REPÚBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA DEFENSA

UNIVERSIDAD NACIONAL EXPERIMENTAL POLITECNICA
DE LA FUERZA ARMADA NACIONAL
NÚCLEO ANZOÁTEGUI – SEDE SAN TOME
INGENIERÍA DE TELECOMUNICACIONES

MODELO OSI
PROTOCOLOS DE CAPAS SUPERIORES
SEGURIDAD EN REDES

PROFESOR:

Ing. Andrew Leonard

Bachilleres

Andrea Rivas CI 24845972

Maryenis Rodríguez CI
Maryelis Suarez CI 23536295
Maria G Guevara CI 25015324
Maria Guevara CI 21248453
Maria Martínez CI21514637
Maria Matute CI 25015384
Galiana González CI 20739686

ING. TELECOMUNICACIONES 8VO D01

San tomé, 27 de Noviembre del 2016

 Índice

Modelo osi

Capas , concepto características

Protocolos de capas superiores

Protocolo tcp

Función o servicio, formato cabecera

Handshake de 3 vias

Protocolo udp función o servicio formato de cabecera

Protocolos de la capa de aplicación http ftp smtp

Mime dsn dhcp

Otros protocolos ism

Seguridad en redes
 INTRODUCCION

En 1977 la Organización Internacional De Estandarización ISO estableció un

subcomité encargado de diseñar una arquitectura de comunicación. El resultado fue el
Modelo de referencia para la Interconexión de Sistemas Abiertos OSI, adoptado en
1983, que establece unas bases que permiten conectar sistemas abiertos para
procesamiento de aplicaciones distribuidas. Se trata de un marco de referencia para
definir estándares que permitan comunicar ordenadores heterogéneos.

Dicho modelo define una arquitectura de comunicación estructurada en siete niveles

verticales. Cada nivel ejecuta un subconjunto de las funciones que se requieren para
comunicar con el otro sistema. Para ello se apoya en los servicios que le ofrece el nivel
inmediato inferior y ofrece sus servicios al nivel que está por encima de él. Idealmente,
los cambios que se realicen en un nivel no deberían afectar a su nivel vecino mientras ni
se modifiquen los servicios que le ofrece.

Toda organización en la actualidad debe precisar de elementos a través de los cuales sea
posible medir, mantener y mejorar los procesos informáticos lo que se llama con
frecuencia “Calidad de servicio”. Cada área funcional dentro de la empresa, representa
diferentes retos tanto comunicacionales como de almacenamiento y/o seguridad, por lo
tanto, todo esto debe ponerse de manifiesto a la hora de configurar y mantener el
equipamiento informático que lleva la carga de todas estas operaciones. En este sentido,
es preciso abordar la gestión de red por ser el protagonista de todos estos controles que
deben llevarse permanentemente para poder ofrecer lo que al principio se conoció como
calidad en el servicio
 MODELO OSI

Capas

El Modelo OSI divide en 7 capas el proceso de transmisión de la información entre

equipo informáticos, donde cada capa se encarga de ejecutar una determinada parte del
proceso global.

Las dos únicas capas del modelo con las que de hecho, interactúa el usuario son la
primera capa, la capa Física, y la última capa, la capa de Aplicación.
Capa Física: Es la responsable del envío de la información sobre el sistema hardware
utilizado en cada caso, se utiliza un protocolo distinto según el tipo de red física.

Capa de Red o Capa Internet: Es la encargada de enviar los datos a través de las
distintas redes físicas que pueden conectar una máquina origen con la de destino de la
información. Los protocolos de transmisión, como el IP están íntimamente asociados a
esta capa.

Capa de Transporte: Controla el establecimiento y fin de la conexión, control de flujo

de datos, retransmisión de datos perdidos y otros detalles de la transmisión entre dos
sistemas. Los protocolos más importantes a este nivel son TCP y UDP (mutuamente
excluyentes).

Capa de Aplicación: Conformada por los protocolos que sirven directamente a los
programas de usuario, navegador, e-mail, FTP, TELNET, etc.

Capa de Enlace de Datos: Puede decirse que esta capa traslada los mensajes hacia y
desde la capa física a la capa de red. Especifica cómo se organizan los datos cuando se
transmiten en un medio particular. Esta capa define como son los cuadros, las
direcciones y las sumas de control de los paquetes Ethernet.

Capa de Presentación: Esta capa se ocupa de garantizar la fiabilidad del servicio,

describe la calidad y naturaleza del envío de datos. Esta capa define cuando y como
debe utilizarse la retransmisión para asegurar su llegada. Para ello divide el mensaje
recibido de la capa de sesión en trozos (datagramas), los numera correlativamente y los
entrega a la capa de red para su envío.

Capa sesión: Es una extensión de la capa de transporte que ofrece control de diálogo y
sincronización, aunque en realidad son pocas las aplicaciones que hacen uso de ella.

Concepto

El Modelo OSI es un lineamiento funcional para tareas de comunicaciones y, por

consiguiente, no especifica un estándar de comunicación para dichas tareas. Sin
embargo, muchos estándares y protocolos cumplen con los lineamientos del Modelo
OSI.

Como se mencionó anteriormente, OSI nace de la necesidad de uniformizar los

elementos que participan en la solución del problema de comunicación entre equipos de
cómputo de diferentes fabricantes.

Características

1) La conexión entre equipos electrónicos se ha ido estandarizando paulatinamente, el

Modelo OSI es la principal referencia para las comunicaciones por red.

2) El advenimiento de protocolos más flexibles donde las capas no están tan

demarcadas y la correspondencia con los niveles no era tan clara puso a este
esquema en un segundo plano.
3) Es un modelo de los protocolos propuestos por OSI como protocolos abiertos
interconectables en cualquier sistema, básicamente se pretendía que los protocolos
OSI fueran el estándar de la industria.

Normas y protocolos

* Aplicación

-8.649/8650/10035 de ISO, el protocolo de control de asociaciones.

-8.571 ISO, protocolo FTAM
-8831/8832 de ISO, protocolo para manipulación y transferencias de trabajo
-9040/9041 de ISO , servicio de terminal de transferencias viables.
-9072 de ISO , protocolo ROSE (protocolo y servicio de operaciones remotas)
-6579 de ISO (x.500 del CCITT), servicios de directoris.
-9595/9596 de ISO (x.700 del CCITT), el sistema de gestión de bases de (correo
electrónico)
-10026 de ISO, procesamiento de transiciones.

* Presentación

- 8822/8823 de ISO, servicio de presentación

- 8824 de ISO , notación para sintaxis abstracta.

* Sección

- 8326 de ISO, servicio de presentación.

- 8327 de ISO, protocolos de servicio de sección.

* Transporte

- 8072/8073 de ISO, definición del servicio de transporte.

* Red

- 8208 de ISO, protocolo de nivel de paquetes x.25

- 8348 de ISO, el servicio de red.
- 8880 de ISO, protocolos para proporcionar servicios de red.
- 9272 de ISO, encaminamiento entre el sistema final y el intermedio no orientado a
conexión.
- 10030 de ISO, encaminamiento entre el sistema final y el intermedio.

* Enlace

- 4555 de ISO, el HDLS (control) de enlace de datos de alto nivel.

- 8802 de ISO, conjunto de normas para redes de área local.

Norma IEEE 802 (INSTITUTO ELECTRICAL ESTANDAR)

Las normas que regulan el ámbito de las LAN son las correspondientes a la serie 802.x
y la serie homologa 802.x del CCITT, donde "x" es el número específico de normativa.

La familia de estándares 802.x se divide en los siguientes estándares.

- 802.1 Hace referencia a la interface con el nivel, a la gestión y a la interconexión de

redes.
- 802.2 Define las funciones del protocolo de control lógico del enlace (LLC)
- 802.3 Se refiere al método de acceso al medio CSMA/CD dentro del sub-nivel NAC
MAC.
- 802.4 Se refiere al método de acceso al medio TOKEN/BUS
- 802.5 Se refiere al método de acceso al medio TOKEN/RIN
- 802.6 Estándar para área metropolitana.
- 802.11 Estándar para redes inalámbricas.

PROTOCOLOS DE CAPAS SUPERIORES

 Protocolo TCP

TCP (que significa Protocolo de Control de Transmisión) es uno de los principales

protocolos de la capa de transporte del modelo TCP/IP. En el nivel de aplicación,
posibilita la administración de datos que vienen del nivel más bajo del modelo, o van
hacia él, (es decir, el protocolo IP). Cuando se proporcionan los datos al protocolo IP,
los agrupa en datagramas IP, fijando el campo del protocolo en 6 (para que sepa con
anticipación que el protocolo es TCP). TCP es un protocolo orientado a conexión, es
decir, que permite que dos máquinas que están comunicadas controlen el estado de la
transmisión.

 Función

Con el uso del protocolo TCP, las aplicaciones pueden comunicarse en forma segura
(gracias al sistema de acuse de recibo del protocolo TCP) independientemente de las
capas inferiores. Esto significa que los routers (que funcionan en la capa de Internet)
sólo tienen que enviar los datos en forma de datagramas, sin preocuparse con el
monitoreo de datos porque esta función la cumple la capa de transporte (o más
específicamente el protocolo TCP).

Durante una comunicación usando el protocolo TCP, las dos máquinas deben establecer
una conexión. La máquina emisora (la que solicita la conexión) se llama cliente, y la
máquina receptora se llama servidor. Por eso es que decimos que estamos en un entorno
Cliente-Servidor. Las máquinas de dicho entorno se comunican en modo en línea, es
decir, que la comunicación se realiza en ambas direcciones.

Para posibilitar la comunicación y que funcionen bien todos los controles que la
acompañan, los datos se agrupan; es decir, que se agrega un encabezado a los paquetes
de datos que permitirán sincronizar las transmisiones y garantizar su recepción.

Otra función del TCP es la capacidad de controlar la velocidad de los datos usando su
capacidad para emitir mensajes de tamaño variable. Estos mensajes se llaman
segmentos.
  Formato de Cabecera

Significado de los diferentes campos:

 Puerto de origen (16 bits): Puerto relacionado con la aplicación en curso en la
máquina origen
 Puerto de destino (16 bits): Puerto relacionado con la aplicación en curso en la
máquina destino
 Número de secuencia (32 bits): Cuando el indicador SYN está fijado en 0, el
número de secuencia es el de la primera palabra del segmento actual.
Cuando SYN está fijado en 1, el número de secuencia es igual al número de
secuencia inicial utilizado para sincronizar los números de secuencia (ISN).
 Número de acuse de recibo (32 bits): El número de acuse de recibo, también
llamado número de descargo se relaciona con el número (secuencia) del último
segmento esperado y no el número del último segmento recibido.
 Margen de datos (4 bits): Esto permite ubicar el inicio de los datos en el paquete.
Aquí, el margen es fundamental porque el campo opción es de tamaño variable.
 Reservado (6 bits): Un campo que actualmente no está en uso pero se proporciona
para el uso futuro.
 Indicadores (6x1 bit): Los indicadores representan información adicional:
 URG: Si este indicador está fijado en 1, el paquete se debe procesar en forma
urgente.
 ACK: Si este indicador está fijado en 1, el paquete es un acuse de recibo.
 PSH (PUSH): Si este indicador está fijado en 1, el paquete opera de acuerdo
con el método PUSH.
 RST: Si este indicador está fijado en 1, se restablece la conexión.
 SYN: El indicador SYN de TCP indica un pedido para establecer una conexión.
 FIN: Si este indicador está fijado en 1, se interrumpe la conexión.
 Ventana (16 bits): Campo que permite saber la cantidad de bytes que el receptor
desea recibir sin acuse de recibo.
 Suma de control (CRC): La suma de control se realiza tomando la suma del campo
de datos del encabezado para poder verificar la integridad del encabezado.
 Puntero urgente (16 bits): Indica el número de secuencia después del cual la
información se torna urgente.
 Opciones (tamaño variable): Diversas opciones
 Relleno: Espacio restante después de que las opciones se rellenan con ceros para
tener una longitud que sea múltiplo de 32 bits.

 Handshake de 3 vías

El mecanismo es el siguiente:

0. El host receptor, que en el caso de más común será un servidor, espera pasivamente
una conexión ejecutando las primitivas LISTEN y ACCEPT.

1. En primer lugar, el host que desea iniciar la conexión ejecuta una primitiva
CONNECT especificando la dirección IP y el puerto con el que se desea conectar, el
tamaño máximo del segmento que está dispuesto a aceptar y opcionalmente otros datos,
como alguna contraseña de usuario. Entonces la primitiva CONNCET hace una apertura
activa, enviando al otro host un paquete que tiene el bit SYN (ver formato de un
segmento TCP más abajo) activado, indicándole también el número de secuencia inicial
"x" que usará para enviar sus mensajes.

2. El host receptor recibe el segmento revisa si hay algún proceso activo que haya
ejecutado un LISTEN en el puerto solicitado, es decir, preparado para recibir datos por
ese puerto. Si lo hay, el proceso a la escucha recibe el segmento TCP entrante, registra
el número de secuencia "x" y, si desea abrir la conexión, responde con un acuse de
recibo "x + 1" con el bit SYN activado e incluye su propio número de secuencia inicial
"y", dejando entonces abierta la conexión por su extremo. El número de acuse de recibo
"x + 1" significa que el host ha recibido todos los octetos hasta e incluyendo "x", y
espera "x + 1" a continuación. Si no desea establecer la conexión, envía un contestación
con el bit RST activado, para que el host en el otro extremo lo sepa.

3. El primer host recibe el segmento y envía su confirmación, momento a partir del cual
puede enviar datos al otro extremo, abriendo entonces la conexión por su extremo.

4. La máquina receptora recibe la confirmación y entiende que el otro extremo ha

abierto ya su conexión, por lo que a partir de ese momento también puede ella enviar
datos. Con esto, la conexión ha quedado abierta en ambos sentidos.

 Protocolo UDP

User Datagram Protocol (UDP) es un protocolo del nivel de transporte basado en el

intercambio de datagramas. Permite el envío de dichos datagramas a través de la red sin
que se haya establecido previamente una conexión, ya que el propio datagrama
incorpora suficiente información de direccionamiento en su cabecera. Tampoco tiene
confirmación ni control de flujo, por lo que los paquetes pueden adelantarse unos a
otros; y tampoco se sabe si ha llegado correctamente, ya que no hay confirmación de
entrega o recepción. Su uso principal es para protocolos como DHCP, BOOTP, DNS y
demás protocolos en los que el intercambio de paquetes de la conexión/desconexión son
mayores, o no son rentables con respecto a la información transmitida, así como para la
transmisión de audio y vídeo en tiempo real, donde no es posible realizar
retransmisiones por los estrictos requisitos de retardo que se tiene en estos casos.

 Función

En envío:

– Está permitido enviar 0 bytes.

– El valor de retorno de la función indica el número de bytes que el S.O. acepta mandar
como datagrama, no la cantidad de bytes que llegó al destino (es un servicio no fiable).

– No hay condición de error que indique que los datos no llegaron al destino.

En recepción:

– Está igualmente permitido recibir 0 bytes de datos.

– El valor de retorno indica los bytes recibidos.

– Si el buffer (buff) no es suficientemente grande, los datos que no caben se pierden.

 Formato de Cabecera

Significado de los diferentes campos:

Puerto de origen: es el número de puerto relacionado con la aplicación del remitente

del segmento UDP. Este campo representa una dirección de respuesta para el
destinatario. Por lo tanto, este campo es opcional. Esto significa que si el puerto de
origen no está especificado, los 16 bits de este campo se pondrán en cero. En este caso,
el destinatario no podrá responder (lo cual no es estrictamente necesario, en particular
para mensajes unidireccionales).

Puerto de destino: este campo contiene el puerto correspondiente a la aplicación del

equipo receptor al que se envía.
Longitud: este campo especifica la longitud total del segmento, con el encabezado
incluido. Sin embargo, el encabezado tiene una longitud de 4 x 16 bits (que es 8 x 8
bits), por lo tanto la longitud del campo es necesariamente superior o igual a 8 bytes.

Suma de comprobación: es una suma de comprobación realizada de manera tal que

permita controlar la integridad del segmento.

-Protocolos de la capa de aplicación

Los protocolos de la capa de aplicación son utilizados tanto por los dispositivos de
origen como de destino durante una sesión de comunicación. Para que las
comunicaciones sean exitosas, deben coincidir los protocolos de capa de aplicación
implementados en el host de origen y destino.

Los protocolos establecen reglas consistentes para intercambiar datos entre las
aplicaciones y los servicios cargados en los dispositivos participantes. Los protocolos
especifican cómo se estructuran los datos dentro de los mensajes y los tipos de mensajes
que se envían entre origen y destino. Estos mensajes pueden ser solicitudes de servicios,
acuses de recibo, mensajes de datos, mensajes de estado o mensajes de error. Los
protocolos también definen los diálogos de mensajes, asegurando que un mensaje
enviado encuentre la respuesta esperada y se invoquen los servicios correspondientes
cuando se realiza la transferencia de datos.

Muchos y diversos tipos de aplicaciones se comunican a través de las redes de datos.

Por lo tanto, los servicios de la capa de Aplicación deben implementar protocolos
múltiples para proporcionar la variedad deseada de experiencias de comunicación. Cada
protocolo tiene un fin específico y contiene las características requeridas para cumplir
con dicho propósito. Deben seguirse los detalles del protocolo correspondiente a cada
capa, así las funciones en una capa se comunican correctamente con los servicios en la
capa inferior.

Las aplicaciones y los servicios también pueden utilizar protocolos múltiples durante el
curso de una comunicación simple. Un protocolo puede especificar cómo se establece la
conexión de redes y otro describir el proceso para la transferencia de datos cuando el
mensaje se pasa a la siguiente capa inferior.

 HTTP

El Protocolo de Transferencia de HiperTexto (Hypertext Transfer Protocol) es un

sencillo protocolo cliente-servidor que articula los intercambios de información entre
los clientes Web y los servidores HTTP. La especificación completa del protocolo
HTTP 1/0 está recogida en el RFC 1945. Fue propuesto por Tim Berners-Lee,
atendiendo a las necesidades de un sistema global de distribución de información como
el World Wide Web.

HTTP se basa en sencillas operaciones de solicitud/respuesta. Un cliente establece una

conexión con un servidor y envía un mensaje con los datos de la solicitud. El servidor
responde con un mensaje similar, que contiene el estado de la operación y su posible
resultado. Todas las operaciones pueden adjuntar un objeto o recurso sobre el que
actúan; cada objeto Web (documento HTML, fichero multimedia o aplicación CGI) es
conocido por su URL.

 FTP

El protocolo FTP (Protocolo de transferencia de archivos) es, como su nombre lo indica,

un protocolo para transferir archivos.

La implementación del FTP se remonta a 1971 cuando se desarrolló un sistema de

transferencia de archivos (descrito en RFC141) entre equipos del Instituto Tecnológico
de Massachusetts (MIT, Massachusetts Institute of Technology). Desde entonces,
diversos documentos de RFC (petición de comentarios) han mejorado el protocolo
básico, pero las innovaciones más importantes se llevaron a cabo en julio de 1973.

Actualmente, el protocolo FTP está definido por RFC 959 (Protocolo de transferencia
de archivos (FTP) - Especificaciones).

 SMTP

El protocolo SMTP (Protocolo simple de transferencia de correo) es el protocolo

estándar que permite la transferencia de correo de un servidor a otro mediante una
conexión punto a punto.

Éste es un protocolo que funciona en línea, encapsulado en una trama TCP/IP. El correo
se envía directamente al servidor de correo del destinatario. El protocolo SMTP
funciona con comandos de textos enviados al servidor SMTP (al puerto 25 de manera
predeterminada). A cada comando enviado por el cliente (validado por la cadena de
caracteres ASCII CR/LF, que equivale a presionar la tecla Enter) le sigue una respuesta
del servidor SMTP compuesta por un número y un mensaje descriptivo.

A continuación se describe una situación en la que se realiza una solicitud para enviar
correos a un servidor SMTP:

- Al abrir la sesión SMTP, el primer comando que se envía es el comando HELO

seguido por un espacio (escrito <SP>) y el nombre de dominio de su equipo
(para decir "hola, soy este equipo"), y después validado por Enter (escrito
<CRLF>). Desde abril de 2001, las especificaciones para el protocolo SMTP,
definidas en RFC 2821, indican que el comando HELO sea remplazado por el
comando EHLO.
- El segundo comando es "MAIL FROM:" seguido de la dirección de correo
electrónico del remitente. Si se acepta el comando, el servidor responde con un
mensaje "250 OK".
- El siguiente comando es "RCPT TO:" seguido de la dirección de correo
electrónico del destinatario. Si se acepta el comando, el servidor responde con
un mensaje "250 OK".
 - El comando DATA es la tercera etapa para enviar un correo electrónico.
Anuncia el comienzo del cuerpo del mensaje. Si se acepta el comando, el
servidor responde con un mensaje intermediario numerado 354 que indica que
puede iniciarse el envío del cuerpo del mensaje y considera el conjunto de líneas
siguientes hasta el final del mensaje indicado con una línea que contiene sólo un
punto. El cuerpo del correo electrónico eventualmente contenga algunos de los
siguientes encabezados:

- Date (Fecha)
- Subject (Asunto)
- Cc
- Bcc (Cco)
- From (De)

 MIME

MIME (Extensiones Multipropósito de Correo Internet) es un estándar propuesto en

1991 por Bell Communications para expandir las capacidades limitadas del correo
electrónico y en particular para permitir la inserción de documentos (como imágenes,
sonido y texto) en un mensaje. Fue definido originalmente en junio de 1992 por las RFC
1341 y 1342.

MIME describe el tipo de contenido del mensaje y el tipo de código usado con
encabezados.

MIME incorpora las siguientes características al servicio de correo electrónico:

- Capacidad de enviar múltiples adjuntos en un solo mensaje

- Longitud ilimitada del mensaje
- Uso de conjuntos de caracteres no pertenecientes al código ASCII
- Uso de texto enriquecido (diseños, fuentes, colores, etc.)
- Adjuntos binarios (ejecutables, imágenes, archivos de audio o video, etc.), que
se pueden dividir de ser necesario

MIME usa directivas especiales en los encabezados para describir el formato utilizado
en el cuerpo de un mensaje, de modo que el cliente de correo electrónico pueda
interpretarlo correctamente:

- Versión de MIME: esta es la versión de MIME estándar usada en el mensaje.

Actualmente sólo existe la versión 1.0.
- Tipo de contenido: describe el tipo y el subtipo de datos. Puede incluir un
parámetro de "juego de caracteres", separado por un punto y coma, que define
qué juego de caracteres utilizar.

Codificación de transferencia de contenido: define la codificación usada en el

cuerpo del mensaje.
 - Identificación de contenido: representa una identificación única para cada
segmento del mensaje.
- Descripción de contenido: proporciona información adicional sobre el contenido
del mensaje.
- Disposición de contenido: define la configuración de los adjuntos,
particularmente el nombre vinculado al archivo, usando el atributo nombre del
archivo.

 DNS

El DNS usa el concepto de espacio de nombres distribuido. Los nombres simbólicos se

agrupan en zonas de autoridad, o más comúnmente, zonas. En cada una de estas zonas,
uno o más hosts tienen la tarea de mantener una base de datos de nombres simbólicos y
direcciones IP y de suministrar la función de servidor para los clientes que deseen
traducir nombres simbólicos a direcciones IP. Estos servidores de nombres locales se
interconectan lógicamente en un árbol jerárquico de dominios. Cada zona contiene una
parte del árbol o subárbol y los nombres de esa zona se administran con independencia
de los de otras zonas. La autoridad sobre zonas se delega en los servidores de nombres.
Normalmente, los servidores de nombres que tienen autoridad en zona tendrán nombres
de dominio de la misma, aunque no es imprescindible. En los puntos en los que un
dominio contiene un subárbol que cae en una zona diferente, se dice que el servidor /
servidores de nombres con autoridad sobre el dominio superior delegan autoridad al
servidor / servidores de nombres con autoridad sobre los subdominios. Los servidores
de nombres también pueden delegar autoridad en sí mismos; en este caso, el espacio de
nombres sigue dividido en zonas, pero la autoridad para ambas las ejerce el mismo
servidor.

 DHCP

DHCP significa Protocolo de configuración de host dinámico. Es un protocolo que

permite que un equipo conectado a una red pueda obtener su configuración
(principalmente, su configuración de red) en forma dinámica (es decir, sin intervención
particular). Sólo tiene que especificarle al equipo, mediante DHCP, que encuentre una
dirección IP de manera independiente. El objetivo principal es simplificar la
administración de la red.

El protocolo DHCP sirve principalmente para distribuir direcciones IP en una red, pero
desde sus inicios se diseñó como un complemento del protocolo BOOTP (Protocolo
Bootstrap), que se utiliza, por ejemplo, cuando se instala un equipo a través de una red
(BOOTP se usa junto con un servidor TFTP donde el cliente encontrará los archivos
que se cargarán y copiarán en el disco duro). Un servidor DHCP puede devolver
parámetros BOOTP o la configuración específica a un determinado host.

 ICMP
ICMP (Protocolo de mensajes de control de Internet) es un protocolo que permite
administrar información relacionada con errores de los equipos en red. Si se tienen en
cuenta los escasos controles que lleva a cabo el protocolo IP, ICMP no permite corregir
los errores sino que los notifica a los protocolos de capas cercanas. Por lo tanto, el
protocolo ICMP es usado por todos los routers para indicar un error (llamado un
problema de entrega).

Los mensajes ICMP están encapsulados

Los mensajes de error ICMP se envían a través de la red en forma de datagramas, como
cualquier otro dato. Por lo tanto, los mismos mensajes de error pueden contener errores.

Sin embargo, si existe un error en un datagrama que lleva un mensaje ICMP, no se

envía ningún mensaje de error para evitar el efecto "bola de nieve", si hay un incidente
en la red.

A continuación encontrará a qué se asemeja un mensaje ICMP encapsulado en un

datagrama IP:

Mensaje ICMP

(8 bits) (8 bits) (16 bits) (Tamaño variable)

Significado de los mensajes ICMP

PING. Este comando, que permite evaluar la red, envía un datagrama a un destino y
solicita que regrese.

SEGURIDAD EN REDES

- REQUISITOS DE SEGURIDAD

La Comisión de Estudio 17 del UIT–T es la Comisión de Estudio rectora en materia

de seguridad de sistemas de comunicación. Sus actividades se pueden clasificar en
dos categorías. La primera comprende las actividades dedicadas a definir y mantener
marcos de seguridad globales, y la segunda las actividades de gestión de proyectos
que entrañan la coordinación, asignación y definición de iniciativas prioritarias de
los trabajos que conducirían a la elaboración oportuna de recomendaciones sobre
seguridad de sistemas de comunicación. Herbert Bertine, de Lucent Technologies, y
Amardeo Sarma, de NEC Europe Ltd, son copresidentes de la Comisión de Estudio
17.
Esta Comisión de Estudio colabora estrechamente con otras Comisiones de Estudio
a fin de identificar y definir soluciones de seguridad. No se proyecta que la
Comisión participe en la elaboración de algoritmos de cifrado específicos, en el
 registro de algoritmos de cifrado (la ISO ya se ocupa eficazmente de esa función de
registro) o en la certificación de la seguridad de sistemas específicos.

Existen diferentes métodos cuales pueden facilitarnos una solución inmediata al acceso
de las redes de manera segura:

- Threat Management System : Es una solución de análisis y visibilidad de la

red que detecta de forma exclusiva las intrusiones evasivas y automatiza su
eliminación y reparación. Por ello, brinda la visibilidad y el control en tiempo
real necesario para proteger su empresa frente a las amenazas persistentes
avanzadas y otros tipos de ataques.
- Deep Discovery : Es una solución de gestión de las amenazas de próxima
generación que proporciona una detección y un rendimiento innovadores así
como características diseñadas para ayudar a grandes empresas y organizaciones
gubernamentales a combatir las amenazas persistentes avanzadas y los ataques
dirigidos.
- Dynamic Threat Analysis System: permite identificar y analizar el malware
mediante la técnica de aislamiento de procesos (sandboxing) y otros métodos
avanzados. A continuación, el malware sospechoso capturado se somete a
procesos adicionales de exploración, simulación y análisis forense completo por
parte de Threat Management Services o bien se envía directamente a un
investigador de amenazas.
- Threat Intelligence Manager : proporciona información práctica sobre
amenazas en toda la empresa mediante la recopilación, correlación y
visualización avanzadas de datos. La completa gestión de los eventos e
incidentes de seguridad le permite identificar y analizar las amenazas
empresariales y responder a ellas rápidamente antes de que afecten a su
organización.
- Vulnerability Management Services : Automatiza el proceso de gestión de
vulnerabilidades y cumplimiento de políticas en toda la empresa. Esta solución
de software como servicio (SaaS) bajo petición proporciona detección y
asignación de redes, priorización de activos, creación de informes sobre
valoración de vulnerabilidades y supervisión de las tareas de recuperación según
los riesgos empresariales.

ATAQUES PASIVOS Y ACTIVOS

ATAQUES PASIVOS

En los ataques pasivos el atacante no altera la comunicación, sino que únicamente la

escucha o monitoriza, para obtener información que está siendo transmitida. Sus
objetivos son la intercepción de datos y el análisis de tráfico, una técnica más sutil para
obtener información de la comunicación, que puede consistir en:

Obtención del origen y destinatario de la comunicación, leyendo las cabeceras de los

paquetes monitorizados.

Control del volumen de tráfico intercambiado entre las entidades monitorizadas,

obteniendo así información acerca de actividad o inactividad inusuales.
Control de las horas habituales de intercambio de datos entre las entidades de la
comunicación, para extraer información acerca de los períodos de actividad.

Los ataques pasivos son muy difíciles de detectar, ya que no provocan ninguna
alteración de los datos. Sin embargo, es posible evitar su éxito mediante el cifrado de la
información y otros mecanismos que se verán más adelante.

ATAQUES ACTIVOS

Estos ataques implican algún tipo de modificación del flujo de datos transmitido o la
creación de un falso flujo de datos, pudiendo subdividirse en cuatro categorías:

Suplantación de identidad: el intruso se hace pasar por una entidad diferente.

Normalmente incluye alguna de las otras formas de ataque activo. Por ejemplo,
secuencias de autenticación pueden ser capturadas y repetidas, permitiendo a una
entidad no autorizada acceder a una serie de recursos privilegiados suplantando a la
entidad que posee esos privilegios, como al robar la contraseña de acceso a una cuenta.

Reactuación: uno o varios mensajes legítimos son capturados y repetidos para producir
un efecto no deseado, como por ejemplo ingresar dinero repetidas veces en una cuenta
dada.

Modificación de mensajes: una porción del mensaje legítimo es alterada, o los mensajes
son retardados o reordenados, para producir un efecto no autorizado. Por ejemplo, el
mensaje “Ingresa un millón de pesetas en la cuenta A” podría ser modificado para decir
“Ingresa un millón de pesetas en la cuenta B”.

Degradación fraudulenta del servicio: impide o inhibe el uso normal o la gestión de

recursos informáticos y de comunicaciones. Por ejemplo, el intruso podría suprimir
todos los mensajes dirigidos a una determinada entidad o se podría interrumpir el
servicio de una red inundándola con mensajes espurios. Entre estos ataques se
encuentran los de denegación de servicio, consistentes en paralizar temporalmente el
servicio de un servidor de correo, Web, FTP, etc.

PRIVACIDAD DE MENSAJES
Algoritmo descifrado
Algoritmo asimétrico: criptografía asimétrica es el método criptográfico que usa un
par de claves para el envío de mensajes. Las dos claves pertenecen a la misma persona a
la que se ha enviado el mensaje. Una clave es pública y se puede entregar a cualquier
persona, la otra clave es privada y el propietario debe guardarla de modo que nadie
tenga acceso a ella. Además, los métodos criptográficos garantizan que esa pareja de
claves sólo se puede generar una vez, de modo que se puede asumir que no es posible
que dos personas hayan obtenido casualmente la misma pareja de claves.

Si el remitente usa la clave pública del destinatario para cifrar el mensaje, una vez
cifrado, sólo la clave privada del destinatario podrá descifrar este mensaje, ya que es el
único que la conoce. Por tanto se logra la confidencialidad del envío del mensaje, nadie
salvo el destinatario puede descifrarlo.

Si el propietario del par de claves usa su clave privada para cifrar el mensaje, cualquiera
puede descifrarlo utilizando su clave pública. En este caso se consigue por tanto la
identificación y autentificación del remitente, ya que se sabe que sólo pudo haber sido él
quien empleó su clave privada (salvo que alguien se la hubiese podido robar). Esta idea
es el fundamento de la firma electrónica.

Los sistemas de cifrado de clave pública o sistemas de cifrado asimétricos se inventaron

con el fin de evitar por completo el problema del intercambio de claves de los sistemas
de cifrado simétricos. Con las claves públicas no es necesario que el remitente y el
destinatario se pongan de acuerdo en la clave a emplear. Todo lo que se requiere es que,
antes de iniciar la comunicación secreta, el remitente consiga una copia de la clave
pública del destinatario. Es más, esa misma clave pública puede ser usada por
cualquiera que desee comunicarse con su propietario. Por tanto, se necesitarán sólo n
pares de claves por cada n personas que deseen comunicarse entre sí.

CIFRADO SIMÉTRICO

Un sistema de cifrado simétrico es un tipo de cifrado que usa una misma clave para
cifrar y para descifrar. Las dos partes que se comunican mediante el cifrado simétrico
deben estar de acuerdo en la clave a usar de antemano. Una vez de acuerdo, el remitente
cifra un mensaje usando la clave, lo envía al destinatario, y éste lo descifra usando la
misma clave. Como ejemplo de sistema simétrico está «Enigma»; Éste es un sistema
que fue usado por Alemania, en el que las claves se distribuían a diario en forma de
libros de códigos. Cada día, un operador de radio, receptor o transmisor, consultaba su
copia del libro de códigos para encontrar la clave del día. Todo el tráfico enviado por
ondas de radio durante aquel día era cifrado y descifrado usando las claves del día.
Algunos ejemplos actuales de algoritmos simétricos son 3DES, Blowfish e IDEA.

Un buen sistema de cifrado pone toda la seguridad en la clave y ninguna en el

algoritmo. En otras palabras, no debería ser de ninguna ayuda para un atacante conocer
el algoritmo que se está usando. Sólo si el atacante obtuviera la clave, le serviría
conocer el algoritmo. Los algoritmos de cifrado usados en GnuPG tienen estas
propiedades.
Dado que toda la seguridad está en la clave, es importante que sea muy difícil adivinar
el tipo de clave. Esto quiere decir que el abanico de claves posibles, o sea, el espacio de
posibilidades de claves, debe ser amplio. Richard Feynman fue famoso en Los Álamos
por su habilidad para abrir cajas de seguridad. Para alimentar la leyenda que había en
torno a él, llevaba encima un juego de herramientas que incluían un estetoscopio. En
realidad, utilizaba una gran variedad de trucos para reducir a un pequeño número la
cantidad de combinaciones que debía probar, y a partir de ahí simplemente probaba
hasta que adivinaba la combinación correcta. En otras palabras, reducía el tamaño de
posibilidades de claves.

Inglaterra usó máquinas para adivinar las claves durante la Segunda Guerra Mundial. El
sistema alemán Enigma estaba provisto de un amplio abanico de claves, pero los
ingleses diseñaron máquinas de cómputo especializado, los Bombes, para probar las
claves de un modo mecánico hasta que la clave del día era encontrada. Esto significaba
que algunas veces encontraban la clave del día unas pocas horas después de que ésta
fuera puesta en uso, pero también que otros días no podían encontrar la clave correcta.
Los Bombes no fueron máquinas de cómputo general, sino los precursores de las
computadoras (ordenadores) de hoy en día.

Hoy por hoy, los ordenadores pueden adivinar claves con extrema rapidez, y ésta es la
razón por la cual el tamaño de la clave es importante en los «criptosistemas» modernos.
El algoritmo de cifrado DES usa una clave de 56 bits, lo que significa que hay 2 56
claves posibles. 256 son 72.057.594.037.927.936 claves. Esto representa un número muy
alto de claves, pero una máquina computadora de uso general puede comprobar todo el
espacio posible de claves en cuestión de días. Un máquina especializada lo puede hacer
en horas. Por otra parte, algoritmos de cifrado de diseño más reciente como 3DES,
Blowfish e IDEA usan todos claves de 128 bits, lo que significa que existen 2128 claves
posibles. Esto representa muchas, muchísimas más claves, y aun en el caso de que todas
las máquinas del planeta estuvieran cooperando, todavía tardarían más tiempo que la
misma edad del universo en encontrar la clave.

DISTRIBUCIÓN DE CLAVES

A continuación se explican los siguientes tipos de distribución de claves

 Distribución manual
 Distribución basada en centro
 Distribución basada en certificado

El envío de la clave no es por la línea de comunicación por la cual se mandan los

mensajes cifrados, sino que se utilizan otros métodos, por ejemplo:

 Realizando la suma módulo dos de varias claves enviadas por distintos medios
por ejemplo: carta certificada + vía telefónica + fax.
 Utilizando un inyector de claves; éste es un pequeño aparato en donde se
almacena una clave la cual puede ser transferida una o más veces a un equipo,
tiene un contador que registra el número de veces que la clave es transferida por
lo que se puede controlar el número de instalaciones de la clave en otros
equipos, el inyector debe ser trasportado por medio de una tercera entidad de
gran confianza y de preferencia que no sea experto en el tema.
Este tipo de métodos dejan de ser prácticos cuando la cantidad de claves que se deben
mandar o las distancias que se deban recorrer para realizar la entrega son muy grandes,
lo cual hace que este método sea lento, caro y poco seguro.

Las dos entidades interesadas en intercambiar datos tienen una conexión cifrada con una
tercera entidad de confianza, esta tercera entidad es la encargada de entregar la clave a
través de los enlaces cifrados a las otras dos entidades.

La figura 3.3.6 muestra diversos esquemas de la distribución basada en centro.

Figura 3.3.6 Distribución basada en centro

El modelo PULL requiere que el emisor A obtenga la clave de sesión del KDC, antes de
comunicarse con B.

1. A solicita una clave de sesión al KDC.

2. El KDC envía a A la clave de sesión que utilizará para comunicarse con B y un
paquete cifrado para que A lo entregue a B, dicho paquete está cifrado con la
clave que sólo conocen B y el KDC y contiene la clave de sesión con la que B se
comunicará con A así como un identificador de A.
3. A envía a B el paquete que le envío el KDC para B.

El modelo PUSH requiere que A primero contacte a B y después B debe obtener la

clave de sesión del KDC.

1. A se comunica con B y le hace saber que requiere establecer una sesión.

2. B solicita una clave de sesión al KDC.
3. El KDC envía a B la clave de sesión que utilizará para comunicarse con A y un
paquete cifrado para que B lo entregue a A, dicho paquete está cifrado con la
clave que sólo conocen A y el KDC y contiene la clave de sesión con la que A
se comunicará con B así como un identificador de B.
4. B envía a A el paquete que le envío el KDC para A.

El modelo mixto es la combinación del modelo PULL y el PUSH.

1. A se comunica con B y le hace saber que requiere establecer una sesión.

2. A y B solicitan una clave de sesión al KDC.
3. El KDC envía a A y B la clave de sesión que utilizarán para comunicarse.

Centro de distribución de claves (KDC — Key Distribution Center): verifica qué

equipos tienen permiso de comunicarse con otros, cuando la conexión está permitida el
KDC se encarga de dar una clave de sesión para dicha conexión. El KDC puede ser una
entidad centralizada en la red o ser un servicio distribuido en varios nodos.
Un centro de traducción de claves (KTC — Key Translation Center) está formado por el
KDC y las entidades que desean establecer una sesión. La figura 3.3.7 muestra el
esquema de un KTC.

Figura 3.3.7 KTC

Podemos diferenciar dos técnicas para la distribución basada en certificado:

1. Transferencia de claves: El emisor genera localmente una clave y la cifra con un

algoritmo asimétrico utilizando la llave pública del receptor, con el objetivo de que
solo éste pueda recuperarla y así protegerla durante su transmisión.
La figura 3.3.8 muestra el esquema de esta técnica.

Figura 3.3.8 Transferencia de claves

2. Intercambio de claves o acuerdo de claves: la clave es generada por las dos

entidades involucradas en la comunicación.
Dentro del esquema de distribución de claves basada en certificado, una autoridad
de certificación (CA) debe autenticar las claves públicas de las entidades que
desean intercambiar claves secretas, las claves públicas son parte de la información
que proporciona un certificado. Por ejemplo identifiquemos a las dos entidades que
intercambiarán claves como A y B y a la CA la llamaremos D, si A y B tienen
certificados de la misma CA (en este caso D), A puede estar seguro de que una
determinada clave pública pertenece a B, obteniendo el certificado de B y
comprobándolo con la clave pública de D.

AUTENTIFICACIÓN DE MENSAJES

Un código de autentificación de mensaje (message authentication code o MAC) es un

bloque de datos de tamaño fijo que se envía con un mensaje para averiguar su origen e
integridad. Son muy útiles para proporcionar autentificación e integridad sin
confidencialidad. Para generar MACs se pueden usar algoritmos de clave secreta, de
clave pública y algoritmos de resumen de mensajes.

Un tipo de MAC muy empleado en la actualidad es el código de autentificación de

mensaje resumido (hashed message authentication code o HMAC). Lo que hacemos es
generar el MAC aplicando una función de dispersión criptográfica a un conjunto
formado por un mensaje y un código secreto. Así, el que recibe el mensaje puede
calcular su propio MAC con el mensaje y el código secreto (que comparte con el que ha
generado el MAC). Si no coinciden sabemos que el mensaje ha sido manipulado. Este
tipo de técnicas se emplean para proteger comunicaciones a nivel de la capa de red.

Funciones de dispersión

Consiste en la elección de una clave, para el buen funcionamiento de la estructura, debe

cumplir las siguientes características:

• Ser una función sencilla y por tanto rápida.

• Distribuir uniformemente los elementos en el espacio de almacenamiento
• Evitar en lo posible la aparición de sinónimos
• Para dos claves muy similares, generar posiciones distantes.

En primer lugar, obtenemos un número a partir de la clave alfanumérica utilizada y

luego hacemos la operación modulo N sobre ese número. Así obtendremos una posición
donde almacenar nuestro elemento. Hay que cuenta que N (el tamaño de la tabla) ha de
ser un número primo.
El código seria: prívate static int Hash1(String Clave)

int valor = Clave.charAt(0);

int tam = Clave.length();

for (int i = 1; i <>

valor += Character.getNumericValue( Clave.charAt(i)); }

return (valor % N);

Método de la División

Es la función de dispersión clásica para claves enteras.

Consiste en tomar el resto de la división de la clave por el número de entradas de la
tabla (B).
Código: x = x % B;
Como ventajas citar que es una función fácil de calcular y que se puede utilizar para
tablas de cualquier tamaño, aunque se recomienda elegir B con cuidado.
Como inconvenientes podemos citar que el rango de valores es limitado.

Suma de ASCII

Es la función de dispersión clásica para claves de tipo cadena. Consiste en sumar los
valores ASCII de la clave.
Ejemplo: “HOLA” => (‘H’+’O’+’L’+’A’) % B

Control de acceso

Es un enfoque de la seguridad en redes de computadoras que intenta unificar la

tecnología de seguridad en los equipos finales (tales como antivirus, prevención
de intrusión en hosts, informes de vulnerabilidades), usuario o sistema
de autenticación y reforzar la seguridad de la red de acceso. El control de acceso a red
es un concepto de ordenador en red y conjunto de protocolos usados para definir como
asegurar los nodos de la red antes de que estos accedan a la red. NAC puede integrar el
proceso de remedio automático (corrigiendo nodos que no cumplen las normativas antes
de permitirles acceso) en el sistema de red, permitiendo a la infraestructura de red
como routers, switches y firewalls trabajar en conjunto con el back office y el
equipamiento informático del usuario final para asegurar que el sistema de información
está operando de manera segura antes de permitir el acceso a la red.
El objetivo del control de acceso a red es realizar exactamente lo que su nombre
implica: control de acceso a la red con políticas, incluyendo pre-admisión, chequeo de
políticas de seguridad en el usuario final y controles post-admisión sobre los recursos a
los que pueden acceder en la red los usuarios y dispositivos, y que pueden hacer en ella.
Objetivos
El control de acceso a red (NAC) representa una categoría emergente en productos de
seguridad, su definición es controvertida y está en constante evolución. Los objetivos
principales de este concepto se pueden resumir en:
Mitigar ataques de día cero
El propósito clave de una solución NAC es la habilidad de prevenir en los equipos
finales la falta de antivirus, parches, o software de prevención de intrusión de hosts y
acceder así a la red poniendo en riesgo a otros equipos de contaminación y expansión
de gusanos informáticos.
Refuerzo de políticas
Las soluciones NAC permiten a los operadores de red definir políticas, tales como tipos
de ordenadores o roles de usuarios con acceso permitido a ciertas áreas de la red, y
forzarlos en switches y routers.

Administración de acceso e identidad

Donde las redes IPs convencionales refuerzan las políticas de acceso con base en
direcciones IP, los dispositivos NAC lo realizan basándose en identidades de usuarios
autenticados, al menos para usuarios finales de equipos portátiles y sobremesa.

CIFRADO DE CLAVE PUBLICA

En criptografía, RSA (Rivest, Shamir y Adleman) es un sistema criptográfico de clave
pública desarrollado en 1977. Es el primer y más utilizado algoritmo de este tipo y es
válido tanto para cifrar como para firmar digitalmente.
La seguridad de este algoritmo radica en el problema de la factorización de números
enteros. Los mensajes enviados se representan mediante números, y el funcionamiento
se basa en el producto, conocido, de dos números primos grandes elegidos al azar y
mantenidos en secreto. Actualmente estos primos son del orden de , y se prevé que su
tamaño crezca con el aumento de la capacidad de cálculo de los ordenadores.
Como en todo sistema de clave pública, cada usuario posee dos claves de cifrado: una
pública y otra privada. Cuando se quiere enviar un mensaje, el emisor busca la clave
pública del receptor, cifra su mensaje con esa clave, y una vez que el mensaje cifrado
llega al receptor, este se ocupa de descifrarlo usando su clave privada.
Se cree que RSA será seguro mientras no se conozcan formas rápidas de descomponer
un número grande en producto de primos. La computación cuántica podría proveer de
una solución a este problema de factorización.

La clave pública es (n y e), esto es, el módulo y el exponente de cifrado. La clave

privada es (n, d), esto es, el módulo y el exponente de descifrado, que debe mantenerse
en secreto.
Nota: PKCS#1 v2.0 y PKCS#1 v2.1 se especifican mediante la función de Carmichael

 en vez de la función de Euler, donde mcm indica el mínimo común múltiplo.

Para una mayor eficiencia los siguientes valores se calculan de antemano y se almacenan
como parte de la clave privada:

Cifrado
Alicia comunica su clave pública (n y e), a Bob y guarda la clave privada en secreto.
Ahora Bob desea enviar un mensaje M a Alicia.
Primero, Bob convierte M en un número entero m menor que n mediante un protocolo
reversible acordado de antemano. Luego calcula el texto cifrado c mediante la
operación

.
 Esto puede hacerse rápido mediante el método de exponenciación binaria. Ahora
Bob transmite c a Alicia.

Firmas digitales Una función `hash' es una función múltiple que asigna su entrada a un
valor dentro de un grupo finito. Por regla general este grupo es un rango de números
naturales. Un modelo simple de función `hash' es f(x) = 0 para todo entero x. Una
función hash más interesante es f(x) = x mod 37, que asigna x al resto de la
división x entre 37.

Una firma digital en un documento es el resultado de aplicar una función `hash' al

documento. Para que sea de utilidad, la función `hash' necesita satisfacer dos
propiedades importantes. Primero, debería ser difícil encontrar dos documentos cuyo
valor para una función `hash' sea el mismo. Segundo, dado un valor `hash' debería ser
difícil de recuperar el documento que produjo es valor.

Algunos sistemas de cifrado de clave pública se pueden usar para firmar documentos. El
firmante cifra el documento con su clave privada. Cualquiera que quiera comprobar la
firma y ver el documento, no tiene más que usar la clave pública del firmante para
descifrarla. Este algoritmo satisface las dos propiedades necesarias para una buena
función de `hash', pero en la práctica este algoritmo es demasiado lento para que sea de
utilidad.

Como alternativa está el uso de funciones `hash' designadas para satisfacer estas dos
importantes propiedades. SHA y MD5 son dos ejemplos de este tipo de algoritmos. Al
usar uno de estos algoritmos, un documento se firma con una función `hash', y el valor
del `hash' es la firma. Otra persona puede comprobar la firma aplicando también una
función `hash' a su copia del documento y comparando el valor `hash' resultante con el
del documento original. Si concuerdan, es casi seguro que los documentos son
idénticos.

Claro que el problema está en usar una función `hash' para firmas digitales que no
permita que un atacante interfiera en la comprobación de la firma. Si el documento y la
firma se enviaran descifrados, un atacante podría modificar el documento y generar una
firma correspondiente sin que lo supiera el destinatario. Si sólo se cifrara el documento,
un atacante podría manipular la firma y hacer que la comprobación de ésta fallara. Una
tercera opción es usar un sistema de clave público híbrido para cifrar tanto la firma
como el documento. El firmante usa su clave pública, y cualquiera puede usar su clave
pública para comprobar la firma y el documento. Esto suena bien, pero en realidad no
tiene sentido. Si este algoritmo hiciera el documento seguro también lo aseguraría de
manipulaciones, y no habría necesidad de firmarlo. El problema más serio es que esto
no protege de manipulaciones ni a la firma, ni al documento. Con este algoritmo, sólo la
clave de sesión del sistema de cifrado simétrico, es cifrada usando la clave privada del
firmante. Cualquiera puede usar la clave pública y recuperar la clave de sesión. Por lo
tanto, es sencillo para un atacante recuperar la clave de sesión y usarla para cifrar
documentos substitutos y firmas para enviarlas a terceros en nombre del remitente.

Un algoritmo que funciona es aquél que hace uso de un algoritmo de clave pública para
cifrar sólo la firma. En particular, el valor `hash' se cifra mediante el uso de la clave
privada del firmante, de modo que cualquiera pueda comprobar la firma usando la clave
pública correspondiente. El documento firmado se puede enviar usando cualquier otro
algoritmo de cifrado, o incluso ninguno si es un documento público. Si el documento se
modifica, la comprobación de la firma fallará, pero esto es precisamente lo que la
verificación se supone que debe descubrir. El "Digital Signature Standard" (DSA) es un
algoritmo de firmado de clave pública que funciona como hemos descrito. DSA es el
algoritmo principal de firmado que se usa en GnuPG.

REDES PRIVADAS VIRTUALES (VPN)

Es una tecnología de red de computadoras que permite una extensión segura de la red de
área local (LAN) sobre una red pública o no controlada como Internet. Permite que la
computadora en la red envíe y reciba datos sobre redes compartidas o públicas como si
fuera una red privada con toda la funcionalidad, seguridad y políticas de gestión de una
red privada. Esto se realiza estableciendo una conexión virtual punto a punto mediante
el uso de conexiones dedicadas, cifrado o la combinación de ambos métodos.
Ejemplos comunes son la posibilidad de conectar dos o más sucursales de una empresa
utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico
la conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su
equipo doméstico desde un sitio remoto, como por ejemplo un hotel. Todo ello
utilizando la infraestructura de Internet.
La conexión VPN a través de Internet es técnicamente una unión wide area
network (WAN) entre los sitios pero al usuario le parece como si fuera un enlace
privado— de allí la designación "virtual private network"
Básicamente existen cuatro arquitecturas de conexión VPN:

VPN de acceso remoto

Es quizás el modelo más usado actualmente, y consiste en usuarios o proveedores que
se conectan con la empresa desde sitios remotos (oficinas comerciales,
domicilios, hoteles, aviones preparados, etcétera) utilizando Internet como vínculo de
acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en
la red local de la empresa. Muchas empresas han reemplazado con esta tecnología su
infraestructura dial-up (módems y líneas telefónicas).
VPN punto a punto
Este esquema se utiliza para conectar oficinas remotas con la sede central de la
organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta las
conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Los
servidores de las sucursales se conectan a Internet utilizando los servicios de su
proveedor local de Internet, típicamente mediante conexiones de banda ancha. Esto
permite eliminar los costosos vínculos punto a punto tradicional (realizados
comúnmente mediante conexiones de cable físicas entre los nodos), sobre todo en las
comunicaciones internacionales. Es más común el siguiente punto, también llamado
tecnología de túnel o tunneling.
Tunneling
La técnica de tunneling consiste en encapsular un protocolo de red sobre otro (protocolo
de red encapsulador) creando un túnel dentro de una red de computadoras. El
establecimiento de dicho túnel se implementa incluyendo una PDU (unidades de datos
de protocolo) determinada dentro de otra PDU con el objetivo de transmitirla desde un
extremo al otro del túnel sin que sea necesaria una interpretación intermedia de
la PDU encapsulada. De esta manera se encaminan los paquetes de datos sobre nodos
intermedios que son incapaces de ver en claro el contenido de dichos paquetes. El túnel
queda definido por los puntos extremos y el protocolo de comunicación empleado, que
entre otros, podría ser SSH.
El uso de esta técnica persigue diferentes objetivos, dependiendo del problema que se
esté tratando, como por ejemplo la comunicación de islas en escenarios multicast, la
redirección de tráfico, etc.
Uno de los ejemplos más claros de utilización de esta técnica consiste en la redirección
de tráfico en escenarios IP Móvil. En escenarios de IP móvil, cuando un nodo-móvil no
se encuentra en su red base, necesita que su home-agent realice ciertas funciones en su
puesto, entre las que se encuentra la de capturar el tráfico dirigido al nodo-móvil y
redirigirlo hacia él. Esa redirección del tráfico se realiza usando un mecanismo
de tunneling, ya que es necesario que los paquetes conserven su estructura y contenido
originales (dirección IP de origen y destino, puertos, etc.) cuando sean recibidos por el
nodo-móvil. Se maneja de manera remota.
VPN over LAN: Este esquema es el menos difundido pero uno de los más poderosos
para utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en vez
de utilizar Internet como medio de conexión, emplea la misma red de área local (LAN)
de la empresa. Sirve para aislar zonas y servicios de la red interna. Esta capacidad lo
hace muy conveniente para mejorar las prestaciones de seguridad de las redes
inalámbricas (WiFi).
Un ejemplo clásico es un servidor con información sensible, como las nóminas de
sueldos, ubicado detrás de un equipo VPN, el cual provee autenticación adicional más el
agregado del cifrado, haciendo posible que solamente el personal de recursos humanos
habilitado pueda acceder a la información.
Otro ejemplo es la conexión a redes Wi-Fi haciendo uso de túneles cifrados IPSec o
SSL que además de pasar por los métodos de autenticación tradicionales (WEP, WPA,
direcciones MAC, etc.) agregan las credenciales de seguridad del túnel VPN creado en
la LAN interna o externa.
CAPA DE SOCKETS SEGURA (SSL)

SSL Definición, Secure Sockets Layer es un protocolo diseñado para permitir que las
aplicaciones para transmitir información de ida y de manera segura hacia atrás. Las
aplicaciones que utilizan el protocolo Secure Sockets Layer sí saben cómo dar y recibir
claves de cifrado con otras aplicaciones, así como la manera de cifrar y descifrar los
datos enviados entre los dos.

¿Cómo funciona el SSL? Algunas aplicaciones que están configurados para ejecutarse
SSL incluyen navegadores web como Internet Explorer y Firefox, los programas de
correo como Outlook, Mozilla Thunderbird, Mail.app de Apple, y SFTP (Secure File
Transfer Protocol) programas, etc Estos programas son capaces de recibir de forma
automática SSL conexiones.
Para establecer una conexión segura SSL, sin embargo, su aplicación debe tener una
clave de cifrado que le asigna una autoridad de certificación en la forma de un
Certificado. Una vez que haya una única clave de su cuenta, usted puede establecer una
conexión segura utilizando el protocolo SSL.

CAPA DE TRANSPORTE SEGURA (TLS)

Son protocolos criptográficos que proporcionan comunicaciones seguras por una red,
comúnmente Internet.
Se usan certificados X.509 y por lo tanto criptografía asimétrica para autentificar a la
contraparte con quien se están comunicando, y para intercambiar una llave simétrica.
Esta sesión es luego usada para cifrar el flujo de datos entre las partes. Esto permite la
confidencialidad del dato/mensaje, y códigos de autenticación de mensajes para
integridad y como un producto lateral, autenticación del mensaje. Varias versiones del
protocolo están en aplicaciones ampliamente utilizadas como navegación web, correo
electrónico, fax por Internet, mensajería instantánea, y voz-sobre-IP (VoIP). Una
propiedad importante en este contexto es forward secrecy, para que la clave de corta
vida de la sesión no pueda ser descubierta a partir de la clave asimétrica de largo plazo

IPSEC: CABECERAS AH Y ESP

Es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre

el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de
datos. IPsec también incluye protocolos para el establecimiento de claves de cifrado.

Cabecera IPsec AH

AH está dirigido a garantizar integridad sin conexión y autenticación de los datos de

origen de los datagramas IP. Para ello, calcula un Hash Message Authentication Code
(HMAC) a través de algún algoritmo hash operando sobre una clave secreta, el
contenido del paquete IP y las partes inmutables del datagrama. Este proceso restringe
la posibilidad de emplear NAT, que puede ser implementada con NAT transversal. Por
otro lado, AH puede proteger opcionalmente contra ataques de repetición utilizando la
técnica de ventana deslizante y descartando paquetes viejos. AH protege la carga útil
IP y todos los campos de la cabecera de un datagrama IP excepto los campos mutantes,
es decir, aquellos que pueden ser alterados en el tránsito. En IPv4, los campos de la
cabecera IP mutantes (y por lo tanto no autenticados) incluyen TOS, Flags, Offset de
fragmentos, TTL y suma de verificación de la cabecera. AH opera directamente por
encima de IP, utilizando el protocolo IP número 51. Un cabecera AH mide 32 bits, he
aquí un diagrama de cómo se organizan:

* next hdr Identifica cuál es el siguiente protocolo, es decir, cual es el protocolo

que será autentificado, cuál es el payload.

 AH len El tamaño del paquete AH.

 RESERVED Reservado para futuras aplicaciones. Debe estar a 0
  Security parameters index (SPI) Indica los parametros de seguridad, que en
combinación con los parámetros IP, identifican la asociación de seguridad del
paquete
 Sequence Number Es un número creciente usado para prevenir ataques por
repetición. El número está incluido en los datos encriptados, así que cualquier
alteración será detectada
 Authentication Data Contiene el valor de identificación de integridad. Puede
contener relleno.Se calcula sobre el paquete entero, incluidas la mayoría de
las cabeceras. El que recibe calcula otra vez el hash, y si este no coincide, el
paquete se tira.

El protocolo Encapsulated Security Payload (ESP) forma parte de la arquitectura de

seguridad del protocolo de Internet (IPSec). ESP proporciona una comprobación de
integridad, autenticación y cifrado para los datagramas del protocolo de Internet (IP).
ESP le permite seleccionar qué servicio utilizar. El componente de red privada virtual
(VPN) de IBM Firewall para AS/400 utiliza los tres servicios de ESP para proteger el
tráfico de la VPN. Esto asegura que un intruso no puede falsificar paquetes con el fin de
montar ataques criptoanalíticos.

No puede aplicar el ESP a paquetes de IP fragmentados. Sin embargo, tras aplicar ESP a
un paquete de IP, los direccionadores intermedios pueden fragmentar el paquete para su
entrega. Si el sistema de destino recibe un paquete fragmentado, el sistema de destino
vuelve a ensamblar el paquete antes de aplicarle el proceso de ESP. Si solicita proceso
de ESP para un paquete de IP que parece ser un fragmento, se descarta el paquete. Estas
medidas evitan el ataque de fragmento solapado. Este ataque aprovecha el algoritmo de
conjunto del fragmento para crear paquetes falsos y hacerles atravesar el cortafuego.

Si un sistema de destino recibe un paquete ESP que haya sido cifrado y autenticado,
primero autenticará el paquete. Si la autenticación resulta anómala, el sistema receptor
descarta el paquete sin descifrarlo. Este procedimiento de dos pasos ahorra recursos del
sistema y además reduce el riesgo de un ataque de denegación de servicio.

Puede utilizar ESP en una de sus dos modalidades: modalidad de transporte o

modalidad de túnel. Las VPN utilizan el ESP en modalidad de túnel para crear un nuevo
datagrama de IP que contenga el datagrama de IP original como datos transmitidos. Si
el cortafuegos ha utilizado tanto la autenticación como el cifrado para ESP, el paquete
original está protegido totalmente. Sin embargo, la cabecera de IP no está protegida.

En modalidad de túnel, las direcciones de IP de las cabeceras externas no tienen que ser
iguales que las direcciones de las cabeceras internas. Por ejemplo, dos cortafuegos
pueden operar un túnel de ESP para asegurar todo el tráfico entre las redes que los
cortafuegos conectan (una VPN). La modalidad de túnel proporciona protección total
del datagrama de IP encapsulado y permite a los cortafuegos direccionar datagramas
que utilizan direcciones IP privadas.

En la implementación de las VPN de IBM Firewall para AS/400, una cabecera de IP no

protegida no constituye un problema. Esto es debido a que creará las VPN solamente
entre productos de cortafuegos compatibles. Por consiguiente, la cabecera de IP
contiene solamente direcciones públicas de los cortafuegos en cada extremo de la
conexión. La información de la red interna está oculta a los agentes externos que pueden
intentar husmear la información de la cabecera del paquete.

Descripción de los Servicios y funciones de IPSec.

IPSec no es un protocolo único, sino más bien un conjunto de servicios y protocolos que
proporcionan una completa solución de seguridad para redes IP. Estos servicios y
protocolos se combinan para proporcionar varios tipos de protección. Dado que IPSec
funciona en la capa IP, puede proporcionar esta protección para cualquier aplicación o
protocolo de capa superior TCP / IP sin la necesidad de métodos adicionales de
seguridad, lo cual es una fortaleza importante. Algunos de los tipos de servicios de
protección que ofrece IPSec incluyen:

Cifrado de datos del usuario para privacidad.

Autentificación de la integridad de un mensaje para asegurarse de que no es alterado en

el camino.

Protección contra ciertos tipos de ataques de seguridad, como los ataques de repetición
(replay attacks).

La capacidad de los dispositivos para negociar los algoritmos de seguridad y las claves
necesarias para satisfacer sus necesidades de seguridad.

Dos modos de seguridad, túnel y transporte, para satisfacer diferentes necesidades de la

red.

FIREWALLS

Un firewall es un sistema o un grupo de sistemas que decide que servicios pueden ser
accedidos desde el exterior (Internet, en este caso) de un red privada, por quienes
pueden ser ejecutados estos servicios y también que servicios pueden correr los usuarios
de la intranet hacia el exterior (Internet). Para realizar esta tarea todo el tráfico entre las
dos redes tiene que pasar a través de él.

El firewall solo dejar pasar el tráfico autorizado desde y hacia el exterior. No se puede
confundir un firewall con un enrutador, un firewall no direcciona información (función
que si realiza el enrutador), el firewall solamente filtra información. Desde el punto de
vista de política de seguridad, el firewall delimita el perímetro de defensa y seguridad
de la organización. El diseño de un firewall, tiene que ser el producto de una
organización conciente de los servicios que se necesitan, además hay que tener
presentes los puntos vulnerables de toda red, los servicios que dispone como públicos al
exterior de ella (WWW, FTP, telnet, entre otros) y conexiones por módem (dial-in
módem calling).

Beneficios de un firewall

Los firewalls manejan el acceso entre dos redes, si no existiera todos los hosts de la
intranet estarían expuestos a ataques desde hosts remotos en Internet. Esto significa que
la seguridad de toda la red, estaría dependiendo de qué tan fácil fuera violar la seguridad
local de cada máquina interna. El firewall es el punto ideal para monitorear la seguridad
de la red y generar alarmas de intentos de ataque, el administrador de la red escogerá la
decisión si revisar estas alarmas o no, la decisión tomada por este no cambiaría la
manera de operar del firewall.

Otra causa que ha hecho que el uso de firewalls se haya convertido en uso casi que
imperativo es el hecho que en los últimos años en Internet han entrado en crisis el
número disponible de direcciones IP, esto ha hecho que las intranets adopten
direcciones CIRD (o direcciones sin clase), las cuales salen a Internet por medio de un
NAT (Network address traslator), y efectivamente el lugar ideal y seguro para alojar el
NAT ha sido el firewall. Los firewalls también han sido importantes desde el punto de
vista de llevar las estadísticas del ancho de banda "consumido" por el tráfico de la red, y
que procesos han influido más en ese tráfico, de esta manera el administrador de la red
puede restringir el uso de estos procesos y economizar o aprovechar mejor ancho de
banda. Finalmente, los firewalls también son usados para albergar los servicios WWW
y FTP de la intranet, pues estos servicios se caracterizan por tener interfaces al exterior
de la red privada y se ha demostrado que son puntos vulnerables.

Limitaciones del firewall

La limitación más grande que tiene un firewall sencillamente es el hueco que no se tapa
y que coincidencialmente o no, es descubierto por un hacker. Los firewalls no son
sistemas inteligentes, ellos actúan de acuerdo a parámetros introducidos por su
diseñador, por ende si un paquete de información no se encuentra dentro de estos
parámetros como una amenaza de peligro simplemente lo dejara pasar. Pero este no es
lo más peligroso, lo verdaderamente peligroso es que ese hacker deje "back doors" es
decir abra un hueco diferente y borre las pruebas o indicios del ataque original.Otra
limitación es que el firewall "no es contra humanos", es decir que si un hacker logra
entrar a la organización y descubrir passwords o se entera de los huecos del firewall y
difunde la información, el firewall no se dará cuenta. Es claro que el firewall tampoco
provee de herramientas contra la filtración de software o archivos infectados con virus.
 CONCLUSION

El modelo de referencia OSI nos hace la vida más fácil cuando entramos al mundo de
las telecomunicaciones, dado que nos da un lenguaje común para referirnos a los
procesos requeridos para establecer una comunicación. Éste es la base para cualquier
estudio más avanzado de telecomunicaciones y redes de datos. Una de las necesidades
más acuciantes de un sistema de comunicaciones es el establecimiento de estándares,
sin ellos sólo podrían comunicarse entre sí equipos del mismo fabricante y que usaran la
misma tecnología.

Es por eso que la conexión entre equipos electrónicos se ha ido estandarizando

paulatinamente, el Modelo OSI es la principal referencia para las comunicaciones por
red. Aunque existen otros modelos, en la actualidad la mayoría de los fabricantes de
redes relacionan sus productos con el modelo OSI, especialmente cuando desean
enseñar a los usuarios cómo utilizar sus productos.

Por lo que los fabricantes consideran que es la mejor herramienta disponible para
enseñar cómo enviar y recibir datos a través de una red.

El modelo de referencia OSI permite que los usuarios vean las funciones de red que
se producen en cada capa. Y lo más sorprendente “Es un modelo entendible para los
usuarios”.
 Referencias bibliográficas

1. ZIMMERMAN, Hubert (abril de 1980). «OSI Reference Model – The ISO

Model of Architecture for Open Systems Interconnection». IEEE Transactions
on Communications (en inglés)28 (4): 425-432. 10.1.1.136.9497. Archivado
desde el original el 26 de noviembre de 2015.
2. Volver arriba↑ «ITU-T X.200 (07/1994)». International Telecommunication
Union. Consultado el 25 de febrero de 2013.
3. Volver arriba↑ William Stallings. «The Origins of OSI». Consultado el 25 de
febrero de 2013.
4. Volver arriba↑ Krawetz, Neal (2007). Charles River Media, ed. Introduction to
Network Security.