This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

CAPITULO 1 INTRODUCCIÓN A LAS REDES. 1.1. Introducción. La industria de ordenadores ha mostrado un progreso espectacular en muy corto tiempo. El viejo modelo de tener un solo ordenador para satisfacer todas las necesidades de cálculo, de comunicación y de manejo de información de toda una organización se está reemplazando con rapidez por otro que considera un número grande de ordenadores separados, pero interconectados, que efectúan el mismo trabajo. Estos sistemas, se conocen con el nombre de redes de ordenadores. Estas nos dan a entender una colección interconectada de ordenadores autónomos. Se dice que los ordenadores están interconectados, si son capaces de intercambiar información.

1.2. Concepto de red. Una Red de computadoras es una interconexión de dos o más computadoras con el objetivo de compartir recursos, información y servicios. Esta interconexión puede ser a través de un enlace físico cableado o inalámbrico. Los recursos son principalmente información (documentos, bases de datos, aplicaciones, etc.), así como impresoras de alta calidad o cualquier dispositivo que puede conectarse a la red directamente o por medio de una computadora.

Figura 1.1 Concepto básico de una red.

1

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

1.3. Historia de las redes. La historia de las redes informáticas es compleja. Participaron en ella muchas personas de todo el mundo a lo largo de los últimos 35 años. Presentamos aquí una versión simplificada de su evolución. Los procesos de creación y comercialización son mucho más complicados, pero es útil analizar el desarrollo fundamental. En la década de 1940, los computadores eran enormes dispositivos electromecánicos que eran propensos a sufrir fallas. En 1947, la invención del transistor semiconductor permitió la creación de computadores más pequeños y confiables. En la década de 1950 los computadores mainframe, que funcionaban con programas en tarjetas perforadas, comenzaron a ser utilizados habitualmente por las grandes instituciones. A fines de esta década, se creó el circuito integrado, que combinaba muchos y, en la actualidad, millones de transistores en un pequeño semiconductor. En la década de 1960, los mainframes con terminales eran comunes, y los circuitos integrados comenzaron a ser utilizados de forma generalizada. Hacia fines de la década de 1960 y durante la década de 1970, se inventaron computadores más pequeños, denominados minicomputadores. Sin embargo, estos minicomputadores seguían siendo muy voluminosos en comparación con los estándares modernos. En 1977, la Apple Computer Company presentó el microcomputador, conocido también como computador personal. En 1981 IBM presentó su primer computador personal. El equipo Mac, de uso sencillo, el PC IBM de arquitectura abierta y la posterior microminiaturización de los circuitos integrados dio como resultado el uso difundido de los computadores personales en hogares y empresas. A mediados de la década de 1980 los usuarios con computadores autónomos comenzaron a usar módems para conectarse con otros computadores y compartir archivos. Estas comunicaciones se denominaban comunicaciones punto-a-punto o de acceso telefónico. El concepto se expandió a través del uso de computadores que funcionaban como punto central de comunicación en una conexión de acceso telefónico. Estos computadores se denominaron tableros de boletín. Los usuarios se conectaban a los tableros de boletín, donde depositaban y levantaban mensajes, además de cargar y descargar archivos. La desventaja de este tipo de sistema era que había poca comunicación directa, y únicamente con quienes conocían el tablero de boletín. Otra limitación era la necesidad de un módem por cada conexión al computador del tablero de boletín. Si cinco personas se conectaban simultáneamente, hacían falta cinco módems conectados a cinco líneas telefónicas diferentes. A medida que crecía el número de usuarios interesados, el sistema no pudo soportar la demanda. Imagine, por ejemplo, que 500 personas quisieran conectarse de forma simultánea. A partir de la década de 1960 y durante las décadas de 1970, 1980 y 1990, el Departamento de Defensa de

2

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

Estados Unidos (DoD) desarrolló redes de área amplia (WAN) de gran extensión y alta confiabilidad, para uso militar y científico. Esta tecnología era diferente de la comunicación punto-a-punto usada por los tableros de boletín. Permitía la internetworking de varios computadores mediante diferentes rutas. La red en sí determinaba la forma de transferir datos de un computador a otro. En lugar de poder comunicarse con un solo computador a la vez, se podía acceder a varios computadores mediante la misma conexión. La WAN del DoD finalmente se convirtió en la Internet.

1.4. Componentes de una red. Son una serie de dispositivos, por medio de los cuales un usuario o usuarios envía o recibe simultáneamente datos, textos imágenes o voz a través de los mismos y que conforman la red o redes donde interactúan dichos dispositivos en unidades de salida o de entrada o ambas.

1.4.1 Descripción de los dispositivos que conforman una

red.

o Equipos en la red. El Hardware como estructura física es el elemento tangible en las tecnologías de la información y comunicación que consta de unidades centrales constituidos en servidores y estaciones de trabajo.

o Tarjetas de red. Se denomina también NIC al chip de la tarjeta de red que se encarga de servir como interfaz de Ethernet entre el medio físico (por ejemplo un cable coaxial) y el equipo (por ejemplo un ordenador personal o una impresora). Es un chip usado en computadoras o periféricos tales como las tarjetas de red, impresoras de red o sistemas integrados (embebed en inglés), para conectar dos o más dispositivos entre sí a través de algún medio (red), ya sea conexión inalámbrica , cable UTP, cable coaxial, fibra óptica, etcétera.

o Conectores. Dispositivo que sirve para enlazar o interconectar uno o computadoras a una red o redes entre otros.

más ordenadores o

o Cableado estructurado. Son piezas y partes de lo necesario para constituir una red alambica o inalámbrica dentro de estos tenemos por ahora: Wall Plates, Insertos, Face Plates, Roseta Integrada, Patch Panel, Patch Cord, Plug 8p8c, Racks, Organizadores de Cables.

3

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

1.4.2 Equipos de comunicación. o Concentradores. Un concentrador (hub) sirve como una ubicación central para conectar ordenadores y otros dispositivos (como impresoras) entre sí. Un concentrador es llamado a veces "repetidor multipuerto", porque pasa, o repite, todos los paquetes que recibe a todos sus puertos.

o Switches. Un conmutador o switch es un dispositivo digital de lógica de interconexión de redes de computadores que opera en la capa 2 (nivel de enlace de datos) del modelo OSI. Su función es interconectar dos o más segmentos de red, de manera similar a los puentes (bridges), pasando datos de un segmento a otro de acuerdo con la dirección MAC de destino de las tramas en la red.

o Router El enrutador (calco del inglés router), direccionador, ruteador o encaminador es un dispositivo de hardware para interconexión de red de ordenadores que opera en la capa tres (nivel de red). Un router es un dispositivo para la interconexión de redes informáticas que permite asegurar el enrutamiento de paquetes entre redes o determinar la ruta que debe tomar el paquete de datos.

o Modems. Modulador-Demodulador. Es un dispositivo que adapta la señal digital de un ordenador en frecuencias de sonido (análógicas) para transmitir a través de una línea de teléfono, y las adapta de nuevo a digitales. Las velocidades de transmisión de los módems se sitúan generalmente entre los 2.400bps (2.4Kbps) a los 56.000bps (56Kbps). Estos pueden ser internos o externos

1.5. Ventajas de una red. Disponibilidad del software de redes.- El disponer de un software multiusuario de calidad que se ajuste a las necesidades de la empresa. Por ejemplo: Se puede diseñar un sistema de puntos de venta ligado a una red local concreta. El software de redes puede bajar los costos si se necesitan muchas copias del software. Trabajo en común.- Conectar un conjunto de computadoras personales formando una red que permita que un grupo o equipo de personas involucrados en proyectos similares puedan comunicarse fácilmente y compartir programas o archivos de un mismo proyecto.

4

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

Actualización del software.- Si el software se almacena de forma centralizada en un servidor es mucho más fácil actualizarlo. En lugar de tener que actualizarlo individualmente en cada uno de los PC de los usuarios, pues el administrador tendrá que actualizar la única copia almacenada en el servidor. Copia de seguridad de los datos.- Las copias de seguridad son más simples, ya que los datos están centralizados. Ventajas en el control de los datos.- Como los datos se encuentran centralizados en el servidor, resulta mucho más fácil controlarlos y recuperarlos. Los usuarios pueden transferir sus archivos vía red antes que usar los disquetes. Uso compartido de las impresoras de calidad.- Algunos periféricos de calidad de alto costo pueden ser compartidos por los integrantes de la red. Entre estos: impresoras láser de alta calidad, etc. Correo electrónico y difusión de mensajes.- El correo electrónico permite que los usuarios se comuniquen más fácilmente entre sí. A cada usuario se le puede asignar un buzón de correo en el servidor. Los otros usuarios dejan sus mensajes en el buzón y el usuario los lee cuando los ve en la red. Se pueden convenir reuniones y establecer calendarios. Ampliación del uso con terminales tontos.- Una vez montada la red local, pasa a ser más barato el automatizar el trabajo de más empleados por medio del uso de terminales tontos a la red. Seguridad.- La seguridad de los datos puede conseguirse por medio de los servidores que posean métodos de control, tanto software como hardware. Los terminales tontos impiden que los usuarios puedan extraer copias de datos para llevárselos fuera del edificio.

1.6. Modelo OSI 1.6.1

Introducción

Referirnos a la comunicación de datos, es un proceso común y cotidiano, que en ocasiones, hasta para aquellas personas distanciadas del mundo de la computación caen en la necesidad de manejar y transmitir información. Es evidente que para el progreso y desarrollo de la sociedad es necesaria la información: su divulgación y manejo.

5

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

Pero en ocasiones el manejo y la transmisión de los datos resulta distorsionada, por lo que los usuarios deben asegurarse que sus datos se entreguen y reciban de manera adecuada. Es necesario que los datos tengan un formato claro y eficiente, se debe verificar los servicios que involucra como los protocolos de traducción de formatos, códigos y sintaxis de los lenguajes entre una computadora emisora y una receptora. Es aquí donde el Modelo de Referencia de Interconexión de Sistemas Abiertos cobra la importancia que merece, al permitir que sistemas de cómputo disímiles se interconecten e interoperen, gracias a reglas preestablecidas que deben ir cumpliéndose nivel a nivel para su total desempeño logrando el concepto de InternetWorking (Este concepto da la idea de sistemas abiertos, y es donde las compuertas tienen lugar cubriendo desde los niveles mas bajos de conectividad hasta esquemas de conversión de protocolos que requieren de un alto grado de integración.

1.6.2 Concepto de Modelo OSI El Modelo de Referencia de Interconexión de Sistemas Abiertos, conocido mundialmente como Modelo OSI (Open System Interconnection), fue creado por la ISO (Organizacion Estandar Internacional) en el año 1983 y en él pueden modelarse o referenciarse diversos dispositivos que reglamenta la ITU (Unión de Telecomunicación Internacional), para la estandarización internacional de los protocolos de comunicación como necesidad de intercambiar información entre sistemas heterogéneos, entre sistemas cuyas tecnologías son muy diferentes entre sí. Así, todo dispositivo de cómputo y telecomunicaciones podrá ser referenciado al modelo y por ende concebido como parte de un sistema interdependiente con características muy precisas en cada nivel. Esta idea da la pauta para comprender que el modelo OSI existe potencialmente en todo sistema de cómputo y telecomunicaciones, pero que solo cobra importancia al momento de concebir o llevar a cabo la transmisión de datos. El Modelo OSI cuenta con 7 capas o niveles:

Figura 1.2 Capas del modelo OSI.

6

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

1.6.3 Capa física. Es el primer nivel del modelo OSI y en él se definen y reglamentan todas las características físicas-mecánicas y eléctricas que debe cumplir el sistema para poder operar. Como es el nivel más bajo, es el que se va a encargar de las comunicaciones físicas entre dispositivos y de cuidar su correcta operación. Es bien sabido que la información computarizada es procesada y transmitida en forma digital siendo esta de bits: 1 y 0. Por lo que, toda aplicación que se desee enviar, será transmitida en forma serial mediante la representación de unos y ceros. En este nivel, se encuentran reglamentadas las interfaces de sistemas de cómputo y telecomunicaciones (RS-232 o V.24, V.35) además de los tipos de conectores o ensambles mecánicos asociados a las interfaces (DB-24 y RJ-45 para RS-232 o V.24, así como Coaxial 75 ohms para G703). En el nivel 1 del modelo OSI o nivel físico se ubican también todos los medios de transmisión como los sistemas de telecomunicaciones para el mundo WAN (Wide Area Network), tales como sistemas satelitales, microondas, radio enlaces, canales digitales y líneas privadas, asi como los medios de transmisión para redes de área locales (LAN: Local Area Network), cables de cobre (UTP,STP) y fibra óptica. Además, en este nivel se ubican todos aquellos dispositivos pasivos y activos que permiten la conexión de los medios de comunicación como repetidores de redes LAN, repetidores de microondas y fibra óptica, concentradores de cableado (HUBs), conmutadores de circuitos físicos de telefonía o datos, equipos de modulación y demodulación (modems) y hasta los aparatos receptores telefónicos convencionales o de células que operan a nivel hardware como sistemas terminales. En Resumen se dice que la capa Físico transmite el flujo de bits sobre un medio físico y aquella que representa el cableado, las tarjetas y las señales de los dispositivos.

1.6.4 Capa de enlace de datos. Conocido también como nivel de Trama (Frame) o Marco, es el encargado de preparar la información codificada en forma binaria en formatos previamente definidos por el protocolo a utilizar. Este nivel ensambla los datos en tramas y las transmite a través del medio (LAN o WAN). Es el encargado de ofrecer un control de flujo entre tramas, así como un sencillo mecanismo para detectar errores. Es en este nivel y mediante algoritmos como CRC(Cyclic Redundancy Check), donde se podrá validar la integridad física de la trama; mas no será corregida a este nivel sino que se le notificará al transmisor para su retransmisión.

7

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

En el nivel de enlace de datos se lleva a cabo el direccionamiento físico de la información; es decir, se leerán los encabezados que definen las direcciones de los nodos (para el caso WAN) o de los segmentos (para el caso LAN) por donde viajarán las tramas. Decimos que son direcciones físicas ya que las direcciones lógicas o de la aplicación que pretendemos transmitir serán direccionadas o enrutadas en un nivel superior llamado nivel de red. En este nivel de enlace sólo se da tratamiento a las direcciones MAC (Media Access Control) para el caso de LAN y a las direcciones de las tramas síncronas como HDLC (High-Level Data Link Control), SDLC (Synchronous Data Link Control, de IBM), LAP B (Link Access Procedure Balance) por citar algunos para el caso WAN. No sólo protocolos pueden ser referenciados al nivel de enlace del modelo OSI; también hay dispositivos como los puentes LAN (Bridges), que por su funcionamiento (operación con base en direcciones MAC únicamente) se les puede ubicar en este nivel del modelo de referencia. El puente, a diferencia del repetidor, puede segmentar y direccionar estaciones de trabajo en función de la lectura e interpretación de las direcciones físicas de cada dispositivo conectado a la red. En Resumen se puede decir que la capa de Enlace de Datos es aquella que transmite la información como grupos de bits, o sea que transforma los bits en frames o paquetes por lo cual si recibimos se espera en conjunto de señales para convertirlos en caracteres en cambio si se manda se convierte directamente cada carácter en señales ya sean digitales o analógicos.

1.6.5 Capa de red. En este nivel se realiza el direccionamiento lógico y la determinación de la ruta de los datos hasta su receptor final. La capa de red contiene 4 procesos para intercambiar secciones de datos entre dispositivos finales, el primer proceso es direccionamiento, el cual dirige los datos a un dispositivo destino, éste mismo contiene una dirección única para identificarlo, a este dispositivo se le denomina host. El segundo proceso es la encapsulación, donde se crea la PDU de la Capa 3 agregándole un encabezado, creando así un paquete el cual contendrá la dirección del host destino, así como también contendrá la dirección del host de origen, al terminar la encapsulación se envía el paquete a la capa de enlace de datos. Como proceso siguiente se tiene el enrutamiento donde por medio de los dispositivos intermediarios llamados routers se seleccionan las rutas y se dirigen los paquetes hacia su destino, los cuales pueden recorrer varios dispositivos intermediarios, donde a cada ruta que toman los paquetes se le denomina salto. Por último tenemos el proceso de Desencapsulación donde el paquete llega al host destino, si este host es el correcto entonces el paquete es desencapsulado y entrega los datos, la PDU de la Capa 4 contenida en el paquete pasa hasta el servicio adecuado en la capa de Trasporte. Uno de los protocolos más comúnmente usados dentro de la capa de red son los protocolos de direccionamiento IP. 8

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

1.6.6 Capa de transporte. Dentro de las responsabilidades que debe cumplir la capa de trasporte esta el seguimiento de conversaciones individuales en las que se debe mantener la comunicación continua entre las aplicaciones, segmentación de datos que consiste en dividir en partes manejables la información para su fácil transportación, reensamble de segmentos en donde la información se une nuevamente para seguir su proceso de trasmisión a la capa de aplicación y ser mostrada al destino, identificación de las aplicaciones en la que a la capa de transporte le es asignado un número de puerto, el cual es el identificador de la aplicación destino y por último los requerimientos de datos varían en donde la capa de transporte cuenta con varios protocolos que permiten que los segmentos puedan llegar en una secuencia especifica al destino o incluso pueda haber demora en la recepción de la información pero son enviados al destino exitosamente. Una de las más importantes actividades de la capa de trasporte es la separación de comunicaciones múltiples lo que nos hace referencia a que cuando existen varias aplicaciones simultáneas solicitando servicios diferentes, la capa de trasporte debe enviar la información correcta a cada aplicación, de esta manera se establece una conversación entre el origen y el destino. Debe existir un control de las conversaciones, para ello se debe establecer una sesión la cual permitirá la comunicación entre las aplicaciones antes de que los datos sean trasmitidos, de esta manera se asegura una entrega confiable pues si por algún motivo existe un pérdida de datos se pueden volver a transmitir debido a esto sucede que los segmentos lleguen en desorden, al numerar y secuenciar los segmentos la capa de transporte permite reensamblar estos segmentos para que continúen de manera ordenad. Uno de los problemas frecuentes al enviar datos es que éstos pueden ser demasiado pesados y ocupar mucha memoria o ancho de banda para esto la capa de trasporte solicita a los protocolos que reduzcan la velocidad del flujo de los segmentos, de esta manera se puede evitar la pérdida de datos en la transmisión o incluso impedir que se reenvíen. Los protocolos más comunes de la capa de transporte en el modelo TCP/IP son el Protocolo de control de transmisión (TCP), el cual se encarga de la entrega confiable y del control de flujo. Cada segmento de TCP posee 20 bytes de carga en el encabezado, que encapsulan los datos de la capa de Aplicación, los exploradores web, e-mail utilizan este protocolo. El otro protocolo más utilizado es el Protocolo de datagramas de usuario (UDP) que cuenta con la ventaja de proveer la entrega de datos sin utilizar muchos recursos, las porciones de comunicación de este protocolo se les llama datagramas, los cuales son enviados "máximo esfuerzo", entre las aplicaciones que utilizan este protocolo se incluye DNS, streaming de video y voz sobre IP. Tanto TCP como UDP cuentan con encabezados que se pueden identificar de forma exclusiva. El organismo que asigna las normas de direccionamiento (IANA), es responsable de los distintos tipos de números de puertos bien conocidos que van del 0 al 1023 y se 9

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

reservan para servicios y aplicaciones, los puertos registrados que son del 1024 al 49151 están asignados a procesos del usuario, los puertos privados del 49 152 al 65 535 son destinados a aplicaciones de cliente cuando se inicia una conexión. El Netstat es una utilidad de red para determinar las conexiones abiertas de un host. Para que existan comunicaciones confiables es necesario que haya acuses de recibo que confirmen la entrega exitosa de datos dentro de la sesión TCP, si en un tiempo determinado este acuse no es recibido los datos se retransmiten al destino. Dentro de la capa de transporte los números de puerto no pueden tener dos servicios asignados a un servidor individual por esto se debe mejorar la seguridad en un servidor y se limita el acceso al servidor a aquellos puertos asociados con las aplicaciones accesibles a solicitudes. Se deben cumplir tres pasos para que exista una conexión TCP, primero el cliente inicia la conexión enviando un segmento, después el servidor responde con un segmento de valor reconocido y finalmente el cliente que inicio la conexión responde con un valor de afirmación, de esta forma queda establecida la comunicación. Sin embargo para establecer la comunicación en el proceso de cliente UDP se selecciona al azar un número de puerto del rango dinámico y lo utiliza como puerto de origen para establecer la conexión, el cual colaborará con la seguridad. Al elegir los puertos de origen y destino se utilizan al principio de los datagramas que utilicen la transacción, para la devolución de datos del servidor al cliente, se invierten los números de puerto de origen y destino en el encabezado del datagrama.

1.6.7 Capa de sesión. Este nivel es el encargado de proveer servicios de conexión entre las aplicaciones, tales como iniciar, mantener y finalizar una sesión. Establece, mantiene, sincroniza y administra el diálogo entre aplicaciones remotas. Cuando establecemos una comunicación y que se nos solicita un comando como login, estamos iniciando una sesión con un host remoto y podemos referenciar esta función con el nivel de sesión del modelo OSI. Del mismo modo, cuando se nos notifica de una suspensión en el proceso de impresión por falta de papel en la impresora, es el nivel de sesión el encargado de notificarnos de esto y de todo lo relacionado con la administración de la sesión. Cuando deseamos finalizar una sesión, quizá mediante un logout, es el nivel de sesión el que se encargará de sincronizar y atender nuestra petición a fin de liberar los recursos de procesos y canales (lógicos y físicos) que se hayan estado utilizando. NetBIOS (Network Basic Input/Output System) es un protocolo que se referencia en el nivel de sesión del modelo OSI, al igual que el RPC (Remote Procedure Call) utilizado en el modelo cliente-servidor.

10

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

En Resumen se puede decir que la capa de Sesión es un espacio en tiempo que se asigna al acceder al sistema por medio de un login en el cual obtenemos acceso a los recursos del mismo servidor conocido como "circuitos virtuales".La información que utiliza nodos intermedios que puede seguir una trayectoria no lineal se conoce como "sin conexión".

1.6.8 Capa de presentación. Se refiere a la forma en que los datos son representados en una computadora. Proporciona conversión de códigos y reformateo de datos de la aplicación del usuario. Es sabido que la información es procesada en forma binaria y en este nivel se llevan a cabo las adaptaciones necesarias para que pueda ser presentada de una manera mas accesible. Códigos como ASCII (American Standard Code for Information Interchange) y EBCDIC (Extended Binary Coded Decimal Interchange Code), que permiten interpretar los datos binarios en caracteres que puedan ser fácilmente manejados, tienen su posicionamiento en el nivel de presentación del modelo OSI. Los sistemas operativos como DOS y UNIX también se ubican en este nivel, al igual que los códigos de comprensión y encriptamiento de datos. El nivel de Presentación negocia la sintaxis de la transferencia de datos hacia el nivel de aplicación. En Resumen se dice que la capa de Presentación es aquella que provee representación de datos, es decir, mantener la integridad y valor de los datos independientemente de la representación.

1.6.9 Capa de aplicación. Es el nivel más cercano al usuario y a diferencia de los demás niveles, por ser el más alto o el último, no proporciona un servicio a ningún otro nivel. Cuando se habla de aplicaciones lo primero que viene a la mente son las aplicaciones que procesamos, es decir, nuestra base de datos, una hoja de cálculo, un archivo de texto, etc., lo cual tiene sentido ya que son las aplicaciones que finalmente deseamos transmitir. Sin embargo, en el contexto del Modelo de Referencia de Interconexión de Sistemas Abiertos, al hablar del nivel de Aplicación no nos estamos refiriendo a las aplicaciones que acabamos de citar. En OSI el nivel de aplicación se refiere a las aplicaciones de red que vamos a utilizar para transportar las aplicaciones del usuario. FTP (File Transfer Protocol), Mail, Rlogin, Telnet, son entre otras las aplicaciones incluidas en el nivel 7 del modelo OSI y sólo cobran vida al momento de requerir una comunicación entre dos entidades. Es por eso que al principio se citó que el modelo OSI tiene relevancia en el momento de surgir la necesidad de intercomunicar dos dispositivos

11

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

disímiles, aunque OSI vive potencialmente en todo dispositivo de cómputo y de telecomunicaciones. En Resumen se puede decir que la capa de aplicación es una sesión específica de aplicación (API), es decir, son los programas que ve el usuario.

Figura 1.3

1.7 Topología de red. 1.7.1 Concepto. La topología de red se define como la cadena de comunicación que los nodos conforman una red usada para comunicarse. Un ejemplo claro de esto es la topología de árbol, la cual es llamada así por su apariencia estética, por la cual puede comenzar con la inserción del servicio de internet desde el proveedor, pasando por el router, luego por un switch y este deriva a otro switch u otro router o sencillamente a los hosts (estaciones de trabajo, pc o como quieran llamarle), el resultado de esto es una red con apariencia de árbol porque desde el primer router que se tiene se ramifica la distribución de internet dando lugar a la creación de nuevas redes y/o subredes tanto internas como externas. Tipos. Una red tiene dos diferentes topologías: una física y una lógica. La topología física es la disposición física actual de la red, la manera en que los nodos están conectados unos con otros. La topología lógica es el método que se usa para comunicarse con los demás nodos, la ruta que toman los datos de la red entre los diferentes nodos de la misma. Las topologías física y lógica pueden ser iguales o diferentes. Las topologías de red más comunes son: bus, anillo, estrella, estrella jerárquica y malla. 12

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

1.7.2 Topología de bus. En la topología de bus todos los nodos (computadoras) están conectados a un circuito común (bus o cable backbone). La información que se envía de una computadora a otra viaja directamente o indirectamente, si existe un controlador que enruta los datos al destino correcto. La información viaja por el cable en ambos sentidos a una velocidad aproximada de 10/100 Mbps y tiene en sus dos extremos una resistencia (terminador). Se pueden conectar una gran cantidad de computadores al bus, si un computador falla, la comunicación se mantiene, no sucede lo mismo si el bus es el que falla. El tipo de cableado que se usa puede ser coaxial, par trenzado o fibra óptica

Figura 1.4 Estructura física de una topologia de bus.

1.7.3 Topología de anillo. La topología en anillo se caracteriza por un camino unidireccional cerrado que conecta todos los nodos. Dependiendo del control de acceso al medio, se dan nombres distintos a esta topología: Bucle; se utiliza para designar aquellos anillos en los que el control de acceso está centralizado (una de las estaciones se encarga de controlar el acceso a la red). Anillo; se utiliza cuando el control de acceso está distribuido por toda la red. Como las características de uno y otro tipo de la red son prácticamente las mismas, utilizamos el término anillo para las dos. En cuanto a fiabilidad, presenta características similares al Bus: la avería de una estación puede aislarse fácilmente, pero una avería en el cable inutiliza la red. Sin embargo, un problema de este tipo es más fácil de localizar, ya que el cable se encuentra físicamente dividido por las estaciones. Las redes de éste tipo, a menudo, se conectan formando topologías físicas distintas al anillo, pero conservando la estructura lógica (camino lógico unidireccional) de éste. Un ejemplo de esto es la topología en anillo/estrella. En esta topología los nodos están unidos físicamente a un conector central (llamado concentrador de cables o centro de cableado) en forma de estrella, aunque se sigue conservando la lógica del anillo (los mensajes pasan por todos los nodos). Cuando uno de los nodos falla, el concentrador aísla el nodo dañado del

13

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

resto del anillo y permite que continúe el funcionamiento normal de la red. Un concentrador admite del orden de 10 nodos. Para expandir el anillo, se pueden conectar varios concentradores entre sí formando otro anillo, de forma que los procedimientos de acceso siguen siendo los mismos. Para prevenir fallos en esta configuración se puede utilizar un anillo de protección o respaldo.

Figura 1.5 Estructura física de una topología de anillo.

1.7.4 Topología de estrella. La topología en estrella se caracteriza por tener todos sus nodos conectados a un controlador central. Todas las transacciones pasan a través del nodo central, siendo éste el encargado de gestionar y controlar todas las comunicaciones. Por este motivo, el fallo de un nodo en particular es fácil de detectar y no daña el resto de la red, pero un fallo en el nodo central desactiva la red completa. Una forma de evitar un solo controlador central y además aumentar el límite de conexión de nodos, así como una mejor adaptación al entorno, sería utilizar una topología en estrella distribuida. Este tipo de topología está basada en la topología en estrella pero distribuyendo los nodos en varios controladores centrales. El inconveniente de este tipo de topología es que aumenta el número de puntos de mantenimiento.

. Figura 1.6 Estructura física de una topología estrella.

14

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

1.7.5 Topología de estrella jerárquica. La topología en estrella jerárquica es igual a la topología en estrella, con la diferencia de que cada nodo que se conecta con el nodo central también es el centro de otra estrella. Generalmente el nodo central está ocupado por un hub o un switch, y los nodos secundarios por hubs. La ventaja de esto es que el cableado es más corto y limita la cantidad de dispositivos que se deben interconectar con cualquier nodo central. La topología en estrella jerárquica es sumamente extendida, y busca que la información se mantenga local. Esta es la forma de conexión utilizada actualmente por el sistema telefónico.

Figura 1.7 Red de estrella gerárquica.

1.7.6 Topología de malla. La topología en malla principalmente nos ofrece redundancia. En esta topología todas las computadoras están interconectadas entre sí por medio de un tramado de cables. Esta configuración provee redundancia porque si un cable falla hay otros que permiten mantener la comunicación. Esta topología requiere mucho cableado por lo que se la considera muy costosa. Muchas veces la topología MALLA se va a unir a otra topología para formar una topología híbrida.

Figura 1.8 Estructura física de una topología de malla.

15

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

1.8 Redes por su alcance. Las redes de ordenadores se pueden clasificar según la escala o el grado del alcance de la red, por ejemplo como red personal del área (PAN), la red de área local (LAN), red del área del campus (CAN), red de área metropolitana (MAN), o la red de área amplia (WAN).

1.8.1 Red de área personal (PAN) (Personal Area Network) es una red de ordenadores usada para la comunicación entre los dispositivos de la computadora (teléfonos incluyendo las ayudantes digitales personales) cerca de una persona. Los dispositivos pueden o no pueden pertenecer a la persona en cuestión. El alcance de una PAN es típicamente algunos metros. Las PAN se pueden utilizar para la comunicación entre los dispositivos personales de ellos mismos (comunicación del intrapersonal), o para conectar con una red de alto nivel y el Internet (un up link). Las redes personales del área se pueden conectar con cables con los buses de la computadora tales como USB y FireWire. Una red personal sin hilos del área (WPAN) se puede también hacer posible con tecnologías de red tales como IrDA y Bluetooth.

Figura 1.9 Red pan.

1.8.2 Red de área local (LAN) Es un sistema de comunicación entre computadoras que permite compartir información, con la característica de que la distancia entre las computadoras debe ser pequeña. Estas redes son usadas para la interconexión de computadores personales y estaciones de trabajo. Se caracterizan por: tamaño restringido, tecnología de transmisión (por lo general broadcast), alta velocidad y topología. 16

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

Son redes con velocidades entre 10 y 100 Mbps, tiene baja latencia y baja tasa de errores. Cuando se utiliza un medio compartido es necesario un mecanismo de arbitraje para resolver conflictos. Dentro de este tipo de red podemos nombrar a INTRANET, una red privada que utiliza herramientas tipo internet, pero disponible solamente dentro de la organización.

Figura 1.10 Estructura física de una red LAN.

1.8.3 Red de área de campus (CAN) Se deriva a una red que conecta dos o más LANs los cuales deben estar conectados en un área geográfica específica tal como un campus de universidad, un complejo industrial o una base militar.

Figura 1.11 Estructura física de una red CAN.

17

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

1.8.4 Red de área metropolitana (MAN) Este tipo de redes es una versión más grande que la LAN y que normalmente se basa en una tecnología similar a esta, La principal razón para distinguir una MAN con una categoría especial es que se ha adoptado un estándar para que funcione, que equivale a la norma IEEE. Las redes Man también se aplican en las organizaciones, en grupos de oficinas corporativas cercanas a una ciudad, estas no contienen elementos de conmutación, los cuales desvían los paquetes por una de varias líneas de salida potenciales. Estas redes pueden ser públicas o privadas. Las redes de área metropolitana, comprenden una ubicación geográfica determinada "ciudad, municipio", y su distancia de cobertura es mayor de 4 Kmts. Son redes con dos buses unidireccionales, cada uno de ellos es independiente del otro en cuanto a la transferencia de datos.

Figura 1.12 Estructura física de una red MAN.

1.8.5 Red de área amplia (WAN) Son redes que cubren una amplia región geográfica, a menudo un país o un continente. Este tipo de redes contiene máquinas que ejecutan programas de usuario llamadas hosts o sistemas finales (end system). Los sistemas finales están conectados a una subred de comunicaciones. La función de la subred es transportar los mensajes de un host a otro. 18

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

En la mayoría de las redes de amplia cobertura se pueden distinguir dos componentes: Las líneas de transmisión y los elementos de intercambio (Conmutación). Las líneas de transmisión se conocen como circuitos, canales o troncales. Los elementos de intercambio son computadores especializados utilizados para conectar dos o más líneas de transmisión. Las redes de área local son diseñadas de tal forma que tienen topologías simétricas, mientras que las redes de amplia cobertura tienen topología irregular. Otra forma de lograr una red de amplia cobertura es a través de satélite o sistemas de radio.

Figura 1.13 Red WAN.

1.9 Redes por su nivel funcional. 1.9.1 Red cliente-Servidor. La red Cliente/Servidor es aquella red de comunicaciones en la que todos los clientes están conectados a un servidor, en el que se centralizan los diversos recursos y aplicaciones con que se cuenta; y que los pone a disposición de los clientes cada vez que estos son solicitados. Esto significa que todas las gestiones que se realizan se concentran en el servidor, de manera que en él se disponen los requerimientos provenientes de los clientes que tienen prioridad, los archivos que son de uso público y los que son de uso restringido, los archivos que son de sólo lectura y los que, por el contrario, pueden ser modificados, etc. En este tipo de redes los roles están bien definidos y no se intercambian: los clientes en ningún momento pueden tener el rol de servidores y viceversa. Esta es la diferencia fundamental con las redes peer-to-peer

19

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

(P2P) que son aquellas en donde no hay un rol fijo ya que el papel de cada uno puede alterarse: cualquiera puede ser cliente o servidor indistintamente. Este modelo de red Cliente/Servidor comenzó a utilizarse en la década de los noventa, y actualmente está siendo muy utilizada en las empresas, especialmente en aquellas que se manejan grandes volúmenes de datos. Uno de los motivos es que de esta manera se puede mantener un control centralizado de la información, aportando con esto mayor seguridad y mayor rendimiento a menores costos.

Figura 1.14 Red en nivel funcional cliente-servidor.

1.9.2 Redes peer-to-peer (P2P) Una red peer-to-peer (P2P) o red de pares, es una red de computadoras en la que todos o algunos aspectos de esta funcionan sin clientes ni servidores fijos, sino una serie de nodos que se comportan como iguales entre si. Es decir, actúan simultáneamente como clientes y servidores respecto a los demás nodos de la red.

1.10 Medios de transmisión. 1.10.1. Concepto El medio de transmisión constituye el soporte físico a través del cual emisor y receptor pueden comunicarse en un sistema de transmisión de datos. Distinguimos dos tipos de medios: guiados y no guiados. En ambos casos la transmisión se realiza por medio de ondas electromagnéticas. Los medios guiados conducen (guían) las ondas a través de un camino físico, ejemplos de estos medios son el cable coaxial, la fibra óptica y el par trenzado. Los medios no guiados proporcionan un soporte para que las ondas se transmitan, pero no las dirigen; como ejemplo de ellos tenemos el aire y el vacío. La naturaleza del medio junto con la de la señal que se transmite a través de él constituye los factores determinantes de las características y la calidad de la transmisión. En el caso de medios guiados es el propio medio el que determina principalmente las limitaciones de la transmisión: velocidad de transmisión de los datos, ancho de banda que puede soportar y espaciado entre repetidores. 20

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

1.10.2. Medios de transmisión guiados. 1.10.2.1 Especificaciones de cables Los cables tienen distintas especificaciones y generan distintas expectativas acerca de su rendimiento. • La velocidad de transmisión de bits por el cable es de suma importancia. El tipo de conducto utilizado afecta la velocidad de la transmisión. • La transmisión digital o de banda base y la transmisión con base analógica o de banda ancha son tipos de transmisiones a través de cable. • La distancia recorrida por la señal a través del cable afecta directamente la atenuación de la señal. La degradación de la señal está directamente relacionada con la distancia que recorre la señal y el tipo de cable que se utiliza.

Figura 1.15 Nomenclatura estándar para cableado.

Algunos ejemplos de las especificaciones de Ethernet que están relacionadas con el tipo de cable son: 10BASE-T se refiere a la velocidad de transmisión a 10 Mbps. El tipo de transmisión es de banda base o digitalmente interpretada. T significa par trenzado. 10BASE5 se refiere a la velocidad de transmisión a 10 Mbps. El tipo de transmisión es de banda base o digitalmente interpretada. El 5 representa la capacidad que tiene el cable para permitir que la señal recorra aproximadamente 500 metros antes de que la atenuación interfiera con la capacidad del receptor de interpretar correctamente la señal recibida. 10BASE5 a menudo se denomina "Thicknet". Thicknet es, en realidad, un tipo de red, mientras que 10BASE5 es el cableado que se utiliza en dicha red. 10BASE2 se refiere a la velocidad de transmisión a 10 Mbps. El tipo de transmisión es de banda base o digitalmente interpretada. El 2, en 10BASE2, se refiere a la longitud

21

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

máxima aproximada del segmento de 200 metros antes que la atenuación perjudique la habilidad del receptor para interpretar propiadamente la señal que se recibe. La longitud máxima del segmeto es en reallidad 185 metros. 10BASE2 a menudo se denomina “Thinnet”. Thinnet es, en realidad, un tipo de red, mientras que 10BASE2 es el cableado que se utiliza en dicha red.

1.10.2.2 Cable coaxial El cable coaxial consiste de un conductor de cobre rodeado de una capa de aislante flexible. El conductor central también puede ser hecho de un cable de aluminio cubierto de estaño que permite que el cable sea fabricado de forma económica. Sobre este material aislante existe una malla de cobre tejida u hoja metálica que actúa como el segundo hilo del circuito y como un blindaje para el conductor interno. Esta segunda capa, o blindaje, también reduce la cantidad de interferencia electromagnética externa. Cubriendo la pantalla está la chaqueta del cable.

Figura 1.16 Estructura física del cable coaxial.

1.10.2.3 Par trenzado. Este consiste en dos alambres de cobre aislados, en general de 1mm de espesor. Los alambres se entrelazan en forma helicoidal, como en una molécula de ADN. La forma trenzada del cable se utiliza para reducir la interferencia eléctrica con respecto a los pares cercanos que se encuentran a su alrededor. Los pares trenzados se pueden utilizar tanto para transmisión analógica como digital, y su ancho de banda depende del calibre del alambre y de la distancia que recorre; en muchos casos pueden obtenerse transmisiones de varios megabits, en distancias de pocos kilómetros. Debido a su adecuado comportamiento y bajo costo, los pares trenzados se utilizan ampliamente y es probable que su presencia permanezca por muchos años. 22

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

1.10.2.4 Cable STP El cable de par trenzado blindado (STP) combina las técnicas de blindaje, cancelación y trenzado de cables. Cada par de hilos está envuelto en un papel metálico. Los dos pares de hilos están envueltos juntos en una trenza o papel metálico. Generalmente es un cable de 150 ohmios. Según se especifica para el uso en instalaciones de redes Token Ring, el STP reduce el ruido eléctrico dentro del cable como, por ejemplo, el acoplamiento de par a par y la diafonía. El STP también reduce el ruido electrónico desde el exterior del cable, como, por ejemplo, la interferencia electromagnética (EMI) y la interferencia de radiofrecuencia (RFI). El cable de par trenzado blindado comparte muchas de las ventajas y desventajas del cable de par trenzado no blindado (UTP). El cable STP brinda mayor protección ante toda clase de interferencias externas, pero es más caro y de instalación más difícil que el UTP.

Figura 1.17 Estructura física del cable par trenzado STP.

1.10.2.5 Cable UTP El cable de par trenzado no blindado (UTP) es un medio de cuatro pares de hilos que se utiliza en diversos tipos de redes. Cada uno de los 8 hilos de cobre individuales del cable UTP está revestido de un material aislante. Además, cada par de hilos está trenzado. Este tipo de cable cuenta sólo con el efecto de cancelación que producen los pares trenzados de hilos para limitar la degradación de la señal que causan la EMI y la RFI. Para reducir aún más la diafonía entre los pares en el cable UTP, la cantidad de trenzados en los pares de hilos varía. Al igual que el cable STP, el cable UTP debe seguir especificaciones precisas con respecto a cuánto trenzado se permite por unidad de longitud del cable.

23

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

Figura 1.18 Estructura física del cable par trenzado UTP.

1.10.2.6 Fibra óptica El espectro electromagnético La luz que se utiliza en las redes de fibra óptica es un tipo de energía electromagnética. Cuando una carga eléctrica se mueve hacia adelante y hacia atrás, o se acelera, se produce un tipo de energía denominada energía electromagnética. Esta energía, en forma de ondas, puede viajar a través del vacío, el aire y algunos materiales como el vidrio. Una propiedad importante de toda onda de energía es la longitud de onda. Cada cable de fibra óptica que se usa en networking está compuesto de dos fibras de vidrio envueltas en revestimientos separados. Una fibra transporta los datos transmitidos desde un dispositivo A a un dispositivo B. La otra transporta los datos desde el dispositivo B hacia el dispositivo A. Las fibras son similares a dos calles de un solo sentido que corren en sentido opuesto. Esto proporciona una comunicación full-duplex. El par trenzado de cobre utiliza un par de hilos para transmitir y un par de hilos para recibir. Los circuitos de fibra óptica usan una hebra de fibra para transmitir y una para recibir.. En general, estos dos cables de fibra se encuentran en un solo revestimiento exterior hasta que llegan al punto en el que se colocan los conectores.

Figura 1.19 Conectores y receptáculos para fibra óptica.

24

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

Además, la transmisión de la luz en la fibra de un cable no genera interferencia que afecte la transmisión en cualquier otra fibra. Esto significa que la fibra no tiene el problema de diafonía que sí tienen los medios de cobre. De hecho, la calidad de los enlaces de fibra óptica es tan buena que los estándares recientes para Gigabit y 10 Gigabit Ethernet establecen distancias de transmisión que superan de lejos el tradicional alcance de 2 kilómetros de la Ethernet original. La transmisión por fibra óptica permite que se utilice el protocolo de Ethernet en las Redes de Área Metropolitana (MANs) y en las Redes de Área Amplia (WAN). Aunque la fibra es el mejor de todos los medios de transmisión a la hora de transportar grandes cantidades de datos a grandes distancias, la fibra también presenta dificultades. Cuando la luz viaja a través de la fibra, se pierde parte de la energía de la luz. Cuanto mayor es la distancia a la que se envía una señal a través de una fibra, más fuerza pierde la señal. Esta atenuación de la señal se debe a diversos factores implícitos en la naturaleza de la fibra en sí. El factor más importante es la dispersión. La dispersión de la luz dentro de una fibra es producida por defectos microscópicos en la uniformidad (distorsiones) de la fibra que reflejan y dispersan parte de la energía de la luz.

1.10.3 Medios de transmisión no guiados. Se utilizan como medios no guiados, principalmente el aire. Se radia energía electromagnética por medio de una antena y luego se recibe esta energía con otra antena. Hay dos configuraciones para la emisión y recepción de esta energía: direccional y omnidireccional. En la direccional, toda la energía se concentra en un haz que es emitido en una cierta dirección, por lo que tanto el emisor como el receptor deben estar alineados. En el método omnidireccional, la energía es dispersada en múltiples direcciones, por lo que varias antenas pueden captarla. Cuanto mayor es la frecuencia de la señal a transmitir, más factible es la transmisión unidireccional. Por tanto, para enlaces punto a punto se suelen utilizar microondas (altas frecuencias). Para enlaces con varios receptores posibles se utilizan las ondas de radio (bajas frecuencias). Los infrarrojos se utilizan para transmisiones a muy corta distancia (en una misma habitación).

1.10.3.1. Microondas terrestres Suelen utilizarse antenas parabólicas. Para conexionas a larga distancia, se utilizan conexiones intermedias punto a punto entre antenas parabólicas. Se suelen utilizar en sustitución del cable coaxial o las fibras ópticas ya que se necesitan menos repetidores y amplificadores, aunque se necesitan antenas alineadas. Se usan para transmisión de televisión y voz. La principal causa de pérdidas es la atenuación debido a que las pérdidas aumentan con el cuadrado de la distancia (con cable coaxial y par trenzado son logarítmicas). La atenuación aumenta con las lluvias.

25

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

Las interferencias es otro inconveniente de las microondas ya que al proliferar estos sistemas, pude haber más solapamientos de señales.

Figura 1.20 Esquema de una red por microondas.

1.10.3.2. Microondas por satélite El satélite recibe las señales y las amplifica o retransmite en la dirección adecuada. Para mantener la alineación del satélite con los receptores y emisores de la tierra, el satélite debe ser geoestacionario. Se suele utilizar este sistema para: Difusión de televisión, transmisión telefónica a larga distancia, redes privadas. El rango de frecuencias para la recepción del satélite debe ser diferente del rango al que este emite, para que no haya interferencias entre las señales que ascienden y las que descienden. Debido a que la señal tarda un pequeño intervalo de tiempo desde que sale del emisor en la Tierra hasta que es devuelta al receptor o receptores, ha de tenerse cuidado con el control de errores y de flujo de la señal. Las diferencias entre las ondas de radio y las microondas son: Las microondas son unidireccionales y las ondas de radio omnidireccionales, las microondas son más sensibles a la atenuación producida por la lluvia, que las ondas de radio , al poder reflejarse estas ondas en el mar u otros objetos , pueden aparecer múltiples señales "hermanas" .

Figura 1.21 Esquema de una red por microondas via satélite.

26

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

1.10.3.3. Infrarrojos Los emisores y receptores de infrarrojos deben estar alineados o bien estar en línea tras la posible reflexión de rayo en superficies como las paredes. En infrarrojos no existen problemas de seguridad ni de interferencias ya que estos rayos no pueden atravesar los objetos (paredes por ejemplo). Tampoco es necesario permiso para su utilización (en microondas y ondas de radio si es necesario un permiso para asignar una frecuencia de uso).

Figura 1.22 Dispositivos infrarrojos.

1.11 Modos de transmisión de datos. La comunicación en los medios informáticos se realiza de dos maneras

1.11.1 Paralelo Todos los bits se transmiten simultáneamente, existiendo luego un tiempo antes de la transmisión del siguiente bloque. Este tipo de transmisión tiene lugar en el interior de una maquina o entre maquinas cuando la distancia es muy corta. La principal ventaja de esto modo de transmitir datos es la velocidad de transmisión y la mayor desventaja es el costo. También puede llegar a considerarse una transmisión en paralelo, aunque se realice sobre una sola línea, al caso de multiplexación de datos, donde los diferentes datos se encuentran intercalados durante la transmisión.

Transmisión en paralelo Figura 1.23

27

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

1.11.2. Serie En este caso los n bits que componen un mensaje se transmiten uno detrás de otro por la misma línea.

Transmisión en serie Figura 1.24

A la salida de una maquina los datos en paralelo se convierten los datos en serie, los mismos se transmiten y luego en el receptor tiene lugar el proceso inverso, volviéndose a obtener los datos en paralelo. La secuencia de bits transmitidos es por orden de peso creciente y generalmente el último bit es de paridad. EI aspecto fundamental de la transmisión serie es el sincronismo, entendiéndose como tal al procedimiento mediante el cual transmisor y receptor reconocen los ceros y unos de los bits de igual forma. El sincronismo puede tenerse a nivel de bit, de byte o de bloque, donde en cada caso se identifica el inicio y finalización de los mismos. Dentro de la transmisión serie existen dos formas:

1.11.3. Transmisión asincrónica Es también conocida como Stara/stop. Requiere de una señal que identifique el inicio del carácter y a la misma se la denomina bit de arranque. También se requiere de otra señal denominada señal de parada que indica la finalización del carácter o bloque.

Formato de un carácter Figura 1.25 Estructura de datos de una transmision asíncrona.

Generalmente cuando no hay transmisión, una línea se encuentra en un nivel alto. Tanto el transmisor como el receptor, saben cuál es la cantidad de bits que componen el carácter (en el ejemplo son 7). 28

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

Los bits de parada son una manera de fijar qué delimita la cantidad de bits del carácter y cuando se transmite un conjunto de caracteres, luego de los bits de parada existe un bit de arranque entre los distintos caracteres. A pesar de ser una forma comúnmente utilizada, la desventaja de la transmisión asincrónica es su bajo rendimiento, puesto que como en el caso del ejemplo, el carácter tiene 7 bits pero para efectuar la transmisión se requieren 10. O sea que del total de bits transmitidos solo el 70% pertenecen a datos.

1.11.4. Transmisión sincrónica En este tipo de transmisión es necesario que el transmisor y el receptor utilicen la misma frecuencia de clock en ese caso la transmisión se efectúa en bloques, debiéndose definir dos grupos de bits denominados delimitadores, mediante los cuales se indica el inicio y el fin de cada bloque. Este método es más efectivo por que el flujo de información ocurre en forma uniforme, con lo cual es posible lograr velocidades de transmisión más altas. Para lograr el sincronismo, el transmisor envía una señal de inicio de transmisión mediante la cual se activa el clock del receptor. A partir de dicho instante transmisor y receptor se encuentran sincronizados. Otra forma de lograr el sincronismo es mediante la utilización de códigos auto sincronizantes los cuales permiten identificar el inicio y el fin de cada bit.

1.11.5 Canal de Comunicación Se denomina así al recurso físico que hay que establecer entre varios medios de transmisión para establecer la comunicación. Al canal de comunicación también se lo denomina vínculo o enlace.

1.11.6. Tipos de comunicación 1.11.6.1 Simplex En este caso el transmisor y el receptor están perfectamente definidos y la comunicación es unidireccional. Este tipo de comunicaciones se emplean usualmente en redes de radiodifusión, donde los receptores no necesitan enviar ningún tipo de dato al transmisor.

Figura 1.26 Comunicación unidireccional.

29

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

1.11.6.2 Half Duplex En este caso ambos extremos del sistema de comunicación cumplen funciones de transmisor y receptor y los datos se desplazan en ambos sentidos pero no simultáneamente. Este tipo de comunicación se utiliza habitualmente en la interacción entre terminales y un computador central.

Figura 1.27 Comunicación bidireccional no simultánea.

1.11.6.3. Full Duplex El sistema es similar al dúplex, pero los datos se desplazan en ambos sentidos simultáneamente. Para ello ambos transmisores poseen diferentes frecuencias de transmisión o dos caminos de comunicación separados, mientras que la comunicación semi-duplex necesita normalmente uno solo. Para el intercambio de datos entre computadores este tipo de comunicaciones son más eficientes que las transmisiones semi-duplex.

Figura 1.28 Comunicación bidireccional simultánea.

30

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

CAPITULO II TCP/IP 2.1 ¿Qué es TCP/IP? TCP/IP es el protocolo común utilizado por todos los ordenadores conectados a Internet, de manera que éstos puedan comunicarse entre sí. Hay que tener en cuenta que en Internet se encuentran conectados ordenadores de clases muy diferentes y con hardware y software incompatibles en muchos casos, además de todos los medios y formas posibles de conexión. Aquí se encuentra una de las grandes ventajas del TCP/IP, pues este protocolo se encargará de que la comunicación entre todos sea posible. TCP/IP es compatible con cualquier sistema operativo y con cualquier tipo de hardware. TCP/IP no es un único protocolo, sino que es en realidad lo que se conoce con este nombre es un conjunto de protocolos que cubren los distintos niveles del modelo OSI. Los dos protocolos más importantes son el TCP (Transmission Control Protocol) y el IP (Internet Protocol), que son los que dan nombre al conjunto. En Internet se diferencian cuatro niveles o capas en las que se agrupan los protocolos, y que se relacionan con los niveles OSI de la siguiente manera: Aplicación: Se corresponde con los niveles OSI de aplicación, presentación y sesión. Aquí se incluyen protocolos destinados a proporcionar servicios, tales como correo electrónico (SMTP), transferencia de ficheros (FTP), conexión remota (TELNET) y otros más recientes como el protocolo HTTP (Hypertext Transfer Protocol). Transporte: Coincide con el nivel de transporte del modelo OSI. Los protocolos de este nivel, tales como TCP y UDP, se encargan de manejar los datos y proporcionar la fiabilidad necesaria en el transporte de los mismos. Internet: Es el nivel de red del modelo OSI. Incluye al protocolo IP, que se encarga de enviar los paquetes de información a sus destinos correspondientes. Es utilizado con esta finalidad por los protocolos del nivel de transporte. Enlace: Los niveles OSI correspondientes son el de enlace y el nivel físico. Los protocolos que pertenecen a este nivel son los encargados de la transmisión a través del medio físico al que se encuentra conectado cada host, como puede ser una línea punto a punto o una red Ethernet.

31

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

El TCP/IP necesita funcionar sobre algún tipo de red o de medio físico que proporcione sus propios protocolos para el nivel de enlace de Internet. Por este motivo hay que tener en cuenta que los protocolos utilizados en este nivel pueden ser muy diversos y no forman parte del conjunto TCP/IP, sin embargo, esto no debe ser problemático puesto que una de las funciones y ventajas principales del TCP/IP es proporcionar una abstracción del medio de forma que sea posible el intercambio de información entre medios diferentes y tecnologías que inicialmente son incompatibles. Para transmitir información a través de TCP/IP, ésta debe ser dividida en unidades de menor tamaño. Esto proporciona grandes ventajas en el manejo de los datos que se transfieren y, por otro lado, esto es algo común en cualquier protocolo de comunicaciones. En TCP/IP cada una de estas unidades de información recibe el nombre de "datagrama" (datagram), y son conjuntos de datos que se envían como mensajes independientes. TCP (Transmission Control Protocol). El protocolo de control de transmisión (TCP) pertenece al nivel de transporte, siendo el encargado de dividir el mensaje original en datagramas de menor tamaño, y por lo tanto, mucho más manejables. Los datagramas serán dirigidos a través del protocolo IP de forma individual. El protocolo TCP se encarga además de añadir cierta información necesaria a cada uno de los datagramas. Esta información se añade al inicio de los datos que componen el datagrama en forma de cabecera. La cabecera de un datagrama contiene al menos 160 bit que se encuentran repartidos en varios campos con diferente significado. Cuando la información se divide en datagramas para ser enviados, el orden en que éstos lleguen a su destino no tiene que ser el correcto. Cada uno de ellos puede llegar en cualquier momento y con cualquier orden, e incluso puede que algunos no lleguen a su destino o lleguen con información errónea. Para evitar todos estos problemas el TCP numera los datagramas antes de ser enviados, de manera que sea posible volver a unirlos en el orden adecuado. Esto permite también solicitar de nuevo el envío de los datagramas individuales que no hayan llegado o que contengan errores, sin que sea necesario volver a enviar el mensaje completo. · · · · · ·

Formato de la cabecera TCP. Puerto origen Puerto destino Número de secuencia Señales de confirmación Tamaño Reservado Bits de control Window Checksum Puntero a datos urgentes

32

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

A continuación de la cabecera puede existir información opcional. En cualquier caso el tamaño de la cabecera debe ser múltiplo de 32 bits, por lo que puede ser necesario añadir un campo de tamaño variable y que contenga ceros al final para conseguir este objetivo cuando se incluyen algunas opciones. El campo de tamaño contiene la longitud total de la cabecera TCP expresada en el número de palabras de 32 bits que ocupa. Esto permite determinar el lugar donde comienzan los datos. Dos campos incluidos en la cabecera y que son de especial importancia son los números de puerto de origen y puerto de destino. Los puertos proporcionan una manera de distinguir entre las distintas transferencias, ya que un mismo ordenador puede estar utilizando varios servicios o transferencias simultáneamente, e incluso puede que por medio de usuarios distintos. El puerto de origen contendrá un número cualquiera que sirva para realizar esta distinción. Además, el programa cliente que realiza la petición también se debe conocer el número de puerto en el que se encuentra el servidor adecuado. Mientras que el programa del usuario utiliza números prácticamente aleatorios, el servidor deber tener asignado un número estándar para que pueda ser utilizado por el cliente. (Por ejemplo, en el caso de la transferencia de ficheros FTP el número oficial es el 21). Cuando es el servidor el que envía los datos, los números de puertos de origen y destino se intercambian. En la transmisión de datos a través del protocolo TCP la fiabilidad es un factor muy importante. Para poder detectar los errores y pérdida de información en los datagramas, es necesario que el cliente envíe de nuevo al servidor unas señales de confirmación una vez que se ha recibido y comprobado la información satisfactoriamente. Estas señales se incluyen en el campo apropiado de la cabecera del datagrama (Acknowledgment Number), que tiene un tamaño de 32 bit. Si el servidor no obtiene la señal de confirmación adecuada transcurrido un período de tiempo razonable, el datagrama completo se volverá a enviar. Por razones de eficiencia los datagramas se envían continuamente sin esperar la confirmación, haciéndose necesaria la numeración de los mismos para que puedan ser ensamblados en el orden correcto. También puede ocurrir que la información del datagrama llegue con errores a su destino. Para poder detectar cuando sucede esto se incluye en la cabecera un campo de 16 bit, el cual contiene un valor calculado a partir de la información del datagrama completo (checksum). En el otro extremo el receptor vuelve a calcular este valor, comprobando que es el mismo que el suministrado en la cabecera.

33

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

Si el valor es distinto significaría que el datagrama es incorrecto, ya que en la cabecera o en la parte de datos del mismo hay algún error. La forma en que TCP numera los datagramas es contando los bytes de datos que contiene cada uno de ellos y añadiendo esta información al campo correspondiente de la cabecera del datagrama siguiente. De esta manera el primero empezará por cero, el segundo contendrá un número que será igual al tamaño en bytes de la parte de datos del datagrama anterior, el tercero con la suma de los dos anteriores, y así sucesivamente. Por ejemplo, para un tamaño fijo de 500 bytes de datos en cada datagrama, la numeración sería la siguiente: 0 para el primero, 500 para el segundo, 1000 para el tercero, etc. Existe otro factor más a tener en cuenta durante la transmisión de información, y es la potencia y velocidad con que cada uno de los ordenadores puede procesar los datos que le son enviados. Si esto no se tuviera en cuenta, el ordenador de más potencia podría enviar la información demasiado rápido al receptor, de manera que éste no pueda procesarla. Este inconveniente se soluciona mediante un campo de 16 bit (Window) en la cabecera TCP, en el cual se introduce un valor indicando la cantidad de información que el receptor está preparado para procesar. Si el valor llega a cero será necesario que el emisor se detenga. A medida que la información es procesada este valor aumenta indicando disponibilidad para continuar la recepción de datos.

2.1.1 Arquitectura de TCP/IP TCP se diseñó para un entorno que resultaba poco usual para los años 70 pero que ahora es habitual. El protocolo TCP/IP debía conectar equipos de distintos fabricantes. Debía ser capaz de ejecutarse en diferentes tipos de medio y enlace de datos. Debía unir conjuntos de redes en una sola Internet de forma que todos sus usuarios pudiesen acceder a un conjunto de servicios genéricos. Más aún, los desarrolladores, académicos, militares y gubernamentales de TCP/IP querían poder conectar nuevas redes sin necesidad de detener el servicio. Estos requisitos perfilaron la arquitectura del protocolo, la necesidad de independencia de tecnología del medio y una conexión automática a una red en crecimiento, condujo a la idea de transmitir datos por la red troceándolos en pequeños paquetes y encaminándolos cada uno como una unidad independiente. Las funciones que garantizan el envío y entrega fiable de datos se situaron en los host origen y destino, por ello, los fabricantes los fabricantes debían mejorar sus esfuerzos para diseñar equipos de alta calidad. 34

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

Al hacerlo así, los protocolos de TCP/IP consiguieron escalarse muy bien ejecutándose en sistemas de cualquier calibre. Para conseguir un intercambio fiable de datos entre dos computadoras, se deben llevar a cabo muchos procedimientos separados.

La tarea de TCP/IP esencialmente es: o

Empaquetar datos.

o

Determinar el camino que deben seguir.

o

Transmitirlos por el medio físico.

o

Regular su tasa de transferencia según el ancho de banda del medio disponible y la capacidad del receptor para absorber los datos.

o

Ensamblar los datos entrantes para que mantengan la secuencia correcta y no haya pérdida de trozos.

o

Comprobar los datos entrantes para ver si hay trozos perdidos.

o

Notificar al transmisor que los datos se han recibido correctamente u erróneo.

o

Entregar los datos a la aplicación correcta.

o

Manejar eventos de errores y problemas.

El resultado es que el software de comunicaciones es complejo. Con un modelo de capas resulta más sencillo relacionar las funciones de cada protocolo con un nivel específico e implementar el software de comunicaciones de forma modular. El modelo de comunicación de datos OSI se vió fuertemente influido por el diseño de TCP/IP. Las capas o niveles de OSI y la terminología de OSI se ha convertido en un estándar de la cultura de las comunicaciones de datos. Los fabricantes de hardware y software deben desarrollar el diseño de sus sistemas en base al modelo OSI el cual es un estándar de la industria. A continuación se muestran las capas de TCP/IP y de OSI:

Capa Física. La capa física trata con el medio físico, los conectores, el control de señales eléctricas representadas en unos (1) y ceros (0) binarios. Por ejemplo, las tarjetas de Red y los Cables son componentes del medio físico.

35

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

Capa de Enlace de Datos. Se lleva a cabo la organización de unidades de datos llamadas tramas, el filtrado de errores la comprobación de direcciones de hardware (MAC) y operaciones de control de errores.

Capa de Red: IP. IP realiza funciones en la capa de Red, IP encamina datos entre sistemas. Los datos pueden atravesar un enlace único o enviarse por múltiples enlaces a través de Rotures, los datos se transportan en unidades de bits llamados datagramas. Un datagrama contiene una cabecera de IP que contiene información de direcciones de la capa 3 (Transporte), los encaminadores examinan la dirección de destino de la cabecera IP, para dirigir los datagramas al destino. La capa de IP se denomina no orientada a conexión ya que cada datagrama se encamina de manera independiente e IP no garantiza la entrega fiable, ni secuencia de los mismos. IP sólo encamina su tráfico sin tener en cuenta la relación entre las aplicaciones a las que pertenece un determinado datagrama.

Capa de Transporte: TCP. El Protocolo de Control de Transmisión realiza labores en la capa de transporte, debido a que proporciona a las aplicaciones servicios de conexión fiable de datos, por lo tanto, es un protocolo orientado a conexión. TCP dispone de los mecanismos que garantizan que los datos se entregan sin errores, sin omisiones y en secuencia. Una aplicación, como la de transferencia de archivos, transmite datos a TCP. TCP le añade una cabecera creando una unidad denominada segmento. TCP envía los segmentos pasándoselos a su nivel inferior Capa 3 (IP) quien los encamina a su destino. Del otro lado TCP acepta los segmentos entrantes de IP, determina la aplicación de destino y traslada los datos a la aplicación en el orden en que fueron enviados.

Capa de Transporte: UDP. Una aplicación envía un mensaje independiente a otra aplicación mediante el Protocolo de Datagramas de Usuario (UDP). UDP añade una cabecera creando una unidad denominada datagrama de UDP o mensaje de UDP. UDP traslada los mensajes de UDP salientes a IP. UDP acepta mensajes de UDP entrantes de IP y determina la aplicación de destino. UDP es un servicio de comunicaciones no orientado a conexión que suele usarse en aplicaciones de búsquedas simples en bases de datos.

36

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

Capa de Aplicación. El Protocolo de Control de Transmisión incluye una variedad de servicios como; Telnet, FTP, WEB, Correo, IRC, Vídeo Conferencia entre otros.

2.1.2 Capa de acceso a red Es la capa inferior de la jerarquía de protocolos de TCP/IP. Es equivalente a la capa 1 y 2 del modelo OSI (con algunas funciones de la capa 3).Hay muchos protocolos de acceso a la red (uno por cada estándar físico de red). Encapsula Datagramas en Frames y mapea direcciones IP a direcciones físicas. Ejemplos de RFC’s que definen protocolos de la capa de acceso a red son: RFC826 y RFC894. Esta capa se construye con la tarjeta de red, los drivers y los programas asociados. Un ejemplo: el Sistema Ethernet Ethernet es una tecnología de redes de área local (LAN) que transmite información entre computadores a una velocidad de 10 Mbps (Ethernet), 100 Mbps (Fast Ethernet) ó 1000 Mbps (Gigabit Ethernet). · · ·

Los medios que soporta 10 Mbps son coaxial grueso, coaxial delgado, par trenzado y fibra óptica. Los medios que soportan 100 Mbps son par trenzado y fibra óptica Los medios que soporta 1000 Mbps son par trenzado y fibra óptica

El frame Ethernet · · ·

·

El corazón del sistema Ethernet es el frame Ethernet utilizado para llevar datos entre computadores. El "frame" consta de varios bits organizados en varios campos. Estos campos incluyen la dirección física de las interfaces Ethernet, un campo variable de datos (entre 46 y 1500 bytes) y un campo de chequeo de error. El frame Ethernet Versión 2

Figura 2.1 Trama Ethernet

37

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

o o o o o

Destino: 6 bytes, dirección física del nodo destino (MAC address) Origen: 6 bytes, dirección del nodo origen Tipo: 2 bytes, especifica el protocolo de la capa superior Datos: entre 46 y 1500 bits, información de las capas superiores Chequeo: Secuencia de chequeo del frame.

Cuando un frame Ethernet es enviado al canal todas las interfaces revisan los primeros 6 bytes (48 bits). Si es su dirección MAC (o broadcast) reciben el paquete y lo entregarán al software de red instalado en el computador. o o o o

Las interfaces con diferentes direcciones no continuarán leyendo el frame. Protocolos de alto nivel y las direcciones Ethernet Los paquetes de los protocolos de alto nivel (como TCP/IP) se mueven entre computadores dentro del campo de datos del frame Ethernet Los protocolos de alto nivel tienen su propio esquema de direcciones (por ejemplo, direcciones IP)

El software de red instalado en un equipo conoce su dirección IP (32 bits) y su dirección MAC (48 bits), PERO NO CONOCE LAS DIRECCIONES MAC DE LAS OTRAS ESTACIONES. El mecanismo que permite descubrir las otras direcciones MAC se llama ARP (Address Resolution Protocol)

2.1.3 Como funciona ARP. El protocolo ARP es un protocolo estándar específico de las redes. Su status es electivo. El protocolo de resolución de direcciones es responsable de convertir las direcciones de protocolo de alto nivel (direcciones IP) a direcciones de red físicas. Primero, consideremos algunas cuestiones generales acerca de Ethernet. ARP se emplea en redes IEEE 802 además de en las viejas redes DIX Ethernet para mapear direcciones IP a dirección hardware. Para hacer esto, ha de estar estrechamente relacionado con el manejador de dispositivo de red. De hecho, las especificaciones de ARP en RFC 826 sólo describen su funcionalidad, no su implementación, que depende en gran medida del manejador de dispositivo para el tipo de red correspondiente, que suele estar codificado en el microcódigo del adaptador.

38

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

Si una aplicación desea enviar datos a una determinado dirección IP de destino, el mecanismo de encaminamiento IP determina primero la dirección IP del siguiente salto del paquete (que puede ser el propio host de destino o un "router") y el dispositivo hardware al que se debería enviar. Si se trata de una red 802.3/4/5, deberá consultarse el módulo ARP para mapear el par a una dirección física. El módulo ARP intenta hallar la dirección en su caché. Si encuentra el par buscado, devuelve la correspondiente dirección física de 48 bits al llamador(el manejador de dispositivo). Si no lo encuentra, descarta el paquete (se asume que al ser un protocolo de alto nivel volverá a transmitirlo) y genera un broadcast de red para una solicitud ARP. El protocolo ARP es el mismo aunque haya subredes. Recordar que cada datagrama IP pasa primero por el algoritmo de encaminamiento IP. Este algoritmo selecciona el manejador de dispositivo que debería enviar el paquete. Sólo entonces se consulta al módulo ARP asociado con ese manejador.

2.1.4 Red de conmutación de paquetes. El mundo de las comunicaciones se da diferentes topologías o diseños de las redes. Dos de las más conocidas son la configuración de conmutación con circuitos dedicados y la configuración de conmutación por paquetes con medios con acceso compartido. La conmutación de paquetes se emplea, por ejemplo, en la telefonía de voz, módems de transferencia de datos por teléfono (2.4 – 28.8 Kbps), ISDN y las telecomunicaciones de datos transferidos vía satélite de la actualidad. En todos estos ámbitos los usuarios establecen una conexión dedicada (es decir, exclusiva) con una computadora anfitriona en el otro extremo. Esta conexión se mantiene o reserva hasta que el usuario decide finalizar (por ejemplo, el usuario se desconecta). Estas conexiones se caracterizan por una capacidad relativamente restringida de ancho de banda y ofrecen un caudal de procesamiento máximo (de entrada y salida) de alrededor de 64 a 128 Kbps usando ISDN, o 28.8 Kbps o menos con un módem estándar que usa el teléfono. La otra configuración, la conmutación por paquetes, semejante a la que se emplea en muchas redes de área local ("LANs"), xDSL, y entorno de transferencia de datos a través de cable, es muy diferente. En el universo de la conmutación por paquetes, hay un sólo "conducto" con ancho de banda amplio, compartido por muchos usuarios.

39

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

Este canal proporciona capacidad de caudal de procesamiento de entrada y salida desde varias decenas de Megabits por segundo hasta varios cientos de Megabits por segundo, dependiendo de la red. Puesto que varios usuarios comparten un conducto o canal común, existe la necesidad de contar con un conjunto de reglas que todos los usuarios deben observar para compartir ese recurso de manera justa y eficiente (en estos sistemas, el nivel de enlace de datos está dividido en la capa MAC y en la LLC generalmente). Con un conjunto de reglas o "protocolo" bien diseñado, la red de acceso compartido es capaz de proporcionar un servicio eficiente y eficaz al usuario. Uso de circuitos

Figura 2.2 Conexión de conmutación por circuitos (arriba) frente a de conmutación por paquetes (abajo).

40

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

En primer lugar una red de conmutación por paquetes con acceso compartido proporciona una capacidad superior de transmisión de datos a alta velocidad. Cuando un usuario hace clic en un hipervínculo, quiere que la página se descargue de inmediato. La capacidad para transmitir esa página de manera oportuna se conoce como la capacidad de "estallido" de la red. Con una red de conmutación por paquetes con acceso compartido, el usuario tiene la capacidad de tomar un fragmento grande (por ejemplo, varios Mbps) del conducto compartido para descargar la página Web solicitada y luego liberar dicho recurso para que sea asignado a los demás usuarios. Esta capacidad de usar los recursos sólo cuando es necesario proporciona un gran beneficio de desempeño (conocido como transmisión múltiplex estadística), así como una ventaja económica inherente tanto para el proveedor del servicio como para el cliente. De este modo, una arquitectura de conmutación por paquetes proporciona no sólo una velocidad promedio mayor y una velocidad máxima más grande, sino también permite al proveedor del servicio proporcionarlo a un costo mucho más bajo. En segundo lugar, una red de conmutación por paquetes con acceso compartido otorga al abonado la capacidad de contar con una conexión activa todo el tiempo, sin la molestia de establecer una conexión por la red cada vez que necesite enviar un mensaje de correo electrónico o buscar información. Tercero, todos los usuarios de una red con acceso compartido se conectan al mismo conducto de información. Esto da al proveedor de contenidos la capacidad única de transmitir corrientes de datos (por ejemplo, enviar una corriente de datos por el conducto y hacer que cientos de usuarios la vean simultáneamente; esto se conoce como multivaciado). Ésta puede ser una manera sumamente eficiente y eficaz de proveer servicios como las cotizaciones bursátiles para las teleimpresoras, difusión de noticias, juegos para participantes múltiples y descarga de software.

41

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

CAPITULO III SEGURIDAD DE REDES. 3.1 Tipo de amenazas a la integración de las redes. Las amenazas a la seguridad en las redes se pueden clasificar en cuatro categorías: o

o

o

o

o

Amenazas no estructuradas: Suelen ser originadas por personas inexpertas que utilizan herramientas denominadas “hack-tools” obtenidas de Internet. Algunas de estas personas suelen obrar de mala fe, pero la mayoría se ve arrastrada por los retos intelectuales, y suelen conocerse como script kiddies. No son programadores ni usuarios expertos, pero están muy motivados. Suponen una amenaza muy seria a la seguridad de las redes. A veces, pueden introducir un virus o un caballo de Troya en la red, sin ser conscientes de las consecuencias, que pueden ser a nivel mundial y causar pérdidas de millones de dólares. En algunos casos, los virus pueden contener información que revele la identidad de su autor, lo que denominamos “firmas” Amenazas estructuradas: Son causadas por personas mucho más motivadas y competentes a nivel técnico que los script kiddies. Estas personas suelen conocer los diseños de los sistemas de redes y sus puntos débiles. Pueden entender y crear scripts piratas que penetren en los sistemas. Una persona que plantee una amenaza estructurada suele dirigirse a un destino o grupo específico. Amenazas externas: Suelen ser causadas por personas o empresas ajenas a la propia empresa, que no tienen acceso autorizado a los sistemas o a la red de la misma. Suelen entrar en una red desde Internet o desde servidores de acceso telefónico. Amenazas internas: Normalmente, estas amenazas son causadas por personas que tienen un acceso autorizado a la red. Estos usuarios o bien tienen una cuenta en un servidor o acceso físico a la red. Una amenaza interna puede proceder de un empleado despedido o un colaborador insatisfecho. Algunos estudios reflejan que la gran mayoría de incidentes de seguridad procede de amenazas internas.

42

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

3.1.1 Tipos de ataques. Existen tres tipos de ataques a una red: o

o

o

Ataques de reconocimiento: Un intruso trata de descubrir sistemas, servicios y puntos débiles: por ejemplo uso del nmap. Ataques de acceso: Un intruso ataca las redes o sistemas para recuperar datos, obtener acceso, o incrementar sus privilegios de acceso personales. Ataques de denegación de servicio: Un intruso ataca la red de tal forma que daña o interfiere en los servicios del sistema, e impide que otros usuarios autorizados puedan acceder a sus redes, sistemas o servicios.

3.1.2 Ataques de reconocimiento. El reconocimiento tiene lugar cuando un usuario no autorizado trata de descubrir dispositivos, servicios disponibles y puntos débiles del sistema de red. También se conoce como recopilación de información y, en la mayoría de los casos, precede a un acceso real o a un ataque de denegación de servicio (DoS). El intruso primero suele barrer la red con pings para determinar qué direcciones IP están activas y responden. Esto puede llevar al intruso a localizar información acerca de los servicios o puertos activos en las direcciones IP. A partir de la información de la dirección IP activa, el intruso consulta los puertos de la aplicación con el fin de determinar el tipo y versión de la misma, así como el tipo y versión del sistema operativo que se está ejecutando en el host de destino. A veces con una simple consulta al DNS se puede obtener toda la información de la estructura de red de una empresa.

3.1.3 Ataques de negación. Los ataques DoS (denegación de servicio) tiene lugar cuando un atacante desactiva o interfiere en el normal funcionamiento de las redes, los sistemas o los servicios para denegar el servicio a los usuarios. Suele implicar que el sistema se colapse o que se ralentice hasta un punto en que sea inutilizable. Los ataques de DoS también pueden ser tan sencillos como borrar o corromper información necesaria. En la mayoría de los casos, el ataque suele consistir en la ejecución de un script o una herramienta.

43

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

El atacante no necesita tener acceso previo al destino, sino sólo una ruta a éste. Cuando la ruta se concreta, se puede hacer mucho daño. Dado que la mayoría de los ataques de DoS son muy fáciles de iniciar y pueden ser realizados de forma anónima, es el ataque más temido en Internet. Un ataque de denegación de servicio distribuida (DDoS) es aquel en el que el origen del ataque proviene de muchos ordenadores, haciendo que sea muy complicado localizar y detener el origen o los orígenes.

3.1.4 Hackers Hacker (del inglés hack, recortar) es el neologismo utilizado para referirse a un experto (véase Gurú) en varias o alguna rama técnica relacionada con las Tecnologías de la Información y las Telecomunicaciones: programación, redes de comunicaciones, sistemas operativos, hardware de red/voz, etc. Su entendimiento es más sofisticado y profundo respecto a los sistemas informáticos, ya sea de tipo hardware o software. Se suele llamar hackeo y hackear a las obras propias de un hacker. El término "Hacker" trasciende a los expertos relacionados con la informática, para también referirse a cualquier profesional que está en la cúspide de la excelencia en su profesión, ya que en la descripción más pura, un hacker es aquella persona que le apasiona el conocimiento, descubrir o aprender nuevas cosas y entender el funcionamiento de éstas. En palabras de Richard Stallman, "Hacker, usando la palabra inglesa, quiere decir divertirse con el ingenio [cleverness], usar la inteligencia para hacer algo difícil. No implica trabajar sólo ni con otros necesariamente. Es posible en cualquier proyecto. No implica tampoco hacerlo con computadoras. Es posible ser un hacker de las bicicletas. Por ejemplo, una fiesta sorpresa tiene el espíritu del hack, usa el ingenio para sorprender al homenajeado, no para molestarle"

3.2 Soluciones 3.2.1 Filtro de paquetes. Un firewall provisto de un filtro de paquetes TCP/IP generalmente analiza el tráfico de red en la capa de transporte o en la capa Internet (de red) de la pila de protocolos TCP/IP. Siempre y cuando los datos que fluyan por una determinada red estén basados en la pila de protocolos TCP/IP estándar (o en cualquier otra pila de protocolos estándar), podrán ser filtrados. 44

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

Los campos de cada paquete de datos que fluye por la red son conocidos (como, por ejemplo, la dirección IP de origen, la dirección IP de destino, el puerto de origen y el puerto de destino). La información analizada por un filtro de paquetes es la información estática de la cabecera del paquete. Cuando se configura un filtro de paquetes, se crean reglas que utilizan criterios de origen y/o destino específicos. Como vemos en esta representación

Figura 3.1 Filtro de paquetes

Siguientes criterios: o o o o o

Dirección IP de origen Dirección IP de destino Protocolo Puerto de origen Puerto de destino

Un router configurado con una lista de control de acceso (ACL) para filtrar el tráfico que pasa por él, constituye un ejemplo de filtro de paquetes. Un aspecto importante de un filtro de paquetes es que no guarda información con estado. Cuando el filtro de paquetes recibe un paquete, toma la decisión de autorizar o denegar el paquete en base a la lista de filtros de paquetes. Cuando el filtro de paquetes ha procesado el paquete, no guarda información acerca de ese paquete concreto. Se recibe el paquete siguiente y se repite el proceso de decisión.

45

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

Algunos inconvenientes de un filtro de paquetes son: o o o o

Es posible enviar paquetes arbitrarios que encajen con los criterios ACL y que, en consecuencia, pasen por el filtro. Los paquetes pueden pasar por el filtro si son fragmentados. Las ACL complejas resultan difíciles de crear, implementar y mantener correctamente. Algunos servicios no pueden ser filtrados (es posible especificar números de puerto, pero con algunas aplicaciones, especialmente las aplicaciones multimedia más recientes, los números de puerto no se conocen hasta que se inicia la sesión).

3.2.2 Filtro de Proxy Un filtro de proxy es un dispositivo firewall que examina los paquetes en las capas superiores del modelo OSI, que suelen ser las capas de la 4 a la 7. Este dispositivo oculta datos valiosos exigiendo que los usuarios se comuniquen con un sistema seguro a través de un proxy. Los usuarios obtienen acceso a la red pasando por un proceso que establece el estado de la sesión, la autenticación del usuario y la política autorizada. Esto implica que los usuarios se conectan con servicios externos a través de programas de aplicación (proxies) que se ejecutan en el gateway conectado con la zona externa desprotegida. Una forma de que funcione un firewall de filtro de proxy consiste en exigir que el usuario del interior (el área de confianza) del firewall construya primero una sesión en el propio firewall (el proxy es el destino de la sesión). El usuario deberá autenticarse en ese momento. En base al tipo de usuario, se le permite tener un acceso específico al exterior. Cuando se usa un firewall de proxy como este, se construyen dos sesiones únicas (una desde el usuario al proxy y otra desde el proxy hasta el destino) Otra forma de que funcione un firewall de proxy es que el usuario (en la zona de confianza) cree la sesión directamente con el destino (en el exterior no fiable). Al menos esto es lo que supone el usuario. Lo que en realidad sucede es que el proxy intercepta la sesión y en base a cierta información (como la dirección IP de origen) lleva a cabo la autenticación y crea dos sesiones únicas (una desde el usuario hasta el proxy, y otra desde el proxy hasta el destino). Esta segunda forma de funcionamiento de un firewall de proxy es mucho más transparente para el usuario.

46

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

Entre las aportaciones que nos ofrece un servicio Proxy estas son las más destacadas: o

o

o

o

o

o

o

o

Cada Proxy es configurado para soportar únicamente un subconjunto de aplicaciones estándar de un conjunto de comandos. Si un comando estándar no es soportado por la aplicación Proxy, es porque simplemente no esta disponible para el usuario. Cada Proxy esta configurado para dejar acceder únicamente a los servidores especificados en el sistema. Esto significa que existe un conjunto de características/comandos que podrán ser aplicados para un subconjunto de sistemas en la red protegida. Cada Proxy mantiene la información detallada y auditada de todos los registros del tráfico, cada conexión, y la duración de cada conexión. El registro de audición es una herramienta esencial para descubrir y finalizar el ataque de un intruso. Cada Proxy es un programa pequeño y sencillo específicamente diseñado para la seguridad de redes. Este permite que el código fuente de la aplicación pueda revisar y analizar posibles intrusos y fugas de seguridad. Por ejemplo, una típica aplicación - UNIX mail - puede tener alrededor de 20,000 líneas de código cuando un correo Proxy puede contener menos de mil. Cada Proxy es independiente de todas las demás aplicaciones Proxy en el servidor de defensa. Si se suscitara un problema con la operación de cualquier Proxy, o si se descubriera un sistema vulnerable, este puede desinstalarse sin afectar la operación de las demás aplicaciones. Aun, si la población de usuarios requiere el soporte de un nuevo servicio, el administrador de redes puede fácilmente instalar el servicio Proxy requerido en el servidor de defensa. Un Proxy generalmente funciona sin acceso al disco lo único que hace es leer su archivo de configuración inicial. Desde que la aplicación Proxy no ejecuta su acceso al disco para soporte, un intruso podrá encontrar más dificultades para instalar caballos de Troya perjudiciales y otro tipo de archivos peligrosos en el servidor de defensa. Cada Proxy corre como un usuario no-privilegiado en un directorio privado y seguro del servidor de defensa. Un Proxy debe entender el protocolo de la aplicación que esta haciendo usada, aunque también pueden implementar protocolos específicos de seguridad por decir un Proxy FTP puede ser configurado para permitir FTP entrante y bloquear FTP saliente.

47

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

3.2.3 Filtro de paquetes con estado. El tercer tipo de firewall combina lo mejor de las tecnologías de filtrado de paquetes y de las de filtrado de proxies. Un filtro de paquete con estado mantiene una información completa del estado de sesión para cada sesión que se construya en el firewall. Cada vez que se establece una conexión IP para una conexión entrante o saliente, la información queda registrada en una tabla de flujo de sesión con estado. El filtrado de paquetes con estado es el método que utiliza el firewall PIX de Cisco. La tabla de flujo de sesión con estado contiene las direcciones de origen y de destino, los números de puerto, información de las secuencias TCP e indicadores adicionales para cada conexión TCP/UDP que esté asociada con una determinada sesión. Cuando se inicia una sesión a través del firewall, se crea un objeto de conexión y, consecuentemente, se comparan todos los paquetes entrantes y salientes con los flujos de sesión de la tabla de flujo de sesión con estado. Sólo si hay una conexión apropiada que valide el paso, se autoriza el paso de los datos a través del firewall. Este método es efectivo, ya que: o

o

o

Funciona sobre paquetes individuales y los compara con las conexiones establecidas. Funciona a un nivel de rendimiento superior que el filtrado de paquetes o que el filtro de proxy. Graba los datos en una tabla por cada transacción con conexión o sin conexión que se produzca. Esta tabla sirve como punto de referencia para determinar si los paquetes pertenecen a una conexión existente o proceden de un origen no autorizado.

3.2.4 VPN Es una red privada que se extiende, mediante un proceso de encapsulación y en su caso de encriptación, de los paquetes de datos a distintos puntos remotos mediante el uso de unas infraestructuras públicas de transporte. Los paquetes de datos de la red privada viajan por medio de un "túnel" definido en la red pública como se muestra en la siguiente figura.

48

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

Figura 3.2 Función de la VPN

En la siguiente figura se muestra como viajan los datos a través de una VPN ya que el servidor dedicado es del cual parten los datos, llegando a firewall que hace la función de una pared para engañar a los intrusos a la red, después los datos llegan a nube de internet donde se genera un túnel dedicado únicamente para nuestros datos para que estos con una velocidad garantizada, con un ancho de banda tambien garantizado y lleguen a su vez al firewall remoto y terminen en el servidor remoto.

Figura 3.3 Traslado de datos en la VPN

49

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

Las VPN pueden enlazar mis oficinas corporativas con los socios, con usuarios móviles, con oficinas remotas mediante los protocolos como internet, IP, Ipsec, Frame Relay, ATM como lo muestra la figura siguiente.

Figura 3.4 Alcance en enlace de la VPN

Las redes privadas virtuales crean un túnel o conducto de un sitio a otro para transferir datos a esto se le conoce como encapsulación además los paquetes van encriptados de forma que los datos son ilegibles para los extraños. El servidor busca mediante un ruteador la dirección IP del cliente VPN y en la red de transito se envían los datos sin problemas.

Figura 3.5 Red de transito de la VPN

50

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

Por lo general cuando se desea implantar una VPN hay que asegurarse que esta proporcione: o o o o o

Identificación de usuario. Administración de direcciones. Codificación de claves. Soporte a protocolos múltiples. Identificación de usuario.

La VPN debe ser capaz de verificar la identidad de los usuarios y restringir el acceso a la VPN a aquellos usuarios que no estén autorizados. Así mismo, debe proporcionar registros estadísticos que muestren quien acceso, que información y cuando.

Administración de direcciones.-La VPN debe establecer una dirección del cliente en la red privada y debe cerciorarse que las direcciones privadas se conserven así.

Codificación de datos.-Los datos que se van a transmitir a través de la red pública deben ser previamente encriptados para que no puedan ser leídos por clientes no autorizados de la red.

Administración de claves.-La VPN debe generar y renovar las claves de codificación para el cliente y el servidor.

Soporte a protocolos múltiples.-La VPN debe ser capaz de manejar los protocolos comunes que se utilizan en la red pública. Estos incluyen el protocolo de internet (IP), el intercambio de paquete de internet (IPX) entre otros. Dentro de las ventajas más significativas podremos mencionar la integridad, confidencialidad y seguridad de los datos. o o o o o o o

Reducción de costos. Sencilla de usar. Sencilla instalación del cliente en cualquier PC Windows. Control de Acceso basado en políticas de la organización. Herramientas de diagnostico remoto. Los algoritmos de compresión optimizan el tráfico del cliente. Evita el alto costo de las actualizaciones y mantenimiento a las PC´s remotas.

51

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

3.2.5 Firewall PIX El firewall Pix de Cisco es un firewall hardware/software considerado un sistema híbrido ya que incorpora tecnologías de filtrado de paquetes, filtrado de proxies y filtrado de paquetes de estado. Algunas características:

·

Sistema integrado seguro y en tiempo real: Ya que tiene un sistema operativo específico lo que le permite un proceso rápido de los paquetes y no esta expuesto a vulnerabilidades del sistema operativo conocidas.

·

Algoritmo de seguridad adaptable (ASA): Implementa el control de la conexión con estado.

·

Proxy por método de corte: Un método de autenticación basado en el usuario para conexiones entrantes y salientes.

·

Recuperación redundante.

·

Al ser un sistema hardware permite el procesamiento de gran cantidad de tráfico

PIX 506 de Cisco Secure Tamaño (RU [unidad de bastidor] = 1,73 pulgadas Procesador Intel Pentium (MHz) Máximo de interfaces Recuperación ante fallos Conexiones Rendimiento

ante

PIX 515 de Cisco Secure 1

fallos:

Permite

PIX 520 de Cisco Secure

una

topología

completamente

PIX 525 PIX 535 de Cisco de Cisco Secure Secure

1

3

2

3

200

200

350

600

1 GHz

2

6

6

8

10

No

Sí

Sí

Sí

Sí

400 10 Mbps

125.000 120 Mbps

250.000 370 Mbps

280.000 370 Mbps

500.000 1 Gbps

Figura 3.6 Modelos de Firewall PIX

52

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

El ASA es la parte del sistema operativo que habilita la inspección de paquetes con estado y la retención de flujo de sesión, y mantiene los perímetros seguros entre las redes que controla el firewall, creando flujos de sesión basados en direcciones de origen y destino. El filtrado de paquetes con estado constituye un método seguro para analizar paquetes de datos. Cada vez que se establece una conexión TCP para las conexiones entrantes y salientes a través del firewall, la información sobre la conexión queda registrada en una tabla de flujo de sesión de estado. Para que se establezca una sesión la información sobre la conexión deberá coincidir con la información almacenada en la tabla. Con esta metodología, los filtros con estado actúan sobre las conexiones y no sobre los paquetes, haciendo que sea un método de seguridad más estricto y que sus sesiones sean prácticamente inmunes a la manipulación fraudulenta. El ASA lleva a cabo los siguientes procesos: · · · · ·

Obtiene los parámetros de identificación de la sesión, como las direcciones IP y los puertos para cada conexión IP Registra los datos en una tabla de conexión de estado y crea un objeto de sesión. Compara los objetos entrantes y salientes frente a los objetos de sesión de la tabla de conexión. Permite que los paquetes fluyan a través del firewall solo si existe una conexión adecuada que valide su paso. Cuando concluye la conexión, se elimina la información relativa a la conexión y a los objetos de sesión.

El nivel de seguridad designa el hecho de que una interfaz sea interna (fiable) o externa, respecto a otra interfaz. Se considera que una interfaz está dentro respecto a otra, si su nivel de seguridad es mayor que el nivel de seguridad de la otra interfaz, y se considera que es externa con respecto a otra interfaz si su nivel de seguridad es más bajo que el nivel de seguridad de la otra interfaz. La regla principal de los niveles de seguridad es ésta: “Cuando se configura el firewall, los datos pueden acceder al firewall a través de una interfaz con un nivel de seguridad más alto, pasar por el firewall y salir a través de una interfaz con un nivel de seguridad más bajo. Por el contrario, los datos que acceden a una interfaz provista de un nivel de seguridad más bajo no pueden pasar por el firewall y salir a través de una interfaz con un nivel de seguridad más alto si no hay una lista de acceso”. Los niveles de seguridad van de 0 a 100, y las reglas más específicas para estos niveles de seguridad son las siguientes:

53

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

·

Nivel de seguridad 100: Es el nivel de seguridad más alto de una interfaz. Se usa para la interfaz interna del firewall. Es la configuración predeterminada del firewall y no puede ser cambiada (Si se puede cambiar en las últimas versiones del IOS). Dado que 100 es el nivel de seguridad de interfaz más fiable, la red de la organización deberá estar configurada detrás de esta interfaz. De este modo, nadie podrá acceder a la red de la empresa a menos que se le dé un permiso específico Mediante listas de acceso. Una vez configurado (y en función de las normas de seguridad del sitio), todos los dispositivos que haya en esta interfaz podrán tener acceso fuera de la red de la organización.

·

Nivel de seguridad 0: Es el nivel de seguridad más bajo. Este nivel de seguridad se usa para la interfaz externa del firewall. Dado que 0 es el nivel de seguridad del interfaz menos fiable, la red menos fiable deberá estar detrás de esta interfaz. A los dispositivos del exterior se les permite acceder a través del firewall sólo si éste está configurado para ello. Esta interfaz sirve para conectarse a Internet.

·

Niveles de seguridad 1 - 99: Estos niveles de seguridad pueden ser asignados a las interfaces de perímetro que están conectadas con el firewall. Es muy habitual conectar una de estas interfaces de perímetro a una red que actúe como zona desmilitarizada (DMZ). Una DMZ es un dispositivo o red a la que pueden acceder los usuarios desde el entorno no fiable. La DMZ es un área aislada, separada del entorno interno y fiable.

54

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

CAPITULO IV FIREWALL 4.1 ¿Que es un Firewall? Un Firewall es un sistema o grupo de sistemas que impone una política de seguridad entre la organización de red privada y el Internet. El firewall determina cual de los servicios de red pueden ser accedidos dentro de esta por los que están fuera, es decir quien puede entrar para utilizar los recursos de red pertenecientes a la organización. El Firewall forma una barrera para proteger a los ordenadores conectados a Internet en las dos direcciones: evitan una intrusión a la PC desde la Red e impiden que los programas instalados accedan a Internet sin permiso. Un firewall puede ser un dispositivo de software o hardware sobre un sistema operativo, es decir, un aparatito que se conecta entre la red y el cable de la conexión a Internet, o bien un programa que se instala en la máquina que tiene el modem que conecta con Internet. Además, el firewall examina si la comunicación es entrante o saliente y dependiendo de su dirección puede permitirla o no. Un uso típico es situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar que los intrusos puedan acceder a información confidencial.

4.2 ¿Por que adquirir un Firewall? Esta es una de las preguntas mas frecuentes para las empresas y que merecen una respuesta clara y concisa, así entonces estos son los argumentos necesarios para lograr la adquisición. o

o

o o

o

Internet es el principal punto de contacto con agentes malignos para el sistema. No únicamente virus, sino también de aplicaciones potencialmente peligrosas para el sistema El propósito del firewall es restringir el acceso al sistema a personas ajenas a él o a la red. El propósito del Firewall es mantener a los intrusos fuera del alcance de los trabajos que son propiedad de uno. Es garantía de que la conexión a Internet es segura. Todo tráfico de información a través del Internet deberá pasar a través del mismo donde podrá ser inspeccionada la información.

55

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

4.3 ¿Contra que protege un Firewall? o o o

o o

Evita accesos no permitidos y ajenos al sistema, generalmente provenientes de direcciones IP inseguras y vulnerables. Bloquea el tráfico generado de fuera hacia adentro. Establecen un punto de inflexión de seguridad y de auditoria o de control, que puede ser configurado tanto para elementos externos al sistema, como para personas que trabajen desde dentro del sistema. Un firewall protege la red privada de una empresa de las redes públicas o compartidas a las que se conecta. Ayuda principalmente, a prevenir actos de vandalismos en máquinas y software de nuestra red.

4.4 Tipos de Firewall 4.4.1 Firewall de software Los Firewalls pueden ser implementados en hardware (opción más recomendable pero muy cara) y por software. Los Firewalls personales o de software son programas que filtran el tráfico que entra y sale de una computadora. Una vez instalados, el usuario debe definir el nivel de seguridad: permite o deniega el acceso de determinados programas a Internet (de forma temporal o definitiva) y autoriza o no los accesos desde el exterior. En el caso de las redes personales o conexiones permanentes domésticas, lo habitual es que el ordenador esté conectado directamente a Internet, de ahí la necesidad de un Firewall por software. Algunas empresas proporcionan un sistema de protección por hardware, pero este tipo de servicio suele restringirse a empresas y se trata de conexiones mucho más caras que las pensadas para el hogar. Los Firewalls de software no son tan complejos como otras soluciones profesionales mucho más caras y pensadas para empresas, pero en general cumplen bien con su cometido y son suficientes para la seguridad de un ordenador conectado a Internet o una red doméstica. A la hora de escoger un buen Firewall de software el punto más importante, obviamente, es la protección que nos otorgue el programa. Sin embargo al tratarse de programas dirigidos supuestamente al usuario más inexperto, esta protección debe producirse con la mínima intervención del usuario.

56

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

Que ofrece un Firewall de software: o Tiene la ventaja añadida de ser gratuito para uso personal. o Ofrecen una administración sencilla y además un control exhaustivo sobre las reglas de filtrado. o Incluye actualizaciones automáticas y soporte técnico en español. o Soporta varios idiomas. o Funciona sobre cualquier versión de Windows. o Verificación de que no se envían datos personales. o Todas las acciones que hacen los programas que ejecutemos, analizando si tienen permiso o no para llevarlas a cabo, e impidiéndoles dañar el sistema de algún modo. o Poseen dos enfoques a la hora de filtrar el tráfico de un ordenador: controlando tráfico del sistema y controlando el de las aplicaciones. o Algunos tienen tres niveles de configuración automática (baja, media y alta protección), además de poder definir niveles personalizados. o Pueden enviar notificaciones por correo electrónico cuando se produzca cualquier circunstancia sospechosa de peligro. o Ante cualquier ataque o intento de conexión externo se nos informa inmediatamente y se nos pregunta si queremos permitir el acceso.

4.4.2 Firewall de hardware y DMZ Hoy en día un firewall es un hardware específico con un sistema operativo que filtra el tráfico y decide si un paquete pasa, se modifica, se convierte o se descarta. Para que un firewall entre redes funcione como tal debe tener al menos dos tarjetas de red. Esta sería la tipología clásica de un firewall de hardware.

57

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

Figura 4.1 Firewall típico entre red interna y externa.

Este es el esquema típico de un firewall para proteger una red local conectada a internet a través de un router. El firewall debe colocarse entre el router (con un único cable) y la red local (conectado al switch o al hub de la LAN). Dependiendo de las necesidades de cada red, puede ponerse uno o más Firewalls para establecer distintos perímetros de seguridad en torno a un sistema. Es frecuente también que se necesite exponer algún servidor a internet (como es el caso de un servidor web, un servidor de correo, etc...), y en esos casos obviamente en principio se debe aceptar cualquier conexión a ellos. Lo que se recomienda en esa situación es situar ese servidor en lugar aparte de la red, el que denominamos DMZ o zona desmilitarizada. El firewall tiene entonces tres entradas:

Figura 4.2 Firewall entre red local e Internet con zona DMZ para servidores expuestos.

58

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

En la zona desmilitarizada se pueden poner tantos servidores como se necesiten. Con esta arquitectura, permitimos que el servidor sea accesible desde internet de tal forma que si es atacado y se gana acceso a él, la red local sigue protegida por el firewall. Los Firewalls se pueden usar en cualquier red. Es habitual tenerlos como protección de internet en las empresas, aunque ahí también suelen tener una doble función: controlar los accesos externos hacia dentro y también los internos hacia el exterior; esto último se hace con el firewall.

4.5 Operación del Firewall 4.5.1 Filtrado de paquetes Esta tecnología pertenece a la primera generación de Firewalls la cual analiza el tráfico de la red. Cada paquete que entra o sale de la red es inspeccionado y lo acepta o rechaza basándose en las reglas definidas por el usuario. El filtrado de paquetes es efectivo y transparente para los usuarios de la red, pero es difícil de configurar. Este Firewall toma las decisiones de rehusar/permitir el paso de cada uno de los paquetes que son recibidos. El Firewall examina cada datagrama para determinar si este corresponde a uno de sus paquetes filtrados y que a su vez haya sido aprobado por sus reglas. Las reglas de filtrado se basan en revisar la información que poseen los paquetes en su encabezado, lo que hace posible su desplazamiento en un proceso de IP. Esta información consiste en la dirección IP fuente, la dirección IP destino, el protocolo de encapsulado (TCP, UDP, ICMP,), el puerto fuente TCP/UDP, el puerto destino TCP/UDP, el tipo de mensaje ICMP, la interface de entrada del paquete, y la interface de salida del paquete. Si se encuentra la correspondencia y las reglas permiten el paso del paquete, este será desplazado de acuerdo a la información a la tabla de ruteo, si se encuentra la correspondencia y las reglas niegan el paso, el paquete es descartado. Si estos no corresponden a las reglas, un parámetro configurable por incumplimiento determina descartar o desplazar el paquete. Las reglas acerca del filtrado de paquetes a través de un Firewall para rehusar/permitir el trafico esta basado en un servicio en especifico, desde entonces muchos servicios vierten su información en numerosos puertos TCP/UDP conocidos.

59

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

Algunas características típicas de filtrado que un administrador de redes podría solicitar en un Firewall filtra-paquetes para perfeccionar su funcionamiento serian: o o o o o

Permitir la entrada de sesiones Telnet únicamente a una lista especifica de servidores internos. Permitir la entrada de sesiones FTP únicamente a los servidores internos especificados. Permitir todas las salidas para sesiones Telnet. Permitir todas las salidas para sesiones FTP. Rehusar todo el trafico UDP.

La mayoría de sistemas firewall son desplegados usando únicamente ruteadores filtrapaquetes. Otros que tienen tiempo planean los filtros y configuran el ruteador, sea este pequeño o no, el costoso para implementar la filtración de paquetes no es cara; desde que los componentes básicos de los ruteadores incluyen revisiones estándar de software para dicho efecto. Desde entonces el acceso a Internet es generalmente provisto a través de interfaces WAN, optimando la operación del ruteador moderando el tráfico y definiendo menos filtros. Finalmente, el ruteador de filtrado es por lo general transparente a los usuarios finales y a las aplicaciones por lo que no se requiere de entrenamiento especializado o software especifico que tenga que ser instalado en cada uno de los servidores. Definir el filtrado de paquetes puede ser una tarea compleja porque el administrador de redes necesita tener un detallado estudio de varios servicios de Internet, como los formatos del encabezado de los paquetes, y los valores específicos esperados a encontrase en cada campo. Si las necesidades de filtrado son muy complejas, se necesitara soporte adicional con lo cual el conjunto de reglas de filtrado puede empezar a complicar y alargar el sistema haciendo mas difícil su administración y comprensión. Finalmente, estas serán menos fáciles de verificar para las correcciones de las reglas de filtrado después de ser configuradas en el Firewall. Potencialmente se puede dejar una localidad abierta sin probar su vulnerabilidad. Cualquier paquete que pasa directamente a través de un Firewall puede ser posiblemente usado como parte inicial un ataque dirigido de datos. Generalmente, los paquetes entorno al Firewall disminuyen conforme el numero de filtros utilizados se incrementa. Los Firewall son optimizados para extraer la dirección destino IP de cada paquete, haciendo relativamente simple la consulta a la tabla de ruteo, y el desplazamiento de paquetes para la interface apropiada de la transmisión.

60

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

Si esta autorizado el filtro, no únicamente podrá el ruteador tomar la decisión de desplazar cada paquete, pero también sucede aun aplicando todas las reglas de filtrado. Esto puede consumir ciclos de CPU e impactar el perfecto funcionamiento del sistema. El filtrado de paquetes IP no puede ser capaz de proveer el suficiente control sobre el tráfico. Un Firewall Filtra-Paquetes puede permitir o negar un servicio en particular, pero no es capaz de comprender el contexto/dato del servicio.

Figura 4.3 Firewall filtra paquetes.

4.5.2 Firewall a nivel de aplicación Pertenece a la tercera generación de Firewalls. Examina la información de todos los paquetes de la red y mantiene el estado de la conexión y la secuencia de la información. En este tipo de tecnología también se puede validar claves de acceso y algunos tipos de solicitudes de servicios. La mayoría de estos tipos de Firewalls requieren software especializado y servicios Proxy. Recordemos que un servicio Proxy es un programa que aplica mecanismos de seguridad a ciertas aplicaciones, tales como FTP o HTTP. Un servicio Proxy puede incrementar el control al acceso, realizar chequeos detallados a los datos y generar auditorias sobre la información que se transmite.

61

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

Son generalmente, hosts que corren bajo servidores Proxy, que no permiten tráfico directo entre redes y que realizan autentificaciones elaboradas y auditan el tráfico que pasa a través de ellas. Los Firewall a nivel de aplicación se pueden usar como traductores de direcciones de red, desde que el tráfico entra por un extremo hasta que sale por el otro. Los primeros Firewalls a nivel de aplicación eran poco transparentes a los usuarios finales, pero los modernos Firewalls a nivel de aplicación son bastante transparentes. Los Firewalls a nivel de aplicación, tienden a proporcionar mayor detalle en los informes auditados e implementan modelos de conservación de la seguridad.

Figura 4.4 Firewall a nivel de aplicación.

Un ejemplo de una Firewall a nivel de aplicación es el mostrado en la siguiente figura.

Figura 4.5 Firewall a nivel de aplicación.

62

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

En este ejemplo, se representa un Firewall a nivel de aplicación llamada "dual homed gateway". Un Firewall de este tipo es un host de alta seguridad que corre bajo software Proxy. Consta de 2 interfaces de red (uno a cada red) los cuales bloquean todo el tráfico que pasa a través del host. Un Firewall filtra-paquetes permite la circulación directa de los paquetes dentro y fuera del sistema, diferente a esto el Firewall a nivel-aplicación deja que la información circule entre los sistemas pero no permite el intercambio directo de paquetes. El principal riesgo de permitir que los paquetes se intercambien dentro y fuera del sistema se debe a que el servidor residente en los sistemas de protección de la red podrá ser asegurado contra cualquier amenaza representada por los servicios permitidos. Un Firewall a nivel-aplicación por lo regular es descrito como un "servidor de defensa" porque es un sistema diseñado específicamente blindado y protegido contra cualquier ataque. Son muchos los beneficios desplegados en un Firewall a nivel-aplicación. Ellos dan a la administración de red un completo control de cada servicio desde aplicaciones proxy limitadas por un conjunto de comandos y la determinación del servidor interno donde se puede accesar a los servicios. Aun cuando, el administrador de la red tenga el completo control acerca de que servicios que son permitidos desde la carencia de un servicio proxy para uno en particular significa que el servicio esta completamente bloqueado. Los Firewalls a nivel-aplicación tienen la habilidad de soportar autenticaciones forzando al usuario para proveer información detallada de registro. Finalmente, las reglas de filtrado para un Firewall de este tipo son mucho mas fáciles de configurar y probar que en un Firewall filtra-paquetes. Probablemente una de las grandes limitaciones de un Firewall a nivel de aplicación es que requiere de modificar la conducta del usuario o requiere de la instalación de software especializado en cada sistema que accese a los servicios Proxy.

4.5.3 Firewalls a nivel de red. Los Firewalls a nivel de red, toman las decisiones basándose en la fuente, dirección de destino y puertos, todo ello en paquetes individuales IP. Un simple router es un "tradicional" Firewall a nivel de red, particularmente, desde el momento que no puede tomar decisiones sofisticadas en relación con quién está hablando un paquete ahora o desde donde está llegando en este momento.

63

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

Los modernos Firewall a nivel de red se han sofisticado ampliamente, y ahora mantienen información interna sobre el estado de las conexiones que están pasando a través de ellos, los contenidos de algunos datagramas y más cosas. Un aspecto importante que distingue a los Firewall a nivel de red es que ellos enrutan el tráfico directamente a través de ellas, de forma que un usuario cualquiera necesita tener un bloque válido de dirección IP asignado. Los Firewalls a nivel de red tienden a ser más veloces y más transparentes a los usuarios. Un ejemplo de un Firewall a nivel de red se muestra en la siguiente figura:

Figura 4.6 Firewall a nivel de red.

En este ejemplo se representa un Firewall a nivel de red llamada "Screend Host Firewall". En dicho Firewall, se accede a y desde un único host el cual es controlado por un router operando a nivel de red. El host es como un bastión, dado que está muy defendido y es un punto seguro para refugiarse contra los ataques.

Figura 4.7 Firewall a nivel de red (red mas efectiva que la anterior)

64

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

Otro ejemplo sobre un Firewall a nivel de red es el mostrado en la figura anterior. En este ejemplo se representa un Firewall a nivel de red llamada "screened subnet Firewall". En dicho Firewall se accede a y desde el conjunto de la red, la cual es controlada por un router operando a nivel de red. Es similar al Firewall indicado en el ejemplo anterior salvo que esta si que es una red efectiva de hosts protegidos.

4.5.4 Firewall a nivel de circuito Esta tecnología pertenece a la segunda generación de Firewalls y valida que los paquetes pertenezcan ya sea a una solicitud de conexión o bien a una conexión entre dos computadoras. Aplica mecanismos de seguridad cuando una conexión TCP o UDP es establecida. Una vez que la conexión se establece, los paquetes pueden ir y venir entre las computadoras sin tener que ser revisados cada vez. El firewall mantiene una tabla de conexiones válidas y permite que los paquetes de la red pasen a través de ella si corresponden a algún registro de la tabla. Una vez terminada la conexión, la tabla se borra y la transmisión de información entre las dos computadoras se cierra. Un Firewall a nivel-circuito es en si una función que puede ser perfeccionada en un Firewall a nivel-aplicación. A nivel-circuito simplemente trasmite las conexiones TCP sin cumplir cualquier proceso adicional en filtrado de paquetes. El Firewall a nivel-circuito se usa frecuentemente para las conexiones de salida donde el administrador de sistemas somete a los usuarios internos. La ventaja preponderante es que el servidor de defensa puede ser configurado como un Firewall "híbrido" soportando nivel-aplicación o servicios Proxy para conexiones de venida y funciones de nivel-circuito para conexiones de ida. Esto hace que el sistema de firewall sea fácil de usar para los usuarios internos quienes desean tener acceso directo a los servicios de Internet mientras se proveen las funciones del firewall necesarias para proteger la organización de los ataques externos.

Figura 4.8 Firewall a nivel circuito.

65

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

CAPITULO V

CASO DE ESTUDIO

5.1 Justificación del diseño. Formalmente hablando de la seguridad en sistemas de cómputo es una medida de confianza en la integridad de la información manejada por éstos. Resulta de gran relevancia ya que un sistema de cómputo carecería de sentido si la integridad y la confidencialidad de la información que procesa fuera violada. El hecho de disponer de una conexión a Internet puede ser causa de multitud de ataques a nuestros servidores desde el exterior. Cuanto más tiempo permanezcamos conectados mayor es la probabilidad de que la seguridad de nuestro sistema se vea comprometida por un atacante desconocido. La seguridad es implementada mediante mecanismos de protección, que controlan el acceso a los recursos de cómputo ofrecidos y a los mismos usuarios. La consecuencia de la correcta implementación de mecanismos de seguridad en un sistema de cómputo es el mejoramiento del desempeño del mismo, ya que nadie se apropiará de un recurso por más tiempo del asignado, además de la verificación de las condiciones de uso.

5.1.1 Objetivo del diseño. Elaborar un diseño de seguridad que debe de tener en cuenta las necesidades de cada usuario del sistema, podemos delinear una serie de principios que pueden orientarnos: o

El diseño debe de ser público.

o

Suponer que el intruso no sabrá cómo funciona el sistema sólo sirve para despistar a los diseñadores.

o

Lo que no esta explícitamente permitido está prohibido.

o

Cada operación a realizar debe ser autorizada.

o

Darse el menor privilegio posible a cada proceso.

o

El mecanismo de protección debe ser simple y uniforme.

o

El esquema elegido debe transparente para el usuario.

66

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

5.1.2 ANTECEDENTES La empresa actualmente tiene asignados los siguientes dispositivos: o

Un router 2wire.

o

1 servidor (Directorio Activo, DNS, DHCP, Servidor de Archivos)

o

Dos switches A y B.

La empresa “Turbomex” tiene asignados en este momento 2 switches interconectados entre ellos los cuales soportan la comunicación de datos entre todos los clientes, por otro lado, gran parte de la comunicación dentro de la empresa se lleva a cabo con cable par trenzado categoría 5 con velocidad de 100Base-T conectando a 30 computadoras (la mayoría sin ningún tipo de seguridad), debido a que se encuentra estructurada en diferentes departamentos, dicha red es grande y ha crecido de manera desordenada y con poca planeación. El servidor actual cuenta solo con una interfaz para el trafico de red interno y externo, la cual se conecta directamente al switch A, el router 2wire a su vez también se encuentra conectado a este mismo switch, esto quiere decir que todo el flujo de información desde y hacia la Internet fluye por la red interna de modo indiscriminado, esto representa un peligro para la empresa “Turbomex” ya que en su servidor (Directorio Activo, DNS, DHCP, Servidor de Archivos), cuenta con datos importantes acerca de la infraestructura de la empresa como también información critica de los de usuarios. Al implementar la seguridad a través del Firewall ISA Server la empresa “Turbomex” contara con los siguientes servicios en seguridad: o o o o

Implementar directivas de seguridad para el tráfico del carrier hacia la red interna. Implementar directivas de seguridad para el tráfico interno hacia la DMZ. Implementar directivas de seguridad a los servicios y protocolos de comunicación tanto de entrada como de salida a la red interna. Optimizar los recursos internos y evitar al máximo los ataques externos.

Para visualizar la situación actual de la empresa Turbomex vea la figura 1 del anexo A.

67

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

5.1.3 Planteamiento del problema. La empresa “Turbomex” se ha ido estableciendo en los últimos años como una de las principales compañías de mantenimiento y seguridad industrial. Como tal sabe de las ventajas y beneficios de estar comunicados a través de Internet pero requieren de mantener la confidencialidad, integridad y disponibilidad de la información. Es por esa necesidad que se decidió la implementación de un servicio de seguridad para su red a través de un firewall ISA Server como solución. Al analizar la red y acercarnos al administrador para obtener sus comentarios pudimos detectar los siguientes problemas de desempeño y seguridad en la red de la empresa Turbomex: El desempeño de las aplicaciones es lento debido a que el ancho de banda es consumido por algunos usuarios que acceden a sitios de internet no relacionados con el giro de la empresa, realizando operaciones ilícitas como bajar gran cantidad de información como música, videos, redes sociales; teniendo como consecuencia el bajo rendimiento de las actividades de trabajo de los usuarios Alta vulnerabilidad a ataques externos como robo de información, espionaje, hackeo de la red e infecciones por virus. Baja redundancia en la interoperabilidad de la red debido a que todos los servicios se encuentran montados en un solo servidor. Conflictos con la asignación de direcciones IP ya que este servicio (DHCP) es proporcionado por dos equipos a la vez, el servidor y el router 2wire.

5.2 Definición del Diseño de Red con el Firewall ISA. Como ya hemos mencionado en el transcurso de este trabajo un Firewall en su concepción más práctica separa redes privadas de redes públicas. En este caso práctico la de “Turbomex” requiere el servicio de seguridad para su acceso a Internet. De a cuerdo al diseño que tiene actualmente y con la necesidad de contar con un punto de referencia que pueda determinar que tipo de flujo pueda circular por la red interna y además que se tome en cuenta la confiabilidad de la información que llega del exterior hemos propuesto la siguiente solución con un Firewall ISA Server. Vea la figura 1 del anexo B.

68

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

Observando el diseño que planteamos podemos determinar lo siguiente: Al implementar el Firewall ISA Server se logra que la información fluya de manera única, segura y estructurada a través de esta aplicación, esto quiere decir que se genera ese punto de referencia tan deseado desde donde se puede controlar el trafico de entrada y salida de la red de la empresa; sin embargo al instalar ISA Server se genera una regla por default misma que bloquea todo el trafico tanto de entrada como de salida de la red, esto representa una gran ventaja ya que partiendo de este punto se pueden configurar directivas de seguridad que nos permitirán solamente la entrada y la salida del trafico deseado y debidamente autentificado de servicios y protocolos. Al instalar el servidor ISA Server se puede tener un control exhaustivo sobre el acceso de los usuarios a los sititos de internet, permitiendo solamente el acceso a los sitios relacionados con la operación de la empresa. La instalación del Firewall ISA Server nos permite dividir la red en tres partes que llamaremos red interna que son todos los componentes que se encuentren atrás del Firewall ISA Server que en este caso son los switches, servidores y el total de las computadoras; la red externa de manera opuesta la conforman todos los componentes que se encuentran delante del Firewall ISA Server y por ultimo la DMZ que es una subred aislada que posibilita que la empresa ponga la información y los servicios de los usuarios dentro de un entorno seguro y controlado, lo que cumple con el objetivo buscado. La instalación del Firewall ISA Server nos permite también la administración de nuestros servidores remotamente de modo seguro a través de la configuración de usuarios autentificados. Por otra parte al implementar la infraestructura que se puede observar en la figura 1 del anexo B, se solucionaran los siguientes problemas: El conflicto del direccionamiento IP que es causado por los dos servidores de DHCP, ya que el nuevo servidor ISA Server contara con 2 interfaces de red cada una de las cuales realizaran la conexión interna y externa respectivamente a través de una configuración NAT dividiendo de este modo a la red en dos partes (interna y externa) aislando a su vez el servicio de DHCP del router 2Wire y dejando solamente el servicio de DHCP del servidor interno, esto también traerá como consecuencia una mejor administración del direccionamiento IP a través de un solo servidor. La homologación de las direcciones IP de nuestra red privada a una sola dirección IP publica lo cual resuelve los problemas comunes de entrega de información cuando se mezclan direcciones privadas con públicas.

69

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

Al implementar un servidor adicional como PDM (Primary Domain Controler), se genera mayor redundancia en los servicios de la red interna como el del Active directory, DNS y DHCP, ya que el servidor ISA Server al ser también un Domain Controler adicional funcionara también como backup de los roles del PDM. Por ultimo al controlar de modo exhaustivo el acceso de los usuarios a la internet, el performance y la seguridad de la red se verá beneficiado de modo considerable en todas sus aplicaciones que se encuentren corriendo en el momento, por que el ancho de banda se utilizara de un modo mas eficiente, además de aumentar la disponibilidad e integridad de los recursos internos como es la información de la empresa.

5.3 Implementación del Firewall ISA Server. 5.3.1 Primera etapa. 5.3.1.1 Configuración de las interfaces del ISA Server: Interfaz Interna Nombre de la Interfaz “LAN” Dirección IP 172.16.0.2 Con una máscara de subred 255.255.255.0 La tarjeta de red interna de un servidor ISA nunca lleva Gateway Una dirección DNS 172.16.0.1 Interfaz Externa Nombre de la Interfaz “WAN” Dirección IP 201.122.64.15 Con una máscara de subred 255.255.255.0 Gateway 192.168.1.1 Servidores DNS 200.33.146.193, 200.33.146.201 Para mayor información vea las figuras 1- 3 del Anexo “C”.

5.3.1.2 Configuración de la NAT en el Servidor ISA Server. La traducción de direcciones de red (NAT) es un recurso que implantamos a nuestro diseño de red con la finalidad de que impida que las redes externas conozcan las direcciones IP internas (aquellas que se encuentran detrás del Firewall ISA).

70

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

Por ejemplo, cuando se conecta con Internet o con otra red externa, el comando “NAT“ lleva a cabo este proceso convirtiendo las direcciones IP internas y no registradas, que no tienen que ser únicas a nivel global, en direcciones IP registradas y globalmente aceptadas antes de que los paquetes sean reenviados a la red externa. 1. Haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Enrutamiento y acceso remoto. 2. En el panel de contenido, haga clic derecho el nombre del servidor y haga clic en Configurar y habilitar Enrutamiento y acceso remoto. El enrutamiento y acceso remoto Asistente de configuración aparece. Haga clic en Siguiente para ver las opciones para varias funciones de servidor por defecto. 3. Seleccione la traducción de direcciones de red (NAT), hacemos clic en siguiente. 4. Continuando con el procedimiento dentro del cuadro de dialogo que aparece seleccione la conexión llamada WAN que es la interfaz externa del servidor ISA Server y que es a través de la cual el servidor se conectara a internet. Deje habilitada la seguridad de la interface seleccionando el parámetro de firewall básico haga clic en siguiente. 5. En la pantalla nombre de los servicios de traducción de direcciones haga clic en configurar los servicios de nombre y direcciones posteriormente. 6. Haga clic en siguiente y después en finalizar el asistente. 7. Posteriormente adicionaremos una ruta por default, en el árbol de la consola haga doble clic en ruteo IP haga clic derecho sobre rutas estáticas y entonces seleccione nueva ruta estática. En interface seleccione la interface que corresponde a la wan y en destino escriba 0.0.0.0 en mascara de red 0.0.0.0 y después haga clic en aceptar. Esta configuración hará alcanzables todas las direcciones de internet desde el servidor de ruteo y acceso remoto. Para mayor información vea las figuras 1- 6 del Anexo “D”. Antes de que los clientes de la red puedan acceder a Internet, el servidor DNS de la red privada tiene que saber cómo resolver los nombres de dominio de Internet. Por ejemplo, si alguien escribe http://www.msn.com en un navegador de Internet, el servidor DNS de la red privada debe presentar la solicitud para resolver el nombre www.msn.com al servidor DNS del ISP. Para configurar el DNS de reenvío de resolución de nombres al servidor DNS del ISP seguiremos los siguientes pasos: 1. Inicie sesión en el equipo servidor DNS con una cuenta que tenga privilegios de administrador. 2. Haga clic en Inicio, seleccione Programas, Herramientas administrativas y haga clic en DNS. 3. En el árbol de consola, haga clic en el nombre del servidor DNS y haga clic en Propiedades.

71

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

4. Haga clic en la ficha Reenviadores. En la lista de direcciones de dominios a reenviar, escribimos la dirección IP del servidor DNS de nuestro ISP o sea 200.33.146.193, 200.33.146.201 y haga clic en agregar para cada una de ellas. Seleccione la opción No usar recursividad para esta casilla de verificación de dominio.

5.3.2 Segunda etapa. Posteriormente se nombro el servidor ISA Server anteriormente preparado con Windows Server 2003 Enterprise se llevo a cabo también la instalación del ISA Server 2006 Estándar Edición, llevando a cabo todas las actualizaciones disponibles para el servidor desde el sitio de Microsoft aunado a esto se procedió a la instalación del Service Pack 1 para ISA Server el cual minimiza las vulnerabilidades del aplicativo. La función principal del servidor ISA Server será la de Firewall de la red permitiendo restringir todo tráfico no deseado que puede fluir a través de nuestra red y la homologación de direcciones IP internas de la red a la IP pública proporcionada por nuestra ISP a través de una configuración NAT. Al Instalar ISA Server se genera una directiva automáticamente que nos cerrara todo el tráfico desde y hacia nuestra red, es aquí donde se aplicaran las directivas necesarias para dar acceso a los servicios exclusivamente necesarios requeridos por la empresa las cuales se presentan a continuación: o Permitir el protocolo POP3 hacia la red interna para el servicio de correo entrante de todos los usuarios. o Permitir el protocolo SMTP hacia la red interna para el servicio de correo saliente de todos los usuarios. o Permitir las peticiones de los protocolos HTTP y HTTPS de la red interna hacia la red externa. o Permitir todo el tráfico para clientes VPN. o Activar el servicio RDP para la publicación de servidores. o Permitir el acceso RDP desde ISA hacia la LAN. o Permitir el acceso DNS del servidor ISA Server hacia la red externa.

5.3.2.1 Instalación de ISA Server. 1. Iniciamos haciendo un doble clic en la aplicación para proceder a la instalación, entonces comienza el asistente que nos guiara durante todo el procedimiento 2. Hacemos clic en siguiente y seleccionamos la opción de de modo personalizado. 3. Hacemos clic en siguiente donde veremos las opciones mas comunes a instalar para nuestro servidor ISA Server.

72

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

4. Hacemos clic en siguiente, y seleccionamos la interfaz de red en la cual se va controlar el tráfico de entrada y salida por medio del firewall ISA Server que en nuestro caso es la interfaz LAN. 5. Hacemos clic en aceptar y se desplegara la información de rangos de direcciones IP las cuales quedaran bajo el control de nuestro firewall. 6. Hacemos clic en aceptar y posteriormente en siguiente, seleccionamos la opción “Permitir conexiones de cliente firewall sin usar cifrado” para facilitar la comunicación de clientes internos con versiones anteriores como Windows 98 y NT. 7. Hacemos clic en siguiente e inicia la instalación. 8. Hacemos clic en finalizar y ya podemos iniciar con la configuración de nuestro servidor. Para mayor información vea las figuras 1- 8 del Anexo “E”.

5.3.3 Tercera etapa. 5.3.3.1 Configuración de reglas de acceso. Una vez instalado nuestro firewall ISA por default este nos genera una regla de inicio la cual restringe todo el tráfico entrante y saliente de nuestra red interna. Se realizo una prueba de tráfico hacia nuestro servidor ISA a través de un PING y una solicitud DNS las cuales fueron denegadas por el firewall lo cual indica que a partir de este punto tendremos que iniciar las configuraciones de las reglas de acceso para el tráfico entrante y saliente deseado. Para mayor información vea las figuras 1- 3 del Anexo “F”.

5.3.3.2 Regla de acceso del correo entrante a Turbomex. 1. Haga clic en inicio, todos los programas, ISA Server y consola de administración ISA Server. 2. En el panel derecho sobre directivas haga clic derecho y seleccione nueva y luego regla de acceso. 3. Se iniciará el asistente de configuración de reglas, escriba el nombre de la regla de acceso “CORREO TURBOMEX ENTRDA” haga clic en next. 4. Seleccione “Permitir” haga clic en next. 5. Haga clic en agregar, seleccione el protocolo POP3, haga clic en next. 6. A continuación en el botón agregar seleccione en redes la red Externa que es donde provendrá el trafico de correo. Haga clic en next. 7. Nuevamente en el botón agregar seleccione la red destino “Interna” que es a donde llegara el trafico de correo. Haga clic en next. 8. Seleccione todos los usuarios para que todos gocen de este privilegio. Haga clic en next. 9. Haga clic en finalizar para terminar la configuración de la regla de acceso.

73

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

10. En el panel de administración de ISA haga clic en aplicar. A partir de este momento el tráfico de correo entrante podrá fluir hacia la red interna y a todos los usuarios. Para mayor referencia vea la figuras 4-11 del Anexo “F”

5.3.3.3 Regla de acceso de correo saliente Turbomex. 1. En el panel derecho sobre directivas haga clic derecho y seleccione nueva y luego regla de acceso. 2. Se iniciará el asistente de configuración de reglas, escriba el nombre de la regla de acceso “CORREO TURBOMEX SALIDA” haga clic en next. 3. Seleccione “Permitir” haga clic en next. 4. Haga clic en agregar, seleccione el protocolo SMTP, haga clic en next. 5. A continuación en el botón agregar seleccione en redes la red “Interna” que es donde el trafico de correo saldrá. Haga clic en next. 6. Nuevamente en el botón agregar seleccione la red destino “Externa” que es a donde llegara el trafico de correo. Haga clic en next. 7. Seleccione todos los usuarios para que todos gocen de este privilegio. Haga clic en next. 8. Haga clic en finalizar para terminar la configuración de la regla de acceso. 9. En el panel de administración de ISA haga clic en aplicar. A partir de este momento el tráfico de correo saliente podrá fluir hacia la red externa. Para mayor referencia vea la figura 12 del Anexo “F”

5.3.3.4 Regla de acceso navegación de usuarios Turbomex. 1. En el panel derecho sobre directivas haga clic derecho y seleccione nueva y luego regla de acceso. 2. Se iniciará el asistente de configuración de reglas, escriba el nombre de la regla de acceso “NAVEGACION DE USUARIOS TURBOMEX” haga clic en next. 3. Seleccione “Permitir” haga clic en next. 4. Haga clic en agregar, seleccione los protocolos HTTP, HTTPS, POP3, SMTP, IMAP4, NNTP y SMTPS, haga clic en next. 5. A continuación en el botón agregar seleccione en redes la red “Interna” que es donde el trafico de internet saldrá. Haga clic en next. 6. Nuevamente en el botón agregar seleccione la red destino “Externa” que es a donde llegaran las peticiones de internet. Haga clic en next. 7. Seleccione todos los usuarios para que todos gocen de este privilegio. Haga clic en next. 8. Haga clic en finalizar para terminar la configuración de la regla de acceso.

74

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

9. En el panel de administración de ISA haga clic en aplicar. A partir de este momento el tráfico de internet podrá fluir hacia la red externa. Para mayor referencia vea la figura 13 del Anexo “F”

5.3.3.5 Regla de acceso DNS del servidor ISA. 1. En el panel derecho sobre directivas haga clic derecho y seleccione nueva y luego regla de acceso. 2. Se iniciará el asistente de configuración de reglas, escriba el nombre de la regla de acceso “ACCESO DNS DEL SERVIDOR” haga clic en next. 3. Seleccione “Permitir” haga clic en next. 4. Haga clic en agregar, seleccione los protocolos DNS, haga clic en next. 5. A continuación en el botón nuevo seleccione equipo, selección ISA-SERVER y haga clic en aceptar ya que este servidor será el único que resuelva las peticiones de DNS de todos los usuarios hacia la red externa. Haga clic en next. 6. En el botón agregar seleccione la red destino “Externa” que es a donde llegaran las peticiones de DNS. Haga clic en next. 7. Seleccione todos los usuarios para que todos gocen de este privilegio. Haga clic en next. 8. Haga clic en finalizar para terminar la configuración de la regla de acceso. 9. En el panel de administración de ISA haga clic en aplicar. A partir de este momento el servidor ISA podre resolver las peticiones de DNS de los usuarios hacia la red externa. Para mayor referencia vea las figuras 14-17 del Anexo “F”

5.3.3.6 Regla de acceso del servidor ISA a la red interna. 1. En el panel derecho sobre directivas haga clic derecho y seleccione nueva y luego regla de acceso. 2. Se iniciará el asistente de configuración de reglas, escriba el nombre de la regla de acceso “ACCESO DEL ISA A LA RED INTERNA” haga clic en next. 3. Seleccione “Permitir” haga clic en next. 4. Haga clic en agregar, seleccione en servidores, servidor RDP, haga clic en next. 5. A continuación en el botón agregar selección “host local” y haga clic en aceptar ya que se pretende que solamente este servidor tenga acceso de modo remoto a todos los usuarios. Haga clic en next. 6. En el botón agregar seleccione la red destino “Interna” que es a donde llegaran las peticiones de conexión del ISA. Haga clic en next. 7. Seleccione todos los usuarios para que todos gocen de este privilegio. Haga clic en next. 8. Haga clic en finalizar para terminar la configuración de la regla de acceso.

75

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

9. En el panel de administración de ISA haga clic en aplicar. A partir de este momento el servidor ISA se podrá conectar de modo remoto a todos los usuarios de modo remoto. Para mayor referencia vea las figuras 18-23 del Anexo “F”

5.3.3.7 Regla de acceso publicación del servidor terminal. 1. En el panel derecho sobre directivas haga clic derecho y seleccione nueva y luego regla de publicación de protocolo de servidor no web. 2. Se iniciará el asistente de configuración de reglas, escriba el nombre de la regla de acceso “PUBLICACION DEL SERVIDOR TERMINAL” haga clic en next. 3. Introduzca la dirección IP del servidor ISA 172.16.0.2. Haga clic en next. 4. En protocolo seleccionado, seleccione servidor RDP (Servicios de Terminal Server), haga clic en next. 5. A continuación seleccione la interfaz de red externa que es donde ser recibirán las peticiones de conexión remota externa. Haga clic en next. 8. Haga clic en finalizar para terminar la configuración de la regla de acceso. 9. En el panel de administración de ISA haga clic en aplicar. A partir de este momento el servidor ISA se podrá administrar de modo remoto desde cualquier sitio desde internet. Para mayor referencia vea las figuras 24-29 del Anexo “F” Desde este momento todo el tráfico configurado será aceptado desde y hacia la red externa de un modo controlado aumentado así considerablemente la seguridad en nuestra red lo cual finalmente cumple con el objetivo buscado. Ver figura 30 del Anexo “E”.

5.3.4 Cuarta etapa. 5.3.4.1 Configuración del DHCP en el Root Domain. Dirección IP del servidor Root 172.16.0.1 Mascara de subred 255.255.255.0 Default Gateway 172.16.0.2 Escope de la dirección 172.16.0.10 a la 172.16.0.100 DNS 172.16.0.1 Default Gateway 172.16.0.2 Release 8 días por default Direcciones reservadas dentro del servidor DHCP 172.16.0.2 y 172.16.0.1 las cuales corresponden al Servidor ISA y al Root Domain respectivamente.

76

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

CONCLUCIONES

Los Firewalls son dispositivos de gran ayuda, pero se requieren delimitar y determinar claramente las políticas de acceso para que realmente cumpla con su objetivo, las políticas de acceso son: políticas recomendables y genéricas que sirven para protegernos de los ataques más comunes. Los Firewalls por sí mismos no son la solución a la implementación de seguridad en una red. La seguridad no es un concepto estático, una red no es segura una vez y ya lo será para siempre, se requiere de una vigilancia continua, y para ello requerimos de herramientas que nos faciliten ésta tarea. Podemos afirmar que en estos momentos el flujo de información de la red esta al nivel de lo que requiere en estos momentos la empresa Turbomex. Pero con el transcurrir del tiempo y los nuevos modos de ataque a la integridad y confidencialidad de la red es necesario mantener un monitoreo continuo y establecer en algunos casos nuevas políticas de acceso para que la seguridad de los enlaces a Internet sean lo mas seguro posibles. Debemos tener en cuenta que en la empresa Turbomex interactúan hombre-maquina y la responsabilidad de mantener la seguridad dentro de la misma no recae en su totalidad en el Firewall sino también en la responsabilidad y honestidad de quienes trabajan en su totalidad dentro de la misma. El trabajo que se presenta cumple con la primera etapa de seguridad en el interior de la empresa Turbomex. Podemos mencionar que faltan otras etapas para que la administración y seguridad de la empresa este a un 100%, considerando este trabajo como un buen comienzo y un gran paso hacia un mejor funcionamiento de la red.

77

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

ANEXO A SITUACION ACTUAL FIGURA 1

ANEXO B “DISEÑO DE RED CON EL FIREWALL ISA SERVER” FIGURA 1

78

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

ANEXO C CONFIGURACION DE INTERFACES FIGURA 1

Nomenclatura de las interfaces del servidor ISA.

CONFIGURACION DE LAS DIRECCIONES IP DE LAS INTERFACES FIGURA 2

FIGURA 3

Interfaz Interna.

Interfaz Externa.

79

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

ANEXO D CONFIGURACION DE LA NAT

FIGURA 1

Inicio del asistente de ruteo y acceso remoto.

FIGURA 2

FIGURA 3

Opciones para el ruteo y acceso remoto.

Fin del asistente de configuración.

80

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

FIGURA 4

Consola de administración para ruteo y acceso remoto. FIGURA 5

Opciones de configuración de rutas estáticas. FIGURA 6

Configuración de ruta estática por default.

81

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

ANEXO E INSTALACION DE ISA SERVER 2006 STANDARD FIGURA 1

FIGURA 2

Asistente de instalación de ISA Server.

Opciones de instalación.

FIGURA 3

FIGURA 4

Componentes de la instalación de ISA.

Interfaces de red.

82

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

FIGURA 5

FIGURA 6

Configuración de la interfaz seleccionada.

FIGURA 7

Direcciones IP de la interfaz.

FIGURA 8

Opciones de cifrado.

Instalación de ISA.

83

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

ANEXO F CONFIGURACION DE REGLAS DE ACCESO FIGURA 2

FIGURA 1

Consola de Administración del ISA.

Regla por default.

FIGURA 3

Protocolos denegados inicialmente.

84

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

FIGURA 5

FIGURA 4

Inicio de configuración de reglas. FIGURA 6

Configuración correo de entrada FIGURA 7

Opciones de acceso. FIGURA 8

Selección de protocolos a permitir. FIGURA 9

Red Origen.

Red destino.

85

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

FIGURA 10

FIGURA 11

Selección de usuarios.

Fin del asistente de regla. FIGURA 13

FIGURA 12

Regla de salida de correo. FIGURA 14

Configuración de internet para los usuarios. FIGURA 15

Regla de resolución de DNS.

Selección de protocolo.

86

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

FIGURA 16

FIGURA 17

Selección del servidor. FIGURA 18

Fin del la configuración de regla. FIGURA 19

Configuración del acceso interno del ISA. FIGURA 20

Selección del protocolo. FIGURA 21

Host origen.

Red destino.

87

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

FIGURA 22

FIGURA 23

Asignación de usuarios.

Fin del asistente para regla.

FIGURA 24

FIGURA 25

Regla para publicación de servidor. FIGURA 26

Nombre de la regla. FIGURA 27

Dirección IP del servidor a publicar.

Selección del protocolo.

88

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

FIGURA 28

FIGURA 29

Selección de la interfaz origen.

Fin del asistente para regla.

FIGURA 30

Reglas básicas configuradas para la seguridad de Turbomex.

89

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

Glorasario. 100BaseFx: Especificación Fast Ethernet (IEEE 802.3) para fibra óptica en topología estrella. 100BaseTx: Especificación Fast Ethernet (IEEE 802.3) para cable multipar trenzado en topología estrella. 10Base-2: Especificación Ethernet (IEEE 802.3) que utiliza tipo de cable coaxil RG-58 muy económico y probado. Topología en bus. 10Base-5: Especificación Ethernet (IEEE 802.3) que utiliza cable coaxil RG-8 o RG-11, utilizado originalmente en la primeras etapas de desarrollo. Topología en bus. 10Base-FL: Especificación Ethernet (IEEE 802.3) que utiliza fibra óptica en topología en estrella. 10Base-T: Especificación Ethernet (IEEE 802.3) que utiliza cable multipar trenzado en topología estrella. A ATM ( Asynchronus Transfer Mode ): ATM es una tecnología de conmutación y multiplexado de alta velocidad, usada para trasmitir diferentes tipos de tráfico simultáneamente, incluyendo voz, video y datos. B Backbone: Enlace troncal usado para interconectar redes entre sí utilizando diferentes tipos de tecnologías. Bridge: Dispositivo usado para conectar dos redes y hacer que las mismas funcionen como si fueran una. Típicamente se utilizan para dividir una red en redes más pequeñas, para incrementar el rendimiento. Bus Topology: Topología de Bus: En una topología de Bus cada nodo se conecta a un cable común. No se requiere un hub en una red con topología de bus. C Cable Coaxil: Se trata de un cable de cobre rodeado de aislación, un conductor secundario que actúa como ¨ tierra ¨ y una cubierta de plástico externa. Cable: Conducto que conecta dispositivos de la red entre sí. El tipo de cable a utilizar depende del tamaño de la red y la topología de la misma. E Ethernet: Ethernet fue desarrollado en PARC con la participación de Robert Metcalfe fundador de 3Com, es un set de standars para infraestructura de red. F Fast Ethernet: Un nuevo estándar de Ethernet que provee velocidad de 100 Megabits por segundo ( a diferencia de los 10 megabits por segundo de las redes Ethernet ).

90

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

FDDI ( Fiber Distributed Data Interface): Interfaz de datos distribuidos por fibra óptica . Se trata de una red de 100 Megabits por segundo en topología en estrella o anillo muy utilizada en backbones, hoy desplazada por nuevas tecnologías como ATM. Firewall: Una computadora que corre un software especial utilizado para prevenir el acceso de usuarios no autorizados a la red. Todo el tráfico de la red debe pasar primero a través de la computadora del firewall. G Gateway: Dispositivo utilizado para conectar diferentes tipos de ambientes operativos. Tipicamente se usan para conectar redes LAN a minicomputadores o mainframes. H Hub: Concentrador. Dispositivo que se utiliza típicamente en topología en estrella como punto central de una red, donde por ende confluyen todos los enlaces de los diferentes dispositivos de la red. I Internet: Internet se define generalmente como la red de redes mundial. Las redes que son parte de esta red se pueden comunicar entre sí a través de un protocolo denominado, TCP/IP (Transmission Control Protocol/ Internet Protocol). Intranet: Las Intranets son redes corporativas que utilizan los protocolos y herramientas de Internet. Si esta red se encuentra a su vez conectada a Internet, generalmente se la protege mediante firewalls. L LAN: Local Area Network o red de área local: Se trata de una red de comunicación de datos geográficamente limitada (no supera por lo general un radio de un kilómetro). N Network: (red) Una red de computadoras es un sistema de comunicación de datos que conecta entre si sistemas informáticos situados en diferentes lugares. Puede estar compuesta por diferentes combinaciones de diversos tipos de redes. Network Interface Card: Tarjetas adaptadoras ubicadas dentro de las computadoras que especifican el tipo de red a utilizar (Ethernet, FDDI, ATM) y que a través de ellas son el vínculo de conexión entre la computadora y la red. Network Operating System: Un sistema operativo que incluye programas para comunicarse con otras computadoras a través de una red y compartir recursos. Nodo: Un dispositivo de la red, generalmente una computadora o una impresora.

91

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

P Par trenzado: Cable similar a los pares telefónicos estándar, que consiste en dos cables aislados "trenzados" entre sí y encapsulados en plástico. Los pares aislados vienen en dos formas: cubiertos y descubiertos. Protocolo: Un conjunto de reglas formales que describen como se trasmiten los datos, especialmente a través de la red. R Repetidor: Un dispositivo que intensifica las señales de la red. Los repetidores se usan cuando el largo total de los cables de la red es mas largo que el máximo permitido por el tipo de cable. No en todos los casos se pueden utilizar. Router – Ruteador: Dispositivo que dirige el tráfico entre redes y que es capaz de determinar los caminos mas eficientes, asegurando un alto rendimiento. S Server (servidor): Sistema que proporciona recursos (por ejemplo, servidores de archivos, servidores de nombres). In Internet este término se utiliza muy a menudo para designar a aquellos sistemas que proporcionan información a los usuarios de la red. Star Ring Topology – Topología Estrella: En las topologías Star Ring o estrella, los nodos radian desde un hub. El hub o concentrador es diferente dependiendo de la tecnología utilizada Ethernet, FDDI, etc. La mayor ventaja de esta topología es que si un nodo falla, la red continúa funcionando. Switch: Un dispositivo de red capaz de realizar una serie de tareas de administración, incluyendo el redireccionamiento de los datos. T Token ring (red en anillo): Una red en anillo es un tipo de LAN con nodos cableados en anillo. Cada nodo pasa constantemente un mensaje de control ("token") al siguiente, de tal forma que cualquier nodo que tiene un "token" puede enviar un mensaje. Topología: La "forma" de la red. Predominan tres tipos de tecnologías: Bus, Estrella y Anillo. Trascend Networking: Tecnologías de 3Com para la construcción de grandes redes corporativas. Consiste en tres elementos principales, rendimiento escalable, alcance extensible y administración del crecimiento. W WAN- Wide Area Network: Red de área amplia: Una red generalmente construida con líneas en serie que se extiende a distancias mayores a un kilómetro.

92

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

ÍNDICE DE FIGURAS CAPITULO I Figura 1.1 Concepto básico de una red. Figura 1.2 Capas del modelo OSI. Figura 1.3 Capa de aplicación. Figura 1.4 Estructura física de una topología de bus. Figura 1.5 Estructura física de una topología de anillo. Figura 1.6 Estructura física de una topología en Estrella. Figura 1.7 Red de estrella Jerárquica. Figura 1.8 Estructura física de una topología de Malla. Figura 1.9 Red PAN. Figura 1.10 Estructura física de una red LAN. Figura 1.11 Estructura física de una red CAN. Figura 1.12 Estructura física de una red MAN. Figura 1.13 Red WAN. Figura 1.14 Red en nivel funcional cliente-servidor. Figura 1.15 Nomenclatura estándar para cableado. Figura 1.16 Estructura física del cable coaxial. Figura 1.17 Estructura física del cable par trenzado STP. Figura 1.18 Estructura física del cable par trenzado UTP. Figura 1.19 Conectores y receptáculos para fibra óptica. Figura 1.20 Esquema de una red por microondas. Figura 1.21 Esquema de una red por microondas vía satélite. Figura 1.22 Dispositivos infrarrojos. Figura 1.23 Transmisión en paralelo. Figura 1,24 Transmisión en serie. Figura 1.25 Estructura de datos de una transmisión asíncrona. Figura 1,26 Comunicación unidireccional. Figura 1,27 Comunicación bidireccional no simultánea. Figura 1.28 Comunicación bidireccional simultánea.

93

1 6 12 13 14 14 15 15 16 17 17 18 19 20 21 22 23 24 24 26 26 27 27 28 28 29 30 30

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

CAPITULO II Figura 2.1 Trama Ethernet. Figura 2.2 Conexión de conmutación por circuitos (arriba) frente a de conmutación Por paquetes (abajo).

37 40

CAPITULO III Figura 3.1 Filtro de paquetes. Figura 3.2 Función de la VPN. Figura 3.3 Traslado de datos en la VPN. Figura 3.4 Alcance en enlace de la VPN. Figura 3.5 Red de transito de la VPN. Figura 3.6 Modelos del Firewall PIX.

45 49 49 50 50 52

CAPITULO IV Figura 4.1 Firewall típico entre red local e Internet. 58 Figura 4.2 Firewall entre red local e Internet con zona DMZ para servidores expuestos. 58 Figura 4.3 Firewall filtra paquetes. 61 62 Figura 4.4 Firewall a nivel de aplicación. Figura 4.5 Firewall a nivel de aplicación. 62 Figura 4.6 Firewall a nivel de red. 64 64 Figura 4.7 Firewall a nivel de red (red mas efectiva que la anterior). Figura 4.8 Firewall a nivel de circuito. 65

94

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

BIBLIOGRAFIA David W. Chapman Jr. Andy Fox “Firewall Pix de CISCO Secure” Pearson Educación, S.A. España 2002. Academia de Networking de Cisco Systems. “Guia del primer año CCNA 1 y 2” Pearson Educación, S.A. Madrid 2004. León García Alberto Widjaja Indra “Redes de Comunicación”, Ed. Mc Graw Hill. “Local and Metropolitan Area Networks", 6th. ed., W. Stallings, McMillan, 2001” “Redes CISCO: Guía de estudio para la certificación CCNA 640-801” ARIGANELLO, E. Editorial Ra-ma 288 páginas “Redes Locales. Edición 2008” Rábago, J. Félix ANAYA MULTIMEDIA 400 páginas Idioma: Español “Redes de área local” Abad Domingo, Alfredo McGRAW-HILL/INTERAMERICANA DE ESPAÑA, S.A.U. 352 páginas Idioma: Español "Comunicaciones y Redes de Computadores", 7ª ed., W. Stallings, Pearson/PrenticeHall, 2004. Es la traducción (bastante buena) de "Data & Computer Communications", 7th Edition. W. Stallings, Prentice-Hall, 2004 "Redes de computadoras". 3a. o 4ª edición, Andrew. S. Tanenbaum. Pearson/Prentice-Hall. 2003. Traducción sudamericana de "Computer Networks" 3rd. o 4th Edition. A.Tannenbaum, Prentice-Hall, 1996-2003.

95

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

"Computer Networking and the Internet" 5ª edición, Fred Halsall. Pearson/Prentice-Hall. 2005 http://es.wikipedia.org/wiki/Man. http://ciberhabitat.gob.mx http://ditec.um.es/laso/docs/tut-tcp/ip/3376c49.html http://www.ignside.net/man/redes/protocolos.php http://www.ignside.net/man/redes/tcp_ip_basico.php http://aprendecomputofacil.blogspot.com/2009/09/concepto-de-red-de-computadora.html http://www.angelfire.com/mi2/Redes/componentes.html http://es.wikipedia.org/wiki/Tarjeta_de_red http://elsitiodetelecomunicaciones.iespana.es/modelo_osi.htm http://mirelucx.over-blog.com/article-29140134.html http://www.unicrom.com/cmp_topologia_redes_bus_anillo.asp http://www.angelfire.com/alt/arashi/topored.htm http://www.pc-doctor.com.mx/radio%20Formula/temas/Redes.htm http://www.textoscientificos.com/redes/comunicaciones/modos

96

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

INDICE. Objetivo. Alcance. Justificación.

I I I

CAPITULO I INTRODUCCION A LAS REDES. 1.1 Introducción 1.2 Concepto de redes 1.3 Historia de las redes. 1.4 Componentes de una red. 1.4.1 Descripción de los dispositivos que conforman una red. 1.4.2 Equipos de comunicación. 1.5 Ventajas de una red. 1.6 Modelo OSI. 1.6.1 Introducción. 1.6.2 Concepto del modelo OSI. 1.6.3 Capa física. 1.6.4 Capa de enlace de datos. 1.6.5 Capa de red. 1.6.6 Capa de transporte. 1.6.7 Capa de sesión. 1.6.8 Capa de presentación. 1.6.9 Capa de aplicación. 1.7 Topología de red. 1.7.1 Concepto. 1.7.2 Topología de bus. 1.7.3 Topología de anillo 1.7.4 Topología de estrella. 1.7.5 Topología de estrella jerárquica. 1.7.6 Topología de malla. 1.8 Redes por su alcance. 1.8.1 Red de área personal (PAN). 1.8.2 Red de área local (LAN). 1.8.3 Red de área de campus (CAN). 1.8.4 Red de área metropolitana (MAN). 1.8.5 Red de área amplia (WAN). 1.9 Redes por su nivel funcional. 1.9.1 Red cliente-servidor. 1.9.2 Redes peer–to-peer (P2P). 1.10 Medios de transmisión.

97

1 1 2 3 3 4 4 5 5 6 7 7 8 9 10 11 11 12 12 13 13 14 15 15 16 16 16 17 18 18 19 19 20 20

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

1.10.1 Concepto. 1.10.2 Medios de transmisión guiados. 1.10.2.1 Especificaciones de cables. 1.10.2.2 Cable coaxial. 1.10.2.3 Par trenzado. 1.10.2.4 Cable STP. 1.10.2.5 Cable UTP. 1.10.2.6 Fibra óptica. 1.10.3 Medios de transmisión no guiados. 1.10.3.1 Microondas terrestres. 1.10.3.2 Microondas por satélite. 1.10.3.3 Infrarrojos. 1.11 Modos de transmisión de datos. 1.11.1 Paralelo. 1.11.2 Serie. 1.11.3 Transmisión asíncrona. 1.11.4 Transmisión síncrona. 1.11.5 Canal de comunicación. 1.11.6 Tipos de comunicación. 1.11.6.1 Simplex. 1.11.6.2 Half-duplex. 1.11.6.3 Full-duplex.

CAPITULO II

TCP/IP.

2.1 ¿Qué es TCP/IP? 2.1.1 Arquitectura de TCP/IP. 2.1.2 Capa de acceso a red. 2.1.3 ¿Cómo funciona ARP? 2.1.4 Red de conmutación de paquetes.

CAPITULO III

20 21 21 22 22 23 23 24 25 25 26 27 27 27 28 28 29 29 29 29 30 30

SEGURIDAD DE REDES.

3.1 Tipo de amenazas a la integración de las redes. 3.1.1 Tipos de ataques. 3.1.2 Ataques de reconocimiento. 3.1.3 Ataques de negación. 3.1.4 Hackers. 3.2 Soluciones. 3.2.1 Filtro de paquetes. 3.2.2 Filtro de Proxy. 3.2.3 Filtro de paquetes con estado. 3.2.4 VPN. 3.2.5 Firewall PIX 98

31 34 37 38 39

42 43 43 43 44 44 44 46 48 48 52

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

CAPITULO IV

FIREWALL.

4.1 ¿Que es un Firewall? 4.2 Por que adquirir un Firewall 4.3 Contra que protege un Firewall 4.4 Tipos de Firewall 4.4.1 Firewall de software 4.4.2 Firewall de hardware y DMZ 4.5 Operación del Firewall 4.5.1 Filtrado de paquetes 4.5.2 firewall a nivel de aplicación 4.5.3 Firewall a nivel de red 4.5.4 Firewall a nivel de circuito

CAPITULO V

55 55 55 55 55 57 59 59 61 63 65

CASO DE ESTUDIO.

5.1 Justificación del diseño. 5.1.1 Objetivo del diseño. 5.1.1.1 Antecedentes. 5.1.2 Planteamiento del problema.

66 66 67 68

5.2 Definición del Diseño de Red con el Firewall ISA. 5.3 Implementación del Firewall ISA Server. 5.3.1Primera etapa. 5.3.1.1 Configuración de las interfaces del ISA Server. 5.3.1.2 Configuración de la NAT en el servidor ISA Server. 5.3.2 Segunda etapa. 5.3.2.1 Instalación de ISA Server. 5.3.3 Tercera etapa. 5.3.3.1 Configuración de reglas de acceso. 5.3.3.2 Regla de acceso de correo entrante a Turbomex. 5.3.3.3 Regla de acceso de correo saliente a Turbomex 5.3.3.4 Regla de acceso navegación de usuarios Turbomex. 5.3.3.5 Regla de acceso DNS del servidor ISA. 5.3.3.6 Regla de acceso del servidor ISA a la red interna. 5.3.3.7 Regla de acceso publicación del servidor terminal. 5.3.4 Cuarta etapa. 5.3.4.1 Configuración del DHCP en el Root Domain.

68 70 70 70 70 72 72 73 73 73 74 74 75 75 76 76 76

99

This PDF is Created by Simpo PDF Creator unregistered version - http://www.simpopdf.com

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacán

CONCLUCIONES

77

ANEXO A

78

ANEXO B

78

ANEXO C

79

ANEXO D

80-81

ANEXO E

82-83

ANEXO F

84-89

GLOSARIO

90-92

INDICE DE FIGURAS

93-94

BIBLIOGRAFIA

95-96

100