mientras que para usar SSL y
otros protocolos de niveles superiores, las aplicaciones tienen que modificar su código.
Modos de funcionamiento
Modo transporte
En modo transporte, sólo la carga útil (los datos que se transfieren) del paquete IP es
cifrada y/o autenticada. El enrutamiento permanece intacto, ya que no se modifica ni
se cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera de autenticación
(AH), las direcciones IP no pueden ser traducidas, ya que eso invalidaría el hash. Las
capas de transporte y aplicación están siempre aseguradas por un hash, de forma que
no pueden ser modificadas de ninguna manera (por ejemplo traduciendo los números
de puerto TCP y UDP). El modo transporte se utiliza para comunicaciones ordenador a
ordenador.
Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definido por
RFCs que describen el mecanismo de NAT-T
Modo tunel
En el modo túnel, todo el paquete IP (datos más cabeceras del mensaje) es cifrado y/o
autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que
funcione el enrutamiento. El modo túnel se utiliza para comunicaciones red a red
(túneles seguros entre routers, p.e. para VPNs) o comunicaciones ordenador a red u
ordenador a ordenador sobre Internet. El propósito de este modo es establecer una
comunicación segura entre dos redes remotas sobre un canal inseguro. Este ejemplo
ilustra esto:
Cabeceras
Cabecera IP
Donde:
Codigo Descripción
1 ICMP — Internet Control Message Protocol
2 IGMP — Internet Group Management Protocol
4 IP en IP (una encapsulación IP)
6 TCP — Transmission Control Protocol
17 UDP — User Datagram Protocol
41 IPv6 — next-generation TCP/IP
47 GRE — Generic Router Encapsulation (usado por PPTP)
50 IPsec: ESP — Encapsulating Security Payload
51 IPsec: AH — Authentication Header
AH en Modo Transporte
Este proceso “de arrastre” se necesita para que el paquete original IP sea
reconstituido cuando llegue a su destino; cuando las cabeceras IPsec han sido
validadas en el receptor, se despojan las cabeceras IPsec y la carga a transmitir (TCP,
UDP, etc) es guardada nuevamente en la cabecera IP.
AH en Modo Túnel
El modo túnel es el más común para dar una funcionalidad de VPN, donde un paquete
IP es encapsulado dentro de otro y enviado a su destino.
Igual que en el modo transporte, el paquete es “sellado” con un ICV para autentificar al
que envia la información para prevenir modificaciones durante el tránsito. Pero a
diferencia del modo de transporte, el modo túnel encapsula todo el paquete IP, no sólo
la carga util (TCP, UDP ,etc). Esto hace que el destinatario del paquete sea uno
diferente al destinatario original. Esto ayuda a la formación de un túnel.
La mayoria de las implementaciones tratan el final del túnel como una interfaz de red
virtual -exactamente igual que una Ethernet o localhost - y el tráfico entrante y saliente
de él está sujeto a todas las decisiones normales de enrutamiento.
El paquete reconstituido puede ser entregado a la máquina local o enrutado donde sea
(dependiendo de la dirección IP encontrada en el paquete encapsulado), pero de
ninguna manera vuelve a estar sujeto a las protección de IPsec. Esta finaliza al final
del túnel. A partir de allí es tratado como un datagrama IP normal.
¿Transporte o Túnel?
Curiosamente, no hay un campo explícito “Modo” en IPsec que distinga entre el modo
de transporte y el modo túnel. Lo que los distingue es el campo *siguiente cabecera
(next head)* en la cabecera AH.
Cuando el valor de “siguiente cabecera” es IP, significa que este paquete encapsula un
datagrama IP entero (incluyendo los campos de destino y origen IP que nos permiten
saber donde va el paquete que va encapsulado después de la desencapsulación. Así
se comporta el modo túnel.
Otro valor cualquiera (TCP, UDP, ICMP, etc) significa que estamos usando el modo
transporte y se trata de una conexión segura extremo a extremo.
Hay que darse cuenta que un host - en contraposición a una pasarela - es necesario
que soporte los dos modos, de transporte y túnel, pero en una conexión host-to-host
parece superfluo usar el modo túnel.
Además, una pasarela (router, firewall, etc.) tiene que tener soporte únicamente para
modo túnel, sin embargo tener soporte para el modo transporte es útil sólo cuando la
pasarela se considera como destino ella misma, como en caso de funciones de
administración de red.
Algoritmos de autentificación
AH lleva un campo (Integrity Check Value) para comprobar la integridad del paquete y
que nadie lo ha manipulado durante el trayecto. El valor de ese campo está dado por
algoritmos de encriptación tales como MD5 o SHA-1.
Más que usar un checksum convencional, el cual podría no proveer una securidad real
contra una manipulación intencional, este usa una Hashed Message Authentication
Code (HMAC), que incorpora una clave secreta mienstras se crea el hash. Aunque un
atacante puede recalcular un hash fácilmente, sin la clave secreta no sería capaz de
crear el ICV apropiado.
Huelga decir que IPsec no define ni obliga como debe hacerse la autentificación,
simplemente ofrece un marco de seguridad en la que los dos hosts que realizan la
comunicación se ponen de acuerdo sobre que sistema usar. Pueden usarse firmas
digitales o funciones de encriptación, pero es obligatorio que ambos los conozcan y
sepan como usarlos
NAT y AH
AH da una protección muy fuerte a los paquetes porque cubre todas las partes
que se consideran inmutables. Pero esta protección tiene un coste: AH es
incompatible con NAT (Network Address Translation).
Dado que el campo TTL y el checksum de la cabecera siempre son modificados “al
vuelo”, AH sabe que tiene que excluirlos de su protección, pero no tiene que excluir a
las direcciones IP. Estas están incluidas en el constrol de integridad, y cualquier
cambio en las direcciones ip de origen y destino va a hacer que el control de integridad
falle cuando llegue al destinatario. Dado que el valor del control de integridad contiene
una llave secreta que sólo la saben el host origen y el host destino, el dispositivo
NAT no puede recalcular el ICV.
NAT traduce las direcciones IP al vuelo, pero también guarda un registro de que
conexiones siguen el camino traducido y así poder enviar las respuestas al origen de
manera correcta. Cuando se usa TCP o UDP, esto se hace mediante los números de
los puertos (que pueden ser reescritos al vuelo o no), pero IPsec no da ninguna
interfaz para hacer esto.
Añadir encriptacion hace que ESP sea un poco más complicado, ya que la
encapsulación rodea a la carga útil es algo más que precederla con AH: ESP
incluye cabecera y campos para dar soporte a la encriptacion y a una autentificación
opcional. Además, provee los modos de transporte y túnel, los cuales nos son ya
familiares.
A diferencia de AH, que da una pequeña cabecera antes de la carga útil, ESP rodea la
carga útil con su protección. Los parámetros de seguridad Index y Sequence Number
tienen el mismo propósito que en AH, pero nos encontramos como relleno en la cola
del paquete el campo “siguiente campo” y el opcional “Authentication data”.
Es posible usar ESP sin ninguna encriptación (usar el algoritmo NULL), sin embargo
estructura el paquete de la misma forma. No nos da ninguna confidencialidad a los
datos que estamos transmitiendo, y sólo tiene sentido usarlo con una la autentificación
ESP. No tiene sentido usar ESP sin encriptación o autentificación (a no ser que
estemos simplemente probando el protocolo).
El relleno sirve para poder usar algoritmos de encriptación orientados a bloques, dado
que tenemos que crear una carga a encriptar que tenga un tamaño múltiplo de su
tamaño de bloque. El tamaño del relleno viene dado por el campo pad len. El campo
next hdr nos da el tipo (IP, TCP, UDP,etc) de la carga útil, aunque esto sea usado
como un punto para volver hacia atras en el paquete para ver que hay en el AH.
Al igual que en AH, el modo transporte encapsula justamente la carga la carga útil del
datagraya y está diseñado justamente para comunicaciones extremo-a-extremo. La
cabecera IP original se deja (excepto por el campo cambiado Protocol), y esto hace -
además de otras cosas - que las direcciones IP de origen y destino se quedan como
están.
Proveer una conexión encriptada en modo túnel es dar una forma muy cercana a
como se crea una VPN, y es lo que se nos viene a la cabeza a la mayoría cuando
pensamos acerca de IPsec. Además de esto, tenemos que añadir autentificación. Esta
parte se trata en la siguiente sección.
A diferencia de AH, donde un forastero puede ver fácilmente que es lo que sse
transmite en modo Túnel o Transporte, usando ESP eso no ocurre; esa información no
está disponible para el forastero. El caso es que en el modo túnel (poniendo next=IP),
el datagrama IP entero original es parte de la carga útil encriptada, y no será visible
para nadie que no pueda desencriptar el paquete.
Claramente, una red VPN segura requiere las dos cosas: autentificación y
encriptación. Sabemos que la única manera de conseguir encriptación es ESP, pero
ESP y AH pueden proveer autentificacióN: ¿cuál de las dos usar?
El tráfico protegido de esta manera produce información inútil para un intruso, ya que
los dos hosts que se comunican están conectados a través de una VPN. Esta
información puede ayudar al atacante a entender que los dos hosts se comunican por
un canal seguro, pero nunca revela el contenido del tráfico. Incluso el tipo de tráfico
encapsulado en el protocolo (TCP, UDP o ICMP) está oculto para las personas de
fuera.
Este paquete-en-paquete puede ser anidado a más niveles: Host A y Host B pueden
establecer su propia conexión autenticada (via AH) y comunicarse sobre una VPN.
Esto pondría un paquete AH dentro de un paquete con una cobertura ESP+Auth.
Es obvio que si los dos hosts o pasarelas van a establecer una conexión segura, se
requiere algún tipo de clave secreta compartida para llevar a cabo la función de
autentificación o la y/o la clave del algoritmo de encriptación. La cuestión es como
esos “secretos” son establecidos a para poder ser dirigidos desde cualquier sitio, y
para los propósitos de esta guía vamos a suponer que han llegado “mágicamente” a
su lugar.
Cuando un datagrama IPsec - AH o ESP - llega a una una interfaz, ¿cómo sabe la
interfaz que conjunto de parámetros usar (clave, algoritmo y políticas)? Un host puede
tener varias conversaciones simultáneas, cada una con un diferente conjunto de
claves y algoritmos, y tenemos que tener un gobernador que lleve todo este proceso.
Estos parámetros son especificados por la Security Association (SA), una colección de
parametros específicos de conexión, y cada pareja pueden tener uno o más
colecciones de parámetros específicos de conexión. Cuando llega el datagrama son
usadas tres piezas de los datos para localizar dentro de la base de datos o Security
Associations Database (SADB) la SA correcta.
Hay muchas maneras para asociar este triplete a un socket IP, el cual está denotado
de forma única por la dirección IP, protocolo y el número del puerto
Una SA es de sentido único, así que una conexión en los dos sentidos (el caso típico)
requiere al menos dos. Además, cada protocolo (ESP/AH) tiene su propia SA en cada
dirección, por tanto una conexión completa AH+ESP VPN requiere 4 SAs. Todas ellas
están en la Security Associations Database.
En la SADB tenemos una cantidad ingente de información, pero sólo podemos tocar
una parte de esta:
IPsec sería casi inútil sin las facilidades criptográficas de autenticación y encriptación,
y este hecho requiere que las llaves que se usan sólo las sepan los participantes en la
comunicación y nadie más.
Este proceso no es muy recomendado, ya que no es del todo seguro: el mero hecho
de hacer llegar las directivas de seguridad a otro lado, a su SPD puede exponer esas
directivas a personas ajenas a la comunicación en el tránsito. In instalaciones más
grandes con más dispositivos usando una clave precompartidas, esas claves pueden
transigir un despliegue perjudicial para las nuevas claves.
IKE - Internet Key Exchange - existe para que los puntos terminales del túnel puedan
montar de manera apropiada sus Security Associations, incluyendo las directivas de
seguridad que van a usar. IKE usa el ISAKMP (Internet Security Association Key
Management Protocol) como un framework para dar soporte al establecimiento de una
SA compatible con los dos extremos
IKE V1 Y V2
Internet key exchange (IKE) es un protocolo usado para establecer una Asociación
de Seguridad (SA) en el protocolo IPsec. IKE emplea un intercambio secreto de claves
de tipo Diffie-Hellman para establecer el secreto compartido de la sesión. Se suelen
usar sistemas de clave pública o clave pre-compartida.
Fases IKE
La negociación IKE está compuesta por dos fases: fase 1 y fase 2.1
El objetivo de la primera fase IKE es establecer un canal de comunicación
seguro usando el algoritmo de intercambio de claves Diffie-Hellman para
generar una clave de secreto compartido y así cifrar la comunicación IKE. Esta
negociación establece una única SA ISAKMP Security Association (SA).2
bidireccional. La autenticación puede ser realizada usando tanto una clave
compartida (pre-shared key) (secreto compartido), firmas digitales, o cifrado de
clave pública.3 La fase 1 opera tanto en modo principal como agresivo. El modo
principal protege la identidad de los extremos, mientras que el modo agresivo
no lo hace.1
Problemas de IKE
La necesidad de una revisión del protocolo IKE fue incorporada en el apéndice A del
RFC 4306. Los siguientes problemas fueron detallados:
WIRELESS LAN
Una red de área local inalámbrica, también conocida como WLAN (del inglés
wireless local area network), es un sistema de comunicación inalámbrico flexible, muy
utilizado como alternativa a las redes de área local cableadas o como extensión de
éstas. Usan tecnologías de radiofrecuencia que permite mayor movilidad a los
usuarios al minimizar las conexiones cableadas. Estas redes van adquiriendo
importancia en muchos campos, como almacenes o para manufactura, en los que se
transmite la información en tiempo real a una terminal central. También son muy
populares en los night-clubs para compartir el acceso a Internet entre varias
computadoras.
Funcionamiento
Se utilizan ondas de radio para llevar la información de un punto a otro sin necesidad
de un medio físico guiado. Al hablar de ondas de radio nos referimos normalmente a
portadoras de radio, sobre las que va la información, ya que realizan la función de
llevar la energía a un receptor remoto. Los datos a transmitir se superponen a la
portadora de radio y de este modo pueden ser extraídos exactamente en el receptor
final.
Pueden ser de muy diversos tipos y tan simples o complejas como sea necesario. La
más básica se da entre dos ordenadores equipados con tarjetas adaptadoras para
WLAN, de modo que pueden poner en funcionamiento una red independiente siempre
que estén dentro del área que cubre cada uno. Esto es llamado red de igual a igual
(peer to peer). Cada cliente tendría únicamente acceso a los recursos del otro cliente
pero no a un servidor central. Este tipo de redes no requiere administración o
preconfiguración.
Asignación de canales
Los estándares 802.11a y 802.11g utilizan la banda de 2,4 – 2,5 Ghz. En esta banda,
se definieron 11 canales utilizables por equipos WIFI, los cuales pueden configurarse
de acuerdo a necesidades particulares. Sin embargo, los 11 canales no son
completamente independientes (canales contiguos se superponen y se producen
interferencias) y en la práctica sólo se pueden utilizar 3 canales en forma simultánea
(1, 6 y 11). Esto es correcto para USA y muchos países de América Latina, pues en
Europa, el ETSI ha definido 13 canales. En este caso, por ejemplo en España, se
pueden utilizar 4 canales no-adyacentes (1, 5, 9 y 13). Esta asignación de canales
usualmente se hace sólo en el punto de acceso, pues los “clientes” automáticamente
detectan el canal, salvo en los casos en que se forma una red ad hoc o punto a punto
cuando no existe punto de acceso.
Seguridad
Velocidad
Otro de los problemas que presenta este tipo de redes es que actualmente (a nivel de
red local) no alcanzan la velocidad que obtienen las redes de datos cableadas.
BALANCEADOR DE CARGA
Balanceo de carga basado en DNS. Se hace por medio de registros DNS para
que una URL apunte a más de una dirección IP. Es fácil su implementación.
Balanceo de carga basado en software. Por medio de los servidores WEB
comparten una dirección IP, la cual resuelve el dominio. Estos servidores
negocian entre ellos cual responderá a la siguiente petición.
Balanceo de carga dedicado. Cualquier hardware que contenga una aplicación
de balanceo de carga de código libre o comercial.
De petición
Basado en sesión
De métodos
Métodos de Conexiones
Weighted Round-Robin Las peticiones se entregan dependiendo del peso que
se le de a cada servidor.
Ejemplos de balanceadores
Custom kernel
Poca
documentación
Failover protection
Poco conocido
Soporta varios
Pound Difícil
algoritmos de
encontrar un
distribución
paquete pre
compilado
Documentación
extensa
Cuenta con soporte
Balancea en varias
capas La petición http parece
Zen Load Soporta varios que la hace directa, si el
Appliance
Balancer algoritmos a nivel sitio no entra directo, no
TCP funciona.
Fácil configuración
Interfaz web
Extensa
documentación
Failover protection
No es principalmente
Apache
un balanceador Soporta varios
algoritmos de
distribución
No es Failover protection
principalmente Cuenta con soporte
un balanceador Soporta balanceo
Pfsense en varias capas
No es sencillo
configurarlo Interfaz web
Interfaz web
Fácil configuración
Documentación
extensa
Solo disponible en Failover protection
Pirhana
redhat
Soporta varios
algoritmos
IPS
Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon para
resolver ambigüedades en la monitorización pasiva de redes de computadoras, al
situar sistemas de detecciones en la vía del tráfico. Los IPS presentan una mejora
importante sobre las tecnologías de cortafuegos tradicionales, al tomar decisiones de
control de acceso basados en los contenidos del tráfico, en lugar de direcciones IP o
puertos. Tiempo después, algunos IPS fueron comercializados por la empresa One
Secure, la cual fue finalmente adquirida por NetScreen Technologies, que a su vez fue
adquirida por Juniper Networks en 2004. Dado que los IPS fueron extensiones literales
de los sistemas IDS, continúan en relación.
También es importante destacar que los IPS pueden actuar al nivel de equipo, para
combatir actividades potencialmente maliciosas.
Funcionamiento
Entre otras funciones (como en el caso del IDS) se tiene que puede alertar al
administrador ante la detección de intrusiones o actividad maliciosa, mientras que es
exclusivo de un Sistema de Prevención de Intrusos (IPS) establecer políticas de
seguridad para proteger al equipo o a la red de un ataque.
De ahí que se diga que un IPS protege a una red o equipo de manera proactiva
mientras que un IDS lo hace de manera reactiva.
1. Basados en Red Lan (NIPS): monitorean la red lan en busca de tráfico de red
sospechoso al analizar la actividad por protocolo de comunicación lan. 2. Basados en
Red Wireless (WIPS): monitorean la red inalámbrica en busca de tráfico sospechoso al
analizar la actividad por protocolo de comunicación inalámbrico. 3. Análisis de
comportamiento de red (NBA): Examina el tráfico de red para identifica amenazas que
generan tráfico inusual, como ataques de denegación de servicio ciertas formas de
malware y violaciones a políticas de red. 4. Basados en Host (HIPS): Se efectúa
mediante la instalación de paquetes de software que monitoran un host único en busca
de actividad sospechosa
Una firma tiene la capacidad de reconocer una determinada cadena de bytes en cierto
contexto, y entonces lanza una alerta. Por ejemplo, los ataques contra los servidores
Web generalmente toman la forma de URLs. Por lo tanto se puede buscar utilizando
un cierto patrón de cadenas que pueda identificar ataques al servidor web. Sin
embargo, como este tipo de detección funciona parecido a un antivirus, el
administrador debe verificar que las firmas estén constantemente actualizadas.
En este tipo de detección, el IPS requiere que se declaren muy específicamente las
políticas de seguridad. Por ejemplo, determinar que hosts pueden tener comunicación
con determinadas redes. El IPS reconoce el tráfico fuera del perfil permitido y lo
descarta.
Este tipo de detección tiende a generar muchos falsos positivos, ya que es sumamente
difícil determinar y medir una condición ‘normal’. En este tipo de detección tenemos
dos opciones:
Aquí se utiliza un distractor. Se asigna como honey pot un dispositivo que pueda lucir
como atractivo para los atacantes. Los atacantes utilizan sus recursos para tratar de
ganar acceso en el sistema y dejan intactos los verdaderos sistemas. Mediante esto,
se puede monitorizar los métodos utilizados por el atacante e incluso identificarlo, y de
esa forma implementar políticas de seguridad acordes en nuestros sistemas de uso
real.
WAF
Hay 2 tipos de WAF: Los que se residen en la red (es decir son un elemento más de la
red) y los que se basan en el servidor de aplicaciones (residen en el servidor).
Los WAF son elementos complementarios a las medidas de seguridad que soportan
los Firewall clásicos.
SMTP
El procesamiento local que se presenta puede ser realizado en una sola máquina o
partido entre varias aplicaciones; en este segundo caso, los procesos implicados
pueden compartir archivos; aquí SMTP es usado para la transferencia de mensajes
internamente, con cada uno de los hosts configurados para usar la siguiente aplicación
como un anfitrión elegante. Para lograr la localización del servidor objetivo, el MTA
divisorio tiene que usar el sistema de nombre de dominio (DNS) para lograr la
búsqueda del registro interno de cambiado de correo conocido como registro MX para
la esfera del recipiente (la parte de la dirección a la derecha). Es en ese instante
cuando el registro de MX devuelto contiene el nombre del anfitrión objetivo.[cita requerida]
Luego el MTA se une al servidor de cambio como un cliente SMTP. Una vez que MX
acepta el mensaje entrante, este a su vez se lo da a un agente de entrega de correo
(MDA) para luego ser llevado a la entrega de correo local. El MDA, además de
entregar mensajes es también capaz de salvar mensajes en un buzón de formato, y la
recepción de correo puede ser realizada usando muchas computadoras. Hay dos
formas en que un MDA puede entregar mensajes: ya sea enviándolos directamente al
almacenamiento, o expedirlos sobre una red usando SMTP. Una vez entregado al
servidor de correo local, dicho correo es almacenado para la recuperación de la
hornada. Su recuperación se logra por medio de las aplicaciones de usuario final,
conocidas como clientes de correo electrónico, usando el Protocolo de Acceso de
Mensaje de Internet (IMAP), este protocolo que facilita tanto el acceso para enviar,
como el manejo de correo almacenado.
Puertos
Los administradores de servidor pueden elegir si los clientes utilizan TCP puerto 25
(SMTP) o el puerto 587 (Presentación) para retransmitir el correo saliente a una inicial
del servidor de correo.3 Las especificaciones y muchos servidores soportan ambos.
Aunque algunos servidores soportan el puerto 465 para el legado SMTP seguro en
violación de las especificaciones, es preferible utilizar los puertos estándar y
comandos ESMTP estándar de acuerdo con RFC 3207, si se debe utilizar una sesión
segura entre el cliente y el servidor.
Algunos servidores SMTP soportan el acceso autenticado en otro puerto que no sea
587 o 25 para permitir a los usuarios conectarse a ellos, incluso si el puerto 25 está
bloqueado, pero 587 es el puerto estándar y ampliamente apoyada por los usuarios
enviar correo nuevo. Microsoft Exchange Server 2013 SMTP puede escuchar en los
puertos 25, 587, 465, 475, y 2525, en función de servidor y si los roles se combinan en
un solo servidor.[cita requerida] Los puertos 25 y 587 se utilizan para proporcionar la
conectividad del cliente con el servicio de transporte en la parte delantera de la función
de servidor de acceso de cliente (CAS). Los puertos 25, 465 y 475 son utilizados por el
servicio de transporte de buzón de correo. Sin embargo, cuando la función de buzón
se combina con la función de CAS en un único servidor, el puerto 2525 se utiliza por la
función de buzón de SMTP desde el servicio de transporte de extremo delantero del
CAS, CAS, mientras que continúa para utilizar el puerto 25. Puerto 465 es utilizado por
el servicio de transporte de buzón de correo para recibir las conexiones de cliente
proxy de la función CAS. Puerto 475 es utilizado por la función de buzón para
comunicarse directamente con otras funciones de buzón, la transferencia de correo
entre el servicio de envío de transporte de buzón de correo y el servicio de entrega de
transporte buzón.4
Ellos son:
Puede que el servidor SMTP soporte las extensiones definidas en el RFC 1651, en
este caso, la orden HELO puede ser sustituida por la orden EHLO, con lo que el
servidor contestará con una lista de las extensiones admitidas. Si el servidor no
soporta las extensiones, contestará con un mensaje "500 Syntax error, command
unrecognized".
De los tres dígitos del código numérico, el primero indica la categoría de la respuesta,
estando definidas las siguientes categorías:
Una vez que el servidor recibe el mensaje finalizado con un punto puede almacenarlo
si es para un destinatario que pertenece a su dominio, o bien retransmitirlo a otro
servidor para que finalmente llegue a un servidor del dominio del receptor.
Ejemplo de una comunicación SMTP
Cabecera: en el ejemplo las tres primeras líneas del mensaje son la cabecera.
En ellas se usan unas palabras clave para definir los campos del mensaje.
Estos campos ayudan a los clientes de correo a organizarlos y mostrarlos. Los
más típicos son subject (asunto), from (emisor) y to (receptor). Éstos dos
últimos campos no hay que confundirlos con las órdenes MAIL FROM y RCPT
TO, que pertenecen al protocolo, pero no al formato del mensaje.
Cuerpo del mensaje: es el mensaje propiamente dicho. En el SMTP básico
está compuesto únicamente por texto, y finalizado con una línea en la que el
único carácter es un punto.
On-Demand Mail Relay (ODMR por sus siglas en Inglés) es una extensión de SMTP
estandarizada en la RFC 2645 que permite que el correo electrónico sea transmitido al
receptor después de que él ha sido aprobado. Usa la orden de SMTP ampliada ATRN,
disponible para la direcciones de IP dinámicas. El cliente publica EHLO y órdenes de
AUTH de servicios ODMR de correo, ODMR comienza a actuar como un cliente SMTP
y comienza a enviar todos los mensajes dirigidos a un cliente usando el protocolo
SMTP, al iniciar sesión el cortafuegos o el servidor pueden bloquear la sesión entrante
debido a IP dinámicas. Sólo el servidor ODMR, el proveedor del servicio, debe
escuchar las sesiones SMTP en una dirección de IP fija.
Internacionalización
Muchos usuarios cuyo lenguaje base no es el latín han tenido dificultades con el
requisito de correo electrónico en América. RFC 6531 fue creado para resolver ese
problema, proporcionando características de internacionalización de SMTP, la
extensión SMTPUTF8. RFC 6531 proporciona soporte para caracteres de varios bytes
y no para ASCII en las direcciones de correo electrónico. El soporte del
internacionalización actualmente es limitada pero hay un gran interés en la ampliación
de el RFC 6531. RFC en países como en china, que tiene una gran base de usuarios
en América.
Mediante este sistema, el servidor SMTP relativo al ISP no permitirá el acceso de los
usuarios que están fuera de la red del ISP. Específicamente, el servidor solo puede
permitir el acceso de aquellos usuarios cuya dirección IP fue proporcionada por el ISP,
lo cual es equivalente a exigir que estén conectados a internet mediante el mismo ISP.
Un usuario móvil suele estar a menudo en una red distinta a la normal de su ISP, y
luego descubrir que el envío de correo electrónico falla porque la elección del servidor
SMTP configurado ya no es accesible. Este sistema tiene distintas variaciones, por
ejemplo, el servidor SMTP de la organización sólo puede proporcionar servicio a los
usuarios en la misma red, esto se hace cumplir mediante cortafuegos para bloquear el
acceso de los usuarios en general a través de Internet. O puede que el servicio realice
comprobaciones de alcance en la dirección IP del cliente. Estos métodos son
utilizados normalmente por empresas e instituciones, como las universidades que
proporcionan un servidor SMTP para el correo saliente solo para su uso interno dentro
de la organización. Sin embargo, la mayoría de estos organismos utilizan ahora
métodos de autenticación de cliente, tal como se describe a continuación. Al restringir
el acceso a determinadas direcciones IP, los administradores de servidores pueden
reconocer fácilmente la dirección IP de cualquier agresor. Como esta representa una
dirección significativa para ellos, los administradores pueden hacer frente a la máquina
o usuario sospechoso. Cuando un usuario es móvil, y puede utilizar diferentes
proveedores para conectarse a internet, este tipo de restricción de uso es costoso, y la
alteración de la configuración perteneciente a la dirección de correo electrónico del
servidor SMTP saliente resulta ser poco práctica. Es altamente deseable poder utilizar
la información de configuración del cliente de correo electrónico que no necesita
cambiar.
Seguridad y spam
Una de las limitaciones del SMTP original es que no facilita métodos de autenticación
a los emisores, así que se definió la extensión SMTP-AUTH en RFC 2554.
A pesar de esto, el spam es aún el mayor problema. No se cree que las extensiones
sean una forma práctica para prevenirlo. Internet Mail 2000 es una de las propuestas
para reemplazarlo.[cita requerida]
Diferentes metodologías han aparecido para combatir el spam. Entre ellas destacan
DKIM, Sender Policy Framework (SPF) y desde el 2012 Domain-based Message
Authentication, Reporting and Conformance (DMARC).5
GATEWAY ANTIVIRUS
Gateway Anti-Virus permite a las aplicaciones en toda la empresa para comprobar los
archivos en busca de virus, proporcionando una JABÓN detección de virus basada en
servicios web. Las aplicaciones cliente adjuntar archivos a los mensajes SOAP y
someterlos al servicio Web Gateway Anti-Virus. El servicio web utiliza ClamAV para
escanear los archivos adjuntos en busca de virus y devuelve los resultados al cliente.
UTM
PRODUCTOS FORTINET