Firewalls

Un cortafuegos (firewall en ingls) es una parte de un sistema o una red que est diseada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios. Los cortafuegos pueden ser implementados en hardware o software, o una combinacin de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a travs del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. Tambin es frecuente conectar al cortafuegos a una tercera red, llamada Zona desmilitarizada o DMZ, en la que se ubican los servidores de la organizacin que deben permanecer accesibles desde la red exterior. Un cortafuegos correctamente configurado aade una proteccin necesaria a la red, pero que en ningn caso debe considerarse suficiente. La seguridad informtica abarca ms mbitos y ms niveles de trabajo y proteccin.

Tipos de Firewalls
Nivel de aplicacin de pasarela
Aplica mecanismos de seguridad para aplicaciones especficas, tales como servidores FTP y Telnet. Esto es muy eficaz, pero puede imponer una degradacin del rendimiento.

Circuito a nivel de pasarela

Aplica mecanismos de seguridad cuando una conexin TCP o UDP es establecida. Una vez que la conexin se ha hecho, los paquetes pueden fluir entre los anfitriones sin ms control. Permite el establecimiento de una sesin que se origine desde una zona de mayor seguridad hacia una zona de menor seguridad.

Cortafuegos de capa de red o de filtrado de paquetes

Funciona a nivel de red (nivel 3) de la pila de protocolos (TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros segn los distintos campos de los

paquetes IP: direccin IP origen, direccin IP destino, etc. A menudo en este tipo de cortafuegos se permiten filtrados segn campos de nivel de transporte (nivel 4) como el puerto origen y destino, o a nivel de enlace de datos (nivel 2) como la direccin MAC. Este es uno de los principales tipos de cortafuegos. Se considera bastante eficaz y transparente pero difcil de configurar.

Cortafuegos de capa de aplicacin

Trabaja en el nivel de aplicacin (nivel 7), de manera que los filtrados se pueden adaptar a caractersticas propias de los protocolos de este nivel. Por ejemplo, si se trata de trfico HTTP, se pueden realizar filtrados segn la URL a la que se est intentando acceder. Un cortafuegos a nivel 7 de trfico HTTP suele denominarse proxy, y permite que los computadores de una organizacin entren a Internet de una forma controlada. Un proxy oculta de manera eficaz las verdaderas direcciones de red.

Cortafuegos personal
Es un caso particular de cortafuegos que se instala como software en un computador, filtrando las comunicaciones entre dicho computador y el resto de la red. Se usa por tanto, a nivel personal.

Ventajas de un cortafuegos

Establece perimetros confiables. Protege de intrusiones.- El acceso a ciertos segmentos de la red de una organizacin slo se permite desde mquinas autorizadas de otros segmentos de la organizacin o de Internet. Proteccin de informacin privada.- Permite definir distintos niveles de acceso a la informacin, de manera que en una organizacin cada grupo de usuarios definido tenga acceso slo a los servicios e informacin que le son estrictamente necesarios. Optimizacin de acceso.- Identifica los elementos de la red internos y optimiza que la comunicacin entre ellos sea ms directa. Esto ayuda a reconfigurar los parmetros de seguridad.

Limitaciones de un cortafuegos
Las limitaciones se desprenden de la misma definicin del cortafuegos: filtro de trfico. Cualquier tipo de ataque informtico que use trfico aceptado por el cortafuegos (por usar puertos TCP abiertos expresamente, por ejemplo) o que sencillamente no use la red, seguir constituyendo una amenaza. La siguiente lista muestra algunos de estos riesgos: Un cortafuegos no puede proteger contra aquellos ataques cuyo trfico no pase a travs de l. El cortafuegos no puede proteger de las amenazas a las que est sometido por ataques internos o usuarios negligentes. El cortafuegos no puede prohibir a espas corporativos copiar datos sensibles en medios fsicos de almacenamiento (discos, memorias, etc.) y sustraerlas del edificio.

El cortafuegos no puede proteger contra los ataques de ingeniera social. El cortafuegos no puede proteger contra los ataques posibles a la red interna por virus informticos a travs de archivos y software. La solucin real est en que la organizacin debe ser consciente en instalar software antivirus en cada mquina para protegerse de los virus que llegan por cualquier medio de almacenamiento u otra fuente. El cortafuegos no protege de los fallos de seguridad de los servicios y protocolos cuyo trfico est permitido. Hay que configurar correctamente y cuidar la seguridad de los servicios que se publiquen en Internet.

Polticas del cortafuegos

Hay dos polticas bsicas en la configuracin de un cortafuegos que cambian radicalmente la filosofa fundamental de la seguridad en la organizacin:

Poltica restrictiva: Se deniega todo el trfico excepto el que est explcitamente permitido. El cortafuegos obstruye todo el trfico y hay que habilitar expresamente el trfico de los servicios que se necesiten. Poltica permisiva: Se permite todo el trfico excepto el que est explcitamente denegado. Cada servicio potencialmente peligroso necesitar ser aislado bsicamente caso por caso, mientras que el resto del trfico no ser filtrado.

La poltica restrictiva es la ms segura, ya que es ms difcil permitir por error trfico potencialmente peligroso, mientras que en la poltica permisiva es posible que no se haya contemplado algn caso de trfico peligroso y sea permitido por omisin.

El SPAM hace mucho dao a los usuarios, pero tambin hace perder mucho dinero a las empresas, sean grandes o pequeas. Por ello la lucha frente a este tipo de ataques va ms all de los algoritmos de filtrado de estos correos, sino tambin mediante herramientas hardware como el Ub051 Spam Prevention Gateway, fabricado por Halon Security. Se trata de un firewall fsico que estudia el correo electrnico entrante, observando tanto su direccin IP de procedencia como su contenido (buscando patrones recurrentes en el texto), y determina si el correo es o no nocivo para nuestra bandeja de entrada. Son tres los modelos de Halon SPG disponibles: 100, 200, 300, 400 y 500, que difieren en la capacidad de proceso que tienen. Los dos primeros estn recomendados para grupos de trabajo de hasta trescientos usuarios, mientras que los tres restantes montan un procesador de doble ncleo a 2.13 GHz y 500 GB de capacidad que permite su uso para hasta quince mil usuarios. Es decir, para grandes empresas y multinacionales.

Sistema de deteccin de intrusos

Un sistema de deteccin de intrusos (o IDS de sus siglas en ingls Intrusion Detection System) es un programa usado para detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automticas. El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el ncleo del IDS puede obtener datos externos (generalmente sobre el trfico de red). El IDS detecta, gracias a dichos sensores, anomalas que pueden ser indicio de la presencia de ataques o falsas alarmas.

Funcionamiento
El funcionamiento de estas herramientas se basa en el anlisis pormenorizado del trfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos,

paquetes malformados, etc. El IDS no slo analiza qu tipo de trfico es, sino que tambin revisa el contenido y su comportamiento. Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener los ataques por s solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall, convirtindose en una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red. Los IDS suelen disponer de una base de datos de firmas de ataques conocidos. Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el trfico normal de la red y el trfico que puede ser resultado de un ataque o intento del mismo.

Tipos de IDS
Existen dos tipos de sistemas de deteccin de intrusos:
1. HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del xito

de los intrusos, que generalmente dejaran rastros de sus actividades en el equipo atacado, cuando intentan aduearse del mismo, con propsito de llevar a cabo otras actividades. El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones.
2. NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el

segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando as todo el trfico de la red.

Sistemas pasivos y sistemas reactivos

En un sistema pasivo, el sensor detecta una posible intrusin, almacena la informacin y manda una seal de alerta que se almacena en una base de datos. En un sistema reactivo, el IDS responde a la actividad sospechosa reprogramando el cortafuegos para que bloquee trfico que proviene de la red del atacante.

Implementacin
Para poner en funcionamiento un sistema de deteccin de intrusos se debe tener en cuenta que es posible optar por una solucin hardware, software o incluso una combinacin de estos dos. La posibilidad de introducir un elemento hardware es

debido al alto requerimiento de procesador en redes con mucho trfico. A su vez los registros de firmas y las bases de datos con los posibles ataques necesitan gran cantidad de memoria, aspecto a tener en cuenta. En redes es necesario considerar el lugar de colocacin del IDS. Si la red est segmentada con hub (capa 1 del modelo OSI) no hay problema en analizar todo el trfico de la red realizando una conexin a cualquier puerto. En cambio, si se utiliza un switch (capa 2 del modelo OSI), es necesario conectar el IDS a un puerto SPAN (Switch Port Analiser) para poder analizar todo el trfico de esta red.

Host-based intrusion detection system

HIDS, Sistema de deteccin de intrusos en un Host. Busca detectar anomalas que indican un riesgo potencial, revisando las actividades en la mquina (host). Puede tomar medidas protectoras.

NIDS
NIDS, Sistema de deteccin de intrusos en una Red. Busca detectar anomalas que inicien un riesgo potencial, tales como ataques de denegacin de servicio, escaneadores de puertos o intentos de entrar en un ordenador, analizando el trfico en la red en tiempo real. Para ello, analiza todos los paquetes, buscando en ellos patrones sospechosos. Los NIDS no slo vigilan el trfico entrante, sino tambin el saliente o el trfico local, ya que algunos ataques podran ser iniciados desde el propio sistema protegido. A pesar de la vigilancia, su influencia en el trfico es casi nula. Para que los NIDS sean efectivos, han de ser actualizados peridicamente. En caso de detectar un ataque contra el sistema, puede tomar medidas protectoras. Un aspecto negativo de los NIDS actuales es su complicacin a la hora de obtener las opciones de configuracin ptimas para su ejecucin. De otro modo, obtendremos demasiados falsos positivos (falsas alarmas, con gran cantidad de informacin que luego un administrador tendr que procesar) o pasar sin advertir ciertos ataques.

El campo de los IDS y su versin para red NIDS est actualmente en activa investigacin en diversas universidades como Columbia University y empresas de seguridad.

Conmutador (dispositivo de red)

Un conmutador o switch es un dispositivo digital de lgica de interconexin de redes de computadores que opera en la capa 2 (nivel de enlace de datos) del modelo OSI. Su funcin es interconectar dos o ms segmentos de red, de manera similar a los puentes (bridges), pasando datos de un segmento a otro de acuerdo con la direccin MACde destino de las tramas en la red.

Un conmutador en el centro de unared en estrella.

Los conmutadores se utilizan cuando se desea conectar mltiples redes, fusionndolas en una sola. Al igual que los puentes, dado que funcionan como un filtro en la red, mejoran el rendimiento y la seguridad de las LANs (Local Area Network- Red de rea Local).

Interconexin de conmutadores y puentes

Los puentes (bridges) y conmutadores (switches) pueden conectarse unos a los otros pero siempre hay que hacerlo de forma que exista un nico camino entre dos puntos de la red . En caso de no seguir esta regla , se forma un bucle o loop en la red, que produce la transmisin infinita de tramas de un segmento al otro . Generalmente estos dispositivos utilizan el algoritmo de spanning tree para evitar bucles, haciendo la transmisin de datos de forma segura.

Introduccin al funcionamiento de los conmutadores

Conexiones en un switch Ethernet

Los conmutadores poseen la capacidad de aprender y almacenar las direcciones de red de nivel 2 (direcciones MAC) de los dispositivos alcanzables a travs de cada uno de sus puertos. Por ejemplo, un equipo conectado directamente a un puerto de un

conmutador provoca que el conmutador almacene su direccin MAC. Esto permite que, a diferencia de los concentradores o hubs, la informacin dirigida a un dispositivo vaya desde el puerto origen al puerto de destino. En el caso de conectar dos conmutadores o un conmutador y un concentrador, cada conmutador aprender las direcciones MAC de los dispositivos accesibles por sus puertos, por lo tanto en el puerto de interconexin se almacenan las MAC de los dispositivos del otro conmutador.

Bucles de red e inundaciones de trfico

Como anteriormente se comentaba, uno de los puntos crticos de estos equipos son los bucles (ciclos) que consisten en habilitar dos caminos diferentes para llegar de un equipo a otro a travs de un conjunto de conmutadores. Los bucles se producen porque los conmutadores que detectan que un dispositivo es accesible a travs de dos puertos emiten la trama por ambos. Al llegar esta trama al conmutador siguiente, este vuelve a enviar la trama por los puertos que permiten alcanzar el equipo. Este proceso provoca que cada trama se multiplique de forma exponencial, llegando a producir las denominadas inundaciones de la red, provocando en consecuencia el fallo o cada de las comunicaciones.

Clasificacin de Switches
Atendiendo al mtodo de direccionamiento de las tramas utilizadas:

Store-and-Forward Los switches Store-and-Forward guardan cada trama en un buffer antes del intercambio de informacin hacia el puerto de salida. Mientras la trama est en el buffer, el switch calcula el CRC y mide el tamao de la misma. Si el CRC falla, o el tamao es muy pequeo o muy grande (un cuadro Ethernet tiene entre 64 bytes y 1518 bytes) la trama es descartada. Si todo se encuentra en orden es encaminada hacia el puerto de salida. Este mtodo asegura operaciones sin error y aumenta la confianza de la red. Pero el tiempo utilizado para guardar y chequear cada trama aade un tiempo de demora importante al procesamiento de las mismas. La demora o delay total es proporcional al tamao de las tramas: cuanto mayor es la trama, mayor ser la demora. Cut-Through

Los Switches Cut-Through fueron diseados para reducir esta latencia. Esos switches minimizan el delay leyendo slo los 6 primeros bytes de datos de la trama, que contiene la direccin de destino MAC, e inmediatamente la encaminan. El problema de este tipo de switch es que no detecta tramas corruptas causadas por colisiones (conocidos como runts), ni errores de CRC. Cuanto mayor sea el nmero de colisiones en la red, mayor ser el ancho de banda que consume al encaminar tramas corruptas. Existe un segundo tipo de switch cut-through, los denominados fragment free, fue proyectado para eliminar este problema. El switch siempre lee los primeros 64 bytes de cada trama, asegurando que tenga por lo menos el tamao mnimo, y evitando el encaminamiento de runts por la red. Adaptative Cut-Through Los switches que procesan tramas en el modo adaptativo soportan tanto store-andforward como cut-through. Cualquiera de los modos puede ser activado por el administrador de la red, o el switch puede ser lo bastante inteligente como para escoger entre los dos mtodos, basado en el nmero de tramas con error que pasan por los puertos. Cuando el nmero de tramas corruptas alcanza un cierto nivel, el switch puede cambiar del modo cut-through a store-and-forward, volviendo al modo anterior cuando la red se normalice. Los switches cut-through son ms utilizados en pequeos grupos de trabajo y pequeos departamentos. En esas aplicaciones es necesario un buen volumen de trabajo o throughput, ya que los errores potenciales de red quedan en el nivel del segmento, sin impactar la red corporativa. Los switches store-and-forward son utilizados en redes corporativas, donde es necesario un control de errores. Atendiendo a la forma de segmentacin de las sub-redes: Switches de Capa 2 o Layer 2 Switches Son los switches tradicionales, que funcionan como puentes multi-puertos. Su principal finalidad es dividir una LAN en mltiples dominios de colisin, o en los casos de las redes en anillo, segmentar la LAN en diversos anillos. Basan su decisin de envo en la direccin MAC destino que contiene cada trama.

Los switches de nivel 2 posibilitan mltiples transmisiones simultneas sin interferir en otras sub-redes. Los switches de capa 2 no consiguen, sin embargo, filtrar difusiones o broadcasts, multicasts (en el caso en que ms de una sub-red contenga las estaciones pertenecientes al grupo multicast de destino), ni tramas cuyo destino an no haya sido incluido en la tabla de direccionamiento.

Switches de Capa 3 o Layer 3 Switches Son los switches que, adems de las funciones tradicionales de la capa 2, incorporan algunas funciones de enrutamiento o routing, como por ejemplo la determinacin del camino basado en informaciones de capa de red (capa 3 del modelo OSI), validacin de la integridad del cableado de la capa 3 por checksum y soporte a los protocolos de routing tradicionales (RIP, OSPF, etc) Los switches de capa 3 soportan tambin la definicin de redes virtuales (VLAN's), y segn modelos posibilitan la comunicacin entre las diversas VLAN's sin la necesidad de utilizar un router externo. Por permitir la unin de segmentos de diferentes dominios de difusin o broadcast, los switches de capa 3 son particularmente recomendados para la segmentacin de redes LAN muy grandes, donde la simple utilizacin de switches de capa 2 provocara una prdida de rendimiento y eficiencia de la LAN, debido a la cantidad excesiva de broadcasts. Se puede afirmar que la implementacin tpica de un switch de capa 3 es ms escalable que un router, pues ste ltimo utiliza las tcnicas de enrutamiento a nivel 3 y encaminamiento a nivel 2 como complementos, mientras que los switches sobreponen la funcin de enrutamiento encima del encaminamiento, aplicando el primero donde sea necesario. Dentro de los Switches Capa 3 tenemos: Paquete-por-Paquete (Packet by Packet) Bsicamente, un switch Packet By Packet es un caso especial de switch Store-andForward pues, al igual que stos, almacena y examina el paquete, calculando el CRC y decodificando la cabecera de la capa de red para definir su ruta a travs del protocolo de enrutamiento adoptado. Layer-3 Cut-through

Un switch Layer 3 Cut-Through (no confundir con switch Cut-Through), examina los primeros campos, determina la direccin de destino (a travs de la informacin de los headers o cabeceras de capa 2 y 3) y, a partir de ese instante, establece una conexin punto a punto (a nivel 2) para conseguir una alta tasa de transferencia de paquetes. Cada fabricante tiene su diseo propio para posibilitar la identificacin correcta de los flujos de datos. Como ejemplo, tenemos el "IP Switching" de Ipsilon, el "SecureFast Virtual Networking de Cabletron", el "Fast IP" de 3Com. El nico proyecto adoptado como un estndar de hecho, implementado por diversos fabricantes, es el MPOA (Multi Protocol Over ATM). El MPOA, en desmedro de su comprobada eficiencia, es complejo y bastante caro de implementar, y limitado en cuanto a backbones ATM. Adems, un switch Layer 3 Cut-Through, a partir del momento en que la conexin punto a punto es establecida, podr funcionar en el modo "Store-and-Forward" o "CutThrough" Switches de Capa 4 o Layer 4 Switches Estn en el mercado hace poco tiempo y hay una controversia en relacin con la adecuada clasificacin de estos equipos. Muchas veces son llamados de Layer 3+ (Layer 3 Plus). Bsicamente, incorporan a las funcionalidades de un switch de capa 3 la habilidad de implementar la polticas y filtros a partir de informaciones de capa 4 o superiores, como puertos TCP/UDP, SNMP, FTP, etc.

Router
Un router es un dispositivo electrnico que interconecta dos o ms redes de computadoras , y de forma selectiva los intercambios de paquetes de datos entre ellos.Cada paquete de datos contiene informacin sobre la direccin que un router puede utilizar para determinar si el origen y destino estn en la misma red, o si el paquete de datos deben ser transferidos de una red a otra. Cuando varios routers se utilizan en una gran coleccin de redes interconectadas, el intercambio de informacin sobre las direcciones de los routers sistema de destino, de modo que cada router

puede crear una tabla que muestra las rutas de acceso preferido entre dos sistemas en las redes interconectadas. Un router es una red de dispositivos de software y hardware que se adaptan a las tareas de enrutamiento y el reenvo de la informacin. Un router tiene dos o ms interfaces de red, que puede ser de diferentes tipos fsicos de la red (tales como cables de cobre, fibra o inalmbrica) o las normas de red diferentes. Cada interfaz de red es un dispositivo especializado que convierte las seales elctricas de una forma a otra. Routers de conectar dos o ms lgico subredes , cada una con diferentes direcciones de red . Las subredes en el router no necesariamente una correspondencia de uno a uno a las interfaces fsicas del router. [1] El trmino " conmutacin Layer 3 "se utiliza a menudo de manera intercambiable con el trmino" enrutamiento ". El trmino de conmutacin se utiliza generalmente para referirse a los datos de transporte entre dos dispositivos de red con la misma direccin de red. Esto tambin se llama la capa 2 de conmutacin o de conmutacin LAN. Conceptualmente, un router funciona en dos planos operativos (o subsistemas): [2]

plano de control : cuando un router genera una tabla (llamada tabla de enrutamiento) como la forma de un paquete debe ser enviado a travs de la interfaz, ya sea mediante declaraciones configurado estticamente (llamadas rutas estticas) o por el intercambio de informacin con otros routers de la red a travs de una dinmica de enrutamiento protocolo; Desvo de avin : cuando el router en realidad reenva el trfico (en paquetes llamados IP) de entrada (entrante) interfaces para una salida (salida) de interfaz que es conveniente que la direccin de destino que el paquete lleva consigo, siguiendo las normas derivadas de la tabla de enrutamiento que se ha construido en el plano de control.

Tipos de routers
Enrutadores pueden proporcionar conectividad dentro de las empresas, entre empresas e Internet, y dentro de los proveedores de servicios Internet (ISP). El ms grande de routers (por ejemplo, el Cisco CRS-1 o T1600 de Juniper) interconectar los ISP, se utilizan dentro de los ISPs, o pueden ser utilizados en la empresa de redes muy grandes. El ms pequeo routers proporcionan conectividad para pequeas oficinas y hogar.

Los routers de conexin a Internet y uso interno

Enrutadores destinados a ISP y conectividad empresarial importante, casi invariablemente, el intercambio de informacin de enrutamiento con el Border Gateway Protocol (BGP). RFC 4098 [3] define varios tipos de enrutadores BGP de habla de acuerdo a los routers 'funciones:

enrutador Edge (ER): Una sala de emergencias se coloca en el borde de una red ISP. El router externo habla BGP (EBGP) a un altavoz del BGP en otro proveedor o de grandes empresas de Sistema Autnomo (AS). Este tipo de router es tambin llamado PE (Provider Edge) routers. Suscriptor Edge Router (SER): Un SER se encuentra en el borde de abonado de la red, se habla EBGP al proveedor como su (s). Pertenece a un usuario final (empresa) organizacin. Este tipo de router es tambin llamado CE (Customer Edge) routers. -Proveedor de la frontera entre router: ISP de interconexin, esta es una de habla router BGP que mantiene sesiones BGP con otros enrutadores BGP habla en 'proveedores de otros sistemas autnomos. Ncleo router : Un router es un ncleo que se encuentra dentro de un AS como nuevo hueso para transportar trfico entre los routers de borde. Dentro de un ISP: Interno como el proveedor, por ejemplo un router habla BGP interno (iBGP) a los routers de borde que proveedor, otros routers ncleo dentro de proveedor, o routers del proveedor entre proveedores frontera. "Columna vertebral de Internet:" Internet no tiene una espina dorsal claramente identificable, al igual que sus predecesores. Ver sin zona

predeterminada (DFZ). Sin embargo, los routers los principales ISP 'conforman lo que muchos consideran el ncleo. Estos ISPs operan los cuatro tipos de los routers BGP habla aqu descritos. En el uso ISP, un "ncleo" del router es interno a un ISP, y se utiliza para interconectar el borde y enrutadores de frontera. routers de ncleo tambin puede tener funciones especializadas en redes privadas virtuales basadas en una combinacin de BGP y MultiProtocol Label Switching (MPLS). [4] Los routers se utilizan tambin para el reenvo de puertos para los servidores privados.