NAT (Network Address Translation - Traducción de

Dirección de Red) es un mecanismo utilizado

por enrutadores IP para intercambiar paquetes entre dos
redes que se asignan mutuamentedirecciones incompatibles.
Consiste en convertir en tiempo real las direcciones utilizadas
en los paquetes transportados. También es necesario editar
los paquetes para permitir la operación deprotocolos que
incluyen información de direcciones dentro de la conversación
del protocolo.
Su uso más común es permitir utilizar direcciones privadas
(definidas en el RFC 1918) para acceder a Internet. Existen
rangos de direcciones privadas que pueden usarse
libremente y en la cantidad que se quiera dentro de una red
privada. Si el número de direcciones privadas es muy grande
puede usarse solo una parte de direcciones públicas para
salir a Internet desde la red privada. De esta manera
simultáneamente sólo pueden salir a Internet con una
dirección IP tantos equipos como direcciones públicas se
hayan contratado. Esto es necesario debido al
progresivo agotamiento de las direcciones IPv4. Se espera
que con el advenimiento de IPv6 no sea necesario continuar
con esta práctica.

Funcionamiento
El protocolo TCP/IP tiene la capacidad de generar varias
conexiones simultáneas con un dispositivo remoto. Para
realizar esto, dentro de la cabecera de un paquete IP, existen
campos en los que se indica la dirección origen y destino.
Esta combinación de números define una única conexión.
Una pasarela NAT cambia la dirección origen en cada
paquete de salida y, dependiendo del método, también el
puerto origen para que sea único. Estas traducciones de
dirección se almacenan en una tabla, para recordar qué
dirección y puerto le corresponde a cada dispositivo cliente y
así saber donde deben regresar los paquetes de respuesta.
Si un paquete que intenta ingresar a la red interna no existe
en la tabla de en un determinado puerto y dirección se pueda
acceder a un determinado dispositivo, como por ejemplo un
servidor web, lo que se denomina NAT
inverso o DNAT (Destination NAT).
NAT tiene muchas formas de funcionamiento, entre las que
destacan:
Estática
Es un tipo de NAT en el que una dirección IP privada se
traduce a una dirección IP pública, y donde esa dirección
pública es siempre la misma. Esto le permite a un host, como
un servidor Web, el tener una dirección IP de red privada pero
aun así ser visible en Internet..
Dinámica
Es un tipo de NAT en la que una dirección IP privada se
mapea a una IP pública basándose en una tabla de
direcciones de IP registradas (públicas). Normalmente, el
router NAT en una red mantendrá una tabla de direcciones IP
registradas, y cuando una IP privada requiera acceso a
Internet, el router elegirá una dirección IP de la tabla que no
esté siendo usada por otra IP privada. Esto permite aumentar
la seguridad de una red dado que enmascara la configuración
interna de una red privada, lo que dificulta a los hosts
externos de la red el poder ingresar a ésta. Para este método
se requiere que todos los hosts de la red privada que deseen
conectarse a la red pública posean al menos una IP pública
asociadas.
Sobrecarga
La más utilizada es la NAT dinámica, conocida también
como PAT (Port Address Translation - Traducción de
Direcciones por Puerto), NAT de única dirección o NAT
multiplexado a nivel de puerto.
Solapamiento
Cuando las direcciones IP utilizadas en la red privada son
direcciones IP públicas en uso en otra red, el ruteador posee
una tabla de traducciones en donde se especifica el
reemplazo de éstas con una única dirección IP pública. Así se
evitan los conflictos de direcciones entre las distintas redes.

Caché web
Se llama caché web a la caché que
almacena documentos web (es decir, páginas, imágenes,
etcétera) para reducir el ancho de banda consumido,
la carga de los servidores y el retardo en la descarga. Un
caché web almacena copias de los documentos que pasan
por él, de forma que subsiguientes peticiones pueden ser
respondidas por el propio caché, si se cumplen ciertas
condiciones.

Cortafuegos (informática)
Un cortafuego (firewall en inglés) es una parte de un
sistema o una red que está diseñada para bloquear el acceso
no autorizado, permitiendo al mismo tiempo comunicaciones
autorizadas. Se trata de un dispositivo o conjunto de
dispositivos configurados para permitir, limitar, cifrar,
descifrar, el tráfico entre los diferentes ámbitos sobre la base
de un conjunto de normas y otros criterios.
Los cortafuegos pueden ser implementados en hardware o
software, o una combinación de ambos. Los cortafuegos se
utilizan con frecuencia para evitar que los usuarios de Internet
no autorizados tengan acceso a redes privadas conectadas a
Internet, especialmente intranets. Todos los mensajes que
entren o salgan de la intranet pasan a través del cortafuegos,
que examina cada mensaje y bloquea aquellos que no
cumplen los criterios de seguridad especificados. También es
frecuente conectar al cortafuegos a una tercera red,
llamada Zona desmilitarizada o DMZ, en la que se ubican los
servidores de la organización que deben permanecer
accesibles desde la red exterior. Un cortafuegos
correctamente configurado añade una protección necesaria a
la red, pero que en ningún caso debe considerarse suficiente.
La seguridad informática abarca más ámbitos y más niveles
de trabajo y protección.

Tipos de cortafuegos
[editar]Nivel de aplicación de pasarela
Aplica mecanismos de seguridad para aplicaciones
específicas, tales como servidores FTP y Telnet. Esto es muy
eficaz, pero puede imponer una degradación del rendimiento.
[editar]Circuito a nivel de pasarela
Aplica mecanismos de seguridad cuando una
conexión TCP o UDP es establecida. Una vez que la
conexión se ha hecho, los paquetes pueden fluir entre los
anfitriones sin más control. Permite el establecimiento de una
sesión que se origine desde una zona de mayor seguridad
hacia una zona de menor seguridad.
[editar]Cortafuegos de capa de red o de filtrado de
paquetes
Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del
stack de protocolos TCP/IP) como filtro de paquetes IP. A
este nivel se pueden realizar filtros según los distintos
campos de los paquetes IP: dirección IP origen, dirección IP
destino. A menudo en este tipo de cortafuegos se permiten
filtrados según campos de nivel de transporte (capa 3 TCP/IP,
capa 4 Modelo OSI), como el puerto origen y destino, o a
nivel de enlace de datos (no existe en TCP/IP, capa 2 Modelo
OSI) como la dirección MAC.
[editar]Cortafuegos de capa de aplicación
Trabaja en el nivel de aplicación (capa 7 del modelo OSI), de
manera que los filtrados se pueden adaptar a características
propias de los protocolos de este nivel. Por ejemplo, si se
trata de tráficoHTTP, se pueden realizar filtrados según
la URL a la que se está intentando acceder.
Un cortafuegos a nivel 7 de tráfico HTTP suele
denominarse proxy, y permite que los computadores de una
organización entren a Internet de una forma controlada. Un
proxy oculta de manera eficaz las verdaderas direcciones de
red.
[editar]Cortafuegos personal
Es un caso particular de cortafuegos que se instala como
software en un computador, filtrando las comunicaciones
entre dicho computador y el resto de la red. Se usa por tanto,
a nivel personal.
[editar]Ventajas de un cortafuegos
Bloquea el acceso a personas no autorizadas a redes
privadas.
[editar]Limitaciones de un cortafuegos
Las limitaciones se desprenden de la misma definición del
cortafuegos: filtro de tráfico. Cualquier tipo de ataque
informático que use tráfico aceptado por el cortafuegos (por
usar puertos TCP abiertos expresamente, por ejemplo) o que
sencillamente no use la red, seguirá constituyendo una
amenaza. La siguiente lista muestra algunos de estos
riesgos:

 Un cortafuegos no puede proteger contra aquellos ataques

cuyo tráfico no pase a través de él.
 El cortafuegos no puede proteger de las amenazas a las
que está sometido por ataques internos o usuarios
negligentes. El cortafuegos no puede prohibir a espías
corporativos copiar datos sensibles en medios físicos de
almacenamiento (discos, memorias, etc.) y sustraerlas del
edificio.
 El cortafuegos no puede proteger contra los ataques
de ingeniería social.
 El cortafuegos no puede proteger contra los ataques
posibles a la red interna por virus informáticos a través de
archivos y software. La solución real está en que la
organización debe ser consciente en instalar software
antivirus en cada máquina para protegerse de los virus que
llegan por cualquier medio de almacenamiento u otra
fuente.
 El cortafuegos no protege de los fallos de seguridad de los
servicios y protocolos cuyo tráfico esté permitido. Hay que
configurar correctamente y cuidar la seguridad de los
servicios que se publiquen en Internet.
[editar]Políticas del cortafuegos
Hay dos políticas básicas en la configuración de un
cortafuegos que cambian radicalmente la filosofía
fundamental de la seguridad en la organización:

 Política restrictiva: Se deniega todo el tráfico excepto el

que está explícitamente permitido. El cortafuegos obstruye
todo el tráfico y hay que habilitar expresamente el tráfico de
los servicios que se necesiten. Esta aproximación es la que
suelen utilizar la empresas y organismos gubernamentales.
 Política permisiva: Se permite todo el tráfico excepto el
que esté explícitamente denegado. Cada servicio
potencialmente peligroso necesitará ser aislado
básicamente caso por caso, mientras que el resto del
tráfico no será filtrado. Esta aproximación la suelen utilizar
universidades, centros de investigación y servicios públicos
de acceso a internet.
La política restrictiva es la más segura, ya que es más difícil
permitir por error tráfico potencialmente peligroso, mientras
que en la política permisiva es posible que no se haya
contemplado algún caso de tráfico peligroso y sea permitido
por omisión.

Lista negra
Una lista negra, índice o blacklist (palabra inglesa que
significa literalmente lista negra) es una lista de personas,
instituciones u objetos que deben ser discriminados en alguna
forma con respecto a los que no están en la lista. La
discriminación puede ser social, técnica o de alguna otra
forma. Cuando la discriminación es positiva se usa el
término lista blanca.
Su uso puede ser repudiable ya que, en general, este no se
ajusta a las normas legales que otorga el derecho a las
personas: un juicio justo, derecho a la defensa, suposición de
inocencia, etc. Así, el tribunal de Lüneburg, Alemania,
prohibió el 27 de septiembre de 2007 (Az. 7 O 80/07) a un
proveedor de servicios de servidores colocar en la lista negra
de su servidor de correo electrónico a un competidor que
enviaba spam. El tribunal consideró la libre competencia de
las empresas más relevante que la protección contra spam.1
Lista blanca
Una lista blanca, lista de aprobación ó whitelist en Inglés
es una lista o registro de entidades que, por una razón u otra,
pueden obtener algún privilegio particular, servicio, movilidad,
acceso o reconocimiento. Por el contrario la lista
negra o blacklisting es la compilación que identifica a quienes
serán denegados, no reconocidos u obstaculizados.

Listas blancas en redes informáticas

Otro uso de las listas blancas es en seguridad de redes
locales de computadores (LAN). Los administradores
configuran las direcciones MAC en listas blancas para
controlar derechos e identificación en la red. Se utiliza esto
cuando el cifrado no es una solución viable o también junto
con un sistema de cifrado. Es una seguridad relativa ya que
vulnerable a ataques de spoofing de direcciones MAC.
Es generalmente utilizada en los punto de acceso
inalámbrico.
[editar]Listas blancas de software
Si una organización mantine una lista blanca de software, se
trata de una lista de software aceptado para su uso. Por
ejemplo, un centro educativo pude utilizar una lista blanca
para asegurar que su equipamiento solo cuenta con software
que ha sido apropiadamente aceptado para su uso.
[editar]Listas blancas de aplicaciones
Una tendencia emergente en el combate de virus
informáticos y malware es la utilización de listas blancas de
aplicaciones o programas informáticos considerados seguros
para ser ejecutados, bloqueando los otros 1 . Algunos
consideran esta tendencia como una seguridad superior
basada en firmas que mejora la seguridad de los antivirus,
basada generalmente en listas negras 2 3 .
Estos programas disponen de un sistema de control
administrativo sobre la lista blanca para prevenir la inclusión
de posibles malware4 pero ellos no pueden detener los
procesos que ya están corriendo que podrían llegar a obtener
acceso privilegiado (y, por lo tanto pasan por encima del
control de lista blanca5 ).
Además, algunas versiones del sistema operativo Unix,
como HP-UX han incoprorado una funcionalidad llamada "HP-
UX Whitelisting" en la versión 11iv3. El sistema de HP-UX
Whitelisting (WLI) ofrece prtección a nivel de archivos y
recursos del sistema basado en tecnología de cifrado RSA.
WLI es complementario al sistema tradicional con control de
acceso discrecional (DAC) del los sistemas Unix, basados en
usuario, grupo y permisos de archivos. En sistemas de
archivos con un control por lista de acceso (ACL), como
ser VxFS o HFS no se aplica este sistema.