Introducción a la seguridad informática

Debido a que el uso de Internet se encuentra en aumento, cada vez más compañías permiten

a sus socios y proveedores acceder a sus sistemas de información. Por lo tanto, es

fundamental saber qué recursos de la compañía necesitan protección para así controlar el

acceso al sistema y los derechos de los usuarios del sistema de información. Los mismos

procedimientos se aplican cuando se permite el acceso a la compañía a través de Internet.

Además, debido a la tendencia creciente hacia un estilo de vida nómada de hoy en día, el

cual permite a los empleados conectarse a los sistemas de información casi desde cualquier

lugar, se pide a los empleados que lleven consigo parte del sistema de información fuera de

la infraestructura segura de la compañía.

Introducción a la seguridad

Los riesgos, en términos de seguridad, se caracterizan por lo general mediante la siguiente

ecuación.

riesgo = (amenaza * vulnerabilidad) / contramedida

La amenaza representa el tipo de acción que tiende a ser dañina, mientras que la

vulnerabilidad (conocida a veces como falencias (flaws) o brechas (breaches)) representa el

grado de exposición a las amenazas en un contexto particular. Finalmente, la contramedida

representa todas las acciones que se implementan para prevenir la amenaza.

Las contramedidas que deben implementarse no sólo son soluciones técnicas, sino también

reflejan la capacitación y la toma de conciencia por parte del usuario, además de reglas

claramente definidas.

Para que un sistema sea seguro, deben identificarse las posibles amenazas y por lo tanto,

conocer y prever el curso de acción del enemigo. Por tanto, el objetivo de este informe es

brindar una perspectiva general de las posibles motivaciones de los hackers, categorizarlas,

y dar una idea de cómo funcionan para conocer la mejor forma de reducir el riesgo de

intrusiones.

Objetivos de la seguridad informática

Generalmente, los sistemas de información incluyen todos los datos de una compañía y

también en el material y los recursos de software que permiten a una compañía almacenar y

hacer circular estos datos. Los sistemas de información son fundamentales para las

compañías y deben ser protegidos.

Generalmente, la seguridad informática consiste en garantizar que el material y los recursos

de software de una organización se usen únicamente para los propósitos para los que fueron

creados y dentro del marco previsto.

La seguridad informática se resume, por lo general, en cinco objetivos principales:

Integridad: garantizar que los datos sean los que se supone que son

Confidencialidad: asegurar que sólo los individuos autorizados tengan acceso a los recursos

que se intercambian

Disponibilidad: garantizar el correcto funcionamiento de los sistemas de información

Evitar el rechazo: garantizar de que no pueda negar una operación realizada.

Autenticación: asegurar que sólo los individuos autorizados tengan acceso a los recursos

Confidencialidad

La confidencialidad consiste en hacer que la información sea ininteligible para aquellos

individuos que no estén involucrados en la operación.

Integridad

La verificación de la integridad de los datos consiste en determinar si se han alterado los

datos durante la transmisión (accidental o intencionalmente).

Disponibilidad

El objetivo de la disponibilidad es garantizar el acceso a un servicio o a los recursos.

No repudio

Evitar el repudio de información constituye la garantía de que ninguna de las partes

involucradas pueda negar en el futuro una operación realizada.

Autenticación

La autenticación consiste en la confirmación de la identidad de un usuario; es decir, la

garantía para cada una de las partes de que su interlocutor es realmente quien dice ser. Un

control de acceso permite (por ejemplo gracias a una contraseña codificada) garantizar el

acceso a recursos únicamente a las personas autorizadas.

Necesidad de un enfoque global

Frecuentemente, la seguridad de los sistemas de información es objeto de metáforas. A

menudo, se la compara con una cadena, afirmándose que el nivel de seguridad de un

sistema es efectivo únicamente si el nivel de seguridad del eslabón más débil también lo es.

De la misma forma, una puerta blindada no sirve para proteger un edificio si se dejan las

ventanas completamente abiertas.

Lo que se trata de demostrar es que se debe afrontar el tema de la seguridad a nivel global y

que debe constar de los siguientes elementos:

Concienciar a los usuarios acerca de los problemas de seguridad

Seguridad lógica, es decir, la seguridad a nivel de los datos, en especial los datos de la

empresa, las aplicaciones e incluso los sistemas operativos de las compañías.

Seguridad en las telecomunicaciones: tecnologías de red, servidores de compañías, redes de

acceso, etc.

Seguridad física, o la seguridad de infraestructuras materiales: asegurar las habitaciones, los

lugares abiertos al público, las áreas comunes de la compañía, las estaciones de trabajo de

los empleados, etc.

Cómo implementar una política de seguridad

Generalmente, la seguridad de los sistemas informáticos se concentra en garantizar el

derecho a acceder a datos y recursos del sistema configurando los mecanismos de

autentificación y control que aseguran que los usuarios de estos recursos sólo posean los

derechos que se les han otorgado.

Los mecanismos de seguridad pueden sin embargo, causar inconvenientes a los usuarios.

Con frecuencia, las instrucciones y las reglas se vuelven cada vez más complicadas a

medida que la red crece. Por consiguiente, la seguridad informática debe estudiarse de

modo que no evite que los usuarios desarrollen usos necesarios y así puedan utilizar los

sistemas de información en forma segura.

Por esta razón, uno de los primeros pasos que debe dar una compañía es definir una política

de seguridad que pueda implementar en función a las siguientes cuatro etapas:

Identificar las necesidades de seguridad y los riesgos informáticos que enfrenta la compañía

así como sus posibles consecuencias

Proporcionar una perspectiva general de las reglas y los procedimientos que deben

implementarse para afrontar los riesgos identificados en los diferentes departamentos de la

organización

Controlar y detectar las vulnerabilidades del sistema de información, y mantenerse

informado acerca de las falencias en las aplicaciones y en los materiales que se usan

Definir las acciones a realizar y las personas a contactar en caso de detectar una amenaza

La política de seguridad comprende todas las reglas de seguridad que sigue una

organización (en el sentido general de la palabra). Por lo tanto, la administración de la

organización en cuestión debe encargarse de definirla, ya que afecta a todos los usuarios del

sistema.

En este sentido, no son sólo los administradores de informática los encargados de definir

los derechos de acceso sino sus superiores. El rol de un administrador de informática es el

de asegurar que los recursos de informática y los derechos de acceso a estos recursos

coincidan con la política de seguridad definida por la organización.

Es más, dado que el/la administrador/a es la única persona que conoce perfectamente el

sistema, deberá proporcionar información acerca de la seguridad a sus superiores,

eventualmente aconsejar a quienes toman las decisiones con respecto a las estrategias que

deben implementarse, y constituir el punto de entrada de las comunicaciones destinadas a

los usuarios en relación con los problemas y las recomendaciones de seguridad.

La seguridad informática de una compañía depende de que los empleados (usuarios)

aprendan las reglas a través de sesiones de capacitación y de concientización. Sin embargo,

la seguridad debe ir más allá del conocimiento de los empleados y cubrir las siguientes

áreas:

Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la compañía

y al uso de los empleados

Un procedimiento para administrar las actualizaciones

Una estrategia de realización de copias de seguridad (backup) planificada adecuadamente

Un plan de recuperación luego de un incidente

Un sistema documentado actualizado

Las causas de inseguridad

Generalmente, la inseguridad se puede dividir en dos categorías:

Un estado de inseguridad activo; es decir, la falta de conocimiento del usuario acerca de las

funciones del sistema, algunas de las cuales pueden ser dañinas para el sistema (por

ejemplo, no desactivar los servicios de red que el usuario no necesita)

Un estado de inseguridad pasivo; es decir, la falta de conocimiento de las medidas de

seguridad disponibles (por ejemplo, cuando el administrador o usuario de un sistema no

conocen los dispositivos de seguridad con los que cuentan)

ASO – CAPITULO 2

Integración de sistemas

En la actualidad es muy frecuente encontrarse con redes heterogéneas en las que conviven

diferentes sistemas operativos tanto a nivel cliente como a nivel servidor, una de las tareas

del administrador de sistemas es que los diferentes equipos puedan comunicarse

correctamente, compartir información, recursos, etc…

Esquemas básicos de red

La arquitectura de la red es el diseño de la red en el que se emplean determinados

componentes cuya finalidad es canalizar, permitr o denegar el tráfico con los elementos

apropiados. Existen varias arquitecturas de red, y algunos de los elementos básicos que

intervienen son:

Router, equipo que permite o deniega las comunicaciones entre dos o más redes, debe estar

especialmente protegido ya que puede ser objeto de un ataque. Puede ser un dispositivo

específico o un ordenador funcionando como tal.

Red interna, es donde se encuentran los equipos y servidores internos, se suele dividir en

varias redes para denegar o permitir el tráfico entre ellas.

Red perimetral o zona neutral, añadida entre dos redes para proporcionar mayor protección

a una de ellas. Su principal objetivo es que ante una posible intrusión en uno de los

servidores, se aisle la intrusión y no se permita el acceso a la red interna.

La configuración más simple consiste en el empleo de un router para comunicar la red

interna con internet, es la más insegura de todas ya que toda la seguridad reside en un único

punto: el router, en caso de fallo de seguridad en el router el atacante tendrá acceso a toda

la red interna. Otro aspecto a tener en cuenta con la configuración básica es que si

necesitamos tener un servidor ofreciendo servicios a internet lo tendremos que tener en la

red interna lo cual es peligroso, para solucionar este problema se añade una zona neutra o

desmilitarizada.

Esquemas de red con una zona neutra

Este es el esquema que debe usarse cuando se quieren ofrecer servicios a internet y

mantener un nivel adecuado de seguridad en la red interna, hace uso de dos routers para

crear un perimetro de seguridad en el que ubicar los servidores accesibles desde el exterior

protegiendo de esta forma la red interna de atacantes externos.Lo normal es que el router

exterior esté configurado para permitir el acceso desde internet a los servidores de la zona

neutra especificando los puertos utilizados mientras el router interior unicamente permite el

tráfico saliente de la red interna al exterior, de esta forma, si se lograse acceder a la zona

neutra el atacante nunca tendrá acceso a la red interna.

Diferentes configuraciones:

Gráfico de esquema de red con una zona neutra y una red interna utilizando un único router

con tres interfaces de red:

esquema_neutra_1router

Gráfico de esquema de red con una zona neutra y varias zonas internas, util si se tienen

diferentes tipos de seguridad o servidores internos

esquema_neutra_2redesinternas

Gráfico de esquema de red con dos zona neutras y varias zonas internas, permite crear dos

tipos de servicios, por ejemplo uno púbilico (FTP,HTTP..) y otro privado para conexiones

VPN

esquema_neutra_2redesneutras

Para permitir que los diferentes equipos trabajen correctamente entre sí se deben cumplir

los siguientes niveles de integración:

Red, los equipos pueden comunicarse entre sí.

Datos, los equipos pueden compartir datos entre sí.

Servicios, los equipos acceden a los servicios que ofrecen otros equipos.

RED

Una red debe contar, al menos, con los siguientes servicios.

Enrutamiento, permite a un servidor actuar como router.

Servidor DHCP, sin ser obligatorio, permite a los equipos cliente obtener la configuración

de la red (IP, mascara, DNS, gateway, etc…)

Servidor DNS, mantiene una equivalencia entre los nombres de los dominios y equipos con

sus direcciones IP

DATOS

Son el recurso más importante en la empresa, los servicios más utilizados en lo relativo a

datos son.

Samba, permite compartir archivos entre sistemas Windows y GNU/Linux.

NFS, es el servicio para compartir archivos en GNU/Linux.

Podemos usar un servidor como NAS (Network Attached Storage), otra forma de compartir

archivos es con el sistema de ficheros distribuido el cual permite acceder a los datos que se

almacenan en varios servidores que comparten la misma carpeta y se auto-replican los

datos, este metodo es especialmente útil cuando los clientes están ubicados en

localizaciones diferentes.

SERVICIOS

Los servicios de red proporcionan una funcionalidad a la red de una empresa, los más

utilizados son.

Acceso remoto:

- Modo terminal, Telnet es una manera cliente de acceder a un servidor, no seguro. SSH, el

más utilizado porque garantiza la seguridad de las comunicaciones.

- Modo gráfico, por ejemplo VNC, RDP (Terminal Server), X11.

Directorio activo, gestiona dominios para una mejor administración de usuarios y equipo.

Cuando un usuario se conecta a la red debe elegir el nombre de dominio al cual se conecta,

este le autenticará y el usuario dispondrá de los recursos en los que tiene permisos. La

gestión se realiza de manera centralizada puesto que toda la información se almacenan en

los controladores de dominio (DC), los cuales al utilizar sistemas de ficheros distribuidos se

replican esta información.

Servidores de impresión, permitem compartir impresoras entre diferentes clientes, se puede

monitorizar el estado, la cola de impresión, adminstrar los trabajos, etc…

Actualización centralizada de sistemas, permite tener correctamente actualizados a todos

los sitemas de la red, además es un solo servidor (o varios configurados con ese rol) el que

se descarga las actualizaciones desde intenet y las distribuye a los clientes de la red interna,

evitando de este modo un tráfico intenso hacia internet y como las actualizaciones se

pueden programar se reduce también el tráfico local.

Monitorización centralizada, se encarga de la supervisión de los sitemas y estos envian

alertas (con diferentes niveles de severidad) acerca de su estado (mediante plantillas

previamente configuradas). Las herramientas más comunes son Nagios, HP OVO, etc..

Conmutación (redes de comunicación)

Conmutación es la conexión que realizan los diferentes nodos que existen en distintos

lugares y distancias para lograr un camino apropiado para conectar dos usuarios de una red

de telecomunicaciones. La conmutación permite la descongestión entre los usuarios de la

red disminuyendo el tráfico.

Conmutación de circuitos

En la conmutación de circuitos los equipos de conmutación deben establecer un camino

físico entre los medios de comunicación previo a la conexión entre los usuarios. Este

camino permanece activo durante la comunicación entre los usuarios, liberándose al

terminar la comunicación. Ejemplo: Red Telefónica Conmutada. Su funcionamiento pasa

por las siguientes etapas: solicitud, establecimiento, transferencia de archivos y liberación

de conexión.

Ventajas

La transmisión se realiza en tiempo real, siendo adecuado para comunicación de voz y

video.

Acaparamiento de recursos. Los nodos que intervienen en la comunicación disponen en

exclusiva del circuito establecido mientras dura la sesión.

No hay contención. Una vez que se ha establecido el circuito las partes pueden comunicarse

a la máxima velocidad que permita el medio, sin compartir el ancho de banda ni el tiempo

de uso.

El circuito es fijo. Dado que se dedica un circuito físico específicamente para esa sesión de

comunicación, una vez establecido el circuito no hay pérdidas de tiempo calculando y

tomando decisiones de encaminamiento en los nodos intermedios. Cada nodo intermedio

tiene una sola ruta para los paquetes entrantes y salientes que pertenecen a una sesión

específica.

Simplicidad en la gestión de los nodos intermedios. Una vez que se ha establecido el

circuito físico, no hay que tomar más decisiones para encaminar los datos entre el origen y

el destino.

Desventajas

Retraso en el inicio de la comunicación. Se necesita un tiempo para realizar la conexión, lo

que conlleva un retraso en la transmisión de la información.

Acaparamiento (bloqueo) de recursos. No se aprovecha el circuito en los instantes de

tiempo en que no hay transmisión entre las partes. Se desperdicia ancho de banda mientras

las partes no están comunicándose.

El circuito es fijo. No se reajusta la ruta de comunicación, adaptándola en cada posible

instante al camino de menor costo entre los nodos. Una vez que se ha establecido el

circuito, no se aprovechan los posibles caminos alternativos con menor coste que puedan

surgir durante la sesión.

Poco tolerante a fallos. Si un nodo intermedio falla, todo el circuito se viene abajo. Hay que

volver a establecer conexiones desde el principio.

Conmutación de mensajes

Este método era el usado por los sistemas telegráficos, siendo el más antiguo que existe.

Para transmitir un mensaje a un receptor, el emisor debe enviar primero el mensaje

completo a un nodo intermedio el cual lo encola en la cola donde almacena los mensajes

que le son enviados por otros nodos. Luego, cuando llega su turno, lo reenviará a otro y éste

a otro y así las veces que sean necesarias antes de llegar al receptor. El mensaje deberá ser

almacenado por completo y de forma temporal en el nodo intermedio antes de poder ser

reenviado al siguiente, por lo que los nodos temporales deben tener una gran capacidad de

almacenamiento. Esto es lo que se llama funcionamiento "store and forward" ("almacenar y

reenviar").

Ventajas

Se multiplexan mensajes de varios procesos hacia un mismo destino, y viceversa, sin que

los solicitantes deban esperar a que se libere el circuito

El canal se libera mucho antes que en la conmutación de circuitos, lo que reduce el tiempo

de espera necesario para que otro remitente envíe mensajes.

No hay circuitos ocupados que estén inactivos. Mejor aprovechamiento del canal.

Si hay error de comunicación se retransmite una menor cantidad de datos.

Desventajas

Se añade información extra de encaminamiento (cabecera del mensaje) a la comunicación.

Si esta información representa un porcentaje apreciable del tamaño del mensaje el

rendimiento del canal (información útil/información transmitida) disminuye.

Mayor complejidad en los nodos intermedios:

Ahora necesitan inspeccionar la cabecera de cada mensaje para tomar decisiones de

encaminamiento.

También deben examinar los datos del mensaje para comprobar que se ha recibido sin

errores.

También necesitan disponer de memoria (discos duros) y capacidad de procesamiento para

almacenar, verificar y retransmitir el mensaje completo.

Sigue sin ser viable la comunicación interactiva entre los terminales.

Si la capacidad de almacenamiento se llena y llega un nuevo mensaje, no puede ser

almacenado y se perderá definitivamente.

Un mensaje puede acaparar una conexión de un nodo a otro mientras transmite un mensaje,

lo que lo incapacita para poder ser usado por otros nodos.

Es lenta

Conmutación de paquetes

El emisor divide los mensajes a enviar en un número arbitrario de paquetes del mismo

tamaño, donde adjunta una cabecera y la dirección origen y destino así como datos de

control que luego serán transmitidos por diferentes medios de conexión entre nodos

temporales hasta llegar a su destino. Este método de conmutación es el que más se utiliza

en las redes de ordenadores actuales.

Al igual que en la conmutación de mensajes, los nodos temporales almacenan los paquetes

en colas en sus memorias que no necesitan ser demasiado grandes.

Modos de Conmutación

Circuito virtual:

Cada paquete se encamina por el mismo circuito virtual que los anteriores.

Por tanto se controla y asegura el orden de llegada de los paquetes a destino.

Exiten 2 tipos:

PVC : Se establece un único camino para todos los envíos.

SVC : Se establece un nuevo camino en el siguiente envío .

Datagrama

Cada paquete se encamina de manera independiente de los demás

Por tanto la red no puede controlar el camino seguido por los paquetes, ni asegurar el orden

de llegada a destino.

Ventajas

Si hay error de comunicación se retransmite una cantidad de datos aun menor que en el

caso de mensajes

En caso de error en un paquete solo se reenvía ese paquete, sin afectar a los demás que

llegaron sin error.

Comunicación interactiva. Al limitar el tamaño máximo del paquete, se asegura que ningún

usuario pueda monopolizar una línea de transmisión durante mucho tiempo

(microsegundos), por lo que las redes de conmutación de paquetes pueden manejar tráfico

interactivo.

Aumenta la flexibilidad y rentabilidad de la red.

Se puede alterar sobre la marcha el camino seguido por una comunicación (p.ej. en caso de

avería de uno o más enrutadores).

Se pueden asignar prioridades a los paquetes de una determinada comunicación. Así, un

nodo puede seleccionar de su cola de paquetes en espera de ser transmitidos aquellos que

tienen mayor prioridad.

Desventajas

Mayor complejidad en los equipos de conmutación intermedios, que necesitan mayor

velocidad y capacidad de cálculo para determinar la ruta adecuada en cada paquete.

Duplicidad de paquetes. Si un paquete tarda demasiado en llegar a su destino, el host

receptor(destino) no enviara el acuse de recibo al emisor, por el cual el host emisor al no

recibir un acuse de recibo por parte del receptor este volverá a retransmitir los últimos

paquetes del cual no recibió el acuse, pudiendo haber redundancia de datos.

Si los cálculos de encaminamiento representan un porcentaje apreciable del tiempo de

transmisión, el rendimiento del canal (información útil/información transmitida) disminuye.

¿QUE ES DIAL-UP?

La tecnología Dial-Up le permite acceder al servicio Internet a través de una línea

telefónica analógica y un MODEM. El Internet es una red mundial de computadoras. A su

vez está formada por otras redes más pequeñas. Esta red conecta a unos 100 millones de

usuarios. Permite que un usuario se comunique con otro y que se transfieran archivos de

datos de una máquina a cualquier otra en la red.

La tecnología dial up es una forma de conectarse a Internet.

Es a través del servicio dial up que se puede:

* Enviar correo electrónico

* Jugar juegos

* Noticias, libros de interés actual

* Buscar información

* Compartir ideas

* Hacer compras

* Escuchar radio

* Ver videos

* Obtener software

Internet dial-up funciona al igual que la línea telefónica, mediante cables convencionales,

digitales, fibra óptica, vía telefonía celular, vía satélite etc. por los cuales se envían y

reciben datos.

La velocidad de conexión a Internet de este sistema, con un MODEM actual, es de

proximadamente 56 Kbps (Kilobytes por segundo)

Redes dedicadas

Definición

Una red dedicada es una denominación que usualmente se reserva para redes de

comunicaciones en las cuáles existe un único tipo de tráfico con objetivos de calidad

establecidos explícitamente en el contrato entre el operador y el usuarios. Normalmente se

utilizan para garantizar la disponibilidad de una cierta capacidad de transporte en ciertas

condiciones a grandes usuarios de comunicaciones. Las tecnologías que soportan estas

redes dedicadas dependen, en primer lugar, del tipo de información considerado: voz, vídeo

(+ audio) o datos. También aunque originalmente se trataba de redes separadas, de una

forma creciente se utilizan las mismas redes de transporte que para cualquier otra

comunicación a las que se incorporan los mecanismos adecuados para separar y priorizar el

tráfico en cuestión.

Frame Relay

Frame Relay o (Frame-mode Bearer Service) es una técnica de comunicación mediante

retransmisión de tramas para redes de circuito virtual, introducida por la ITU-T a partir de

la recomendación I.122 de 1988. Consiste en una forma simplificada de tecnología de

conmutación de paquetes que transmite una variedad de tamaños de tramas o marcos

(“frames”) para datos, perfecto para la transmisión de grandes cantidades de datos.

La técnica Frame Relay se utiliza para un servicio de transmisión de voz y datos a alta

velocidad que permite la interconexión de redes de área local separadas geográficamente a

un coste menor.

Aplicaciones y Beneficios

Reducción de complejidad en la red. elecciones virtuales múltiples son capaces de

compartir la misma línea de acceso.

Equipo a costo reducido. Se reduce las necesidades del “hardware” y el procesamiento

simplificado ofrece un mayor rendimiento por su dinero.

Mejora del desempeño y del tiempo de respuesta. penetración directa entre localidades con

pocos atrasos en la red.

Mayor disponibilidad en la red. Las conexiones a la red pueden redirigirse automáticamente

a diversos cursos cuando ocurre un error.

Se pueden utilizar procedimientos de Calidad de Servicio (QoS) basados en el

funcionamiento Frame Relay.

Tarifa fija. Los precios no son sensitivos a la distancia, lo que significa que los clientes no

son penalizados por conexiones a largas distancias.

Mayor flexibilidad. Las conexiones son definidas por los programas. Los cambios hechos a

la red son más rápidos y a menor costo si se comparan con otros servicios.

Ofrece mayores velocidades y rendimiento, a la vez que provee la eficiencia de ancho de

banda que viene como resultado de los múltiples circuitos virtuales que comparten un

puerto de una sola línea.

Los servicios de Frame Relay son confiables y de alto rendimiento. Son un método

económico de enviar datos, convirtiéndolo en una alternativa a las líneas dedicadas.

El Frame Relay es ideal para usuarios que necesitan una conexión de mediana o alta

velocidad para mantener un tráfico de datos entre localidades múltiples y distantes .

Opcionales WEB, Libros virtuales: redes...

Frame Relay constituye un método de comunicación orientado a paquetes para la conexión

de sistemas informáticos. Se utiliza principalmente para la interconexión de redes de área

local (LANs, local area networks) y redes de área extensa (WANs, wide area networks)

sobre redes públicas o privadas. La mayoría de compañías públicas de telecomunicaciones

ofrecen los servicios Frame Relay como una forma de establecer conexiones virtuales de

área extensa que ofrezcan unas prestaciones relativamente altas. Frame Relay es una

interfaz de usuario dentro de una red de conmutación de paquetes de área extensa, que

típicamente ofrece un ancho de banda comprendida en el rango de 56 kbit/s y 1.544 Mbit/s.

Frame Relay se originó a partir de las interfaces ISND y se propuso como estándar al

Comité consultivo internacional para telegrafía y telefonía (CCITT) en 1984. El comité de

normalización T1S1 de los Estados Unidos, acreditado por el Instituto americano de

normalización (ANSI), realizó parte del trabajo preliminar sobre Frame Relay.

Norma X.25

X.25 es un estándar ITU-T para redes de área amplia de conmutación de paquetes. Su

protocolo de enlace, LAPB, está basado en el protocolo HDLC (publicado por ISO, y el

cual a su vez es una evolución del protocolo SDLC de IBM). Establece mecanismos de

direccionamiento entre usuarios, negociación de características de comunicación, técnicas

de recuperación de errores. Los servicios públicos de conmutación de paquetes admiten

numerosos tipos de estaciones de distintos fabricantes. Por lo tanto, es de la mayor

importancia definir la interfaz entre el equipo del usuario final y la red. X.25 esta orientado

a la conexión y trabaja con circuitos virtuales tanto conmutados como permanentes. En la

actualidad se trata de una norma obsoleta con utilidad puramente académica.

X.25 y su relación con el modelo OSI

El modelo de interconexión de sistemas abiertos ha sido la base para la implementación de

varios protocolos. Entre ellos, el conjunto de protocolos conocido como X.25 es

probablemente el mejor conocido y el más ampliamente utilizado. X.25 fue establecido

como una recomendación de la ITU-TS (Telecommunications Section de la International

Telecommunications Union), una organización internacional que recomienda estándares

para los servicios telefónicos internacionales. X.25 ha sido adoptado para las redes públicas

de datos y es especialmente popular en Europa. X.25 es un protocolo que se basa en las

primeras tres capas del modelo OSI.

Niveles de la norma X.25

El Nivel Físico

La recomendación X.25 para el nivel de paquetes coincide con una de las recomendaciones

del tercer nivel OSI. X.25 abarca el tercer nivel y también los dos niveles más bajos. La

interfaz de nivel físico recomendado entre el ETD y el ETCD es el X.21. X.25 asume que el

nivel físico X.21 mantiene activados los circuitos T(transmisión) y R(recepción) durante el

intercambio de paquetes. Asume también, que el X.21 se encuentra en estado 13S(enviar

datos), 13R(recibir datos) o 13(transferencia de datos). Supone también que los canales

C(control) e I(indicación) de X.21 están activados. Por todo esto X.25 utiliza la interfaz

X.21 que une el ETD y el ETCD como un "conducto de paquetes", en el cual los paquetes

fluyen por las líneas de transmisión(T) y de recepción(R). El nivel físico de X.25 no

desempeña funciones de control significativas. Se trata más bien de un conducto pasivo, de

cuyo control se encargan los niveles de enlace y de red.

El Nivel de Enlace

En X.25 se supone que el nivel de enlace es LAPB. Este protocolo de línea es un conjunto

de HDLC. LAPB y X.25 interactúan de la siguiente forma: En la trama LAPB, el paquete

X.25 se transporta dentro del campo I(información). Es LAPB el que se encarga de que

lleguen correctamente los paquetes X.25 que se transmiten a través de un canal susceptible

de errores, desde o hacia la interfaz ETD/ETCD. La diferencia entre paquete y trama es que

los paquetes se crean en el nivel de red y se insertan dentro de una trama, la cual se crea en

nivel de enlace. Para funcionar bajo el entorno X.25, LAPB utiliza información(I),

Receptor Preparado(RR), Rechazo(REJ), Receptor No Preparado(RNR),

Desconexión(DSC), Activar Modo de Respuesta Asíncrono(SARM) y Activar Modo

Asíncrono Equilibrado(SABM). Las respuestas utilizadas son las siguientes: Receptor

Preparado(RR), Rechazo(REJ), Receptor No Preparado(RNR), Asentimiento No

Numerado(UA), Rechazo de Trama(FRMR) y Desconectar Modo(DM). Los datos de

usuario del campo I no pueden enviarse como respuesta. De acuerdo con las reglas de

direccionamiento HDLC, ello implica que las tramas I siempre contendrán la dirección de

destino con lo cual se evita toda posible ambigüedad en la interpretación de la trama. X.25

exige que LAPB utilice direcciones específicas dentro del nivel de enlace. Tanto X.25

como LAPB utilizan números de envío(S) y de recepción(R) para contabilizar el tráfico que

atraviesan sus respectivos niveles. En LAPB los números se denotan como N(S) y N(R),

mientras que en X.25 la notación de los números de secuencia es P(S) y P(R). Es un

protocolo de red, para la conmutación de paquetes.

Servicio de circuito virtual

El servicio de circuito virtual de X.25 ofrece dos tipos de circuitos virtuales: llamadas

virtuales y circuitos virtuales permanentes. Una llamada virtual es un circuito virtual que se

establece dinámicamente mediante una petición de llamada y una liberación de llamada. Un

circuito virtual permanente es un circuito virtual fijo asignado en la red. La transferencia de

los datos se produce como con las llamadas virtuales, pero en este caso no se necesita

realizar ni el establecimiento ni el cierre de la llamada.

Redes de Broadcast

Broadcast, difusión en español, es una forma de transmisión de información donde un nodo

emisor envía información a una multitud de nodos receptores de manera simultánea, sin

necesidad de reproducir la misma transmisión nodo por nodo.

La difusión en redes IPv4

El protocolo IP en su versión 4 también permite la difusión de datos. En este caso no existe

un medio de transmisión compartido, no obstante, se simula un comportamiento similar.

La difusión en IPv4 no se realiza a todos los nodos de la red porque colapsaría las líneas de

comunicaciones debido a que no existe un medio de transmisión compartido. Tan sólo es

posible la difusión a subredes concretas dentro de la red, generalmente, aquellas bajo el

control de un mismo enrutador. Para ello existen dos modalidades de difusión:

Difusión limitada (limited broadcast)

Consiste en enviar un paquete de datos IP con la dirección 255.255.255.255. Este paquete

solamente alcanzará a los nodos que se encuentran dentro de la misma red física

subyacente. En general, la red subyacente será una red de área local (LAN) o un segmento

de ésta.

Multidifusión (multicast)

La multidifusión utiliza un rango especial de direcciones denominado rango de clase D.

Estas direcciones no identifican nodos sino redes o subredes. Cuando se envía un paquete

con una dirección de multidifusión, todos los enrutadores intermedios se limitan a re-enviar

el paquete hasta el enrutador de dicha subred. Éste último se encarga de hacerlo llegar a

todos los nodos que se encuentran en la subred.

Aquella dirección que tiene todos y cada uno de los bits de la parte de dirección de máquina

con valor 1 es una dirección de multidifusión. Por ejemplo, en una red 192.168.11.0/24, la

dirección de broadcast es 192.168.11.255. El valor de host 255 en 192.168.11.255 se

codifica en binario con sus ocho bits a 1: 11111111.

Aún hoy día la multidifusión se utiliza únicamente como experimento. Existe una propuesta

de implementación de videoconferencia utilizando multidifusión, sin embargo, se han

estandarizado otros mecanismos.

La difusión en redes IPv6

La difusión en IPv6 ha demostrado tener bastante utilidad en la práctica. Por eso, la nueva

versión 6 del protocolo ha optado por otro esquema para simular la difusión:

Multidifusión (multicast)

La multidifusión es sensiblemente distinta en IPv6 respecto a IPv4. Un paquete de

multidifusión no está dirigido necesariamente a una red o subred, concepto que no existe en

IPv6, sino a un grupo de nodos predefinido compuesto por cualquier equipo en cualquier

parte de la red.

El nodo emisor emite su paquete a una dirección de multidifusión como si se tratase de

cualquier otro paquete. Dicho paquete es procesado por diversos enrutadores intermedios.

Estos enrutadores utilizan una tabla de correspondencia que asocia cada dirección de

multidifusión con un conjunto de direcciones reales de nodos. Una vez determinadas dichas

direcciones, retransmite una copia del paquete a cada uno de los nodos interesados.

Para construir dichas tablas de correspondencia, es necesario que cada nodo receptor se

registre previamente en una dirección de multidifusión.

Las direcciones de multidifusión comienzan por FF00 (en hexadecimal). A diferencia de

IPv4, la implementación de la multidifusión es obligatoria para los enrutadores. Su

aplicación práctica está en la videoconferencia y telefonía.

Difusión a una de varias (anycast)

Artículo principal: Anycast

La difusión anycast es similar a la anterior. La diferencia radica en que no se requiere que

el paquete llegue a todos los nodos del grupo, sino que se selecciona uno en concreto que

recibirá la información.

La utilidad de este tipo de difusión puede ser aumentar la disponibilidad de un servicio, el

descubrimiento de servicios en la red y el reparto de carga de cómputo entre varios nodos.

Aplicaciones prácticas de la difusión

La difusión de información es útil para dos tipos de escenarios:

Cuando el nodo emisor no conoce cual es el nodo destinatario. La aplicación más común es

el descubrimiento automático de servicios en una red. De esta manera, el usuario no tiene

por qué conocer de antemano la dirección del servidor que proporciona un determinado

servicio.

Cuando el nodo emisor necesita enviar la misma información a múltiples receptores. Es el

caso de la videoconferencia y el streaming.

El Broadcasting puede ser utilizado para generar un Ataque de denegación de servicio (o

Ataque DoS). El atacante envía falsos paquetes de peticiones ping con la IP fuente del

computador de la víctima. El computador víctima es inundado por las respuestas de todos

los computadores del dominio.

Documentacion de la Red Empresarial

Una de las primeras tareas para un nuevo técnico de red es familiarizarse con la estructura

de la red actual. Las redes empresariales pueden tener miles de hosts y cientos de

dispositivos de red, interconectados por tecnologías inalámbricas, de cables de cobre y de

fibra óptica. Todas las estaciones de trabajo de usuario final, los servidores y los

dispositivos de red, como los switches y los routers, deben estar documentados. Los

diversos tipos de documentación muestran diferentes aspectos de la red.

Los diagramas de infraestructura de la red o los diagramas topológicos mantienen un

registro de la ubicación, la función y el estado de los dispositivos. Los diagramas

topológicos representan la red física o la red lógica.

Un mapa de topología física emplea íconos para documentar la ubicación de los hosts, de

los dispositivos de red y de los medios. Es importante mantener y actualizar los mapas de

topología física para facilitar futuras tareas de instalación y resolución de problemas.

Un mapa de topología lógica agrupa los hosts según el uso de red, independientemente de

la ubicación física. En el mapa de topología lógica, se pueden registrar los nombres de los

hosts, las direcciones, la información de los grupos y las aplicaciones. Las conexiones entre

sitios múltiples pueden aparecer, pero no representan ubicaciones físicas reales.

Los diagramas de red empresarial pueden incluir también información del plano de control.

La información del plano de control describe los dominios de fallas y define las interfaces

en donde las diferentes tecnologías de red se interconectan.

Es fundamental que la documentación de la red permanezca actualizada y sea exacta. La

documentación de la red, normalmente, es exacta en el momento de la instalación de una

red. Sin embargo, a medida que la red crece o cambia, la documentación no siempre está

actualizada.

Los mapas de topología de red están basados, con frecuencia, en los planos de piso

originales. Los planos de piso actuales pueden haber sido modificados desde la

construcción del edificio. Los anteproyectos pueden estar marcados o coloreado en rojo

para indicar las modificaciones. El diagrama modificado se conoce como proyecto

terminado. Un diagrama de proyecto terminado documenta cómo se construyó realmente

una red, lo que puede diferir de los planos originales. Asegúrese siempre de que la

documentación actual refleje el plano de piso del proyecto terminado y todas las

modificaciones en la topología de la red.

Los diagramas de red se crean normalmente con software de diseño gráfico. Además de ser

una herramienta de diseño, muchas herramientas de diseño de red están vinculadas a una

base de datos. Esta característica permite al personal de asistencia de red desarrollar

documentación detallada mediante el registro de información sobre hosts y dispositivos de

red, que incluyen fabricante, número de modelo, fecha de compra, período de garantía y

otra información adicional. Al hacer clic en un dispositivo del diagrama, se abre un

formulario de inscripción con información detallada del dispositivo.

Además de los diagramas de red, se utilizan otros tipos importantes de documentación en la

red empresarial.

Plan de continuidad de la empresa:

El Plan de continuidad de la empresa (BCP, Business Continuity Plan) identifica los pasos

que se deben seguir para continuar con el funcionamiento de la empresa en caso de que

ocurra un desastre natural o provocado por el hombre.

Plan de seguridad de la empresa:

El Plan de seguridad de la empresa (BSP, Business Security Plan) incluye medidas de

control físicas, de sistema y organizacionales. El plan de seguridad general debe incluir una

porción de TI que describa cómo una organización protege su red y sus bienes de

información.

Plan de mantenimiento de red:

El Plan de mantenimiento de red (NMP, Network Maintenance Plan) asegura la

continuidad de la empresa mediante el cuidado y el funcionamiento eficiente de la red. El

mantenimiento de la red se debe programar durante períodos específicos, normalmente

durante las noches y los fines de semana, a fin de minimizar el impacto sobre las

operaciones comerciales.

Acuerdo de nivel de servicio:

El Acuerdo de nivel de servicio (SLA, Service Level Agreement) es un acuerdo contractual

entre el cliente y un proveedor de servicios o ISP, en el que se detalla información, como la

disponibilidad de la red y el tiempo de respuesta del servicio.

La mayoría de las redes empresariales tienen un Centro de operaciones de red (NOC) que le

permite realizar la administración general y el monitoreo de todos los recursos de red. El

NOC también se denomina Centro de datos.

Los empleados de un NOC típico de una empresa proporcionan soporte para ubicaciones

locales y remotas y, a menudo, administran problemas de redes locales y de redes de área

extensa. Los NOC más grandes pueden ser áreas de múltiples espacios de un edificio en

donde se concentra el equipo de red y el personal de soporte técnico.

Generalmente, el NOC tiene:

Pisos falsos para permitir que el cableado y el suministro de energía pasen por debajo del

piso y lleguen hasta los equipos.

Sistemas UPS y equipos de aire acondicionado de alto rendimiento para brindar un entorno

de funcionamiento seguro para los equipos.

Sistemas de extinción de incendios integrados al techo.

Estaciones de monitoreo de red, servidores, sistemas de respaldo y almacenamiento de

datos.

Switches de la capa de acceso y routers de la capa de distribución, si es que este NOC

funciona como una Instalación de distribución principal (MDF, Main Distribution Facility)

para el edificio o el campus donde está ubicado

Además de proveer asistencia y administración de red, muchos NOC también proveen

recursos centralizados, como servidores y almacenamiento de datos.

Los servidores del NOC están normalmente agrupados juntos con el fin de formar una

granja de servidores. La granja de servidores suele considerarse como un recurso único. Sin

embargo, ésta proporciona dos funciones: copia de seguridad y balanceo de cargas. Si un

servidor falla o se sobrecarga, otro toma el lugar del que falló.

Los servidores de la granja pueden estar montados en bastidor e interconectados por

switches de muy alta velocidad (Ethernet Gigabit o superior). Además, pueden ser

servidores blade montados en un chasis y conectados mediante un backplane de alta

velocidad dentro del chasis.

Otro aspecto importante del NOC de la empresa es el almacenamiento de datos de alta

velocidad y de alta capacidad. Este almacenamiento de datos o almacenamiento con

conexión a red (NAS), agrupa grandes cantidades de discos que están directamente

conectados a la red y pueden ser utilizados por cualquier servidor. Generalmente, un

dispositivo de NAS se conecta a una red Ethernet y se le asigna su propia dirección IP.

Una versión más sofisticada de NAS es Storage Area Network (SAN). Una SAN es una red

de alta velocidad que interconecta diferentes tipos de dispositivos de almacenamiento de

datos sobre una LAN o una WAN.

El equipo en el NOC de la empresa está normalmente montado sobre bastidores. En los

NOC grandes, los bastidores suelen estar montados verticalmente y pueden estar

conectados entre ellos. Al montar equipos en bastidores, asegúrese de que exista ventilación

adecuada y acceso desde la parte delantera y trasera. El equipo también debe estar

conectado a tierra.

El ancho más común de los bastidores es de 19 pulgadas (48,26 cm). La mayoría de los

equipos está diseñada para este ancho. El espacio vertical que ocupa el equipo se mide en

Unidades de bastidor (RU, Rack Units). Una unidad equivale a 1,75 pulgadas (4,4 cm). Por

ejemplo, un chasis de 2 unidades mide 3,5 pulgadas (8,9 cm) de altura. Cuanto menor sea el

número de RU, menor el espacio necesario para un dispositivo y, por lo tanto, más

dispositivos caben en el bastidor.

Otro factor para tener en cuenta son los equipos con muchas conexiones, como los

switches. Es posible que sea necesario colocarlos cerca de paneles de conexión y cerca de

donde el cableado se agrupa en bandejas de cables.

En un NOC de empresa, miles de cables pueden ingresar a la instalación y salir de ésta. El

cableado estructurado crea un sistema de cableado organizado que los instaladores,

administradores de red y cualquier otro técnico que trabaje con cables puede comprender

fácilmente.

La administración de cables cumple varios propósitos. Primero, presenta un sistema prolijo

y organizado, que ayuda a determinar problemas de cableado. Segundo, la optimización del

cableado protege a los cables del daño físico y de las interferencias EMI, lo que reduce en

gran medida la cantidad de problemas experimentados.

Para brindar asistencia en el proceso de resolución de problemas:

Todos los cables deben estar etiquetados en ambos extremos, mediante convención estándar

que indique origen y destino.

Todos los tendidos de cableado deben ser documentados en el diagrama de topología de la

red física.

Todos los tendidos de cableado, tanto de cobre como de fibra, deben probarse de extremo a

extremo mediante el envío de una señal a través del cable y la medición de la pérdida.

Los estándares de cableado especifican una distancia máxima para todos los tipos de cable

y todas las tecnologías de red. Por ejemplo, el IEEE especifica que, para una Fast Ethernet

sobre cable de par trenzado no blindado (UTP, unshielded twisted pair), el tendido del

cableado desde el switch hasta el host no puede superar los 100 metros (aproximadamente

328 pies). Si el tendido del cableado es mayor que el largo recomendado, pueden ocurrir

problemas con las comunicaciones de datos, especialmente si las terminaciones de los

extremos del cable no están totalmente terminadas.

La documentación del plan y de las pruebas de cables son fundamentales para el

funcionamiento de la red.

Diseño de la Sala de comunicaciones y factores para tener en cuenta

El NOC representa el sistema nervioso central de la empresa. Sin embargo, en la práctica,

la mayoría de los usuarios se conectan a un switch ubicado en un cuarto de

telecomunicaciones, el cual se encuentra a cierta distancia del NOC. El cuarto de

telecomunicaciones también se conoce como un armario cableado o una instalación de

distribución intermedia (IDF, intermediate distribution facility). Cuenta con los dispositivos

de red de la capa de acceso y mantiene a la perfección las condiciones ambientales, como el

aire acondicionado y UPS, de una manera similar al NOC.

Los usuarios que trabajan con tecnología conectada por cable se conectan a la red con

switches o hubs de Ethernet. Los usuarios que trabajan con tecnología inalámbrica se

conectan a través de un punto de acceso (AP, Access Point). Los dispositivos de capa de

acceso, tales como los switches y AP representan una posible vulnerabilidad en la

seguridad de la red. El acceso físico y remoto a este equipo se debe limitar únicamente al

personal autorizado. El personal de red también puede implementar seguridad en los

puertos y otras medidas en los switches, así como diversas medidas de seguridad

inalámbrica en los AP.

Proteger el cuarto de telecomunicaciones se ha convertido en algo aún más importante

debido a los crecientes casos de robo de identidad. Las nuevas leyes de privacidad aplican

duras sanciones si la información confidencial de una red cae en manos que no debe caer.

Los dispositivos de red modernos cuentan con propiedades que ayudan a prevenir estos

ataques y a proteger la información y la integridad del usuario.

Muchas IDF se conectan a una Instalación de distribución principal (MDF) con un diseño

de estrella extendida. Normalmente, la MDF está ubicada en el NOC o en el centro del

edificio.

Las MDF, comúnmente, son más grandes que las IDF. Contienen switches de alta

velocidad, routers y granjas de servidores. Los switches centrales de la MDF pueden

conectar servidores de empresas y discos duros mediante enlaces de cobre de gigabit.

Las IDF cuentan con switches, AP y hubs de menor velocidad. Habitualmente, los switches

de las IDF tienen grandes cantidades de puertos Fast Ethernet para que los usuarios se

conecten a la capa de acceso.

Por lo general, los switches de la IDF se conectan a los switches de la MDF con interfaces

Gigabit. Esta disposición crea conexiones de red troncal o uplinks. Estos enlaces de red

troncal, también llamados cableado vertical, pueden ser de cobre o de fibra óptica. Los

enlaces de cobre de Gigabit o Fast Ethernet tienen un límite máximo de 100 metros y deben

usar cable UTP CAT5e o CAT6. Los enlaces de fibra óptica pueden recorrer distancias

mayores. Los enlaces de fibra óptica, comúnmente, interconectan edificios y, debido a que

no transmiten electricidad, son inmunes a las descargas eléctricas causadas por los rayos,

las interferencias EMI, RFI y las conexiones a tierra diferenciales.

Además de proporcionar conectividad de acceso a red básica, es cada vez más común

suministrar energía para los dispositivos de usuarios finales directamente desde switches

Ethernet del cuarto de telecomunicaciones. Estos dispositivos incluyen teléfonos IP, puntos

de acceso y cámaras de vigilancia.

Los dispositivos están alimentados con IEEE 802.3af estándar, Power Over Ethernet o PoE.

El PoE suministra energía a un dispositivo por el mismo cable de par trenzado que

transmite los datos. Esto permite que, por ejemplo, un teléfono IP se coloque en un

escritorio sin necesidad de cable ni toma de alimentación aparte. A fin de soportar

dispositivos PoE como el teléfono IP, el switch de conexión debe admitir PoE.

Para aquellos switches que no soportan PoE también se puede suministrar PoE con

inyectores de alimentación o paneles de conexión PoE. Panduit y otros proveedores

producen paneles de conexión PoE que permiten que los switches sin capacidad PoE

participen en entornos PoE. Los switches Legacy se conectan a un panel de conexión PoE

que, a su vez, se conecta al dispositivo que admite PoE.