Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Funcionamiento
El protocolo TCP/IP tiene la capacidad de generar varias
conexiones simultáneas con un dispositivo remoto. Para
realizar esto, dentro de la cabecera de un paquete IP, existen
campos en los que se indica la dirección origen y destino.
Esta combinación de números define una única conexión.
Una pasarela NAT cambia la dirección origen en cada
paquete de salida y, dependiendo del método, también el
puerto origen para que sea único. Estas traducciones de
dirección se almacenan en una tabla, para recordar qué
dirección y puerto le corresponde a cada dispositivo cliente y
así saber donde deben regresar los paquetes de respuesta.
Si un paquete que intenta ingresar a la red interna no existe
en la tabla de en un determinado puerto y dirección se pueda
acceder a un determinado dispositivo, como por ejemplo un
servidor web, lo que se denomina NAT
inverso o DNAT (Destination NAT).
NAT tiene muchas formas de funcionamiento, entre las que
destacan:
Estática
Es un tipo de NAT en el que una dirección IP privada se
traduce a una dirección IP pública, y donde esa dirección
pública es siempre la misma. Esto le permite a un host, como
un servidor Web, el tener una dirección IP de red privada pero
aun así ser visible en Internet..
Dinámica
Es un tipo de NAT en la que una dirección IP privada se
mapea a una IP pública basándose en una tabla de
direcciones de IP registradas (públicas). Normalmente, el
router NAT en una red mantendrá una tabla de direcciones IP
registradas, y cuando una IP privada requiera acceso a
Internet, el router elegirá una dirección IP de la tabla que no
esté siendo usada por otra IP privada. Esto permite aumentar
la seguridad de una red dado que enmascara la configuración
interna de una red privada, lo que dificulta a los hosts
externos de la red el poder ingresar a ésta. Para este método
se requiere que todos los hosts de la red privada que deseen
conectarse a la red pública posean al menos una IP pública
asociadas.
Sobrecarga
La más utilizada es la NAT dinámica, conocida también
como PAT (Port Address Translation - Traducción de
Direcciones por Puerto), NAT de única dirección o NAT
multiplexado a nivel de puerto.
Solapamiento
Cuando las direcciones IP utilizadas en la red privada son
direcciones IP públicas en uso en otra red, el ruteador posee
una tabla de traducciones en donde se especifica el
reemplazo de éstas con una única dirección IP pública. Así se
evitan los conflictos de direcciones entre las distintas redes.
Caché web
Se llama caché web a la caché que
almacena documentos web (es decir, páginas, imágenes,
etcétera) para reducir el ancho de banda consumido,
la carga de los servidores y el retardo en la descarga. Un
caché web almacena copias de los documentos que pasan
por él, de forma que subsiguientes peticiones pueden ser
respondidas por el propio caché, si se cumplen ciertas
condiciones.
Cortafuegos (informática)
Un cortafuego (firewall en inglés) es una parte de un
sistema o una red que está diseñada para bloquear el acceso
no autorizado, permitiendo al mismo tiempo comunicaciones
autorizadas. Se trata de un dispositivo o conjunto de
dispositivos configurados para permitir, limitar, cifrar,
descifrar, el tráfico entre los diferentes ámbitos sobre la base
de un conjunto de normas y otros criterios.
Los cortafuegos pueden ser implementados en hardware o
software, o una combinación de ambos. Los cortafuegos se
utilizan con frecuencia para evitar que los usuarios de Internet
no autorizados tengan acceso a redes privadas conectadas a
Internet, especialmente intranets. Todos los mensajes que
entren o salgan de la intranet pasan a través del cortafuegos,
que examina cada mensaje y bloquea aquellos que no
cumplen los criterios de seguridad especificados. También es
frecuente conectar al cortafuegos a una tercera red,
llamada Zona desmilitarizada o DMZ, en la que se ubican los
servidores de la organización que deben permanecer
accesibles desde la red exterior. Un cortafuegos
correctamente configurado añade una protección necesaria a
la red, pero que en ningún caso debe considerarse suficiente.
La seguridad informática abarca más ámbitos y más niveles
de trabajo y protección.
Tipos de cortafuegos
[editar]Nivel de aplicación de pasarela
Aplica mecanismos de seguridad para aplicaciones
específicas, tales como servidores FTP y Telnet. Esto es muy
eficaz, pero puede imponer una degradación del rendimiento.
[editar]Circuito a nivel de pasarela
Aplica mecanismos de seguridad cuando una
conexión TCP o UDP es establecida. Una vez que la
conexión se ha hecho, los paquetes pueden fluir entre los
anfitriones sin más control. Permite el establecimiento de una
sesión que se origine desde una zona de mayor seguridad
hacia una zona de menor seguridad.
[editar]Cortafuegos de capa de red o de filtrado de
paquetes
Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del
stack de protocolos TCP/IP) como filtro de paquetes IP. A
este nivel se pueden realizar filtros según los distintos
campos de los paquetes IP: dirección IP origen, dirección IP
destino. A menudo en este tipo de cortafuegos se permiten
filtrados según campos de nivel de transporte (capa 3 TCP/IP,
capa 4 Modelo OSI), como el puerto origen y destino, o a
nivel de enlace de datos (no existe en TCP/IP, capa 2 Modelo
OSI) como la dirección MAC.
[editar]Cortafuegos de capa de aplicación
Trabaja en el nivel de aplicación (capa 7 del modelo OSI), de
manera que los filtrados se pueden adaptar a características
propias de los protocolos de este nivel. Por ejemplo, si se
trata de tráficoHTTP, se pueden realizar filtrados según
la URL a la que se está intentando acceder.
Un cortafuegos a nivel 7 de tráfico HTTP suele
denominarse proxy, y permite que los computadores de una
organización entren a Internet de una forma controlada. Un
proxy oculta de manera eficaz las verdaderas direcciones de
red.
[editar]Cortafuegos personal
Es un caso particular de cortafuegos que se instala como
software en un computador, filtrando las comunicaciones
entre dicho computador y el resto de la red. Se usa por tanto,
a nivel personal.
[editar]Ventajas de un cortafuegos
Bloquea el acceso a personas no autorizadas a redes
privadas.
[editar]Limitaciones de un cortafuegos
Las limitaciones se desprenden de la misma definición del
cortafuegos: filtro de tráfico. Cualquier tipo de ataque
informático que use tráfico aceptado por el cortafuegos (por
usar puertos TCP abiertos expresamente, por ejemplo) o que
sencillamente no use la red, seguirá constituyendo una
amenaza. La siguiente lista muestra algunos de estos
riesgos:
Lista negra
Una lista negra, índice o blacklist (palabra inglesa que
significa literalmente lista negra) es una lista de personas,
instituciones u objetos que deben ser discriminados en alguna
forma con respecto a los que no están en la lista. La
discriminación puede ser social, técnica o de alguna otra
forma. Cuando la discriminación es positiva se usa el
término lista blanca.
Su uso puede ser repudiable ya que, en general, este no se
ajusta a las normas legales que otorga el derecho a las
personas: un juicio justo, derecho a la defensa, suposición de
inocencia, etc. Así, el tribunal de Lüneburg, Alemania,
prohibió el 27 de septiembre de 2007 (Az. 7 O 80/07) a un
proveedor de servicios de servidores colocar en la lista negra
de su servidor de correo electrónico a un competidor que
enviaba spam. El tribunal consideró la libre competencia de
las empresas más relevante que la protección contra spam.1
Lista blanca
Una lista blanca, lista de aprobación ó whitelist en Inglés
es una lista o registro de entidades que, por una razón u otra,
pueden obtener algún privilegio particular, servicio, movilidad,
acceso o reconocimiento. Por el contrario la lista
negra o blacklisting es la compilación que identifica a quienes
serán denegados, no reconocidos u obstaculizados.