1.

LA CONFIGURACIN TCP/IP DE UN EQUIPO

Las direcciones IP de la versin IPv4 tienen 32 bits, formados por cuatro campos de 8 bits (octeto), cada uno, separados por puntos (por ejemplo, 192.168.0.1). Existen cinco clases de redes: A, B, C, D o E (esta diferenciacin viene dada en funcin del nmero de ordenadores que va a tener la red). La clase C es la ms utilizada, su mscara de subred es 255.255.255.0 y sus direcciones IP estn comprendidas entre 192.0.0.0 y 223.255.255.255. Puede tener hasta 254 ordenadores en cada red. La direccin de equipo indica el nmero que corresponde al ordenador dentro de la red (por ejemplo, al primer ordenador de una direccin de red de clase C 192.11.91.0 se le otorgar la direccin IP 192.11.91.1, al segundo 192.11.91.2, al cuarto 192.11.91.4 y as sucesivamente). Puerta de enlace predeterminada. Cuando la red se comunica con el exterior con otras redes o con Internet, es necesario utilizar un encaminador (un router). En este apartado se ha de indicar la direccin IP privada del router. En caso de no poner ninguna direccin o de no disponer de router, el equipo no tendra salida a Internet. Obtener una direccin IP automticamente. Si activa esta casilla de la configuracin es porque dispone de un servidor DHCP que le va a asignar una direccin IP para trabajar en la red. DNS (Domain Name System) es un sistema que usa servidores distribuidos a lo largo de la red para resolver el nombre de un ordenador en una direccin IP. La notacin alternativa es otra manera de representar la mscara de subred indicando el nmero de bits que se toman para indicar la direccin de red (por ejemplo, la direccin IP 192.168.0.4/24 indicara que es de clase C, ya que utiliza 24 bits para indicar la direccin de red y 8 bits para indicar la direccin de equipo). La direccin IPv6 aumenta a ocho bloques de 16 bits cada uno para poder soportar un nmero mayor de nodos direccionables, ms niveles de direcciones jerrquicas y una autoconfiguracin ms sencilla de las direcciones (por ejemplo, A123:FF01:0:0:0:0:0:92). El prefijo de subred define la topologa interna de la red respecto a un encaminador. Por ejemplo, si la direccin IPv6 completa es lal siguiente: 2001:db8:3c4d:15::/64, el prefijo de subred ser de 64 bits, que incluyen 48 bits del prefijo de sitio y 16 bits para el ID de subred). Es el equivalente a la mscara de subred en IPv4. Hay tres formas de representar dichas direcciones IPv6:

La primera forma, que es la ms aceptada, consiste en representarla de la manera x:x:x:x:x:x:x:x, donde las x representan los valores hexadecimales de los ocho bloques de dos octetos cada uno.

Ejemplos: FADB:CA58:96A4:B215:FABC:BA61:7994:1782 A090:1:0:8:A800:290C:1:817B Como puede observarse, no es necesario escribir todos los ceros que hay por delante de un valor hexadecimal en un campo individual, pero se ha de tener por lo menos una cifra en cada campo. La segunda forma de representar direcciones IPv6 consiste en suprimir los ceros que se encuentran en medio de las direcciones. La expresin de dos "::" indicara uno o varios grupos de 16 bits iguales a 0.

Por ejemplo, la direccin: A123:FF01:0:0:0:0:0:92 se representara de la manera: A123:FF01::92 (los "::" slo pueden aparecer una vez en la direccin). Otra forma de representar direcciones IPv6, a veces ms cmoda cuando hay un entorno mixto de nodos con direcciones nuevas y antiguas, es representarla de la manera x:x:x:x:x:x:d.d.d.d, donde las x son valores hexadecimales (6 grupos de 16 bits en la representacin futura) y las d son valores decimales (4 grupos de 8 bits en la representacin estndar actual).

Ejemplos: 0:0:0:0:0:A234:23.1.67.4 0:0:0:0:0:1:129.154.52.1 o con el formato comprimido ::A234:23.1.67.4 ::1:129.154.52.31 2. LA DETECCIN DE REDES La deteccin de redes es una configuracin de red que: Determina si otros equipos y dispositivos de la red son visibles desde su equipo y si otros equipos de la red pueden ver su equipo.

Determina si puede tener acceso a dispositivos y archivos compartidos de otros equipos de la red y si las personas que usan otros equipos de la red pueden tener acceso a los dispositivos y archivos compartidos de su equipo. Ayuda a proporcionar el nivel adecuado de seguridad y acceso a un equipo, basndose en la ubicacin de las redes a las que se conecta.

Cuando se conecta a una red, en funcin de la ubicacin de red que elija, Windows asigna un estado de deteccin de redes a la red y abre los puertos de Firewall de Windows apropiados. 3. LA CONFIGURACIN IP DEL EQUIPO

Para comunicarse en Internet, se deben utilizar direcciones asignadas por el Centro de informacin de redes de Internet (InterNIC) que se conocen como direcciones IP pblicas. Para permitir que varios equipos de una red pequea se conecten a Internet, cada equipo deber tener su propia direccin IP pblica. Para evitarlo, se puede utilizar para la red privada un conjunto reservado de direcciones IP privadas para su utilizacin fuera de la red pblica y realizar una conversin a una direccin IP pblica. Las direcciones IPv4 privadas pueden ser una cualquiera dentro de los siguientes rangos: Desde la direccin 10.0.0.0 hasta la direccin 10.255.255.255 (mscara de subred 255.0.0.0).

Desde la direccin 172.16.0.0 hasta la direccin 172.31.255.255 (mscara de subred 255.255.0.0). Desde la direccin 192.168.0.0 hasta la direccin 192.168.255.255 (mscara de subred 255.255.255.0).

La traduccin de direcciones de red (NAT) es un mtodo para traducir las direcciones IPv4 privadas de los equipos de una red a direcciones IPv4 pblicas. En IPv6, el equivalente a las direcciones IPv4 privadas son las direcciones locales del sitio. Los primeros 48 bits siempre son fijos en las direcciones locales del sitio y comienzan por FEC0::/48. A continuacin de los 48 bits fijos hay un identificador de subred de 16 bits que son con los que se pueden crear subredes en la organizacin. La direccin de bucle de retroceso (0:0:0:0:0:0:0:1 ::1) sirve para identificar una interfaz de bucle de retroceso, lo que permite que un nodo se enve paquetes a s mismo. Equivale a la direccin IPv4 127.0.0.1. Los paquetes dirigidos a la direccin de bucle de retroceso nunca se envan en un vnculo ni se reenvan mediante un enrutador. Puede ver la configuracin IP de un equipo con el comando ipconfig /all desde Smbolo del sistema de Accesorios de Todos los programas del men Inicio

5. HERRAMIENTAS DE MONITORIZACIN DE LA RED Las herramientas para la monitorizacin de una red de comunicaciones pueden ser muy variadas: desde dispositivos que analizan la seal que circula por un cable a programas que monitorizan todo el trfico de los enlaces. Estas herramientas tienen la ventaja de que son menos intrusivas, ya que evitan que los dispositivos de interconexin tengan que realizar trabajo adicional. Entre las herramientas de monitorizacin de red podemos destacar:

Comprobadores de red: se utilizan para comprobar la continuidad en un cable u otros parmetros ms avanzados. Monitores de red: muestran un mapa de la actividad de la red en un intervalo de tiempo determinado, ya que capturan los mensajes que circulan por ella. No decodifican el contenido de los mensajes, sino que se limitan a contar los que circulan, su tamao, los que han llegado con error y el nmero de ellos que se envan y se reciben por estacin. Esta informacin se puede utilizar para crear perfiles de trfico en la red, localizar congestiones, detectar intrusos, planificar una expansin de la red y distribuir el trfico ms eficientemente. Por ejemplo, Microsoft Network Monitor. Un ejemplo se tiene a continuacin con la instalacin y uso del programa Microsoft Network Area. El primer paso es descargarlo desde la direccin que aparece en el navegador.

Anlisis de la pantalla que contiene la captura:

- En el apartado Network Conversations podemos ver los procesos desde los que se ha realizado algn tipo de comunicacin. -En la pantalla central Frame Summary podemos ver un resumen de las tramas para la conexin entre las dos direcciones IP a travs del protocolo SMB2, lo interesante es que podemos ver una descripcin de la comunicacin producida en el puerto. Analizadores de red: son dispositivos parecidos a los monitores de red pero que son capaces de comprender y mostrar la informacin que lleva cada mensaje. Los analizadores de red disponibles en el mercado son capaces de comprender diferentes tipos de mensajes de distintas arquitecturas y protocolos. Esto permite identificar qu capa de la arquitectura de red est involucrada en cada comunicacin y si existe algn problema en ella. El programa analizador de red es capaz de seleccionar los tipos de mensajes a capturar, generar mensajes para enviarlos a la red y ofrecer soluciones potenciales a los problemas de la red.

6. LAS REDES INALMBRICAS El modo Ad hoc se utiliza para conectar mediante Wi-Fi dos dispositivos de forma sencilla. La configuracin Ad hoc no requiere muchas opciones de configuracin. Se pueden conectar en una red Ad hoc hasta 10 dispositivos aunque esto no suele ser habitual. El modo infraestructura permite ms posibilidades a las redes inalmbricas. En este modo existe un elemento centralizador de la transferencia de informacin llamado punto de acceso. El uso del modo infraestructura utilizando puntos de acceso permite un mayor alcance a las redes as como comunicaciones ms seguras y con ms posibilidades de configuracin. Adems, los puntos de acceso permiten la conexin entre la red inalmbrica y una red cableada para lo cual incluyen un puerto de conexin a la red cableada, normalmente de tipo RJ-45. Las principales ventajas de una red inalmbrica son: La movilidad y libertad de movimientos de los equipos. La facilidad de implementar la red en un tiempo mucho menor que el que llevara una red convencional y sin afectar la infraestructura del edificio existente. Se consiguen conexiones que seran inviables con otro tipo de medio por limitantes arquitectnicos o de distancias, o por estar prohibido tender cableado. La flexibilidad, porque con la misma facilidad con que se instala, se desinstala. Esto elimina la necesidad de levantar el cableado existente en el caso de un traslado.

En una red inalmbrica se pueden distinguir: Un encaminador para el acceso a Internet.

Un punto de acceso como mnimo. Clientes inalmbricos.

Las dos primeras opciones pueden sustituirse por un encaminador inalmbrico que es simplemente un router con una interfaz inalmbrica (se distingue de un router normal porque lleva una o dos antenas). Un punto de acceso es un concentrador inalmbrico. El transmisor/receptor conecta entre s los nodos de la red inalmbrica y, normalmente, tambin sirve de puente entre ellos y la red cableada. Un conjunto de puntos de acceso (coordinados) se pueden conectar los unos con otros para crear una gran red inalmbrica. Un punto de acceso debe distinguirse de un encaminador inalmbrico (muy comn en el mercado actual) que es una combinacin entre un punto de acceso y un encaminador o router y que puede ejecutar tareas ms complejas que las de un punto de acceso. Los clientes se han de conectar al punto de acceso mediante su nombre. Este mecanismo de identificacin se conoce como SSID (Service Set Identifier, Identificador del Conjunto de Servicio) y debe ser el mismo para todos los miembros de una red inalmbrica especfica. Todos los puntos de acceso y los clientes que pertenecen a un mismo ESS (Extended Service Set, Conjunto de Servicio extendido) se deben configurar con el mismo ID (ESSID). Un cliente inalmbrico es cualquier estacin inalmbrica que se conecta a una LAN inalmbrica para compartir sus recursos. Una estacin inalmbrica se define como cualquier ordenador con una tarjeta adaptadora de red inalmbrica instalada que transmite y recibe seales de Radio Frecuencia (RF).

7. LA SEGURIDAD BSICA DE UNA RED La seguridad tiene que ver con tres aspectos fundamentales de la informacin que almacena: Confidencialidad: mantenerla lejos de personas no autorizadas. Integridad: impedir que pueda ser modificada o borrada. Disponibilidad: permitir que pueda ser consultada en cualquier momento.

As mismo, la seguridad de un sistema tambin tiene que ver con su correcto funcionamiento, es decir, con el grado de tolerancia a fallos que tenga. Estos fallos pueden ser intencionados, realizados por usuarios o programas de tipo virus, o fortuitos, es decir, aqullos que se producen accidentalmente ante un fallo software, hardware, por la cada del suministro elctrico, etc.

Un fallo de seguridad de un sistema informtico se produce por dos razones: La necesidad del envo y recepcin de informacin por la red supone que durante el camino sta puede ser interceptada por personas no autorizadas. El caso ms extremo se encuentra en las redes inalmbricas, donde cualquier persona puede encontrarse dentro del radio de alcance y capturar la informacin enviada. El sistema operativo de la mquina y los protocolos de comunicaciones de la arquitectura han sido diseados e implementados en un lenguaje de programacin, por lo que estos pueden tener fallos o situaciones no contempladas, dando lugar a agujeros por los que los intrusos pueden acceder.

Los ataques a los sistemas son operaciones intencionadas o fortuitas que pueden poner a los equipos en un estado inseguro. Estos ataques pueden ser intencionados cuando la persona que los realiza pretende conseguir acceso al sistema para obtener o modificar la informacin que tiene almacenada o simplemente con el propsito de dejarlo fuera de servicio. Tambin pueden ser fortuitos cuando los producen personas de la organizacin en forma de accidentes. El uso de contraseas para la autenticacin de los usuarios es un mtodo bsico de control de la seguridad en sistemas. Tanto los equipos conectados a la red como los dispositivos de interconexin, necesitan el uso de contraseas de acceso, para evitar que usuarios no autorizados puedan hacer uso de los equipos o modificar su configuracin. El proceso de autenticacin de un usuario en un equipo no genera ningn riesgo si la contrasea permanece en ese equipo, aunque debe establecerse algn mecanismo de seguridad para que un usuario no pueda consultar la contrasea de otro. Sin embargo, cuando el proceso de autenticacin requiere de la intervencin de otro equipo, entonces las contraseas deben ser enviadas por la red. Esto supone un riesgo de seguridad, ya que otro usuario situado en otro equipo puede interceptar y capturar esas contraseas. Esta situacin tambin se produce cuando se accede a la configuracin de un dispositivo de interconexin a travs de la conexin de red. La eleccin de una contrasea compleja resulta de vital importancia debido a la posibilidad de que un intruso pueda realizar un ataque basado en diccionario. Esta tcnica consiste en utilizar un programa que prueba una lista de palabras, llamada diccionario, hasta obtener aquella que coincide con la contrasea. Su uso est condicionado por el hecho de que las tcnicas de cifrado no son reversibles. No se recomiendan las siguientes prcticas: Utilizar como contrasea el mismo nombre de usuario. Definir la contrasea de acuerdo con informacin personal que pueda ser fcilmente investigada.

Utilizar palabras del diccionario como contraseas, ya que se pueden descifrar utilizando programas de fuerza bruta.

Cuando la informacin est al alcance de usuarios no autorizados, la mejor forma de protegerla es realizar un cifrado de ella. El cifrado consiste en alterar la informacin para que resulte ilegible a personas ajenas, pero con la particularidad de que el destinatario conoce el mtodo para recomponerla. Cuanto ms complejo sea el mtodo de cifrado, menos probabilidades existirn de que otras personas puedan descifrarla. Existen dos mtodos fundamentales de cifrado: Cifrado con clave privada: se utiliza una sola clave que sirve para cifrar y descifrar la informacin. Todo aqul que conozca la clave podr realizar estas dos operaciones. Cifrado con clave pblica: en este sistema, la informacin se cifra utilizando una clave que puede ser conocida por todos, ya que debe permanecer con la informacin. Sin embargo, esa clave pblica no sirve para descifrar el mensaje, ya que esta operacin solamente puede realizarse con una clave privada que no es de dominio pblico. Este mtodo funciona bien cuando es necesario distribuir las claves (en este caso las pblicas, manteniendo las privadas a buen recaudo) y no se puede averiguar la clave privada a partir de la clave pblica.

Es evidente que uno de los factores que ms importancia tiene cuando se decide utilizar o implementar una red inalmbrica es la seguridad. Esto es as por que, a diferencia de lo que ocurre en las redes cableadas, los datos transferidos a travs de redes inalmbricas utilizan un medio de comunicacin que no est restringido, como es el aire. Nuestros datos viajan por un medio de comunicacin accesible a cualquier dispositivo, externo a la red pero con la capacidad de captacin de la seal radioelctrica. Esta caracterstica hace necesario algn mtodo de cifrado de la informacin que se transmite en una red inalmbrica. El mecanismo de seguridad inicialmente especificado en el estndar 802.11 es WEP (Wired Equivalent Privacy o Privacidad equivalente al cable). Este mecanismo est considerado actualmente como poco robusto y relativamente fcil de romper. Se basa en la utilizacin de claves simtricas, por lo que tanto las estaciones como el punto de acceso deben conocer la clave. La encriptacin de los datos se basa en un algoritmo llamado RC4. Debido a las debilidades de WEP, el IEEE comenz a desarrollar un nuevo estndar de seguridad con la asignacin IEEE 802.11i. Esta especificacin incluye un esquema de encriptacin alternativo llamado TKIP (Temporal Key Integrity Protocol). Mientras la IEEE finalizaba el estndar IEEE 802.11i y para corregir las debilidades del sistema WEP, la Wi-Fi Alliance desarroll un estndar temporal para sustituir a WEP conocido como WPA (Wi-Fi Protected Access o Acceso protegido Wi-Fi). Esta especificacin utiliza TKIP como mecanismo de encriptacin, al igual que IEEE 802.11i.

Sin embargo, se puede utilizar el mismo hardware que WEP, es decir, no es necesario cambiar las tarjetas de red a los puntos de acceso, siendo necesario cambiar nicamente el firmware de dichos dispositivos. Este sistema tambin utiliza claves simtricas con el algoritmo RC4, pero para aadir proteccin adicional, TKIP genera claves temporales que son cambiadas de forma dinmica. Aade algunas mejoras ms respecto a WEP, por ejemplo, usa un vector de iniciacin de 48 bits en lugar de los 24 utilizados en WEP. En WPA se admiten dos procesos de autenticacin: El primero, conocido como WPA Entrerprise, se lleva a cabo a travs de un servidor de autenticacin y se utiliza habitualmente en entornos profesionales. El segundo, que se conoce como WPA Personal o WPA-PSK, se lleva a cabo travs de una clave pre-compartida (PSK, Pre-shared Key) y se utiliza en entornos menos restrictivos y entornos domsticos.

Adems de los mecanismos de seguridad anteriores existen algunas estrategias ms que pueden llevarse a cabo. Una de las posibilidades que muchos puntos de acceso proporcionan es el llamado filtrado por direccin MAC, en el cual es necesario almacenar en el punto de acceso las direcciones MAC de los dispositivos que forman parte de la red Wi-Fi, de forma que el punto de acceso no permitir el acceso a la red a ningn dispositivo cuya direccin MAC no est en la lista. Este mtodo no es factible en sistemas Wi-Fi donde los usuarios conectados al sistema no son fijos, como en hoteles, puntos de acceso pblicos, etc.