Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Administración de
servidores de correo electrónico sus
protocolos. Administración de
contenedores y microservicios.
4. Administración de redes de área
local. Gestión de usuarios. Gestión de
dispositivos. Monitorización y control
de tráfico.
6. Comunicaciones. Medios de
transmisión. Modos de comunicación.
Equipos terminales y equipos de
interconexión y conmutación. Redes de
comunicaciones. Redes de
conmutación y redes de difusión.
Comunicaciones móviles e
inalámbricas.
7. El modelo TCP/IP y el modelo de
referencia de interconexión de sistemas
2
Videos y cursos
Cisco CCNA 200-301: The Complete Guide to Getting Certified
CompTIA Network+ Certification (N10-008): The Total Course
The Complete Practical Docker Guide
Aunque los modelos de redes patentados definidos por el proveedor a menudo funcionaban
bien, tener un modelo de red abierto e independiente del proveedor ayudaría a la competencia y
reduciría la complejidad. La Organización Internacional para la Estandarización (ISO) asumió
la tarea de crear un modelo de este tipo, comenzando a fines de la década de 1970, comenzando
a trabajar en lo que se conocería como el modelo de red de Interconexión de Sistemas
Abiertos (OSI). ISO tenía un objetivo noble para el modelo OSI: estandarizar los protocolos de
redes de datos para permitir la comunicación entre todas las computadoras en todo el planeta.
ISO trabajó hacia esta meta ambiciosa y noble, con participantes de la mayoría de las naciones
tecnológicamente desarrolladas en la Tierra participando en el proceso.
Un segundo esfuerzo menos formal para crear un modelo de red pública, abierto e
independiente del proveedor surgió de un contrato del Departamento de Defensa de EE. UU.
(DoD). Investigadores de varias universidades se ofrecieron como voluntarios para ayudar a
desarrollar aún más los protocolos que rodean el trabajo original del Departamento de Defensa.
Estos esfuerzos dieron como resultado un modelo de red abierto competitivo llamado TCP/IP.
Durante la década de 1990, las empresas comenzaron a agregar OSI, TCP/IP o ambos a sus
redes empresariales; sin embargo, a fines de la década de 1990, TCP/IP se había convertido en
2
El modelo TCP/IP muestra los términos y capas más comunes que se utilizan cuando la gente
habla de TCP/IP en la actualidad. La capa inferior se enfoca en cómo transmitir bits a través de
cada enlace individual. La capa de enlace de datos se enfoca en enviar datos a través de un tipo
de enlace físico: por ejemplo, las redes usan diferentes protocolos de enlace de datos para las
LAN Ethernet en comparación con las LAN inalámbricas. La capa de red se enfoca en entregar
datos a lo largo de toda la ruta desde la computadora de envío original hasta la computadora de
destino final. Y las dos capas superiores se enfocan más en las aplicaciones que necesitan enviar
y recibir datos.
Capa de arquitectura TCP/IP Protocolo de ejemplo
Solicitud HTTP,PO3,SMTP
Transporte TCP,UDP
Red IP,
Enlace a datos Ethernet, 802.11 (Wi-Fi)
servicios que necesitan las aplicaciones. Por ejemplo, el protocolo de aplicación HTTP define
cómo los navegadores web pueden extraer el contenido de una página web desde un servidor
web. En resumen, la capa de aplicación proporciona una interfaz entre el software que se ejecuta
en una computadora y la red misma.
La aplicación del navegador web y la aplicación del servidor web, usan un protocolo de capa de
aplicación TCP/IP: para realizar la solicitud de una página web y devolver el contenido de la
página web, las aplicaciones utilizan el Protocolo de transferencia de hipertexto (HTTP).
El mensaje comienza con un encabezado HTTP, con un código de retorno (200), lo que
significa algo tan simple como "OK" devuelto en el encabezado. HTTP también define otros
códigos de retorno para que el servidor pueda decirle al navegador si la solicitud funcionó.
Capa de transporte TCP/IP
Aunque existen muchos protocolos de capa de aplicación de TCP/IP, la capa de transporte de
TCP/IP incluye un número menor de protocolos. Los dos protocolos de capa de transporte más
utilizados son el Protocolo de control de transmisión (TCP) y el Protocolo de datagramas
de usuario (UDP).
TCP/IP necesita un mecanismo para garantizar la entrega de datos a través de una red. Debido a
que muchos protocolos de capa de aplicación probablemente deseen una forma de garantizar la
entrega de datos a través de una red, los creadores de TCP incluyeron una función de
recuperación de errores. Para recuperarse de errores, TCP utiliza el concepto de
reconocimientos.
2
El paso 1, a la izquierda de la Figura anterior, comienza cuando Larry está listo para enviar un
paquete IP. El proceso IP de Larry elige enviar el paquete a algún enrutador, un enrutador
cercano en la misma LAN, con la expectativa de que el enrutador sepa cómo reenviar el
paquete. (Esta lógica es muy similar a que usted o yo enviemos todas nuestras cartas
colocándolas en un buzón cercano). Larry no necesita saber nada más sobre la topología o los
otros enrutadores.
necesarios para entregar datos a través de alguna red física. Los dos trabajan juntos muy de
cerca; de hecho, algunos estándares definen tanto el enlace de datos como las funciones de la
capa física. La capa física define el cableado y la energía (por ejemplo, señales eléctricas) que
fluyen por los cables.
El enrutador R1
desencapsula el
paquete IP de la
trama de
2
Ethernet
eliminando y
descartando el
encabezado y el
tráiler de
Ethernet.
Al hablar y escribir sobre redes, las personas usan segmento, paquete y marco para referirse a
los mensajes que se muestran en la Figura anterior y la lista relacionada. Cada término tiene un
significado específico, que se refiere a los encabezados (y posiblemente a los avances) definidos
Aunque hoy en día el mundo usa TCP/IP en lugar de OSI, tendemos a usar la numeración de la
capa OSI. Por ejemplo, cuando se hace referencia a un protocolo de capa de aplicación en una
red TCP/IP, el mundo todavía se refiere al protocolo como un "protocolo de capa 7". Además,
mientras que TCP/IP incluye más funciones en su capa de aplicación, OSI las divide en capas de
sesión, presentación y aplicación. La mayoría de las veces, a nadie le importa mucho la
distinción, por lo que verá referencias como "Protocolo de capa 5-7", nuevamente utilizando la
numeración OSI.
2
Un ejemplo de software de cliente es un navegador web, como Chrome o Firefox. Una sola
computadora también puede ejecutar múltiples tipos de software de cliente; por ejemplo, un
usuario puede revisar el correo electrónico y ver una página web mientras envía mensajes y
escucha una transmisión de audio.
El software del cliente y del servidor generalmente se ejecuta en computadoras separadas, pero
también es posible que una computadora se use para ambas funciones al mismo tiempo. En las
Los dispositivos intermediarios conectan dispositivos finales individuales a una red. Pueden
conectar varias redes individuales para formar una interred. Estos dispositivos intermediarios
brindan conectividad y aseguran que los datos fluyan a través de la red.
Los dispositivos intermediarios usan la dirección del dispositivo final de destino, junto con la
información sobre las interconexiones de la red, para determinar la ruta que deben tomar los
mensajes a través de la red. La Figura siguiente muestra ejemplos de los dispositivos
intermediarios más comunes:
2
Un diagrama proporciona una manera fácil de comprender cómo se conectan los dispositivos en
una red. Este tipo de “imagen” de una red se conoce como diagrama de topología. La capacidad
de reconocer las representaciones lógicas de los componentes físicos de la red es fundamental
para poder visualizar la organización y el funcionamiento de una red.
Además de estas representaciones, se utiliza terminología especializada para describir cómo
cada uno de estos dispositivos y medios se conectan entre sí:
Tarjeta de interfaz de red (NIC): una NIC conecta físicamente un dispositivo final a
una red.
Puerto físico: un puerto es un conector o una salida en un dispositivo de red donde un
medio se conecta a un dispositivo final u otro dispositivo de red.
Interfaz: una interfaz es un puerto especializado en un dispositivo de red que se
conecta a una red. Debido a que los enrutadores conectan redes, los puertos de un
enrutador se conocen como interfaces de red.
Diagramas de topología física
2
Un diagrama de topología física ilustra las ubicaciones físicas de los dispositivos intermediarios
y la instalación de cables, como se muestra en la Figura siguiente:
Una LAN es una infraestructura de red que abarca un área geográfica pequeña. Las LAN tienen
características específicas:
Las LAN interconectan dispositivos finales en un área limitada, como un hogar, una
escuela, un edificio de oficinas o un campus.
Una LAN generalmente es administrada por una sola organización o individuo. El
control administrativo se aplica a nivel de red y rige las políticas de seguridad y control
de acceso.
Las LAN proporcionan ancho de banda de alta velocidad a los dispositivos finales
2
Intranets y Extranets
Otros dos términos son similares al término internet: intranet y extranet.
El término intranet se usa a menudo para referirse a una conexión privada de LAN y WAN que
pertenece a una organización. Una intranet está diseñada para que solo los miembros de la
organización, los empleados u otras personas con autorización puedan acceder a ella.
Una organización puede usar una extranet para brindar acceso seguro a las personas que
trabajan para una organización diferente pero que requieren acceso a los datos de la
organización.
2
Computación en la nube
La computación en la nube es una de las formas en que accedemos y almacenamos datos. La
computación en la nube nos permite almacenar archivos personales, incluso hacer una copia de
seguridad de un disco completo, en servidores a través de Internet. Se puede acceder a
aplicaciones como el procesamiento de textos y la edición de fotografías mediante la nube.
Para las empresas, la computación en la nube amplía las capacidades de TI sin necesidad de
invertir en nueva infraestructura, capacitación para nuevo personal o licencias de nuevo
software. Estos servicios están disponibles bajo demanda y se entregan económicamente a
cualquier dispositivo que se encuentre en cualquier parte del mundo sin comprometer la
seguridad.
La computación en la nube es posible gracias a los centros de datos. Los centros de datos son
instalaciones que se utilizan para albergar sistemas informáticos y componentes asociados. Un
centro de datos puede ocupar una habitación de un edificio, uno o más pisos, o un edificio
completo del tamaño de un almacén. Los centros de datos suelen ser muy caros de construir y
mantener. Por esta razón, solo las grandes organizaciones utilizan centros de datos construidos
de forma privada para alojar sus datos y brindar servicios a los usuarios. Las organizaciones
más pequeñas que no pueden costear el mantenimiento de sus propios centros de datos privados
2
Seguridad de red
La seguridad es un componente crítico en el diseño, implementación y mantenimiento de redes.
Los ingenieros y administradores de redes siempre deben considerar los riesgos de seguridad y
Idealmente, todos los componentes trabajan juntos para minimizar el mantenimiento y mejorar
la seguridad. Las redes más grandes y las redes corporativas usan antivirus, antispyware y
filtrado de firewall, y también tienen requisitos de seguridad adicionales:
Sistemas de firewall dedicados: proporcionan capacidades de firewall más avanzadas
que pueden filtrar grandes cantidades de tráfico con más granularidad.
Listas de control de acceso (ACL): las ACL filtran aún más el acceso y el reenvío de
tráfico en función de las direcciones IP y las aplicaciones.
Sistemas de prevención de intrusiones (IPS): estos sistemas identifican amenazas de
rápida propagación, como ataques de día cero o de hora cero.
Propósito de un SO
Los sistemas operativos de red son similares a los sistemas operativos de PC. A través de una
GUI, el sistema operativo de una PC permite al usuario hacer lo siguiente:
2
El conmutador carga un
programa de autoprueba
de encendido (POST)
El conmutador carga el
almacenado en la memoria El cargador de arranque
software del cargador de
de solo lectura (ROM). La realiza una inicialización de
arranque . El cargador de
POST comprueba el CPU de bajo nivel. Inicializa
arranque es un pequeño
subsistema de la unidad los registros de la CPU, que
programa almacenado en
central de procesamiento controlan dónde se asigna
la ROM que se ejecuta
(CPU) . Comprueba la CPU, la memoria física, la
inmediatamente después
la memoria dinámica de cantidad de memoria y su
de que POST se completa
acceso aleatorio (DRAM) y velocidad
con éxito.
la parte del dispositivo
flash que constituye el
sistema de archivos flash.
Finalmente, el
El cargador de cargador de arranque
arranque localiza y carga una
inicializa el imagen de software
sistema de del sistema operativo
archivos flash en IOS predeterminado
la placa del en la memoria y le da
sistema el control del cambio
2
al IOS.
Dominio Definición
Sistema de arranque Comando principal
flash Dispositivo de almacenamiento
c2960-lanbasek9-mz.150-2.SE/ Ruta al sistema de archivos
c2960-lanbasek9-mz.150-2.SE.bin Nombre del archivo IOS
Las configuraciones no coincidentes para el modo dúplex y la velocidad de los puertos del
conmutador pueden causar problemas de conectividad. El error de negociación automática
crea configuraciones no coincidentes.
Todos los puertos de fibra óptica, como los puertos 1000BASE-SX, funcionan solo a una
2
Si la interfaz está activa, pero los problemas de conectividad aún están presentes:
Con el comando show interfaces, busque indicaciones de ruido excesivo. Las
indicaciones pueden incluir un aumento en los contadores de errores pequeños, gigantes
y CRC. Si hay un ruido excesivo, primero busque y elimine la fuente del ruido, si es
posible. Además, verifique que el cable no exceda la longitud máxima del cable y
verifique el tipo de cable que se utiliza.
https://www.scribd.com/document/535086394/1-5-10-Packet-Tracer-Verify-Directly-
Connected-Networks
2
Mientras que los estándares de la capa física se enfocan en enviar bits a través de un cable, los
protocolos de enlace de datos de Ethernet se enfocan en enviar una trama de Ethernet desde el
nodo Ethernet de origen al destino. Desde una perspectiva de enlace de datos, los nodos
construyen y reenvían tramas.
Las tres capas exteriores del cable protegen el interior del cable y hacen que los cables sean más
fáciles de instalar y manejar, mientras que el revestimiento interior y el núcleo trabajan juntos
para crear el entorno que permite la transmisión de luz a través del cable. Una fuente de luz,
llamada transmisor óptico, proyecta una luz en el núcleo. La luz puede atravesar el núcleo; sin
embargo, la luz se refleja en el revestimiento de regreso al núcleo.
Estándar Tipo de cable Distancia máxima
10GBASE-S MM 400mts
10GBASE-LX4 MM 300mts
10GBASE-LR SM 10kms
2
10GBASE-E SM 30kms
Direccionamiento Ethernet
Los campos de dirección Ethernet de origen y destino juegan un papel muy importante en el
funcionamiento de las LAN Ethernet. La idea general para cada uno es relativamente simple: el
nodo de envío coloca su propia dirección en el campo de dirección de origen y la dirección del
dispositivo de destino Ethernet previsto en el campo de dirección de destino. El remitente
transmite la trama, esperando que la LAN Ethernet, como un todo, entregue la trama a ese
destino correcto.
Las direcciones Ethernet, también llamadas direcciones de control de acceso a medios (MAC),
son números binarios de 6 bytes (48 bits). Para mayor comodidad, la mayoría de las
computadoras enumeran las direcciones MAC como números hexadecimales de 12 dígitos.
La mayoría de las direcciones MAC representan una sola NIC u otro puerto Ethernet, por lo que
estas direcciones a menudo se denominan direcciones Ethernet de unidifusión. El término
unidifusión es simplemente una forma formal de referirse al hecho de que la dirección
representa una interfaz a la LAN Ethernet
La idea completa de enviar datos a una dirección MAC de unidifusión de destino funciona bien,
pero solo funciona si todas las direcciones MAC de unidifusión son únicas. Si dos NIC
intentaran usar la misma dirección MAC, podría haber confusión. (El problema sería como la
confusión causada al servicio postal si usted y yo intentáramos usar la misma dirección de
correo: ¿el servicio postal entregaría el correo a su casa o a la mía?) Si dos PC en la misma
Ethernet intentaran usar la misma dirección MAC, ¿a qué PC se deben enviar las tramas
enviadas a esa dirección MAC?
Ethernet resuelve este problema mediante un proceso administrativo de modo que, en el
momento de la fabricación, a todos los dispositivos Ethernet se les asigna una dirección MAC
única universal. Antes de que un fabricante pueda construir productos Ethernet, debe solicitar al
IEEE que le asigne al fabricante un código de 3 bytes universalmente único, denominado
identificador único de la organización (OUI). El fabricante acepta otorgar a todas las NIC (y
2
otros productos Ethernet) una dirección MAC que comienza con su OUI de 3 bytes asignado. El
fabricante también asigna un valor único para los últimos 3 bytes, un número que el fabricante
nunca ha usado con ese OUI. Como resultado, la dirección MAC de cada dispositivo del
universo es única.
Las direcciones Ethernet tienen muchos nombres: dirección LAN, dirección Ethernet, dirección
de hardware, dirección grabada, dirección física, dirección universal o dirección MAC. Por
ejemplo, el término dirección grabada (BIA) se refiere a la idea de que una dirección MAC
permanente ha sido codificada (grabada) en el chip ROM en la NIC. Como otro ejemplo, el
IEEE usa el término dirección universal para enfatizar el hecho de que la dirección asignada a
una NIC por un fabricante debe ser única entre todas las direcciones MAC del universo.
Dirección de difusión: las tramas enviadas a esta dirección deben enviarse a todos los
dispositivos de la LAN Ethernet. Tiene un valor de FFFF.FFFF.FFFF.
Direcciones de multidifusión: las tramas enviadas a una dirección Ethernet de
multidifusión se copiarán y reenviarán a un subconjunto de dispositivos en la LAN.
Mientras que los campos de dirección del encabezado de Ethernet juegan un papel importante y
más obvio en las LAN de Ethernet, el campo Tipo de Ethernet juega un papel mucho menos
obvio. El campo Tipo de Ethernet, o EtherType, se encuentra en el encabezado de la capa de
enlace de datos de Ethernet, pero su propósito es ayudar directamente al procesamiento de la red
en los enrutadores y hosts. Básicamente, el campo Tipo identifica el tipo de paquete de capa de
red (Capa 3) que se encuentra dentro de la trama de Ethernet.
El host original tiene un lugar para insertar un valor (un número hexadecimal) para identificar el
tipo de paquete encapsulado dentro de la trama de Ethernet. Sin embargo, ¿qué número debe
poner el remitente en el encabezado para identificar un paquete IPv4 como el tipo? ¿O un
paquete IPv6? Resulta que IEEE administra una lista de valores EtherType, de modo que cada
protocolo de capa de red que necesita un valor EtherType único puede tener un número. El
remitente solo tiene que conocer la lista.
2
1. PC1 crea y envía la trama Ethernet original, utilizando su propia dirección MAC como
dirección de origen y la dirección MAC de PC2 como dirección de destino.
2. El conmutador SW1 recibe y reenvía la trama Ethernet desde su interfaz G0/1
(abreviatura de interfaz Gigabit 0/1) a SW2.
3. El switch SW2 recibe y reenvía la trama Ethernet desde su interfaz F0/2 (abreviatura de
interfaz Fast Ethernet 0/2) a la PC2.
4. La PC2 recibe la trama, reconoce la dirección MAC de destino como propia y procesa
la trama.
Los nodos que usan lógica semidúplex en realidad usan un algoritmo relativamente conocido
llamado acceso múltiple con detección de portadora con detección de colisión (CSMA/CD).
El algoritmo se ocupa de los casos obvios, pero también de los casos causados por una
sincronización desafortunada; por ejemplo, dos nodos podrían comprobar si hay una trama
entrante exactamente en el mismo instante, ambos se dan cuenta de que ningún otro nodo está
enviando y ambos envían sus tramas exactamente en el mismo instante, provocando una
colisión. CSMA/CD también cubre estos casos, de la siguiente manera:
Paso 1. Un dispositivo con una trama para enviar escucha hasta que la red Ethernet no esté
ocupada.
Paso 2. Cuando Ethernet no está ocupada, el remitente comienza a enviar la trama.
Paso 3. El remitente escucha mientras envía para descubrir si ocurre una colisión; las colisiones
pueden ser causadas por muchas razones, Si ocurre una colisión, todos los nodos que envían
actualmente hacen lo siguiente:
A. Envían una señal de interferencia que les dice a todos los nodos que ocurrió una colisión.
B. Eligen de forma independiente un tiempo aleatorio para esperar antes de volver a intentarlo,
para evitar tiempos desafortunados.
C. El próximo intento comienza de nuevo en el Paso 1.
2
Con el paso del tiempo, el IEEE mejoró los estándares de Ethernet de manera que convirtió a
Ethernet en una tecnología WAN razonable; por ejemplo, el estándar 1000BASE-LX utiliza
cableado de fibra monomodo, con soporte para una longitud de cable de 5 km; el estándar
1000BASE-ZX admite una longitud de cable aún mayor de 70 km. Con el paso del tiempo, y a
medida que IEEE mejoró las distancias de cableado para los enlaces de fibra Ethernet, Ethernet
se convirtió en una tecnología WAN razonable.
En la actualidad, muchos proveedores de servicios (SP) de WAN ofrecen servicios de WAN que
aprovechan Ethernet. Los SP ofrecen una amplia variedad de estos servicios WAN Ethernet,
con muchos nombres diferentes.
Enrutamiento IP
Han existido muchos modelos de protocolo a lo largo de los años, pero hoy domina el modelo
TCP/IP. Y en la capa de red de TCP/IP, existen dos opciones para el protocolo principal en
torno al cual giran todas las demás funciones de la capa de red: IP versión 4 (IPv4) e IP
versión 6 (IPv6). Tanto IPv4 como IPv6 definen los mismos tipos de funciones de capa de red,
pero con detalles diferentes.
El Protocolo de Internet (IP) se centra en el trabajo de enrutamiento de datos, en forma de
paquetes IP, desde el host de origen hasta el host de destino. IP no se ocupa de la transmisión
física de datos, sino que depende de las capas inferiores de TCP/IP para realizar la transmisión
física de los datos. En cambio, IP se preocupa por los detalles lógicos, en lugar de los detalles
físicos, de la entrega de datos. En particular, la capa de red especifica cómo viajan los paquetes
de extremo a extremo a través de una red TCP/IP, incluso cuando el paquete cruza muchos tipos
2
Paso C. R2 procesa la trama entrante y reenvía el paquete a R3. R2 repite el mismo proceso
general que R1 cuando R2 recibe la trama HDLC. R2 verifica el campo FCS y encuentra que no
se produjeron errores y luego descarta el encabezado y el tráiler HDLC. Luego, R2 compara la
dirección de destino del paquete (150.150.4.10) con su tabla de enrutamiento y encuentra la
entrada para la subred 150.150.4.0, una ruta que indica a R2 que envíe el paquete por la interfaz
Fast Ethernet 0/0 al router de siguiente salto 150.150. 3.1 (R3). Pero primero, R2 debe
encapsular el paquete en un encabezado de Ethernet. Ese encabezado usa la dirección MAC de
R2 y la dirección MAC de R3 en el enlace WAN Ethernet como la dirección MAC de origen y
destino, respectivamente.
El encabezado IP
Paso 1. Cada enrutador, independientemente del protocolo de enrutamiento, agrega una ruta a
su tabla de enrutamiento para cada subred conectada directamente al enrutador.
Paso 2. El protocolo de enrutamiento de cada enrutador informa a sus vecinos sobre las rutas en
su tabla de enrutamiento, incluidas las rutas conectadas directamente y las rutas aprendidas de
otros enrutadores.
Paso 3. Después de aprender una nueva ruta de un vecino, el protocolo de enrutamiento del
enrutador agrega una ruta a su tabla de enrutamiento de IP, y el enrutador del siguiente salto de
esa ruta suele ser el vecino del que se aprendió la ruta.
2
Paso A. La subred 150.150.4.0 existe como una subred en la parte inferior de la figura,
conectada al enrutador R3.
Paso B. R3 agrega una ruta conectada para 150.150.4.0 a su tabla de enrutamiento IP; esto
sucede sin la ayuda del protocolo de enrutamiento.
Paso C. R3 envía un mensaje de protocolo de enrutamiento, llamado actualización de
enrutamiento, a R2, lo que hace que R2 conozca la subred 150.150.4.0.
Paso D. R2 agrega una ruta para la subred 150.150.4.0 a su tabla de enrutamiento.
Paso E. R2 envía una actualización de enrutamiento similar a R1, lo que hace que R1 conozca
la subred 150.150.4.0.
Paso F. R1 agrega una ruta para la subred 150.150.4.0 a su tabla de enrutamiento. La ruta
2
Figura 18:Ilustración de origen a destino: entrega desde el origen al conmutador: los encabezados se agregan en
cada capa cuando el mensaje pasa por la pila de protocolos. Ht es el encabezado de la capa de transporte, Hn el
encabezado de la capa de red y Hl el encabezado de la capa de enlace
conjunto con la capa de transporte, vuelve a ensamblar los segmentos para formar el mensaje
que se envió originalmente.
Protocolos de red
Comunicaciones cliente-servidor
Todas las computadoras que están conectadas a una red y que participan directamente en la
comunicación de la red se clasifican como hosts. Los hosts también se denominan dispositivos
finales, puntos finales o nodos. Gran parte de la interacción entre dispositivos finales es tráfico
cliente-servidor. Por ejemplo, cuando accede a una página web en Internet, su navegador web
(el cliente) está accediendo a un servidor. Cuando envía un mensaje de correo electrónico, su
cliente de correo electrónico se conectará a un servidor de correo electrónico.
Los servidores son simplemente computadoras con software especializado. Este software
permite que los servidores proporcionen información a otros dispositivos finales en la red. Un
2
servidor puede ser de un solo propósito, brindando un solo servicio, como páginas web. Un
servidor puede ser polivalente y proporcionar una variedad de servicios, como páginas web,
correo electrónico y transferencias de archivos.
Las computadoras cliente tienen software instalado, como navegadores web, correo electrónico
y aplicaciones de transferencia de archivos. Este software les permite solicitar y visualizar la
información obtenida del servidor. Una sola computadora también puede ejecutar múltiples
tipos de software de cliente. Por ejemplo, un usuario puede consultar el correo electrónico y ver
una página web mientras escucha la radio por Internet.
Formato
Cuando envía un correo electrónico, su dispositivo utiliza los protocolos del conjunto de
protocolos TCP/IP para formatear su mensaje para enviarlo a través de la red. Esto es
similar a enviar una carta por correo. Colocas tu carta en un sobre. El sobre tiene la dirección
del remitente y del destinatario, cada uno ubicado en el lugar apropiado en el sobre. Si la
dirección de destino y el formato no son correctos, la carta no se entrega. El proceso de colocar
un formato de mensaje (la carta) dentro de otro formato de mensaje (el sobre) se denomina
Tiempo
El tiempo incluye el método de acceso (cuándo puede enviar un host), el control de flujo (cuánta
información puede enviar un host a la vez) y el tiempo de espera de respuesta (cuánto tiempo
esperar una respuesta).
Si todos los hosts de la red necesitan recibir el mensaje al mismo tiempo, se puede utilizar una
transmisión.
Los protocolos de red requieren que se utilicen direcciones para la comunicación de red. El
cliente utiliza el direccionamiento para enviar solicitudes y otros datos a un servidor. El servidor
utiliza la dirección del cliente para devolver los datos solicitados al cliente que los solicitó.
Los protocolos operan en capas. Las capas de enlace de datos, red y transporte OSI utilizan
direccionamiento de alguna forma. La capa de transporte utiliza direcciones de protocolo en
forma de números de puerto para identificar aplicaciones de red que deben manejar datos de
clientes y servidores. La capa de red especifica direcciones que identifican las redes a las que
están conectados los clientes y servidores y los propios clientes y servidores. Finalmente, la
capa de enlace de datos especifica los dispositivos en la LAN local que deben manejar tramas
de datos.
2
Multiplexación (Figura siguiente): al enviar piezas individuales más pequeñas desde el origen
al destino, se pueden intercalar muchas conversaciones diferentes en la red. Esto se llama
multiplexación.
A medida que los datos de la aplicación pasan por la pila de protocolos para ser transmitidos a
través de los medios de la red, se encapsulan con información de varios protocolos en cada
nivel.
La forma que adopta un dato encapsulado en cualquier capa se denomina unidad de datos de
protocolo (PDU). Cada capa sucesiva encapsula la PDU que recibe de la capa superior de
acuerdo con el protocolo que se utiliza. En cada etapa del proceso, una PDU tiene un nombre
diferente para reflejar sus nuevas funciones.
3) El protocolo de la capa de aplicación HTTP entrega los datos de la página web con
formato HTML a la capa de transporte. TCP segmenta los datos agregando números de
puerto de origen y destino.
4) La información de IP se agrega al frente de la información de TCP. IP asigna las
direcciones IP de origen y destino adecuadas. El segmento TCP ahora se ha
encapsulado en un paquete IP.
5) El protocolo Ethernet agrega información a ambos extremos del paquete IP para crear
un marco. Este marco se entrega a través de la red hacia el cliente web.
6) El cliente recibe las tramas de enlace de datos que contienen los datos. Cada
encabezado de protocolo se procesa y luego se elimina en el orden opuesto al que se
El protocolo Ethernet
Ethernet opera en la capa de enlace de datos y la capa física, como se muestra en la Figura
siguiente. Es una familia de tecnologías de red que se definen en los estándares IEEE 802.2 y
802.3. Ethernet se basa en las dos subcapas separadas de la capa de enlace de datos para operar,
las subcapas de control de enlace lógico (LLC) y control de acceso a medios (MAC).
El marco Ethernet
2
IPv4
Encapsulación IPv4
Como sabemos, Ethernet opera en el enlace de datos y en las capas físicas del modelo OSI.
Ahora nos centraremos en la capa de red. Así como la capa de enlace de datos encapsula
paquetes IP como marcos, la capa de red encapsula segmentos de la capa de transporte en
paquetes IP, como se muestra en la Figura siguiente:
2
Características de IPv4
Las características básicas de IP, como se muestra en la siguiente, son
sin conexión
IP no tiene conexión, lo que significa que no se crea ninguna conexión dedicada de
extremo a extremo antes de que se envíen los datos. Como se muestra en la Figura siguiente,
la comunicación sin conexión es conceptualmente similar a enviar una carta a alguien sin
notificar al destinatario por adelantado.
tamaño máximo de la PDU que cada medio puede transportar. Esta característica se
denomina unidad máxima de transmisión (MTU). Parte de la comunicación de control entre
la capa de enlace de datos y la capa de red es el establecimiento de un tamaño máximo para el
paquete. La capa de enlace de datos pasa el valor de MTU a la capa de red. Luego, la capa de
red determina como de grandes pueden ser los paquetes.
Los bits dentro de la porción de red de la dirección deben ser idénticos para todos los
dispositivos que residen en la misma red. Los bits dentro de la porción de host de la dirección
deben ser únicos para identificar un host específico dentro de una red.
2
Las secciones resaltadas en amarillo en la figura siguiente identifican los bits AND que
produjeron un 1 binario en la fila de resultados AND. Todas las demás comparaciones de bits
produjeron ceros binarios. Observe cómo el último octeto ya no tiene bits 1 binarios.
Hay varios tipos y clases de direcciones IPv4. Si bien las clases de direcciones se están
volviendo menos importantes en las redes, todavía se usan y se mencionan comúnmente en la
documentación de la red.
Clases de direcciones
En 1981, las direcciones IPv4 se asignaron utilizando direccionamiento con clase, tal como se
define en RFC 790. A los clientes se les asignaba una dirección de red basada en una de tres
clases, A, B o C. RFC dividió los rangos de unidifusión en clases específicas:
Clase A (0.0.0.0/8 a 127.0.0.0/8): diseñado para admitir redes extremadamente grandes
con más de 16 millones de direcciones de host. Usó un prefijo /8 fijo con el primer
octeto para indicar la dirección de red y los tres octetos restantes para direcciones de
host.
Clase B (128.0.0.0/16 a 191.255.0.0/16): diseñado para satisfacer las necesidades de
redes de tamaño moderado a grande con hasta aproximadamente 65 000 direcciones de
host. Usó un prefijo /16 fijo con los dos octetos de orden superior para indicar la
dirección de red y los dos octetos restantes para direcciones de host.
Clase C (192.0.0.0/24 a 223.255.255.0/24): diseñado para admitir redes pequeñas con
un máximo de 254 hosts. Usó un prefijo /24 fijo con los primeros tres octetos para
indicar la red y el octeto restante para las direcciones de host.
2
Sí mismo: un host puede hacer ping a sí mismo enviando un paquete a una dirección IPv4
especial de 127.0.0.1, que se conoce como la interfaz de bucle invertido. Hacer ping a la
interfaz de bucle invertido prueba la pila de protocolos TCP/IP en el host.
Host local: este es un host en la misma red local que el host de envío (de PC1 a PC2). Los
hosts comparten la misma dirección de red.
Host remoto: Este es un host en una red remota. Los hosts no comparten la misma dirección de
red. Observe que R1, un enrutador, se encuentra entre la PC1 y el host remoto. R1 es la puerta
IPv4
Puerta de enlace predeterminada: identifica la puerta de enlace local (es decir, la
dirección IPv4 de la interfaz del enrutador local) para llegar a las redes remotas
La puerta de enlace predeterminada es el dispositivo de red que puede enrutar el tráfico a otras
redes. Es el enrutador el que puede enrutar el tráfico fuera de la red local.
Si usa la analogía de que una red es como una habitación, entonces la puerta de enlace
predeterminada es como una entrada. Si desea llegar a otra habitación o red, debe encontrar la
puerta.
IPv6 está diseñado para ser el sucesor de IPv4. IPv6 tiene un espacio de direcciones de 128 bits,
lo que proporciona 340 undecillones de direcciones. (Ese es el número 340, seguido de 36
ceros). Sin embargo, IPv6 es más que un grupo más grande de direcciones. Cuando el Grupo de
Cuando nos referimos a 8 bits de una dirección IPv4, usamos el término octeto. En IPv6, un
hexteto es el término no oficial que se usa para referirse a un segmento de 16 bits o cuatro
valores hexadecimales. Cada “x” es un solo hexteto, 16 bits o cuatro dígitos hexadecimales.
Descripción Dirección Ipv6
Completamente expandido 2001:0DB8:0000:1111:0000:0000:0000:0200
Sin ceros iniciales 2001:DB8:0:1111:0:0:0:200
Comprimido 2001:DB8:0:1111::200
Verificación de conectividad
2
ICMP
Mensajes ICMPv4
Aunque IP es solo un protocolo de mejor esfuerzo, la suite TCP/IP proporciona el envío de
mensajes en caso de ciertos errores. Estos mensajes se envían utilizando los servicios de ICMP.
El propósito de estos mensajes es proporcionar comentarios sobre problemas relacionados con
el procesamiento de paquetes IP bajo ciertas condiciones, no hacer que IP sea confiable. Los
mensajes de control y de error implementados por ICMPv4; sin embargo, ICMPv6 tiene nuevas
funciones mejoradas que no se encuentran en ICMPv4. Los mensajes ICMPv6 se encapsulan en
IPv6.
ICMPv6 incluye cuatro nuevos protocolos como parte del Protocolo de descubrimiento de
vecinos (ND o NDP).
Mensajería entre un enrutador IPv6 y un dispositivo IPv6:
Mensaje de solicitud de enrutador (RS)
Mensaje de anuncio de enrutador (RA)
Mensajería entre dispositivos IPv6:
MAC e IP
Las direcciones IP se utilizan para identificar la dirección del dispositivo de origen original y el
dispositivo de destino final. La dirección IP de destino puede estar en la misma red IP que la
fuente o puede estar en una red remota.
Las direcciones físicas o de capa 2, como las direcciones MAC de Ethernet, tienen un
propósito diferente. Estas direcciones se utilizan para entregar la trama de enlace de datos
con el paquete IP encapsulado de una NIC a otra NIC en la misma red. Si la dirección IP
de destino está en la misma red, la dirección MAC de destino será la del dispositivo de
destino.
ARP
Recuerde que cada dispositivo con una dirección IP en una red Ethernet también tiene una
dirección MAC Ethernet. Cuando un dispositivo envía una trama Ethernet, contiene estas dos
direcciones:
Funciones ARP
Cuando se envía un paquete a la capa de enlace de datos para encapsularlo en una trama de
Ethernet, el dispositivo consulta una tabla en su memoria para encontrar la dirección MAC que
se asigna a la dirección IPv4. Esta tabla se denomina tabla ARP o caché ARP. La tabla ARP
se almacena en la memoria RAM del dispositivo.
El dispositivo de envío buscará en su tabla ARP una dirección IPv4 de destino y una dirección
MAC correspondiente. Si la dirección IPv4 de destino del paquete está en la misma red que la
dirección IPv4 de origen, el dispositivo buscará en la tabla ARP la dirección IPv4 de destino. Si
la dirección IPv4 de destino está en una red diferente a la dirección IPv4 de origen, el
dispositivo buscará en la tabla ARP la dirección IPv4 de la puerta de enlace predeterminada.
En ambos casos, la búsqueda es para una dirección IPv4 y una dirección MAC correspondiente
para el dispositivo.
Cada entrada o fila de la tabla ARP vincula una dirección IPv4 con una dirección MAC.
Llamamos mapa a la relación entre los dos valores. Simplemente significa que puede ubicar
una dirección IPv4 en la tabla y descubrir la dirección MAC correspondiente . La tabla ARP
guarda temporalmente (cachés) la asignación de los dispositivos en la LAN.
2
Los comandos también se pueden usar para eliminar manualmente todas o algunas de las
entradas en la tabla ARP. Después de eliminar una entrada, el proceso para enviar una solicitud
ARP y recibir una respuesta ARP debe ocurrir nuevamente para ingresar el mapa en la tabla
ARP.
Tablas ARP en dispositivos de red
Los hosts de red y los enrutadores mantienen tablas ARP. La información ARP se mantiene en
la memoria de estos dispositivos en lo que comúnmente se denomina caché ARP. Las entradas
de la tabla se retienen durante un período de tiempo hasta que caducan y se eliminan
automáticamente de la memoria caché ARP. Esto asegura la precisión de las asignaciones.
Suplantación de ARP
En algunos casos, el uso de ARP puede conducir a un posible riesgo de seguridad conocido
como suplantación de identidad de ARP o envenenamiento de ARP. Esta es una técnica
utilizada por un atacante para responder a una solicitud ARP de una dirección IPv4 que
pertenece a otro dispositivo, como la puerta de enlace predeterminada, como se muestra en la
Figura siguiente. El atacante envía una respuesta ARP con su propia dirección MAC. El
receptor de la respuesta ARP agregará la dirección MAC incorrecta a su tabla ARP y
enviará estos paquetes al atacante.
La capa de transporte
Enviar algunos tipos de datos (por ejemplo, una transmisión de video) a través de una red, como
una transmisión de comunicación completa, puede consumir todo el ancho de banda disponible.
Esto evitará que se produzcan otras comunicaciones al mismo tiempo; también dificultaría la
recuperación de errores y la retransmisión de datos dañados.
La figura siguiente muestra que la segmentación de los datos en fragmentos más pequeños
permite que muchas comunicaciones diferentes, de muchos usuarios diferentes, se intercalen
(multiplexen) en la misma red.
Juntos, estos dos sockets se combinan para formar un par de sockets: 192.168.1.5:1099,
192.168.1.7:80
Los sockets permiten que varios procesos, que se ejecutan en un cliente, se distingan entre sí y
que varias conexiones a un proceso de servidor se distingan entre sí.
El número de puerto de origen actúa como una dirección de retorno para la aplicación
solicitante. La capa de transporte realiza un seguimiento de este puerto y la aplicación que inició
la solicitud para que cuando se devuelva una respuesta, se pueda reenviar a la aplicación
correcta.
esfuerzo se denomina "poco confiable" porque no se reconoce que los datos se reciben en
el destino. Con UDP, no hay procesos de capa de transporte que informen al remitente de
una entrega exitosa.
UDP es similar a colocar una carta regular, no registrada, en el correo. El remitente de la carta
no tiene conocimiento de la disponibilidad del destinatario para recibir la carta. La oficina de
correos tampoco es responsable de rastrear la carta o informar al remitente si la carta no llega a
su destino final.
UDP es un protocolo sin estado, lo que significa que ni el cliente ni el servidor están
obligados a realizar un seguimiento del estado de la sesión de comunicación. Si se requiere
confiabilidad al usar UDP como protocolo de transporte, debe ser manejada por la aplicación.
Uno de los requisitos más importantes para entregar video en vivo y voz a través de la red es
que los datos continúen fluyendo rápidamente. Las aplicaciones de video y voz en vivo pueden
tolerar cierta pérdida de datos con un efecto mínimo o no perceptible, y se adaptan
perfectamente a UDP.
Cada proceso de aplicación que se ejecuta en un servidor está configurado para usar un número
de puerto, ya sea de forma predeterminada o manual, por un administrador del sistema. Un
servidor individual no puede tener dos servicios asignados al mismo número de puerto dentro de
los mismos servicios de capa de transporte; por ejemplo, un servidor que ejecuta una aplicación
de servidor web y una aplicación de transferencia de archivos no pueden configurarse para usar
el mismo puerto (por ejemplo, el puerto TCP 80). Una aplicación de servidor activa asignada
a un puerto específico se considera abierta. Esto significa que la capa de transporte que se
ejecuta en el servidor acepta y procesa segmentos dirigidos a ese puerto. Se acepta cualquier
solicitud de cliente entrante dirigida al socket correcto y los datos se pasan a la aplicación del
servidor. Puede haber muchos puertos abiertos simultáneamente en un servidor, uno para cada
aplicación de servidor activa.
Al establecer una conexión con un servidor, la capa de transporte del cliente establece un puerto
de origen para realizar un seguimiento de los datos enviados desde el servidor. Así como un
servidor puede tener muchos puertos abiertos para procesos de servidor, los clientes pueden
tener muchos puertos abiertos para conexiones a múltiples sockets. Los puertos de origen
locales se asignan aleatoriamente a partir de un rango de números que suele ser del 49152
al 65535. Los segmentos enviados al cliente desde un servidor utilizarán el número de puerto
del cliente como puerto de destino para los datos del socket.
2
El servidor
reconoce la
El cliente iniciador
sesión de El cliente que
solicita una sesión
comunicación de inicia reconoce la
de comunicación
cliente a servidor sesión de
de cliente a
y solicita una comunicación de
servidor con el
sesión de servidor a cliente.
servidor.
comunicación de
servidor a cliente.
Terminación de conexión
Una vez completada la comunicación, las sesiones se cierran y la conexión finaliza. Los
mecanismos de conexión y sesión permiten la función de confiabilidad de TCP.
Para cerrar una conexión, el indicador de control Finalizar (END) debe establecerse en el
encabezado del segmento. Para finalizar cada sesión TCP unidireccional, se utiliza un protocolo
de enlace bidireccional, que consta de un segmento END y un segmento de reconocimiento
(ACK). Por lo tanto, para finalizar una sola conversación respaldada por TCP, se necesitan
cuatro intercambios para finalizar ambas sesiones. 2
1. Cuando el cliente no tiene más datos para enviar en el flujo, envía un segmento con el
indicador END establecido.
Cuando el
El servidor
cliente no tiene El servidor El
envía un ACK
más datos para envía un END al cliente
para acusar
enviar en el cliente para responde con
recibo de END
flujo, envía un finalizar la un ACK para
para finalizar la
segmento con sesión de reconocer el
sesión del
el indicador servidor a END del
cliente al
END cliente. servidor.
servidor
establecido
El proceso TCP de recepción coloca los datos de un segmento en un búfer de recepción. Los
segmentos se colocan en el orden de secuencia adecuado y se pasan a la capa de aplicación
cuando se vuelven a ensamblar. Cualquier segmento que llegue con números de secuencia fuera
de orden se retiene para su procesamiento posterior. Luego, cuando llegan los segmentos con
los bytes que faltan, estos segmentos se procesan en orden.
Control de flujo
TCP también proporciona mecanismos para el control de flujo, que es la cantidad de datos
que el destino puede recibir y procesar de manera confiable. El control de flujo ayuda a
mantener la confiabilidad de la transmisión TCP al ajustar la velocidad del flujo de datos entre
El proceso de envío de reconocimientos del destino a medida que procesa los bytes recibidos y
el ajuste continuo de la ventana de envío del origen se conoce como ventanas deslizantes.
Si la disponibilidad del espacio de búfer del destino disminuye, puede reducir el tamaño de su
ventana e informar a la fuente para que reduzca la cantidad de bytes que debe enviar sin recibir
un acuse de recibo.
Al igual que las aplicaciones basadas en TCP, a las aplicaciones de servidor basadas en UDP se
les asignan números de puerto bien conocidos o registrados, como se muestra en la Figura
siguiente:
Cuando estas aplicaciones o procesos se ejecutan en un servidor, aceptan los datos que
coinciden con el número de puerto asignado. Cuando UDP recibe un datagrama destinado a uno
Servicios de red
DHCP
Cuando un dispositivo IPv4 configurado con DHCP se inicia o se conecta a la red, el cliente
transmite un mensaje de detección de DHCP (DHCPDISCOVER) para identificar los servidores
DHCP disponibles en la red. Un servidor DHCP responde con un mensaje de oferta de DHCP
(DHCPOFFER), que ofrece una concesión al cliente, como se muestra en la Figura siguiente:
Flags: Utilizado por un cliente que no conoce su dirección IPv4 cuando envía una solicitud.
Solo se usa uno de los 16 bits, que es el indicador de transmisión. Un valor de 1 en este campo
le dice al servidor DHCPv4 o al agente de retransmisión que recibe la solicitud que la respuesta
debe enviarse como una difusión.
Dirección IP del cliente: utilizada por un cliente durante la renovación del contrato de
arrendamiento cuando la dirección del cliente es válida y utilizable, no durante el proceso de
adquisición de una dirección. El cliente pone su propia dirección IPv4 en este campo si y solo si
tiene una dirección IPv4 válida mientras está en el estado enlazado; de lo contrario, establece el
campo en 0.
Su dirección IP: Utilizada por el servidor para asignar una dirección IPv4 al cliente.
Dirección IP del servidor: utilizada por el servidor para identificar la dirección del servidor
que el cliente debe usar para el siguiente paso en el proceso de arranque, que puede o no ser el
servidor que envía esta respuesta. El servidor de envío siempre incluye su propia dirección IPv4
en un campo especial denominado opción DHCPv4 del Identificador de servidor.
Dirección IP de la puerta de enlace: enruta los mensajes de DHCPv4 cuando están
involucrados agentes de retransmisión de DHCPv4. La dirección de puerta de enlace facilita las
comunicaciones de solicitudes y respuestas de DHCPv4 entre el cliente y un servidor que se
encuentran en diferentes subredes o redes.
2
DNS
Los servidores web a los que tan a menudo nos conectamos usando nombres como
https://www.lne.es/ en realidad se alcanzan mediante la asignación de direcciones IP a los
paquetes. En Internet, estos nombres de dominio son mucho más fáciles de recordar que
198.133.219.25 Si La nueva España decide cambiar la dirección numérica de www. lne.es es
transparente para el usuario porque el nombre de dominio sigue siendo el mismo. La nueva
dirección simplemente se vincula al nombre de dominio existente y se mantiene la conectividad.
El Sistema de Nombres de Dominio (DNS) fue desarrollado para proporcionar un medio
confiable de administrar y proporcionar nombres de dominio y sus direcciones IP
asociadas. DNS consta de una jerarquía global de servidores distribuidos que contienen bases
de datos de asignaciones de nombres a direcciones IP. La computadora cliente en la Figura
siguiente enviará una solicitud al servidor DNS para obtener la dirección IP de www.cisco.com.
jerarquía hacia abajo de derecha a izquierda. Un punto (".") al final de un nombre de dominio
representa el servidor raíz en la parte superior de la jerarquía.
Resolver: un cliente DNS que envía mensajes DNS para obtener información sobre el
espacio de nombres de dominio solicitado.
Recursividad: la acción que se realiza cuando se solicita a un servidor DNS que realice
una consulta en nombre de un sistema de resolución de DNS.
Servidor autorizado: un servidor DNS que responde a los mensajes de consulta con
información almacenada en registros de recursos (RR) para un espacio de nombres de
dominio almacenado en el servidor.
Resolución recursiva: un servidor DNS que recursivamente consulta la información
solicitada en la consulta DNS.
FQDN: un nombre de dominio completo es el nombre absoluto de un dispositivo dentro
de la base de datos DNS distribuida.
RR: un registro de recursos es un formato utilizado en los mensajes DNS que se
compone de los siguientes campos: NOMBRE, TIPO, CLASE, TTL, RDLENGTH y
RDATA.
Zona DNS:una base de datos que contiene información sobre el espacio de nombres de
dominio almacenado en un servidor autorizado.
Al intentar resolver un nombre en una dirección IP, un host de usuario, conocido en el sistema
como resolutor, primero verificará su caché de DNS local. Si la asignación no se encuentra allí,
2
se emitirá una consulta al servidor o servidores DNS que están configurados en las propiedades
de direccionamiento de red para la resolución. Estos servidores pueden estar presentes en una
empresa o ISP. Si la asignación no se encuentra allí, el servidor DNS consultará a otros
servidores DNS de nivel superior que tienen autoridad para el dominio de nivel superior para
encontrar la asignación. Estas se conocen como consultas recursivas.
Debido a la posible carga sobre los servidores de dominio autorizados de nivel superior, algunos
servidores DNS en la jerarquía mantienen cachés de todos los registros DNS que han resuelto
durante un período de tiempo. Estos servidores DNS de almacenamiento en caché pueden
resolver consultas recursivas sin reenviar las consultas a servidores de nivel superior. Si un
servidor requiere datos para una zona, solicitará una transferencia de esos datos desde un
DNS dinámico
El DNS requiere que los registradores acepten y distribuyan asignaciones de DNS de
organizaciones que deseen registrar asignaciones de nombres de dominio y direcciones IP. Una
vez creada la asignación inicial, un proceso que puede demorar 24 horas o más, se pueden
realizar cambios en la dirección IP asignada al nombre de dominio comunicándose con el
registrador o utilizando un formulario en línea para realizar el cambio. Sin embargo, debido al
tiempo que lleva este proceso y que la nueva asignación se distribuya en el DNS, el cambio
2
puede tardar horas antes de que la nueva asignación esté disponible para los resolutores. En
situaciones en las que un ISP utiliza DHCP para proporcionar direcciones a un dominio, es
posible que la dirección asignada al dominio caduque y el ISP otorgue una nueva dirección.
Esto daría como resultado una interrupción de la conectividad al dominio a través de DNS. Era
necesario un nuevo enfoque para permitir a las organizaciones realizar cambios rápidos en la
dirección IP que se asigna a un dominio.
El DNS dinámico (DDNS) permite que un usuario u organización registre una dirección IP con
un nombre de dominio como en DNS. Sin embargo, cuando cambia la dirección IP de la
asignación, la nueva asignación se puede propagar a través del DNS casi instantáneamente. Para
que esto ocurra, un usuario obtiene un subdominio de un proveedor de DDNS. Ese subdominio
se asigna a la dirección IP del servidor del usuario o la conexión del enrutador doméstico a
DDNS no utiliza una entrada DNS verdadera para la dirección IP de un usuario. En cambio,
actúa como un intermediario. El dominio del proveedor de DDNS está registrado con el DNS,
pero el subdominio está asignado a una dirección IP totalmente diferente. El servicio del
proveedor de DDNS proporciona esa dirección IP al servidor DNS de segundo nivel del
resolutor. Ese servidor DNS, ya sea en la organización o en el ISP, proporciona la dirección IP
de DDNS al resolutor.
El Protocolo WHOIS
WHOIS es un protocolo basado en TCP que se utiliza para identificar a los propietarios de
dominios de Internet a través del sistema DNS. Cuando se registra un dominio de Internet y
se asigna a una dirección IP para el sistema DNS, el registrante debe proporcionar información
sobre quién está registrando el dominio. La aplicación WHOIS utiliza una consulta, en forma de
FQDN. La consulta se emite a través de un servicio o aplicación WHOIS. El registro oficial de
registro de propiedad es devuelto al usuario por el servicio WHOIS. Esto puede ser útil para
identificar los destinos a los que han accedido los hosts en una red. WHOIS tiene limitaciones y
los piratas informáticos tienen formas de ocultar sus identidades; sin embargo, WHOIS es un
punto de partida para identificar ubicaciones de Internet potencialmente peligrosas a las que se
puede haber accedido a través de la red.
2
NAT
No hay suficientes direcciones IPv4 públicas para asignar una dirección única a cada dispositivo
conectado a Internet. Las redes se implementan comúnmente usando direcciones IPv4 privadas,
como se define en RFC 1918. La Tabla siguiente muestra el rango de direcciones incluidas en
RFC 1918.
Clase Rango de direcciones Prefijo CIDR
internas RFC 1918
A 10.0.0.0 a 10.255.255.255 10.0.0.0/8
B 172.16.0.0 a 172.31.255.255 172.16.0.0/12
C 192.168.0.0 a 192.168.0.0/16
192.168.255.255
Estas direcciones privadas se utilizan dentro de una organización o sitio para permitir que los
dispositivos se comuniquen localmente. Sin embargo, debido a que estas direcciones no
identifican a ninguna empresa u organización en particular, las direcciones IPv4 privadas no se
pueden enrutar a través de Internet. Para permitir que un dispositivo con una dirección IPv4
privada acceda a dispositivos y recursos fuera de la red local, primero se debe traducir la
dirección privada a una dirección pública
Enrutadores habilitados para NAT
Los enrutadores habilitados para NAT se pueden configurar con una o más direcciones IPv4
públicas válidas. Estas direcciones públicas se conocen como el grupo NAT. Cuando un
dispositivo interno envía tráfico fuera de la red, el enrutador habilitado para NAT traduce la
dirección IPv4 interna del dispositivo a una dirección pública del conjunto de NAT. Para los
dispositivos externos, todo el tráfico que entra y sale de la red parece tener una dirección IPv4
pública del conjunto de direcciones proporcionado.
Un enrutador NAT generalmente opera en el borde de una red stub. Una red stub es una red
que tiene una sola conexión a su red vecina, una entrada y una salida de la red. En el ejemplo de
la Figura siguiente, R2 es un enrutador de borde. Como se ve desde el ISP, R2 forma una red
stub.
FTP y TFTP
FTP es otro protocolo de capa de aplicación de uso común. FTP fue desarrollado para permitir
la transferencia de datos entre un cliente y un servidor. Un cliente FTP es una aplicación que se
ejecuta en una computadora que se utiliza para enviar y recibir datos de un servidor FTP.
Como ilustra la Figura siguiente, para transferir datos con éxito, FTP requiere dos conexiones
entre el cliente y el servidor, una para comandos y respuestas, la otra para la transferencia de
2
archivos real.
Email
El correo electrónico es una aplicación de red esencial. Para ejecutarse en una computadora u
otro dispositivo final, requiere varias aplicaciones y servicios, como se muestra en la Figura
siguiente. El correo electrónico es un método de almacenar y reenviar para enviar, almacenar y
recuperar mensajes electrónicos a través de una red. Los mensajes de correo electrónico se
almacenan en bases de datos en servidores de correo.
Los clientes de correo electrónico se comunican con los servidores de correo para enviar y
recibir correo electrónico. Los servidores de correo se comunican con otros servidores de correo
para transportar mensajes de un dominio a otro. Un cliente de correo electrónico no se comunica
Es posible que el servidor de correo electrónico de destino no esté en línea o que esté ocupado
cuando se envían mensajes de correo electrónico. Por lo tanto, SMTP pone en cola los mensajes
2
La URL HTTP
Una URL HTTP también puede especificar el puerto en el servidor que debe manejar los
2
métodos HTTP. Además, puede especificar una cadena de consulta y un fragmento. La cadena
de consulta generalmente contiene información que no es manejada por el propio proceso del
servidor HTTP, sino que es manejada por otro proceso que se ejecuta en el servidor. Las
cadenas de consulta están precedidas por un "?" carácter y típicamente consisten en una serie de
pares de nombre y valor. Un fragmento está precedido por un carácter "#". Hace referencia a
una parte subordinada del recurso que se solicita en la URL, por ejemplo, un fragmento podría
hacer referencia a un ancla con nombre en un documento HTML. La URL accederá al
documento y luego se moverá a la parte del documento especificada por el fragmento si existe
un enlace de anclaje con nombre coincidente en el documento. Una URL HTTP que incluye
estas partes se muestra en la figura siguiente:
1xx: informativo
2xx: Éxito
3xx: Redirección
4xx: error del cliente
5xx: error del servidor
Infraestructura de red
(cap. 5 de Cybersecurity Operati ons Companion Guide)
Figura 27: Desde un dispositivo inicial se envia un paquete a través de un dispositivo intermediario para que llegue
a un dispositivo final.
Routers (enrutadores)
2
Los enrutadores son dispositivos que operan en la capa de red OSI. Utilizan el proceso de
enrutamiento para reenviar paquetes de datos entre redes o subredes, como se muestra en
la figura siguiente:
Red remota: si la dirección IP de destino del paquete pertenece a una red remota, el
paquete se reenvía a otro enrutador. Solo se puede acceder a las redes remotas mediante
el reenvío de paquetes a otro enrutador.
Debido a que los enrutadores no reenvían tramas de transmisión Ethernet, separan una red en
dominios de transmisión separados. Esto mantiene el tráfico de difusión aislado en una red
determinada conectada a una interfaz de enrutador.
PC1 debe determinar si la dirección IPv4 de destino está en la misma red. PC1 determina su
propia subred realizando una operación AND en su propia dirección IPv4 y máscara de
subred. Esto produce la dirección de red a la que pertenece PC1. A continuación, la PC1
realiza esta misma operación AND utilizando la dirección IPv4 de destino del paquete y la
máscara de subred de la PC1. El resultado le dice a la PC1 que la PC2 no está en la misma red
Información de enrutamiento
La tabla de enrutamiento de un enrutador almacena la siguiente información:
Rutas conectadas directamente: estas rutas provienen de las interfaces activas del
enrutador. Los enrutadores agregan una ruta conectada directamente cuando una
interfaz está configurada con una dirección IP y está activada.
Rutas remotas: Son redes remotas conectadas a otros routers. Las rutas a estas redes
pueden configurarse estáticamente o aprenderse dinámicamente a través de protocolos
de enrutamiento dinámico.
Específicamente, una tabla de enrutamiento es un archivo de datos en RAM que se utiliza
para almacenar información de ruta sobre redes remotas y conectadas directamente. La
tabla de enrutamiento contiene asociaciones de red o de siguiente salto. Estas asociaciones le
dicen a un enrutador que se puede llegar de manera óptima a un destino en particular enviando
el paquete a un enrutador específico que representa el siguiente salto en el camino hacia el
destino final. La asociación de siguiente salto también puede ser la interfaz de salida o de salida
al siguiente destino.
Los conmutadores (switches) utilizan direcciones MAC para dirigir las comunicaciones de red a
través del conmutador, al puerto apropiado y hacia el destino. Un conmutador se compone de
circuitos integrados y el software que lo acompaña que controla las rutas de datos a través del
conmutador. Para que un switch sepa qué puerto usar para transmitir una trama, primero debe
aprender qué dispositivos existen en cada puerto. A medida que el conmutador aprende la
STP
Es necesario gestionar varias rutas para que no se creen bucles de capa 2. Se eligen las mejores
rutas y una ruta alternativa está disponible de inmediato en caso de que falle una ruta principal.
El protocolo de árbol de expansión (STP) se utiliza para mantener una ruta sin bucles en la red
de capa 2, en cualquier momento.
Conmutación multicapa
Los conmutadores multicapa (también conocidos como conmutadores de capa 3) no solo
realizan conmutación de capa 2, sino que también reenvían tramas basadas en información de
capa 3 y 4.
Puerto enrutado: una interfaz pura de capa 3 similar a una interfaz física en un enrutador Cisco
IOS.
2
Switch virtual interface (SVI): una interfaz de VLAN virtual para el enrutamiento entre
VLAN. En otras palabras, las SVI son las interfaces VLAN de enrutamiento virtual.
Puertos enrutados
Un puerto enrutado es un puerto físico que actúa de manera similar a una interfaz en un router.
Protocolos y funciones
Las LAN inalámbricas (WLAN) utilizan frecuencias de radio (RF) en lugar de cables en la capa
física y la subcapa MAC de la capa de enlace de datos. Las WLAN comparten un origen similar
con las LAN Ethernet. El IEEE ha adoptado la cartera 802 LAN/MAN de estándares de
arquitectura de redes informáticas. Los dos grupos de trabajo 802 dominantes son 802.3
Ethernet, que definió Ethernet para LAN cableadas, y 802.11, que definió Ethernet para WLAN.
Característica LAN inalámbrica 802.11 LAN ethernet 802.3
Capa física Radiofrecuencia(RF) Cable
Acceso a los medios Evitación de colisiones Detección de colisiones
Disponibilidad Cualquier persona con una Requiere conexión de cable
NIC de radio dentro del
alcance de un punto de acceso
Interferrenca de señal Sí Inconsecuente
Regulación Regulación adicional por Dicta el estándar IEEE
parte de las autoridades del
país
Tabla 1: Diferencias entre WLAN y VLAN
2
Modo de red: se refiere a los estándares WLAN 802.11. Los puntos de acceso y los
enrutadores inalámbricos pueden operar en un modo mixto, lo que significa que pueden
usar múltiples estándares simultáneamente.
SSID: un identificador de conjunto de servicios (SSID) es un identificador único
que utilizan los clientes inalámbricos para distinguir entre múltiples redes
inalámbricas en la misma vecindad. Si la transmisión de SSID está habilitada, el
nombre de SSID aparece en la lista de redes inalámbricas disponibles en un cliente.
Según la configuración de la red, varios puntos de acceso de una red pueden compartir
un SSID. Los nombres suelen tener entre 2 y 32 caracteres.
Dispositivos de seguridad
Cortafuegos
Un firewall es un sistema, o grupo de sistemas, que impone una política de control de acceso
entre redes, como se muestra en la Figura siguiente:
2
Los usuarios pueden buscar de manera proactiva formas de evitar el firewall para
recibir material bloqueado, lo que expone la red a posibles ataques.
El rendimiento de la red puede ralentizarse.
El tráfico no autorizado puede canalizarse u ocultarse como tráfico legítimo a través
del cortafuegos.
Servicios de seguridad
de 2000 a 2699.
deny Esto deniega el acceso si se cumple la condición.
permit Esto permite el acceso si se cumple la condición.
remark text (Opcional) Esto agrega una entrada de texto con fines de
documentación.
coincidente.
El parámetro established permite que solo las respuestas al tráfico que se origina en la red
192.168.10.0/24 regresen a esa red. Específicamente, se produce una coincidencia si el
segmento TCP que regresa tiene los bits de marca ACK o reset (RST) establecidos Esto indica
que el paquete pertenece a una conexión existente. Sin el parámetro established en la
2
declaración de ACL, los clientes podrían enviar tráfico a un servidor web pero no recibirían
tráfico de regreso del servidor web.
SNMP
(sacado de CCNA Cybersecurity Operati ons Companion Guide, First Editi on)
Servidores Syslog
Cuando ocurren ciertos eventos en una red, los dispositivos de red tienen mecanismos
confiables para notificar al administrador con mensajes detallados del sistema. Estos mensajes
pueden ser no críticos o significativos. Los administradores de red tienen una variedad de
opciones para almacenar, interpretar y mostrar estos mensajes, y para recibir alertas sobre
aquellos mensajes que podrían tener el mayor impacto en la infraestructura de la red.
El método más común para acceder a los mensajes del sistema es usar un protocolo
llamado syslog.
2
NTP
Es importante sincronizar la hora en todos los dispositivos de la red porque todos los aspectos
de la gestión, la protección, la resolución de problemas y la planificación de las redes requieren
una marca de tiempo precisa y coherente. Cuando la hora no está sincronizada entre
dispositivos, será imposible determinar el orden de los eventos que han ocurrido en diferentes
partes de la red.
Por lo general, la configuración de fecha y hora en un dispositivo de red se puede establecer
mediante uno de dos métodos:
Configuración manual de la fecha y la hora
Configuración del protocolo de tiempo de red (NTP)
A medida que crece una red, se vuelve difícil garantizar que todos los dispositivos de la
infraestructura funcionen con tiempo sincronizado. Incluso en un entorno de red más pequeño,
el método manual no es ideal. Si un dispositivo se reinicia, ¿cómo obtendrá una fecha y una
marca de tiempo precisas?
Una mejor solución es configurar NTP en la red. Este protocolo permite que los enrutadores de
la red sincronicen su configuración de hora con un servidor NTP. Un grupo de clientes NTP que
obtienen información de hora y fecha de una sola fuente tienen configuraciones de hora más
consistentes. Cuando se implementa NTP en la red, se puede configurar para sincronizar con un
reloj maestro privado o se puede sincronizar con un servidor NTP disponible públicamente en
Internet.
2
Las redes NTP utilizan un sistema jerárquico de fuentes de tiempo. Cada nivel en este
sistema jerárquico se denomina estrato. El nivel del estrato se define como el número de
conteos de saltos desde la fuente autorizada. El tiempo sincronizado se distribuye a través
de la red usando NTP. La Figura siguiente muestra una red NTP de muestra:
Servidores AAA
AAA es un marco arquitectónico para configurar un conjunto de tres funciones de seguridad
independientes:
Autenticación: Los usuarios y administradores deben demostrar que son quienes dicen
ser. La autenticación se puede establecer mediante combinaciones de nombre de usuario y
contraseña, preguntas de desafío y respuesta, tarjetas de token y otros métodos; por ejemplo:
2
VPN
Una red privada virtual (VPN) es una red privada que se crea a través de una red pública,
generalmente Internet, como se muestra en la Figura siguiente:
En lugar de utilizar una conexión física dedicada, una VPN utiliza conexiones virtuales
enrutadas a través de Internet desde la organización hasta el sitio remoto.
Una VPN es virtual porque transporta información dentro de una red privada, pero esa
información en realidad se transporta a través de una red pública. Una VPN es privada porque el
tráfico está encriptado para mantener la confidencialidad de los datos mientras se transporta a
través de la red pública.
2
Para comprender mejor cualquier discusión sobre la seguridad de la red, es importante conocer
los siguientes términos:
Amenaza: un peligro potencial para un activo, como los datos o la propia red.
Vulnerabilidad: Una debilidad en un sistema o su diseño que podría ser explotada por una
amenaza.
Superficie de ataque: La suma total de las vulnerabilidades en un sistema dado que es
accesible para un atacante. La superficie de ataque describe diferentes puntos en los que un
atacante podría acceder a un sistema y en los que podría obtener datos del sistema; por ejemplo,
su sistema operativo y su navegador web podrían necesitar parches de seguridad. Cada uno de
ellos es vulnerable a los ataques. Juntos, crean una superficie de ataque que el actor de
amenazas puede explotar.
Explotación: el mecanismo que se utiliza para aprovechar una vulnerabilidad para
comprometer un activo. Los exploits pueden ser remotos o locales. Un exploit remoto es aquel
que funciona a través de la red sin ningún acceso previo al sistema de destino. El atacante no
necesita una cuenta en el sistema final para aprovechar la vulnerabilidad. En un exploit local, el
actor de la amenaza tiene algún tipo de usuario o acceso administrativo al sistema final. Un
2
exploit local no significa necesariamente que el atacante tenga acceso físico al sistema final.
Riesgo: La probabilidad de que una amenaza particular explote una vulnerabilidad
particular de un activo y resulte en una consecuencia indeseable.
La gestión de riesgos es el proceso que equilibra los costos operativos de proporcionar
medidas de protección con las ganancias obtenidas al proteger el activo. Hay cuatro formas
comunes de gestionar el riesgo:
Aceptación del riesgo: esto es cuando el costo de las opciones de gestión del riesgo supera el
costo del riesgo en sí. El riesgo se acepta sin acción.
Crackers de contraseñas: las contraseñas son la amenaza de seguridad más vulnerable. Las
herramientas para descifrar contraseñas a menudo se denominan herramientas de recuperación
de contraseñas y se pueden usar para descifrar o recuperar la contraseña. Esto se logra mediante
la eliminación de la contraseña original, después de pasar por alto el cifrado de datos, o
mediante el descubrimiento total de la contraseña. Los descifradores de contraseñas adivinan
repetidamente para descifrar la contraseña y acceder al sistema. Entre los ejemplos de
herramientas para descifrar contraseñas se incluyen John the Ripper, Ophcrack, L0phtCrack,
THC Hydra, RainbowCrack y Medusa.
Herramientas de piratería inalámbrica: las redes inalámbricas son más susceptibles a las
amenazas de seguridad de la red. Las herramientas de piratería inalámbrica se utilizan para
piratear intencionalmente una red inalámbrica para detectar vulnerabilidades de seguridad. Los
ejemplos de herramientas de piratería inalámbrica incluyen Aircrack-ng, Kismet, InSSIDer,
KisMAC, Firesheep y NetStumbler.
Herramientas de piratería y escaneo de red: las herramientas de escaneo de red se utilizan
para sondear dispositivos de red, servidores y hosts en busca de puertos TCP o UDP abiertos.
Los ejemplos de herramientas de escaneo incluyen Nmap, SuperScan, Angry IP Scanner y
NetScanTools.
Herramientas de creación de paquetes: estas herramientas se utilizan para sondear y probar la
robustez de un firewall mediante paquetes falsificados especialmente diseñados. Ejemplos de
tales herramientas incluyen Hping, Scapy, Socat, Yersinia, Netcat, Hping, Nping y Nemesis.
2
Categorías de Ataques (
Los actores de amenazas pueden usar las herramientas mencionadas anteriormente o una
combinación de herramientas para crear varios ataques. La siguiente lista de ataques no es
exhaustiva, ya que continuamente se descubren nuevas formas de atacar las redes.
Ataque de escucha: Esto es cuando un hacker captura y “escucha” el tráfico de la red. Este
ataque se conoce como sniffing o snooping.
Ataque de modificación de datos: si los piratas informáticos capturaron el tráfico empresarial,
pueden alterar los datos en el paquete sin el conocimiento del remitente o el receptor.
Ataque de suplantación de dirección IP: un hacker construye un paquete IP que parece
originarse en una dirección válida dentro de la intranet corporativa.
Ataques basados en contraseña: si los piratas informáticos descubren una cuenta de usuario
válida, los atacantes tienen los mismos derechos que el usuario real. Los piratas informáticos
podrían obtener listas de usuarios válidos y nombres de equipos e información de red. También
2
podrían modificar las configuraciones del servidor y la red, y modificar, redirigir o eliminar
datos.
Ataque de denegación de servicio (DoS): un ataque DoS impide el uso normal de una
computadora o red por parte de usuarios válidos. Después de obtener acceso a su red, un ataque
DoS puede bloquear aplicaciones o servicios de red, inundar una computadora o inundar toda la
red con tráfico hasta que se produce un apagado debido a la sobrecarga. Un ataque DoS también
puede bloquear el tráfico, lo que resulta en una pérdida de acceso a los recursos de la red por
parte de los usuarios autorizados.
Ataques de acceso
Los ataques de acceso aprovechan las vulnerabilidades conocidas en los servicios de
autenticación, los servicios FTP y los servicios web para acceder a cuentas web, bases de datos
confidenciales y otra información confidencial. El objetivo del actor de amenazas puede ser
robar información o controlar de forma remota el host interno.
Hay al menos tres razones por las que los actores de amenazas usarían ataques de acceso en
redes o sistemas:
Para recuperar datos
Para acceder a los sistemas
Para escalar los privilegios de acceso
Tipos de ataques de acceso
Hay varios tipos comunes de ataques de acceso:
Ataque de contraseña: los actores de amenazas intentan descubrir contraseñas críticas del
sistema utilizando varios métodos, como ataques de phishing, ataques de diccionario, ataques de
fuerza bruta, rastreo de redes o técnicas de ingeniería social. Los ataques de contraseña de
2
fuerza bruta implican intentos repetidos de usar herramientas como Ophcrack, L0phtCrack,
THC Hydra, RainbowCrack y Medusa.
Pass-the-hash: el actor de amenazas ya tiene acceso a la máquina del usuario y usa malware
para obtener acceso a los hash de contraseña almacenados. Luego, el actor de amenazas usa los
hashes para autenticarse en otros servidores o dispositivos remotos sin usar la fuerza bruta
Explotación de confianza: los actores de amenazas utilizan un host confiable para obtener
acceso a los recursos de la red; por ejemplo, se confía en un host externo que accede a una red
Paso 1. Cuando una víctima solicita una página web, la solicitud se dirige a la computadora
del atacante.
Paso 2. La computadora del atacante recibe la solicitud y recupera la página real del sitio web
legítimo.
Paso 3. Ese atacante puede alterar la página web legítima y aplicar transformaciones a los
datos.
2
Pharming: este ataque compromete los servicios de nombres de dominio al inyectar entradas en
los archivos del host local. Pharming también incluye envenenar el DNS al comprometer los
servidores DHCP que especifican los servidores DNS a sus clientes.
Abrevadero: este ataque primero determina los sitios web que un grupo objetivo visita
regularmente. Luego, el actor de amenazas intenta comprometer esos sitios web infectándolos
con malware que puede identificar y apuntar solo a los miembros del grupo objetivo.
Vishing: este es un ataque de phishing que utiliza la voz y el sistema telefónico en lugar del
correo electrónico.
Botnet: se refiere a un grupo de zombis que han sido infectados mediante malware de
autopropagación (es decir, bots) y están controlados por controladores.
Controladores: se refiere a un servidor maestro de comando y control (CnC o C2) que controla
grupos de zombis. El creador de un botnet puede usar Internet Relay Chat (IRC) o un servidor
web en el servidor C2 para controlar de forma remota a los zombis.
Botmaster: este es el actor de amenazas que controla el botnet y los controladores.
Ejemplo de ataque DDoS
El actor de amenazas crea o compra una red de bots de hosts zombis.
Métodos de evasión
Los actores de amenazas aprendieron hace mucho tiempo que “esconderse es prosperar”. Esto
significa que sus métodos de ataque y malware son más efectivos cuando no se detectan, por
esta razón, muchos ataques utilizan técnicas de evasión sigilosa para disfrazar la carga útil del
ataque. Su objetivo es evitar la detección por parte de las defensas de la red y del host.
2
Algunos de los métodos de evasión utilizados por los actores de amenazas incluyen:
Cifrado y tunelización: esta técnica de evasión utiliza la tunelización para ocultar el contenido,
o el cifrado para codificar su contenido, lo que dificulta que muchas técnicas de detección de
seguridad detecten e identifiquen el malware.
Agotamiento de recursos: esta técnica de evasión mantiene al host demasiado ocupado para
utilizar correctamente las técnicas de detección de seguridad.
Fragmentación del tráfico: esta técnica de evasión divide una carga útil maliciosa en paquetes
más pequeños para eludir la detección de seguridad de la red. Una vez que los paquetes
Algunas de estas herramientas requieren datos de red capturados. Hay dos métodos comunes
que se utilizan para capturar el tráfico y enviarlo a los dispositivos de monitoreo de red:
Puntos de acceso a terminales de red (TAP)
Duplicación de tráfico mediante Switched Port Analyzer (SPAN)
TAP de red
Un TAP de red suele ser un dispositivo de división pasivo implementado en línea entre un
dispositivo de interés y la red. Un TAP reenvía todo el tráfico, incluidos los errores de la capa
física, a un dispositivo de análisis.
Duplicación de tráfico y SPAN
Los conmutadores de red segmentan la red por diseño, limitando la cantidad de tráfico visible
por el dispositivo de monitoreo de red. Debido a que la captura de datos para el monitoreo de la
red requiere que se capture todo el tráfico, se deben emplear técnicas especiales para evitar la
segmentación de la red impuesta por los conmutadores de red. La duplicación de puertos es una
de estas técnicas. Compatible con muchos conmutadores empresariales, la duplicación de
puertos permite que el conmutador copie marcos de uno o más puertos a un puerto Switch Port
Analyzer (SPAN) conectado a un dispositivo de análisis.
La terminología SPAN incluye
Tráfico de ingreso: tráfico que ingresa al switch.
Tráfico de salida: tráfico que sale del conmutador.
Puerto de origen (SPAN): un puerto que se supervisa a medida que ingresa el tráfico
antes de replicarse (reflejarse) en los puertos de destino.
Puerto de destino (SPAN): un puerto que refleja los puertos de origen. Los puertos
SPAN de destino a menudo se conectan a dispositivos de análisis, como un analizador
de paquetes o un IDS.
2
No solo se utilizan para el análisis de seguridad, los analizadores de protocolos de red también
son muy útiles para la resolución de problemas de red, el desarrollo de software y protocolos y
la educación.
Wireshark se ha convertido en una herramienta de análisis de protocolo de red muy
popular que se utiliza en entornos Windows, Linux y Mac OS. Los fotogramas capturados se
guardan en un archivo PCAP. Los archivos PCAP contienen la información del marco, la
información de la interfaz, la longitud del paquete y las marcas de tiempo.
Wireshark también puede abrir archivos que contienen tráfico capturado de otro software, como
la utilidad tcpdump. Popular entre los sistemas similares a UNIX como Linux, tcpdump es una
potente utilidad con numerosas opciones de línea de comandos.
Vulnerabilidades de IP
Hay diferentes tipos de ataques dirigidos a IP. Estos son algunos de los ataques más comunes
relacionados con IP:
2
Ataques ICMP: los actores de amenazas utilizan paquetes de eco ICMP (pings) para descubrir
subredes y hosts en una red protegida, para generar ataques de inundación DoS y para alterar las
tablas de enrutamiento del host.
Ataques de denegación de servicio (DoS): los actores de amenazas intentan evitar que los
usuarios legítimos accedan a información o servicios.
Ataques DoS distribuidos (DDoS): similares a un ataque DoS, pero presenta un ataque
simultáneo y coordinado desde múltiples máquinas de origen.
Ataques de suplantación de direcciones: los actores de amenazas suplantan la dirección IP de
origen en un paquete IP para realizar una suplantación ciega o no ciega.
Los bots tienen una capacidad similar a la de los gusanos para autopropagarse, pero también se
pueden usar para registrar pulsaciones de teclas, recopilar contraseñas, capturar y analizar
paquetes, recopilar información financiera, lanzar ataques DoS, transmitir spam y abrir puertas
traseras en el host infectado.
Hay muchas fuentes potenciales de ataques DoS y DDoS. Si bien los ataques DDoS son muy
fáciles de detectar, son difíciles de combatir. Se han explotado dispositivos IoT inseguros para
aumentar exponencialmente el tamaño de las botnets. Hay algunas contramedidas que se pueden
utilizar para luchar contra estos ataques:
Implementar firewalls y monitoreo de IPS
Tasa de límite de tráfico entrante y saliente a la configuración de referencia
normal
Maximice la memoria y endurezca todos los dispositivos
TCP (7.2.2.1)
Al igual que IP, TCP también es vulnerable. La información del segmento TCP aparece
inmediatamente después del encabezado IP. Los campos del segmento TCP y las banderas del
2
Attacking What We Do
Vulnerabilidades ARP
lo tanto, envía una solicitud ARP para la dirección MAC de 192.168.10.1. (ver imagen
siguiente)
En la Figura siguiente, el actor de amenazas envía dos respuestas ARP gratuitas suplantadas
utilizando su propia dirección MAC para las direcciones IP de destino indicadas. La PC-A
actualiza su caché ARP con su puerta de enlace predeterminada que ahora apunta al host MAC
del actor de amenazas. R1 también actualiza su caché ARP con la dirección IP de PC-A que
apunta a la dirección MAC del actor de amenazas.
Ataques DNS
El protocolo del Servicio de nombres de dominio (DNS) define un servicio automatizado que
hace coincidir los nombres de los recursos con la dirección de red numérica requerida. Incluye
el formato para consultas, respuestas y datos y utiliza registros de recursos (RR) para identificar
el tipo de respuesta DNS.
A menudo se pasa por alto la protección de DNS; sin embargo, es crucial para el
funcionamiento de una red y debe protegerse en consecuencia.
Muchas organizaciones utilizan los servicios de servidores DNS abiertos públicamente, como
Google DNS (8.8.8.8), para proporcionar respuestas a las consultas. Este tipo de servidor DNS
se denomina resolución abierta. Una resolución abierta de DNS responde consultas de clientes
fuera de su dominio administrativo.
Los resolutores abiertos de DNS son vulnerables a múltiples actividades maliciosas, incluidas:
2
HTTP y HTTPS
Para investigar los ataques basados en la web, los analistas de seguridad deben comprender bien
cómo funciona un ataque estándar basado en la web. Estas son las etapas comunes de un ataque
web típico:
La víctima, sin saberlo, visita una página web que ha sido comprometida por malware.
1) La página web comprometida redirige al usuario, a menudo a través de muchos
servidores comprometidos, a un sitio que contiene código malicioso.
2) El usuario visita este sitio con código malicioso y su computadora se infecta. Esto se
conoce como descarga oculta. Cuando el usuario visita el sitio, un kit de explotación
escanea el software que se ejecuta en la computadora de la víctima, incluidos el sistema
operativo, Java y Flash Player, en busca de una exploit en el software. El kit de exploit
suele ser un script PHP y proporciona al atacante una consola de gestión para gestionar
el ataque.
explotación para descargar el código que puede usar la vulnerabilidad para ejecutar
código malicioso en la computadora de la víctima.
4) Una vez que la computadora de la víctima ha sido comprometida, se conecta al servidor
de malware y descarga una carga útil. Esto podría ser malware o un servicio de descarga
de archivos que descarga otro malware.
5) El paquete de malware final se ejecuta en la computadora de la víctima.
Para defenderse de los ataques basados en la web, se deben utilizar las siguientes
contramedidas:
Siempre actualice el sistema operativo y los navegadores con parches y actualizaciones
actuales.
Correo electrónico
En los últimos 25 años, el correo electrónico ha pasado de ser una herramienta utilizada
principalmente por profesionales técnicos y de investigación a convertirse en la columna
vertebral de las comunicaciones corporativas. Cada día, se intercambian más de 100 mil
millones de mensajes de correo electrónico corporativos. A medida que aumenta el nivel de
uso, la seguridad se convierte en una prioridad mayor. La forma en que los usuarios acceden al
correo electrónico hoy también aumenta la oportunidad de que se introduzca la amenaza del
malware. Antes, los usuarios corporativos accedían al correo electrónico basado en texto desde
un servidor corporativo. El servidor corporativo estaba en una estación de trabajo protegida por
el firewall de la empresa. Hoy en día, se accede a los mensajes HTML desde muchos
dispositivos diferentes que a menudo no están protegidos por el firewall de la empresa. HTML
permite más ataques debido a la cantidad de acceso que a veces puede pasar por alto diferentes
capas de seguridad.
Los siguientes son ejemplos de amenazas de correo electrónico:
Ataques basados en archivos adjuntos: los actores de amenazas incorporan contenido
malicioso en archivos comerciales, como un correo electrónico del departamento de TI. Los
usuarios legítimos abren contenido malicioso. El malware se usa en ataques amplios que a
menudo se dirigen a una vertical comercial específica para parecer legítimos, lo que atrae a los
usuarios que trabajan en esa vertical para abrir archivos adjuntos o hacer clic en enlaces
2
incrustados.
Suplantación de identidad por correo electrónico: los actores de amenazas crean mensajes de
correo electrónico con una dirección de remitente falsificada que pretende engañar al
destinatario para que proporcione dinero o información confidencial; por ejemplo, un banco le
envía un correo electrónico pidiéndole que actualice sus credenciales. Cuando este correo
electrónico muestra el logotipo del banco idéntico al correo que abrió anteriormente que era
legítimo, tiene una mayor probabilidad de que se abra, se abran los archivos adjuntos y se haga
clic en los enlaces. El correo electrónico falso puede incluso pedirle que verifique sus
credenciales para que el banco esté seguro de que usted es usted, exponiendo su información de
inicio de sesión.
Inyección sql
Uno de los ataques de base de datos más comunes es el ataque de inyección SQL . El ataque de
inyección SQL consiste en insertar una consulta SQL a través de los datos de entrada del cliente
a la aplicación. Un exploit de inyección SQL exitoso puede leer datos confidenciales de la base
de datos, modificar datos de la base de datos, ejecutar operaciones de administración en la base
2
Estas son algunas formas de prevenir o reducir los ataques de inyección de comandos:
Utilice los elementos enumerados en la hoja de trucos de prevención de OWASP XSS para
desarrolladores de aplicaciones web
(https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.
html )
Use una implementación de IPS para detectar y prevenir scripts maliciosos.
Utilice un proxy web para bloquear sitios maliciosos.
Al igual que con todas las demás medidas de seguridad, asegúrese de educar a los usuarios
finales. Enséñeles a identificar ataques de phishing y notifique al personal de seguridad de la
información cuando sospechen de algo relacionado con la seguridad.
Conceptos de enrutamiento
(sacado de Routing and Switching Essentials Companion Guide)
Un enrutador (o router)conecta una red a otra red. El enrutador es responsable de la entrega de
paquetes a través de diferentes redes. El destino del paquete IP puede ser un servidor web en
otro país o un servidor de correo electrónico en la LAN.
2
El enrutador utiliza su tabla de enrutamiento para determinar la mejor ruta a utilizar para
reenviar un paquete. Cuando el enrutador recibe un paquete, examina la dirección de destino del
paquete y utiliza la tabla de enrutamiento para buscar la mejor ruta a esa red. La tabla de
enrutamiento también incluye la interfaz que se utilizará para reenviar paquetes para cada red
conocida. Cuando se encuentra una coincidencia, el enrutador encapsula el paquete en la trama
de enlace de datos de la interfaz de salida o de salida, y el paquete se reenvía hacia su destino.
Es posible que un enrutador reciba un paquete que está encapsulado en un tipo de trama de
enlace de datos y reenvíe el paquete fuera de una interfaz que utiliza un tipo diferente de trama
de enlace de datos. Por ejemplo, un enrutador puede recibir un paquete en una interfaz Ethernet,
pero debe reenviar el paquete desde una interfaz configurada con el Protocolo punto a punto
(PPP). La encapsulación del enlace de datos depende del tipo de interfaz en el enrutador y el
tipo de medio al que se conecta. Las diferentes tecnologías de enlace de datos a las que se puede
conectar un enrutador incluyen Ethernet, PPP, Frame Relay, DSL, cable e inalámbrico (802.11,
2
Bluetooth, etc.).
Mecanismos de reenvío de paquetes
Los enrutadores admiten tres mecanismos de reenvío de paquetes:
Conmutación de procesos: se muestra en la Figura siguiente, este es un mecanismo de reenvío
de paquetes más antiguo que todavía está disponible para los enrutadores Cisco. Cuando un
paquete llega a una interfaz, se reenvía al plano de control donde la CPU hace coincidir la
dirección de destino con una entrada en su tabla de enrutamiento y luego determina la interfaz
de salida y reenvía el paquete. Es importante comprender que el enrutador hace esto para cada
Figura 35: puertos y cables necesarios para una conexión con consola
Habilitar IP en un Switch
Los dispositivos de infraestructura de red requieren direcciones IP para habilitar la
administración remota. Con la dirección IP del dispositivo, el administrador de la red puede
conectarse de forma remota al dispositivo mediante Telnet, SSH, HTTP o HTTPS.
Un conmutador no tiene una interfaz dedicada a la que se pueda asignar una dirección IP.
En su lugar, la información de la dirección IP se configura en una interfaz virtual
denominada interfaz virtual conmutada (SVI).
Otra configuración común de los enrutadores Cisco IOS es habilitar una interfaz de bucle
invertido.
La interfaz loopback es una interfaz lógica interna al enrutador. No está asignado a un
puerto físico y, por lo tanto, nunca se puede conectar a ningún otro dispositivo. Se
considera una interfaz de software que se coloca automáticamente en un estado "activo",
siempre que el enrutador esté funcionando.
La interfaz loopback es útil para probar y administrar un dispositivo Cisco IOS porque
garantiza que al menos una interfaz siempre estará disponible; por ejemplo, se puede utilizar
Otra función útil que mejora la experiencia del usuario en la interfaz de línea de comandos
(CLI) es el filtrado de la salida del programa. Los comandos de filtrado se pueden utilizar para
mostrar secciones específicas de la salida. Para habilitar el comando de filtrado, ingrese un
carácter de barra vertical (|) después del comando show y luego ingrese un parámetro de
filtrado y una expresión de filtrado.
Decisiones de enrutamiento
Paso 2. Examina la dirección IP de destino del paquete IP para encontrar la mejor ruta en la
2
tabla de enrutamiento.
Paso 3. Si el enrutador encuentra una ruta al destino, encapsula el paquete de capa 3 en una
nueva trama de capa 2 y reenvía la trama por la interfaz de salida.
Como se muestra en la Figura anterior, los dispositivos tienen direcciones IPv4 de Capa 3 y
las interfaces Ethernet tienen direcciones de enlace de datos de Capa 2. Por ejemplo, la PC1
está configurada con la dirección IPv4 192.168.1.10 y una dirección MAC de ejemplo de 0A-
10. A medida que un paquete viaja desde el dispositivo de origen hasta el dispositivo de destino
final, las direcciones IP de la Capa 3 no cambian. Sin embargo, las direcciones de enlace de
datos de Capa 2 cambian en cada salto, ya que cada enrutador desencapsula y vuelve a
encapsular el paquete en una nueva trama de Capa 2.
Es común que los paquetes requieran encapsulación en un tipo de trama de capa 2 diferente a
aquella en la que se recibieron.
Observe en la Figura anterior que los puertos entre R2 y R3 no tienen direcciones MAC
asociadas. Esto se debe a que es un enlace serial. Las direcciones MAC solo se requieren en
redes Ethernet de acceso múltiple. Un enlace serial es una conexión punto a punto y utiliza un
marco de capa 2 diferente que no requiere el uso de una dirección MAC.
Enviar un paquete
En la Figura siguiente, la PC1 envía un paquete a la PC2. PC1 debe determinar si la dirección
IPv4 de destino está en la misma red. PC1 determina su propia subred realizando una
operación AND en su propia dirección IPv4 y máscara de subred. Esto produce la
dirección de red a la que pertenece PC1. A continuación, la PC1 realiza esta misma
operación AND utilizando la dirección IPv4 de destino del paquete y la máscara de subred
de la PC1.
2
La Figura siguiente muestra los procesos que tienen lugar cuando el R3 reenvía el paquete a la
PC2.
Determinación de ruta
Determinación de ruta
Una función principal de un enrutador es determinar la mejor ruta a utilizar para enviar
paquetes. Para determinar la mejor ruta, el enrutador busca en su tabla de enrutamiento
una dirección de red que coincida con la dirección IP de destino del paquete.
La búsqueda en la tabla de enrutamiento da como resultado una de tres determinaciones de ruta:
Red conectada directamente: si la dirección IP de destino del paquete pertenece a un
dispositivo en una red que está conectada directamente a una de las interfaces del enrutador, ese
paquete se reenvía directamente al dispositivo de destino. Esto significa que la dirección IP de
destino del paquete es una dirección de host en la misma red que la interfaz del enrutador.
Red remota: si la dirección IP de destino del paquete pertenece a una red remota, el paquete se
reenvía a otro enrutador. Solo se puede acceder a las redes remotas mediante el reenvío de
paquetes a otro enrutador.
Ninguna ruta determinada: si la dirección IP de destino del paquete no pertenece a una red
remota o conectada, el enrutador determina si hay una puerta de enlace de último recurso
disponible. Se establece una puerta de enlace de último recurso cuando se configura o aprende
una ruta predeterminada en un enrutador. Si hay una ruta predeterminada, el paquete se reenvía
a la puerta de enlace de último recurso. Si el enrutador no tiene una ruta predeterminada, el
paquete se descarta.
2
Interfaces de rutas locales: se agregan cuando una interfaz está configurada y activa.
Esta entrada solo se muestra en IOS 15 o posterior para rutas IPv4 y todas las versiones
de IOS para rutas IPv6.
Interfaces conectadas directamente: se agregan a la tabla de enrutamiento cuando una
interfaz está configurada y activa.
Rutas estáticas: se agregan cuando una ruta se configura manualmente y la interfaz de
salida está activa.
Protocolo de enrutamiento dinámico: se agrega cuando se implementan protocolos
de enrutamiento que aprenden dinámicamente sobre la red, como EIGRP y OSPF,
y se identifican las redes.
Las fuentes de las entradas de la tabla de enrutamiento se identifican mediante un código. El
código identifica cómo se aprendió la ruta; por ejemplo, los códigos comunes incluyen lo
siguiente:
L: identifica la dirección asignada a la interfaz de un enrutador. Esto permite que el
enrutador determine de manera eficiente cuándo recibe un paquete para la interfaz en
lugar de reenviarlo.
C: identifica una red conectada directamente.
S: identifica una ruta estática creada para llegar a una red específica.
D: identifica una red aprendida dinámicamente de otro enrutador mediante EIGRP.
O: identifica una red aprendida dinámicamente de otro enrutador mediante el protocolo
de enrutamiento OSPF.
2
Rutas estáticas
Enrutamiento dinámico
Los enrutadores utilizan los protocolos de enrutamiento dinámico para compartir información
sobre la accesibilidad y el estado de las redes remotas. Los protocolos de enrutamiento dinámico