PRINCIPIOS FIREWALL, STATEFULL, STATELESS

Un firewall es un dispositivo de seguridad, veamos exactamente lo que hace y

en que se basa su funcionamiento.
Un firewall es un dispositivo que funciona como cortafuegos entre redes, permitiendo o
denegando las transmisiones de una red a la otra. Un uso tpico es situarlo entre una
red local y la red Internet, como dispositivo de seguridad para evitar que los intrusos
puedan acceder a informacin confidencial.
Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan
de una red a la otra y en funcin de lo que sean permite o deniega su paso. Para
permitir o denegar una comunicacin el firewall examina el tipo de servicio al que
corresponde, como pueden ser el web, el correo o el IRC. Dependiendo del servicio el
firewall decide si lo permite o no. Adems, el firewall examina si la comunicacin es
entrante o saliente y dependiendo de su direccin puede permitirla o no.
De este modo un firewall puede permitir desde una red local hacia Internet servicios de
web, correo y ftp, pero no a IRC que puede ser innecesario para nuestro trabajo.
Tambin podemos configurar los accesos que se hagan desde Internet hacia la red
local y podemos denegarlos todos o permitir algunos servicios como el de la web, (si
es que poseemos un servidor web y queremos que accesible desde Internet).
Dependiendo del firewall que tengamos tambin podremos permitir algunos accesos a
la red local desde Internet si el usuario se ha autentificado como usuario de la red
local.
Un firewall puede ser un dispositivo software o hardware, es decir, un aparatito que se
conecta entre la red y el cable de la conexin a Internet, o bien un programa que se
instala en la mquina que tiene el modem que conecta con Internet. Incluso podemos
encontrar ordenadores computadores muy potentes y con softwares especficos que lo
nico que hacen es monitorizar las comunicaciones entre redes.

TCP/UDP
El protocolo UDP
UDP es un protocolo no orientado a conexin. Es decir cuando una maquina A enva
paquetes a una maquina B, el flujo es unidireccional. La transferencia de datos es
realizada sin haber realizado previamente una conexin con la maquina de destino
(maquina B), y el destinatario recibir los datos sin enviar una confirmacin al emisor
(la maquina A). Esto es debido a que la encapsulacin de datos enviada por el
protocolo UDP no permite transmitir la informacin relacionada al emisor. Por ello el
destinatario no conocer al emisor de los datos excepto su IP.
El protocolo TCP
Contrariamente a UDP, el protocolo TCP est orientado a conexin. Cuando una
mquina A enva datos a una mquina B, la mquina B es informada de la llegada de
datos, y confirma su buena recepcin. Aqu interviene el control CRC de datos que se
basa en una ecuacin matemtica que permite verificar la integridad de los datos
transmitidos. De este modo, si los datos recibidos son corruptos, el protocolo TCP
permite que los destinatarios soliciten al emisor que vuelvan a enviar los datos
corruptos.

3WAY HANDSHAKE
Protocolo de acuerdo a 3 vas
El mecanismo es el siguiente
0. El host receptor, que en el caso de ms comn ser un servidor, espera
pasivamente una conexin ejecutando las primitvas LISTEN y ACCEPT.
1. En primer lugar, el host que desa iniciar la conexin ejecuta una primitiva
CONNECT especificando la direccin IP y el puerto con el que se desa conectar, el
tamao mximo del segmento que est dispuesto a aceptar y opcionelmente otros
datos, como alguna contrasea de usuario. Entonces la primitiva CONNCET hace una
apertura activa, enviando al otro host un paquete que tiene el bit SYN (ver formato de
un segmento TCP ms abajo) activado, indicndole tambin el nmero de secuencia
inicial "x" que usar para enviar sus mensajes.
2. El host receptor recibe el segmento revisa si hay algn proceso activo que haya
ejecutado un LISTEN en el puerto solicitado, es decir, preparado para recibir datos por
ese puerto. Si lo hay, el proceso a la escucha recibe el segmento TCP entrante,
registra el nmero de secuencia "x" y, si desa abrir la conexin, responde con un
acuse de recibo "x + 1" con el bit SYN activado e incluye su propio nmero de
secuencia inicial "y", dejando entonces abierta la conexin por su extremo. El nmero
de acuse de recibo "x + 1" significa que el host ha recibido todos los octetos hasta e
incluyendo "x", y espera "x + 1" a continuacin. Si no desa establecer la conexin,
enva un contestacin con el bit RST activado, para que el host en el otro extremo lo
sepa.
3. El primer host recibe el segmento y enva su confirmacin, momento a partir del cual
puede enviar datos al otro extremo, abriendo entonces la conexin por su extremo.
4. La mquina receptora recibe la confirmacin y entiende que el otro extremo ha
abierto ya su conexin, por lo que a partir de ese momento tambin puede ella enviar
datos. Con sto, la conexin ha quedado abierta en ambos sentidos

RUTEO LINK STATE

A los protocolos de enrutamiento de link-state (como OSPF) tambin se les conoce
como protocolos de shortest path first y se desarrollan en torno al algoritmo
shortest path first (SPF) de Edsger Dijkstra.

Los protocolos de estado de enlace son protocolos de enrutamiento de gateway

interior, se utilizan dentro de un mismo AS (sistema autnomo) el cual puede dividirse
en sectores ms pequeos como divisiones lgicas llamadas reas.

PAQUETES ESTADO-ENLACE:
La informacin acerca del estado de dichos enlaces se conoce como link-states. esta
informacin
incluye:
La
direccin
IP
de
la
interfaz
y
la
mscara
de
subred.
El tipo de red, como Ethernet (broadcast) o enlace serial punto a punto.
El
costo
de
dicho
enlace.
Cualquier router vecino en dicho enlace.
CARACTERSTICAS LINK-STATE
Mediante los paquetes de saludo, los routers conocern a sus vecinos. Posteriormente
enviarn paquetes LSP Con informacin sobre el estado enlace de las redes
conectadas directamente ;Los vecinos son bombardeados con estos paquetes LSP y
los almacenan en una base de datos .
Gracias a esta base de datos de paquetes LSP ,los routers crean el mapa topolgico
completo y as pueden calcular la mejor ruta para cada red de destino .
Los protocolos de enrutamiento de link-state normalmente requieren ms memoria,
ms procesamiento de CPU y, en ocasiones, un mayor ancho de banda que los
protocolos de enrutamiento vector distancia.

UNCIONAMIENTO LINK-STATE
1. Cada router obtiene informacin sobre sus propios enlaces, sus propias redes
conectadas directamente.
2. Cada router es responsable de reunirse con sus vecinos en redes conectadas
directamente. (Paquetes de saludo)
3. Cada router crea un Paquete de link-state (LSP) que incluye el estado de cada
enlace directamente conectado. ( ID de vecino, el tipo de enlace y el ancho de banda).
4. Cada router satura con el LSP a todos los vecinos, que luego almacenan todos los
LSP recibidos en una base de datos. Los vecinos luego saturan con los LSP a sus
vecinos hasta que todos los routers del rea hayan recibido los LSP. Cada router
almacena una copia de cada LSP recibido por parte de sus vecinos en una base de
datos
local.
(Despus de la inundacin LSP Inicial generalmente requieren menos ancho de banda
para comunicar cambios en una topologa) .
5. Cada router utiliza la base de datos para construir un mapa completo de la topologa
y calcula el mejor camino hacia cada red de destino. El algoritmo SPF se utiliza para
construir el mapa de la topologa y determinar el mejor camino hacia cada red

Otros detalles de su comportamiento y respuestas de exmen Cisco CCNA2:

Mandan paquetes de estado-enlace cuando un enlace se activa o se desactiva.
Cada router determina de manera independiente la ruta a cada red. IS-IS y OSPF
utilizan el algoritmo Dijkastra. Este algoritmo acumula costos a lo largo de cada ruta,
desde el origen hasta el destino.
Al recibir un LSP de un router vecino, un router de estado de enlace inmediatamente
saturar el LSP a los vecinos.
La base de datos de estado de enlace en los routers de enlace de datos dentro de
un rea ,debe ser idntica para construir un rbol SPF preciso.
Eventos que hacen que el router de estado de enlace enve el LSP a todos los
vecinos :
Cada vez que la topologa de red cambia.
En la puesta en marcha inicial del router o del protocolo de enrutamiento .
El ltimo paso en el proceso de enrutamiento de estado de enlace es:
SPFcalcula la mejor ruta a cada red destino
Afirmaciones que describen correctamente el proceso de enrutamiento de link state:
Todos los Routers en el rea tienen bases de datos de link-state
Cada router en el rea inunda los LSP hacia todos los vecinos
Qu funcin proporcionan los protocolos de estado de enlace modernos para
minimizar el procesamiento y los requisitos de memoria ?
Dividir topologas de enrutamiento en reas ms pequeas
Para alcanzar la convergencia de red cules son los tres pasos que realiza cada
router de link-state? :
Construir un paquete de Link.State (LSP) que contiene el estado de cada
enlace directamente conectado .
Inundar el LSP a todos los vecinos, los cuales luego almacenan todos los LSP
recibidos en una base de datos .
Construir un mapa completo de la topologa y calcular el mejor camino hacia
cada red destino .
Lo que agiliza la convergencia en una red que usa el Enrutamiento de estado de
enlace es:
Las actualizaciones se desencadenan cuando se producen cambios en la red
Por qu es difcil que se produzcan routing loops en redes que usan enrutamiento
de estado de enlace?

Cada router desarrolla una visin completa y sincronizada de la red

VECTOR DISTANCIA
Vector Distancia: Su mtrica se basa en lo que se le llama en redes Numero de
Saltos, es decir la cantidad de routers por los que tiene que pasar el paquete para
llegar a la red destino, la ruta que tenga el menor numero de saltos es la mas optima y
la que se publicar.
lgunos protocolos de enrutamiento dinmicos son:
- RIP : Protocolo de enrutamiento de gateway Interior por vector distancia.
- IGRP: Protocolo de enrutamiento de gateway Interior por vector distancia, del cual es
propietario CISCO.
- EIGRP: Protocolo de enrutamiento de gateway Interior por vector distancia, es una
versin mejorada de IGRP.
- OSPF: Protocolo de enrutamiento de gateway Interior por estado de enlace.
- BGP: Protocolo de enrutamiento de gateway exterior por vector ditancia.
RIP
RIP

(Routing information
encaminamiento)

protocolo,

protocolo

de

informacin

de

RIP es un protocolo de encaminamiento interno, es decir para la parte interna de la

red, la que no est conectada al backbone de Internet. Es muy usado en sistemas de
conexin a internet como infovia, en el que muchos usuarios se conectan a una red y
pueden acceder por lugares distintos.
Cuando un usuarios se conecta el servidor de terminales (equipo en el que finaliza la
llamada) avisa con un mensaje RIP al router ms cercano advirtiendo de la direccin
IP que ahora le pertenece.
As podemos ver que RIP es un protocolo usado por distintos routers para intercambiar
informacin y as conocer por donde deberan enrutar un paquete para hacer que ste
llegue a su destino.

OSPF (Open shortest path first, El camino ms corto primero)

OSPF se usa, como RIP, en la parte interna de las redes, su forma de funcionar es
bastante sencilla. Cada router conoce los routers cercanos y las direcciones que
posee cada router de los cercanos. Adems de esto cada router sabe a que distancia
(medida en routers) est cada router. As cuando tiene que enviar un paquete lo enva
por la ruta por la que tenga que dar menos saltos.
As por ejemplo un router que tenga tres conexiones a red, una a una red local en la
que hay puesto de trabajo, otra (A) una red rpida frame relay de 48Mbps y una lnea
(B) RDSI de 64Kbps. Desde la red local va un paquete a W que esta por A a tres saltos
y por B a dos saltos. El paquete ira por B sin tener en cuenta la saturacin de la linea
o el ancho de banda de la linea.
La O de OSPF viene de abierto, en este caso significa que los algoritmos que usa son
de disposicin pblica.

BGP es un protocolo muy complejo que se usa en la interconexin de redes

conectadas por un backbone de internet. Este protocolo usa parmetros como ancho
de banda, precio de la conexin, saturacin de la red, denegacin de paso de
paquetes, etc. para enviar un paquete por una ruta o por otra. Un router BGP da a
conocer sus direcciones IP a los routers BGP y esta informacin se difunde por los
routers BGP cercanos y no tan cercanos. BGP tiene su propios mensajes entre
routers, no utiliza RIP.
BGP es usado por grandes proveedores de conectividad a internet. Por ejemplo una
empresa (A) tiene alquilada una lnea a telefnica-data. La empresa A no hace BGP y
posiblemente los routers ms cercanos no utilizarn BGP pero si los que interconecten
Telefnica-Data con Hispanix (punto neutro de interconexin en Espaa).

IPsec
IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos cuya
funcin es asegurar las comunicaciones sobre el Protocolo de Internet (IP)
autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec tambin incluye
protocolos para el establecimiento de claves de cifrado.
Los protocolos de IPsec actan en la capa de red, la capa 3 del modelo OSI.Otros
protocolos de seguridad para Internet de uso extendido, como SSL, TLS y SSH operan
de la capa de transporte (capas OSI 4 a 7) hacia arriba. Esto hace que IPsec sea ms
flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo
TCP y UDP, los protocolos de capa de transporte ms usados. IPsec tiene una ventaja
sobre SSL y otros mtodos que operan en capas superiores. Para que una aplicacin
pueda usar IPsec no hay que hacer ningn cambio, mientras que para usar SSL y
otros protocolos de niveles superiores, las aplicaciones tienen que modificar su cdigo.
IPsec est implementado por un conjunto de protocolos criptogrficos para (1)
asegurar el flujo de paquetes, (2) garantizar la autenticacin mutua y (3) establecer
parmetros criptogrficos.
La arquitectura de seguridad IP utiliza el concepto de asociacin de seguridad (SA)
como base para construir funciones de seguridad en IP. Una asociacin de seguridad
es simplemente el paquete de algoritmos y parmetros (tales como las claves) que se
est usando para cifrar y autenticar un flujo particular en una direccin. Por lo tanto, en
el trfico normal bidireccional, los flujos son asegurados por un par de asociaciones de
seguridad. La decisin final de los algoritmos de cifrado y autenticacin (de una lista
definida) le corresponde al administrador de IPsec.
Para decidir qu proteccin se va a proporcionar a un paquete saliente, IPsec utiliza el
ndice de parmetro de seguridad (SPI), un ndice a la base de datos de asociaciones
de seguridad (SADB), junto con la direccin de destino de la cabecera del paquete,
que juntos identifican de forma nica una asociacin de seguridad para dicho paquete.
Para un paquete entrante se realiza un procedimiento similar; en este caso IPsec coge
las claves de verificacin y descifrado de la base de datos de asociaciones de
seguridad.
En el caso de multicast, se proporciona una asociacin de seguridad al grupo, y se
duplica para todos los receptores autorizados del grupo. Puede haber ms de una
asociacin de seguridad para un grupo, utilizando diferentes SPIs, y por ello
permitiendo mltiples niveles y conjuntos de seguridad dentro de un grupo. De hecho,
cada remitente puede tener mltiples asociaciones de seguridad, permitiendo

autenticacin, ya que un receptor slo puede saber que alguien que conoce las claves
ha enviado los datos. Hay que observar que el estndar pertinente no describe cmo
se elige y duplica la asociacin a travs del grupo; se asume que un interesado
responsable habr hecho la eleccin.
Modos de funcionamiento
Modo transporte
En modo transporte, slo la carga til (los datos que se transfieren) del paquete IP es
cifrada y/o autenticada. El enrutamiento permanece intacto, ya que no se modifica ni
se cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera de autenticacin
(AH), las direcciones IP no pueden ser traducidas, ya que eso invalidara el hash. Las
capas de transporte y aplicacin estn siempre aseguradas por un hash, de forma que
no pueden ser modificadas de ninguna manera (por ejemplo traduciendo los nmeros
de puerto TCP y UDP). El modo transporte se utiliza para comunicaciones ordenador a
ordenador.
Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definido por
RFCs que describen el mecanismo de NAT-T
El propsito de este modo es establecer una comunicacin segura punto a punto,
entre dos hosts y sobre un canal inseguro. Este ejemplo ilustra esto:
Modo tunel
En el modo tnel, todo el paquete IP (datos ms cabeceras del mensaje) es cifrado y/o
autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que
funcione el enrutamiento. El modo tnel se utiliza para comunicaciones red a red
(tneles seguros entre routers, p.e. para VPNs) o comunicaciones ordenador a red u
ordenador a ordenador sobre Internet. El propsito de este modo es establecer una
comunicacin segura entre dos redes remotas sobre un canal inseguro. Este ejemplo
ilustra esto:
Cabeceras
Cabecera IP
La cabecera del paquete IP es la siguiente:
Donde:

ver Es la versin del protocolo IP. IPsec se monta sobre IPv4.

hlen Longitud de la cabecera, en palabras de 32 bits. Su valor mnimo es de 5
para una cabecera correcta, y el mximo de 15. El tamao de la cabecera
nunca incluye el tamao del payload o de la cabecera siguiente.
TOS Indica una serie de parmetros sobre la calidad de servicio deseada
durante el trnsito por una red. Algunas redes ofrecen prioridades de servicios,
considerando determinado tipo de paquetes ms importantes que otros (en
particular estas redes solo admiten los paquetes con prioridad alta en
momentos de sobrecarga).
pkt len Es el tamao total, en octetos, del datagrama, incluyendo el tamao de
la cabecera y el de los datos. El tamao mximo de los datagramas usados

normalmente es de 576 octetos (64 de cabeceras y 512 de datos). Una

mquina no debera envar datagramas mayores a no ser que tenga la certeza
de que van a ser aceptados por la mquina destino.
En caso de fragmentacin este campo contendr el tamao del fragmento, no el del
datagrama original.

ID Indica el identificador del fragmento actual en caso de que el paquete

estuviera fragmentado
fgls Actualmente utilizado slo para especificar valores relativos a la
fragmentacin de paquetes:

bit 0: Reservado; debe ser 0

bit 1: 0 = Divisible, 1 = No Divisible (DF)
bit 2: 0 = ltimo Fragmento, 1 = Fragmento Intermedio (le siguen ms fragmentos)
(MF)
La indicacin de que un paquete es indivisible debe ser tenida en cuenta bajo
cualquier circunstancia. Si el paquete necesitara ser fragmentado, no se enviar.

frag offset En paquetes fragmentados indica la posicin, en unidades de 64

bits, que ocupa el paquete actual dentro del datagrama original. El primer
paquete de una serie de fragmentos contendr en este campo el valor 0.
TTL Indica el mximo nmero de enrutadores que un paquete puede atravesar.
Cada vez que algn nodo procesa este paquete disminuye su valor en uno por
cada router que pase. Cuando llegue a ser 0, el paquete no ser reenviado.
proto Indica el protocolo de siguiente nivel utilizado en la parte de datos del
datagrama. Los ms utilizados son:

Codigo
1
2
4
6
17
41
47
50
51

Descripcin
ICMP Internet Control Message Protocol
IGMP Internet Group Management Protocol
IP en IP (una encapsulacin IP)
TCP Transmission Control Protocol
UDP User Datagram Protocol
IPv6 next-generation TCP/IP
GRE Generic Router Encapsulation (usado por PPTP)
IPsec: ESP Encapsulating Security Payload
IPsec: AH Authentication Header

Otros cdigos se encuentran en la web de IANA

Cabecera IPsec AH (authentication only)
AH est dirigido a garantizar integridad sin conexin y autenticacin de los datos de
origen de los datagramas IP. Para ello, calcula un Hash Message Authentication Code
(HMAC) a travs de algn algoritmo hash operando sobre una clave secreta, el
contenido del paquete IP y las partes inmutables del datagrama. Este proceso
restringe la posibilidad de emplear NAT, que puede ser implementada con NAT
transversal. Por otro lado, AH puede proteger opcionalmente contra ataques de
repeticin utilizando la tcnica de ventana deslizante y descartando paquetes viejos.
AH protege la carga til IP y todos los campos de la cabecera de un datagrama IP

excepto los campos mutantes, es decir, aquellos que pueden ser alterados en el
trnsito. En IPv4, los campos de la cabecera IP mutantes (y por lo tanto no
autenticados) incluyen TOS, Flags, Offset de fragmentos, TTL y suma de verificacin
de la cabecera. AH opera directamente por encima de IP, utilizando el protocolo IP
nmero 51. Un cabecera AH mide 32 bits, he aqu un diagrama de cmo se organizan:
* next hdr Identifica cul es el siguiente protocolo, es decir, cual es el protocolo
que ser autentificado, cul es el payload.

AH len El tamao del paquete AH.

RESERVED Reservado para futuras aplicaciones. Debe estar a 0
Security parameters index (SPI) Indica los parametros de seguridad, que en
combinacin con los parmetros IP, identifican la asociacin de seguridad del
paquete
Sequence Number Es un nmero creciente usado para prevenir ataques por
repeticin. El nmero est incluido en los datos encriptados, as que cualquier
alteracin ser detectada
Authentication Data Contiene el valor de identificacin de integridad. Puede
contener relleno.Se calcula sobre el paquete entero, incluidas la mayora de las
cabeceras. El que recibe calcula otra vez el hash, y si este no coincide, el
paquete se tira.

AH en Modo Transporte
La manera ms fcil de entender el modo transporte es que protege el
intercambio de informacin entre dos usuarios finales. La proteccin puede ser
autentificacin o encriptacin (o las dos), pero no se hace usando un tunel (para eso
est el modo tnel). No es una vpn, es una simple conexin segura entre dos usuarios
finales.
En AH en Modo Transporte, el paquete IP es modificado ligeramente para incluir una
nueva cabecera AH entre la cabecera IP y la informacin transmitida (TCP, UDP, etc) y
despus se requiere un proceso de arrastre que interconecta las distintas cabeceras
entre ellas.
Este proceso de arrastre se necesita para que el paquete original IP sea
reconstituido cuando llegue a su destino; cuando las cabeceras IPsec han sido
validadas en el receptor, se despojan las cabeceras IPsec y la carga a transmitir (TCP,
UDP, etc) es guardada nuevamente en la cabecera IP.

Cuando el paquete llega a su siguiente destino y pasa el test de autenticidad, la

cabecera AH es quitada y el campo proto=AH es reemplazado con el siguiente
protocolo de la carga transmitida (TCP, UDP, etc). Esto pone al datagrama es
su estado original, y puede ser enviado al proceso original.
AH en Modo Tnel

El modo tnel es el ms comn para dar una funcionalidad de VPN, donde un paquete
IP es encapsulado dentro de otro y enviado a su destino.

Igual que en el modo transporte, el paquete es sellado con un ICV para autentificar al
que envia la informacin para prevenir modificaciones durante el trnsito. Pero a
diferencia del modo de transporte, el modo tnel encapsula todo el paquete IP, no slo
la carga util (TCP, UDP ,etc). Esto hace que el destinatario del paquete sea uno
diferente al destinatario original. Esto ayuda a la formacin de un tnel.
Cuando un paquete en modo tnel llega a su destino, pasa el mismo proceso de
autentificacin igual que cualquier paquete AH-IPsec. Este proceso hace que se
despoje de sus cabeceras IP y AH, luego nos queda el datagrama original, que es
enrutado mediante un proceso normal.
La mayoria de las implementaciones tratan el final del tnel como una interfaz de red
virtual -exactamente igual que una Ethernet o localhost - y el trfico entrante y saliente
de l est sujeto a todas las decisiones normales de enrutamiento.
El paquete reconstituido puede ser entregado a la mquina local o enrutado donde sea
(dependiendo de la direccin IP encontrada en el paquete encapsulado), pero de
ninguna manera vuelve a estar sujeto a las proteccin de IPsec. Esta finaliza al final
del tnel. A partir de all es tratado como un datagrama IP normal.
Tal como el modo de transporte es usado estrictamente para asegurar conexiones de
extremo a extremo entre dos ordenadores, el modo tnel es usado normalmente entre
pasarelas (routers, firewalls o dispositivos VPN) para proveer una Red Privada Virtual
(VPN)
Transporte o Tnel?
Curiosamente, no hay un campo explcito Modo en IPsec que distinga entre el modo
de transporte y el modo tnel. Lo que los distingue es el campo *siguiente cabecera
(next head)* en la cabecera AH.
Cuando el valor de siguiente cabecera es IP, significa que este paquete encapsula un
datagrama IP entero (incluyendo los campos de destino y origen IP que nos permiten
saber donde va el paquete que va encapsulado despus de la desencapsulacin. As
se comporta el modo tnel.
Otro valor cualquiera (TCP, UDP, ICMP, etc) significa que estamos usando el modo
transporte y se trata de una conexin segura extremo a extremo.
El nivel superior de un datagrama IP es estructurado de la misma manera, sin tener en
cuenta el modo, y los routers inmediatos tratan todo tipo de trfico IPsec/AH de la
misma manera que el trfico normal, sin una inspeccin ms profunda.
Hay que darse cuenta que un host - en contraposicin a una pasarela - es necesario
que soporte los dos modos, de transporte y tnel, pero en una conexin host-to-host
parece superfluo usar el modo tnel.
Adems, una pasarela (router, firewall, etc.) tiene que tener soporte nicamente para
modo tnel, sin embargo tener soporte para el modo transporte es til slo cuando la
pasarela se considera como destino ella misma, como en caso de funciones de
administracin de red.

Algoritmos de autentificacin
AH lleva un campo (Integrity Check Value) para comprobar la integridad del paquete y
que nadie lo ha manipulado durante el trayecto. El valor de ese campo est dado por
algoritmos de encriptacin tales como MD5 o SHA-1.
Ms que usar un checksum convencional, el cual podra no proveer una securidad real
contra una manipulacin intencional, este usa una Hashed Message Authentication
Code (HMAC), que incorpora una clave secreta mienstras se crea el hash. Aunque un
atacante puede recalcular un hash fcilmente, sin la clave secreta no sera capaz de
crear el ICV apropiado.
Huelga decir que IPsec no define ni obliga como debe hacerse la autentificacin,
simplemente ofrece un marco de seguridad en la que los dos hosts que realizan la
comunicacin se ponen de acuerdo sobre que sistema usar. Pueden usarse firmas
digitales o funciones de encriptacin, pero es obligatorio que ambos los conozcan y
sepan como usarlos
NAT y AH
AH da una proteccin muy fuerte a los paquetes porque cubre todas las partes
que se consideran inmutables. Pero esta proteccin tiene un coste: AH es
incompatible con NAT (Network Address Translation).
NAT se usa para trazar un rango de direcciones privadas (192.168.1.X) de una
conjunto (normalmente ms pequeo) de direcciones pblicas, para reducir la
demanda de direcciones IP pblicas. En este proceso, la cabecera IP se modifica al
vuelo por el dispositivo NAT para cambiar las direcciones IP de origen y destino.
Cuando es cambiada la direccin de origen de la cabecera IP, se fuerza a recalcular el
checksum de la cabecera. Esto se tiene que hacer a parte, porque el dispositivo NAT
es como un agujero en el camino del origen al destino, y esta situacin requiere
decrementar el campo TTL(Time to Live).
Dado que el campo TTL y el checksum de la cabecera siempre son modificados al
vuelo, AH sabe que tiene que excluirlos de su proteccin, pero no tiene que excluir a
las direcciones IP. Estas estn incluidas en el constrol de integridad, y cualquier
cambio en las direcciones ip de origen y destino va a hacer que el control de integridad
falle cuando llegue al destinatario. Dado que el valor del control de integridad contiene
una llave secreta que slo la saben el host origen y el host destino, el dispositivo
NAT no puede recalcular el ICV.
Las mismas se aplican tambin al PAT(Port Address Translation), el cual traza
mltiples direcciones IP en una en una sola direccin IP externa. No solo se modifican
las direcciones IP al vuelo, sino adems los nmeros de los puertos UDP y TCP (a
veces hasta la carga lil que se transfiere. Esto requiere una sistema ms sofisticado
por parte del dispositivo NAT, y unas modificaciones ms extensas en todo el
datagrama IP.
Por esta razn,AH - en el modo Tnel o Transporte - es totalmente incompatible con
NAT y slo se puede emplear AH cuando las redes de origen y destino son
alcanzables sin traduccin.

Hay que decir que esta dificultad no se aplica al ESP, ya que su autentificacin y
encriptacin no incorpora la cabecera IP modificada por NAT. An asi, NAT tambin
impone algunos desafos incluso en ESP (explicado ms adelante).
NAT traduce las direcciones IP al vuelo, pero tambin guarda un registro de que
conexiones siguen el camino traducido y as poder enviar las respuestas al origen de
manera correcta. Cuando se usa TCP o UDP, esto se hace mediante los nmeros de
los puertos (que pueden ser reescritos al vuelo o no), pero IPsec no da ninguna
interfaz para hacer esto.
ESP (Encapsulating Security Payload)
Aadir encriptacion hace que ESP sea un poco ms complicado, ya que la
encapsulacin rodea a la carga til es algo ms que precederla con AH: ESP
incluye cabecera y campos para dar soporte a la encriptacion y a una autentificacin
opcional. Adems, provee los modos de transporte y tnel, los cuales nos son ya
familiares.
Las RFCs de IPsec no insisten demasiado en un sistema particular de encriptacin,
pero normalmente se utiliza DES, triple-DES, AES o Blowfish para asegurar la carga
til de ojos indiscretos. El algoritmo usado para una conexin en particular es
definido por la Security Association (SA), y esta SA incluye no slo la el algoritmo,
tambin la llave usada.
A diferencia de AH, que da una pequea cabecera antes de la carga til, ESP rodea la
carga til con su proteccin. Los parmetros de seguridad Index y Sequence Number
tienen el mismo propsito que en AH, pero nos encontramos como relleno en la cola
del paquete el campo siguiente campo y el opcional Authentication data.
Es posible usar ESP sin ninguna encriptacin (usar el algoritmo NULL), sin embargo
estructura el paquete de la misma forma. No nos da ninguna confidencialidad a los
datos que estamos transmitiendo, y slo tiene sentido usarlo con una la autentificacin
ESP. No tiene sentido usar ESP sin encriptacin o autentificacin (a no ser que
estemos simplemente probando el protocolo).
El relleno sirve para poder usar algoritmos de encriptacin orientados a bloques, dado
que tenemos que crear una carga a encriptar que tenga un tamao mltiplo de su
tamao de bloque. El tamao del relleno viene dado por el campo pad len. El campo
next hdr nos da el tipo (IP, TCP, UDP,etc) de la carga til, aunque esto sea usado
como un punto para volver hacia atras en el paquete para ver que hay en el AH.
Adems de la encriptacin, ESP puede proveer autentificacin con la misma
HMAC de AH. A diferencia de AH, esta autentifica slo la cabecera ESP y la
carca til encriptada, no todo el paquete IP. Sorprendentemente, esto no hace que la
seguridad de la autentificacin ms dbil, pero nos da algunos beneficios importantes.
Cuando un forastero examina un paquete IP que contiene datos ESP, es
prcticamente imposible adivinar que es lo que tiene dentro, excepto por los datos
encontrados en la cabecera IP (siendo interesantes las direcciones IP de origen y
destino). El atacante va a saber casi seguro que son datos ESP (est en la cabecera
que son datos ESP), pero no va a saber de que tipo es la carga til.

Incluso la presencia de Authentication Data no puede ser determina solamente con

mirar al paquete. Esta resolucion est hecha por la Security Parameters Index, que
hace referencia al conjunto de parmetros precompartidos para esta conexin.
ESP en Modo Transporte
Al igual que en AH, el modo transporte encapsula justamente la carga la carga til del
datagraya y est diseado justamente para comunicaciones extremo-a-extremo. La
cabecera IP original se deja (excepto por el campo cambiado Protocol), y esto hace adems de otras cosas - que las direcciones IP de origen y destino se quedan como
estn.

ESP en Modo Tnel

El ESP en modo Tnel encapsula el datagrama IP entero y lo encripta:
Proveer una conexin encriptada en modo tnel es dar una forma muy cercana a
como se crea una VPN, y es lo que se nos viene a la cabeza a la mayora cuando
pensamos acerca de IPsec. Adems de esto, tenemos que aadir autentificacin. Esta
parte se trata en la siguiente seccin.
A diferencia de AH, donde un forastero puede ver fcilmente que es lo que sse
transmite en modo Tnel o Transporte, usando ESP eso no ocurre; esa informacin no
est disponible para el forastero. El caso es que en el modo tnel (poniendo next=IP),
el datagrama IP entero original es parte de la carga til encriptada, y no ser visible
para nadie que no pueda desencriptar el paquete.
Construyendo una VPN real
Con la explicacin de AH y ESP ahora somos capaces de habilitar la
encriptacin y la autentificacin para construir una VPN real. El objetivo de la
VPN es juntar dos redes seguras a travs de una red insegura, tal como sera tirar
un cable Ethernet muy grande entre las dos redes seguras. Es una tecnologa muy
usada para juntar por ejemplo filiales de compaias con la sede central de la
compaia, dando a los usuarios acceso a recursos que no pueden caer en manos
indebidas, tales como documentos secretos.
Claramente, una red VPN segura requiere las dos cosas: autentificacin y
encriptacin. Sabemos que la nica manera de conseguir encriptacin es ESP, pero
ESP y AH pueden proveer autentificaciN: cul de las dos usar?
La solucin obvia de envolver ESP dentro de AH es tecnicamente posible, pero en la
prctica no es muy usada por las limitaciones de AH respecto al NAT. Usar AH+ESP
puede hacer que no podamos atravesar el dispositivo NAT.
En cambio, ESP+Auth es usado en modo Tnel para encapsular completamente el
trfico a traves de una red no segura, protegiendo este trafico con encriptacin y
autentificacin.
El trfico protegido de esta manera produce informacin intil para un intruso, ya que
los dos hosts que se comunican estn conectados a travs de una VPN. Esta
informacin puede ayudar al atacante a entender que los dos hosts se comunican por
un canal seguro, pero nunca revela el contenido del trfico. Incluso el tipo de trfico

encapsulado en el protocolo (TCP, UDP o ICMP) est oculto para las personas de
fuera.
Lo particularmente bonito de este modo de operacin es que los usuarios finales no
saben nada de la VPN o las medidas de seguridad tomadas. Desde que una VPN est
implementada por una pasarela, este trata la VPN como otra interfaz, y enruta el traico
que va a otra parte como normalmente lo hara.
Este paquete-en-paquete puede ser anidado a ms niveles: Host A y Host B pueden
establecer su propia conexin autenticada (via AH) y comunicarse sobre una VPN.
Esto pondra un paquete AH dentro de un paquete con una cobertura ESP+Auth.
Security Association y SPI
Es obvio que si los dos hosts o pasarelas van a establecer una conexin segura, se
requiere algn tipo de clave secreta compartida para llevar a cabo la funcin de
autentificacin o la y/o la clave del algoritmo de encriptacin. La cuestin es como
esos secretos son establecidos a para poder ser dirigidos desde cualquier sitio, y
para los propsitos de esta gua vamos a suponer que han llegado mgicamente a
su lugar.
Cuando un datagrama IPsec - AH o ESP - llega a una una interfaz, cmo sabe la
interfaz que conjunto de parmetros usar (clave, algoritmo y polticas)? Un host puede
tener varias conversaciones simultneas, cada una con un diferente conjunto de
claves y algoritmos, y tenemos que tener un gobernador que lleve todo este proceso.
Estos parmetros son especificados por la Security Association (SA), una coleccin de
parametros especficos de conexin, y cada pareja pueden tener uno o ms
colecciones de parmetros especficos de conexin. Cuando llega el datagrama son
usadas tres piezas de los datos para localizar dentro de la base de datos o Security
Associations Database (SADB) la SA correcta.

Direccin IP de la pareja (el usuario con el que nos estamos comunicando)

Protocolo IPsec (AH o ESP)
Security Parameter Index

Hay muchas maneras para asociar este triplete a un socket IP, el cual est denotado
de forma nica por la direccin IP, protocolo y el nmero del puerto
Una SA es de sentido nico, as que una conexin en los dos sentidos (el caso tpico)
requiere al menos dos. Adems, cada protocolo (ESP/AH) tiene su propia SA en cada
direccin, por tanto una conexin completa AH+ESP VPN requiere 4 SAs. Todas ellas
estn en la Security Associations Database.
En la SADB tenemos una cantidad ingente de informacin, pero slo podemos tocar
una parte de esta:

AH: algoritmo de autenticacin

AH: secreto de autenticacin
ESP: algoritmo de encriptacin
ESP: clave secreta de encriptacin
ESP: autenticacin activada si/no
Algunos parmetros de intercambio de llaves

Restricciones de enrutamiento
Poltica de filtracin de IPs

Algunas implementaciones mantienen la SPD (Security Policy Database) con

herramientas de tipo consola, otras con GUIs y otras proveen una interfaz basada en
web sobre la red. El grado de detalle mantenido por cualquier implementacin en
particular depende de las facilidades ofrecidas, as como si est en modo Host o modo
Pasarela (Gateway).
Administracin de claves secretas
Finalmente, vamos a cubrir brevemente el asunto de la administracin de claves. Este
rea incluye varios protocolos y muchas opciones,
IPsec sera casi intil sin las facilidades criptogrficas de autenticacin y encriptacin,
y este hecho requiere que las llaves que se usan slo las sepan los participantes en la
comunicacin y nadie ms.
La forma ms obvia y sencilla de establecer las directivas de securidad es de forma
manual: un grupo genera ese conjunto de directivas de securidad y las hace llegar a
los otros compaeros. Todas las personas implicadas en la comunicacin segura
instalan esas directivas como Security Association en la SPD.
Este proceso no es muy recomendado, ya que no es del todo seguro: el mero hecho
de hacer llegar las directivas de seguridad a otro lado, a su SPD puede exponer esas
directivas a personas ajenas a la comunicacin en el trnsito. In instalaciones ms
grandes con ms dispositivos usando una clave precompartidas, esas claves pueden
transigir un despliegue perjudicial para las nuevas claves.
IKE - Internet Key Exchange - existe para que los puntos terminales del tnel puedan
montar de manera apropiada sus Security Associations, incluyendo las directivas de
seguridad que van a usar. IKE usa el ISAKMP (Internet Security Association Key
Management Protocol) como un framework para dar soporte al establecimiento de una
SA compatible con los dos extremos
Existe un soporte para mltiples protocolos de intercambio de claves, siendo Oakley el
mas usado. Huelga decir que el intercambio de claves de IPSec tiene lugar
normalmente en el puerto 500 de UDP
IKE V1 Y V2
Internet key exchange (IKE) es un protocolo usado para establecer una Asociacin
de Seguridad (SA) en el protocolo IPsec. IKE emplea un intercambio secreto de claves
de tipo Diffie-Hellman para establecer el secreto compartido de la sesin. Se suelen
usar sistemas de clave pblica o clave pre-compartida.
Supone una alternativa al intercambio manual de claves. Su objetivo es la negociacin
de una Asociacin de Seguridad para IPSEC. Permite, adems, especificar el tiempo
de vida de la sesin IPSEC, autenticacin dinmica de otras mquinas, etc.
Fases IKE
La negociacin IKE est compuesta por dos fases: fase 1 y fase 2.1

El objetivo de la primera fase IKE es establecer un canal de comunicacin

seguro usando el algoritmo de intercambio de claves Diffie-Hellman para
generar una clave de secreto compartido y as cifrar la comunicacin IKE. Esta
negociacin establece una nica SA ISAKMP Security Association (SA).2
bidireccional. La autenticacin puede ser realizada usando tanto una clave
compartida (pre-shared key) (secreto compartido), firmas digitales, o cifrado de
clave pblica.3 La fase 1 opera tanto en modo principal como agresivo. El modo
principal protege la identidad de los extremos, mientras que el modo agresivo
no lo hace.1

En la segunda fase IKE, los extremos usan el canal seguro establecido en la

primera fase para negociar una Asociacin de Seguridad (SA) en nombre de
otros servicios como IPsec. La negociacin consiste en un mnimo de dos SAs
unidireccionales.4 Phase 2 opera slo en Quick Mode.1

Problemas de IKE
Originalmente IKE posea numerosas opciones de configuracin, pero careca de
sencillez general para la negociacin automtica en los entornos donde se
implementaba de forma universal. De esta forma, ambos extremos deban estar de
acuerdo en implementar exactamente el mismo tipo de asociacin de seguridad (SA)
(parmetro a parmetro) o la conexin no se establecera. Se aada a este problema
la dificultad de interpretar la salida de depuracin (debug), en caso de que existiese.
Las especificaciones de IKE estaban abiertas a diferentes interpretaciones, lo que se
interpretaba como fallos en su diseo (Dead-Peer-Detection es un ejemplo),
provocando que diferentes implementaciones de IKE no fueran compatibles entre s,
haciendo que no fuera posible establecer una asociacin de seguridad dependiendo
de las opciones que se eligieran, aunque ambos extremos aparecieran como
correctamente configurados.
Mejoras introducidas con IKEv2
La necesidad de una revisin del protocolo IKE fue incorporada en el apndice A del
RFC 4306. Los siguientes problemas fueron detallados:

Menor nmero de RFCs: Las especificaciones IKE estaban descritas en al

menos tres RFCs, ms si incluimos NAT transversal y otras extensiones comunes.
IKEv2 combina todas estas descripciones en un solo RFC, adems de incorporar
mejoras al NAT transversal y en general al mtodo de atravesar cortafuegos.
Soporte estndar en movilidad: Existe una extensin para IKEv2 llamada
MOBIKE, con objeto de soportar la movilidad y el multihoming para IKE y ESP.
Usando esta extensin, IKEv2 y IPsec puede ser usada por usuarios mviles.
NAT transversal: La encapsulacin de IKE y ESP por UDP en el puerto 4500
permite a estos protocolos atravesar cortafuegos que usan NAT5
Soporte SCTP: IKEv2 permite el uso del protocolo SCTP usado en telefona IP
VoIP.
Intercambio simple de mensajes: IKEv2 necesita cuatro mensajes para el
mecanismo de intercambio inicial, mientras que IKE necesitaba de ocho.
Menor nmero de mecanismos criptogrficos: IKEv2 emplea mecanismos
criptogrficos para proteger los paquetes que enva, de forma muy parecida a
los que hace el protocolo ESP para proteger los paquetes IPsec. Esto
repercute en implementaciones y certificaciones ms sencillas y para Common

Criteria and FIPS 140-2, que requieren que cada implementacin criptogrfica
sea validada de forma independiente.

Confiabilidad y administracin de estado: IKEv2 usa nmeros de secuencia y

acuses de recibo para proporcionar confiabilidad. Tambin provee sistemas de
procesamiento de errores y comparticin del estado. Se descubri que IKE
podra finalizar la conexin debido a la falta de sistemas que intormen sobre el
estado, al estar ambos extremos a la espera de la otra parte para iniciar una
accin que nunca se producira. Se desarrollaron algunas soluciones como
Dead-Peer-Detection, pero no se llegaron a estandarizar. Esto implica que
diferentes implementaciones de este tipo de soluciones no eran siempre
compatibles entre s.

Resistencia al ataque de denegacin de servicio (DoS): IKEv2 no realiza

procesamiento hasta que determina si el extremo que realiza la peticin
realmente existe. Esto permite evitar el gasto en procesamiento realizado en
cifrado/descifrado que se produca al sufrir un ataque desde IP falsas.

WIRELESS LAN
Una red de rea local inalmbrica, tambin conocida como WLAN (del ingls
wireless local area network), es un sistema de comunicacin inalmbrico flexible, muy
utilizado como alternativa a las redes de rea local cableadas o como extensin de
stas. Usan tecnologas de radiofrecuencia que permite mayor movilidad a los
usuarios al minimizar las conexiones cableadas. Estas redes van adquiriendo
importancia en muchos campos, como almacenes o para manufactura, en los que se
transmite la informacin en tiempo real a una terminal central. Tambin son muy
populares en los night-clubs para compartir el acceso a Internet entre varias
computadoras.
Funcionamiento
Se utilizan ondas de radio para llevar la informacin de un punto a otro sin necesidad
de un medio fsico guiado. Al hablar de ondas de radio nos referimos normalmente a
portadoras de radio, sobre las que va la informacin, ya que realizan la funcin de
llevar la energa a un receptor remoto. Los datos a transmitir se superponen a la
portadora de radio y de este modo pueden ser extrados exactamente en el receptor
final.
A este proceso se le llama modulacin de la portadora por la informacin que est
siendo transmitida. Si las ondas son transmitidas a distintas frecuencias de radio,
varias portadoras pueden existir en igual tiempo y espacio sin interferir entre ellas.
Para extraer los datos el receptor se sita en una determinada frecuencia, frecuencia
portadora, ignorando el resto. En una configuracin tpica de LAN (con cable) los
puntos de acceso (transceiver) conectan la red cableada de un lugar fijo mediante
cableado normalizado. El punto de acceso recibe la informacin, la almacena y la
transmite entre la WLAN y la LAN cableada. Un nico punto de acceso puede soportar
un pequeo grupo de usuarios y puede funcionar en un rango de al menos treinta
metros y hasta varios cientos. El punto de acceso (o la antena conectada al punto de
acceso) es normalmente colocado en alto pero podra colocarse en cualquier lugar en
que se obtenga la cobertura de radio deseada. El usuario final accede a la red WLAN
a travs de adaptadores. Estos proporcionan una interfaz entre el sistema de
operacin de red del cliente (NOS: Network Operating System) y las ondas, mediante
una antena.

La naturaleza de la conexin sin cable es transparente a la capa del cliente.

Configuraciones de red para radiofrecuencia
Pueden ser de muy diversos tipos y tan simples o complejas como sea necesario. La
ms bsica se da entre dos ordenadores equipados con tarjetas adaptadoras para
WLAN, de modo que pueden poner en funcionamiento una red independiente siempre
que estn dentro del rea que cubre cada uno. Esto es llamado red de igual a igual
(peer to peer). Cada cliente tendra nicamente acceso a los recursos del otro cliente
pero no a un servidor central. Este tipo de redes no requiere administracin o
preconfiguracin.
Instalando un Punto de Acceso se puede doblar la distancia a la cul los dispositivos
pueden comunicarse, ya que estos actan como repetidores. Desde que el punto de
acceso se conecta a la red cableada cualquier cliente tiene acceso a los recursos del
servidor y adems gestionan el trfico de la red entre los terminales ms prximos.
Cada punto de acceso puede servir a varias mquinas, segn el tipo y el nmero de
transmisiones que tienen lugar. Los puntos de acceso tienen un alcance finito, del
orden de 150 m en lugares o zonas abiertas. En zonas grandes como por ejemplo un
campus universitario o un edificio es probablemente necesario ms de un punto de
acceso. La meta es cubrir el rea con clulas que solapen sus reas de modo que los
clientes puedan moverse sin cortes entre un grupo de puntos de acceso. Esto es
llamado roaming.
Para resolver problemas particulares de topologas, el diseador de la red puede elegir
usar un Punto de Extensin (EPs) para aumentar el nmero de puntos de acceso a la
red, de modo que funcionan como tales pero no estn enganchados a la red cableada
como los puntos de acceso. Los puntos de extensin funcionan como su nombre
indica: extienden el alcance de la red retransmitiendo las seales de un cliente a un
punto de acceso o a otro punto de extensin. Los puntos de extensin pueden
encadenarse para pasar mensajes entre un punto de acceso y clientes lejanos de
modo que se construye un puente entre ambos.
Uno de los ltimos componentes a considerar en el equipo de una WLAN es la antena
direccional. Por ejemplo: si se quiere una Lan sin cable a otro edificio a 1 km de
distancia. Una solucin puede ser instalar una antena en cada edificio con lnea de
visin directa. La antena del primer edificio est conectada a la red cableada mediante
un punto de acceso. Igualmente en el segundo edificio se conecta un punto de acceso,
lo cual permite una conexin sin cable en esta aplicacin.
Asignacin de canales
Los estndares 802.11a y 802.11g utilizan la banda de 2,4 2,5 Ghz. En esta banda,
se definieron 11 canales utilizables por equipos WIFI, los cuales pueden configurarse
de acuerdo a necesidades particulares. Sin embargo, los 11 canales no son
completamente independientes (canales contiguos se superponen y se producen
interferencias) y en la prctica slo se pueden utilizar 3 canales en forma simultnea
(1, 6 y 11). Esto es correcto para USA y muchos pases de Amrica Latina, pues en
Europa, el ETSI ha definido 13 canales. En este caso, por ejemplo en Espaa, se
pueden utilizar 4 canales no-adyacentes (1, 5, 9 y 13). Esta asignacin de canales
usualmente se hace slo en el punto de acceso, pues los clientes automticamente
detectan el canal, salvo en los casos en que se forma una red ad hoc o punto a punto
cuando no existe punto de acceso.

Seguridad
Uno de los problemas de este tipo de redes es precisamente la seguridad ya que
cualquier persona con una terminal inalmbrica podra comunicarse con un punto de
acceso privado si no se disponen de las medidas de seguridad adecuadas. Dichas
medidas van encaminadas en dos sentidos: por una parte est el cifrado de los datos
que se transmiten y en otro plano, pero igualmente importante, se considera la
autenticacin entre los diversos usuarios de la red. En el caso del cifrado se estn
realizando diversas investigaciones ya que los sistemas considerados inicialmente se
han conseguido descifrar. Para la autenticacin se ha tomado como base el protocolo
de verificacin EAP (Extensible Authentication Protocol), que es bastante flexible y
permite el uso de diferentes algoritmos.
Velocidad
Otro de los problemas que presenta este tipo de redes es que actualmente (a nivel de
red local) no alcanzan la velocidad que obtienen las redes de datos cableadas.
Adems, en relacin con el apartado de seguridad, el tener que cifrar toda la
informacin supone que gran parte de la informacin que se transmite sea de control y
no informacin til para los usuarios, por lo que incluso se reduce la velocidad de
transmisin de datos tiles y no se llega a tener un buen acceso.

BALANCEADOR DE CARGA
Un balanceador de carga fundamentalmente es un dispositivo de hardware o
software que se pone al frente de un conjunto de servidores que atienden una
aplicacin y, tal como su nombre lo indica, asigna o balancea las solicitudes que llegan
de los clientes a los servidores usando algn algoritmo (desde un simple Round Robin
hasta algoritmos ms sofisticados).1

Es un mtodo para distribuir la carga de trabajo en varias computadoras separadas o

agrupadas en un clster.2
Para que se considere exitoso un balanceador de carga:

Debe minimizar tiempos de respuesta.

Mejorar el desempeo del servicio.
Evitar la saturacin.

Formas de implementar el balanceo de carga

Balanceo de carga basado en DNS. Se hace por medio de registros DNS para
que una URL apunte a ms de una direccin IP. Es fcil su implementacin.

Balanceo de carga basado en software. Por medio de los servidores WEB

comparten una direccin IP, la cual resuelve el dominio. Estos servidores
negocian entre ellos cual responder a la siguiente peticin.
Balanceo de carga dedicado. Cualquier hardware que contenga una aplicacin
de balanceo de carga de cdigo libre o comercial.

Mtodos de Balanceo de Carga

De peticin
Basado en sesin
De mtodos

Mtodos de Conexiones

Round-Robin. Las peticiones se entregan uno a uno en los servidores.

Weighted Round-Robin Las peticiones se entregan dependiendo del peso que

se le de a cada servidor.

LeastConnection. Las peticiones se hacen dependiendo del nmero de

conexiones que tenga cada servidor.

Weighted LeastConnection. Las peticiones se entregan dependiendo del peso

y el nmero de conexiones que se tengan.

Ventajas del Balanceo de Carga

Se puede ampliar su capacidad fcilmente.

Es de bajo costo.
Transparente para el usuario.
Funcionalidad permanente.
Evita la saturacin de servidores.

Ejemplos de balanceadores
A continuacin se presenta una tabla de comparacin con diferentes balanceadores de
carga.

LVS

Contras
Pros

Para

enrutamiento
directo se tiene
que parchar el
kernel

Ultra

Parche
solo
disponible para
versiones 2.4
Soporte
limitado

Observaciones
Nativo de Linux
Soporta
varios
algoritmos
de
distribucin
Failover protection El bug solo se presenta
para
el
modo
de
(con ldirector)
enrutamiento directo
Documentacin
extensa
Failover protection

Monkey

Pound

No
parece
tener
actualizaciones
para kernel 3.x
Fork de LVS
Custom kernel
Poca
documentacin
Poco conocido
Difcil
encontrar
un
paquete
pre
compilado

Soporta
algoritmos
distribucin

Failover protection

Soporta
algoritmos
distribucin

Documentacin
extensa
Cuenta con soporte
Balancea en varias
capas
La peticin http parece
Soporta
varios que la hace directa, si el
algoritmos a nivel sitio no entra directo, no
TCP
funciona.
Fcil configuracin

Zen Load
Appliance
Balancer

Apache

No es principalmente
un balanceador

No
es
principalmente
un balanceador

No es sencillo
configurarlo

Pfsense

Pirhana

Solo disponible
redhat

en

varios
de

varios
de

Interfaz web
Extensa
documentacin
Failover protection
Soporta
varios
algoritmos
de
distribucin
Failover protection
Cuenta con soporte
Soporta balanceo
en varias capas
Interfaz web
Interfaz web
Fcil configuracin
Documentacin
extensa
Failover protection
Soporta
algoritmos

varios

IPS
Un sistema de prevencin de intrusos (o por sus siglas en ingls IPS) es un
software que ejerce el control de acceso en una red informtica para proteger a los

sistemas computacionales de ataques y abusos. La tecnologa de prevencin de

intrusos es considerada por algunos como una extensin de los sistemas de deteccin
de intrusos (IDS), pero en realidad es otro tipo de control de acceso, ms cercano a
las tecnologas cortafuegos.
Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon para
resolver ambigedades en la monitorizacin pasiva de redes de computadoras, al
situar sistemas de detecciones en la va del trfico. Los IPS presentan una mejora
importante sobre las tecnologas de cortafuegos tradicionales, al tomar decisiones de
control de acceso basados en los contenidos del trfico, en lugar de direcciones IP o
puertos. Tiempo despus, algunos IPS fueron comercializados por la empresa One
Secure, la cual fue finalmente adquirida por NetScreen Technologies, que a su vez fue
adquirida por Juniper Networks en 2004. Dado que los IPS fueron extensiones literales
de los sistemas IDS, continan en relacin.
Tambin es importante destacar que los IPS pueden actuar al nivel de equipo, para
combatir actividades potencialmente maliciosas.
Funcionamiento
Un Sistema de Prevencin de Intrusos o Intrusion Prevention System ("IPS" en sus
siglas en ingls), es un dispositivo de seguridad de red que monitorea el trfico de red
y/o las actividades de un sistema, en busca de actividad maliciosa. Entre sus
principales funciones, se encuentran no slo la de identificar la actividad maliciosa,
sino la de intentar detener esta actividad. Siendo sta ltima una caracterstica que
distingue a este tipo de dispositivos de los llamados Sistemas de Deteccin de
Intrusos o Intrusion Detection Systems ("IDS" en sus siglas en ingls).
Entre otras funciones (como en el caso del IDS) se tiene que puede alertar al
administrador ante la deteccin de intrusiones o actividad maliciosa, mientras que es
exclusivo de un Sistema de Prevencin de Intrusos (IPS) establecer polticas de
seguridad para proteger al equipo o a la red de un ataque.
De ah que se diga que un IPS protege a una red o equipo de manera proactiva
mientras que un IDS lo hace de manera reactiva.
Otras funciones importantes de estos dispositivos de red, son las de grabar
informacin histrica de esta actividad y generar reportes.
Los IPS se clasifican en cuatro difrentes tipos:
1. Basados en Red Lan (NIPS): monitorean la red lan en busca de trfico de red
sospechoso al analizar la actividad por protocolo de comunicacin lan. 2. Basados en
Red Wireless (WIPS): monitorean la red inalmbrica en busca de trfico sospechoso al
analizar la actividad por protocolo de comunicacin inalmbrico. 3. Anlisis de
comportamiento de red (NBA): Examina el trfico de red para identifica amenazas que
generan trfico inusual, como ataques de denegacin de servicio ciertas formas de
malware y violaciones a polticas de red. 4. Basados en Host (HIPS): Se efecta
mediante la instalacin de paquetes de software que monitoran un host nico en busca
de actividad sospechosa
Los IPS categorizan la forma en que detectan el trfico malicioso:

Deteccin basada en firmas: como lo hace un antivirus.

Deteccin basada en polticas: el IPS requiere que se declaren muy

especficamente las polticas de seguridad.
Deteccin basada en anomalas: en funcin con el patrn de comportamiento
normal de trfico.

Deteccin basada en firmas

Una firma tiene la capacidad de reconocer una determinada cadena de bytes en cierto
contexto, y entonces lanza una alerta. Por ejemplo, los ataques contra los servidores
Web generalmente toman la forma de URLs. Por lo tanto se puede buscar utilizando
un cierto patrn de cadenas que pueda identificar ataques al servidor web. Sin
embargo, como este tipo de deteccin funciona parecido a un antivirus, el
administrador debe verificar que las firmas estn constantemente actualizadas.
Deteccin basada en polticas
En este tipo de deteccin, el IPS requiere que se declaren muy especficamente las
polticas de seguridad. Por ejemplo, determinar que hosts pueden tener comunicacin
con determinadas redes. El IPS reconoce el trfico fuera del perfil permitido y lo
descarta.
Deteccin basada en anomalas
Este tipo de deteccin tiende a generar muchos falsos positivos, ya que es sumamente
difcil determinar y medir una condicin normal. En este tipo de deteccin tenemos
dos opciones:
1. Deteccin estadstica de anormalidades: El IPS analiza el trfico de red por un
determinado periodo de tiempo y crea una lnea base de comparacin. Cuando
el trfico vara demasiado con respecto a la lnea base de comportamiento, se
genera una alarma.
2. Deteccin no estadstica de anormalidades: En este tipo de deteccin, es el
administrador quien define el patrn normal de trfico. Sin embargo, debido
a que con este enfoque no se realiza un anlisis dinmico y real del uso de la
red, es susceptible a generar muchos falsos positivos.
Se podra mencionar un apartado a cerca de las estraegias utilizadas a fin de decubrir
nuevos tipos de ataque; entrando en esta clasificacin los honey pots.

Deteccin honey pot (jarra de miel): funciona usando un equipo que se

configura para que llame la atencin de los hackers.

Deteccin honey pot (jarra de miel)

Aqu se utiliza un distractor. Se asigna como honey pot un dispositivo que pueda lucir
como atractivo para los atacantes. Los atacantes utilizan sus recursos para tratar de
ganar acceso en el sistema y dejan intactos los verdaderos sistemas. Mediante esto,
se puede monitorizar los mtodos utilizados por el atacante e incluso identificarlo, y de
esa forma implementar polticas de seguridad acordes en nuestros sistemas de uso
real.

WAF
Un WAF (Web Application Firewall) es un dispositivo hardware o software que permite
proteger los servidores de aplicaciones web de determinados ataques especficos en
Internet. Se controlan las transacciones al servidor web de nuestro negocio.
Bsicamente nos permite evitar (entre otras) los siguientes ataques:
- Cross-site scripting que consiste en la inclusin de cdigo script malicioso en el
cliente
que
consulta
el
servidor
web.
- SQL injection que consiste en introducir un cdigo SQL que vulnere la Base de
Datos
de
nuestro
servidor.
- Denial-of-service que consiste en que el servidor de aplicacin sea incapaz de servir
peticiones correctas de usuarios.
Hay 2 tipos de WAF: Los que se residen en la red (es decir son un elemento ms de la
red) y los que se basan en el servidor de aplicaciones (residen en el servidor).
Los WAF son elementos complementarios a las medidas de seguridad que soportan
los Firewall clsicos.

SMTP
El Simple Mail Transfer Protocol (SMTP) o protocolo para transferencia simple de
correo, es un protocolo de red utilizado para el intercambio de mensajes de correo
electrnico entre computadoras u otros dispositivos (PDA, telfonos mviles, etctera).
Fue definido en el RFC 2821 y es un estndar oficial de Internet.1
El funcionamiento de este protocolo se da en lnea, de manera que opera en los
servicios de correo electrnico. Sin embargo, este protocolo posee algunas
limitaciones en cuanto a la recepcin de mensajes en el servidor de destino (cola de
mensajes recibidos). Como alternativa a esta limitacin se asocia normalmente a este
protocolo con otros, como el POP o IMAP, otorgando a SMTP la tarea especfica de
enviar correo, y recibirlos empleando los otros protocolos antes mencionados (POP O
IMAP)
Modelo de procesamiento de correo

Modelo de procesamiento del correo.

El correo electrnico es presentado por un cliente de correo (MUA, agente de usuario
de correo) a un servidor de correo (MSA, agente de sumisin de correo) usando
SMTP. Una gran parte de los abastecedores de caja permiten la sumisin. Desde all,
el MSA entrega el correo a su agente de transferencia postal mejor conocido como el

MTA (Mail Transfer Agent, Agente de Transferencia de Correo). En algunas ocasiones,

estos dos agentes son casos diferentes aunque hay que destacar que provienen del
mismo software de donde fueron lanzados slo que presentan opciones diferentes
dentro de la misma mquina.
El procesamiento local que se presenta puede ser realizado en una sola mquina o
partido entre varias aplicaciones; en este segundo caso, los procesos implicados
pueden compartir archivos; aqu SMTP es usado para la transferencia de mensajes
internamente, con cada uno de los hosts configurados para usar la siguiente aplicacin
como un anfitrin elegante. Para lograr la localizacin del servidor objetivo, el MTA
divisorio tiene que usar el sistema de nombre de dominio (DNS) para lograr la
bsqueda del registro interno de cambiado de correo conocido como registro MX para
la esfera del recipiente (la parte de la direccin a la derecha). Es en ese instante
cuando el registro de MX devuelto contiene el nombre del anfitrin objetivo.[cita requerida]
Luego el MTA se une al servidor de cambio como un cliente SMTP. Una vez que MX
acepta el mensaje entrante, este a su vez se lo da a un agente de entrega de correo
(MDA) para luego ser llevado a la entrega de correo local. El MDA, adems de
entregar mensajes es tambin capaz de salvar mensajes en un buzn de formato, y la
recepcin de correo puede ser realizada usando muchas computadoras. Hay dos
formas en que un MDA puede entregar mensajes: ya sea envindolos directamente al
almacenamiento, o expedirlos sobre una red usando SMTP. Una vez entregado al
servidor de correo local, dicho correo es almacenado para la recuperacin de la
hornada. Su recuperacin se logra por medio de las aplicaciones de usuario final,
conocidas como clientes de correo electrnico, usando el Protocolo de Acceso de
Mensaje de Internet (IMAP), este protocolo que facilita tanto el acceso para enviar,
como el manejo de correo almacenado.
Puertos
Los administradores de servidor pueden elegir si los clientes utilizan TCP puerto 25
(SMTP) o el puerto 587 (Presentacin) para retransmitir el correo saliente a una inicial
del servidor de correo.3 Las especificaciones y muchos servidores soportan ambos.
Aunque algunos servidores soportan el puerto 465 para el legado SMTP seguro en
violacin de las especificaciones, es preferible utilizar los puertos estndar y
comandos ESMTP estndar de acuerdo con RFC 3207, si se debe utilizar una sesin
segura entre el cliente y el servidor.
Algunos servidores estn configurados para rechazar toda la retransmisin en el
puerto 25, pero los usuarios vlidos de autenticacin en el puerto 587 pueden
retransmitir correo a cualquier direccin vlida. [cita requerida] Algunos proveedores de
servicios de Internet interceptan el puerto 25, volviendo a dirigir el trfico a su propio
servidor SMTP, independientemente de la direccin de destino. Esto significa que no
es posible para sus usuarios acceder a un servidor SMTP fuera de la red del ISP a
travs del puerto 25.
Algunos servidores SMTP soportan el acceso autenticado en otro puerto que no sea
587 o 25 para permitir a los usuarios conectarse a ellos, incluso si el puerto 25 est
bloqueado, pero 587 es el puerto estndar y ampliamente apoyada por los usuarios
enviar correo nuevo. Microsoft Exchange Server 2013 SMTP puede escuchar en los
puertos 25, 587, 465, 475, y 2525, en funcin de servidor y si los roles se combinan en
un solo servidor.[cita requerida] Los puertos 25 y 587 se utilizan para proporcionar la
conectividad del cliente con el servicio de transporte en la parte delantera de la funcin
de servidor de acceso de cliente (CAS). Los puertos 25, 465 y 475 son utilizados por el

servicio de transporte de buzn de correo. Sin embargo, cuando la funcin de buzn

se combina con la funcin de CAS en un nico servidor, el puerto 2525 se utiliza por la
funcin de buzn de SMTP desde el servicio de transporte de extremo delantero del
CAS, CAS, mientras que contina para utilizar el puerto 25. Puerto 465 es utilizado por
el servicio de transporte de buzn de correo para recibir las conexiones de cliente
proxy de la funcin CAS. Puerto 475 es utilizado por la funcin de buzn para
comunicarse directamente con otras funciones de buzn, la transferencia de correo
entre el servicio de envo de transporte de buzn de correo y el servicio de entrega de
transporte buzn.4
Descripcin del Protocolo
SMTP es un protocolo orientado a la conexin basado en texto, en el que un remitente
de correo se comunica con un receptor de correo electrnico mediante la emisin de
secuencias de comandos y el suministro de los datos necesarios en un canal de flujo
de datos ordenado fiable, normalmente un protocolo de control de transmisin de
conexin (TCP). Una sesin SMTP consiste en comandos originados por un cliente
SMTP (el agente de inicio, emisor o transmisor) y las respuestas correspondientes del
SMTP del servidor (el agente de escucha, o receptor) para que la sesin se abra y se
intercambian los parmetros de la sesin. Una sesin puede incluir cero o ms
transacciones SMTP. Una transaccin de SMTP se compone de tres secuencias de
comando / respuesta (vase el ejemplo a continuacin).
Ellos son:

MAIL: comando para establecer la direccin de retorno, tambin conocido

como Return-Path, remitente o sobre. Esta es la direccin para mensajes de
despedida.
RCPT: comando, para establecer un destinatario de este mensaje. Este
mandato puede emitirse varias veces, una para cada destinatario. Estas
direcciones son tambin parte de la envolvente.
DATA: para enviar el mensaje de texto. Este es el contenido del mensaje, en
lugar de su envoltura. Se compone de una cabecera de mensaje y el cuerpo
del mensaje separado por una lnea en blanco. DATA es en realidad un grupo
de comandos, y el servidor responde dos veces: una vez para el comando de
datos adecuada, para reconocer que est listo para recibir el texto, y la
segunda vez despus de la secuencia final de los datos, para aceptar o
rechazar todo el mensaje.

Resumen simple del funcionamiento del protocolo SMTP

Cuando un cliente establece una conexin con el servidor SMTP, espera a que
ste enve un mensaje 220 Service ready o 421 Service non available.
Se enva un HELO desde el cliente. Con ello el servidor se identifica. Esto
puede usarse para comprobar si se conect con el servidor SMTP correcto.
El cliente comienza la transaccin del correo con la orden MAIL FROM. Como
argumento de esta orden se puede pasar la direccin de correo al que el
servidor notificar cualquier fallo en el envo del correo (Por ejemplo, MAIL
FROM:<fuente@host0>). Luego si el servidor comprueba que el origen es
vlido, el servidor responde 250 OK.
Ya le hemos dicho al servidor que queremos mandar un correo, ahora hay que
comunicarle a quien. La orden para esto es RCPT TO:<destino@host>. Se
pueden mandar tantas rdenes RCPT como destinatarios del correo queramos.
Por cada destinatario, el servidor contestar 250 OK o bien 550 No such
user here, si no encuentra al destinatario.

Una vez enviados todos los RCPT, el cliente enva una orden DATA para
indicar que a continuacin se envan los contenidos del mensaje. El servidor
responde 354 Start mail input, end with <CRLF>.<CRLF> Esto indica al
cliente como ha de notificar el fin del mensaje.
Ahora el cliente enva el cuerpo del mensaje, lnea a lnea. Una vez finalizado,
se termina con un <CRLF>.<CRLF> (la ltima lnea ser un punto), a lo que el
servidor contestar 250 OK, o un mensaje de error apropiado.
Tras el envo, el cliente, si no tiene que enviar ms correos, con la orden QUIT
corta la conexin. Tambin puede usar la orden TURN, con lo que el cliente
pasa a ser el servidor, y el servidor se convierte en cliente. Finalmente, si tiene
ms mensajes que enviar, repite el proceso hasta completarlos.

Puede que el servidor SMTP soporte las extensiones definidas en el RFC 1651, en
este caso, la orden HELO puede ser sustituida por la orden EHLO, con lo que el
servidor contestar con una lista de las extensiones admitidas. Si el servidor no
soporta las extensiones, contestar con un mensaje "500 Syntax error, command
unrecognized".
En el ejemplo pueden verse las rdenes bsicas de SMTP:

HELO, para abrir una sesin con el servidor

MAIL FROM, para indicar quien enva el mensaje
RCPT TO, para indicar el destinatario del mensaje
DATA, para indicar el comienzo del mensaje, ste finalizar cuando haya una
lnea nicamente con un punto.
QUIT, para cerrar la sesin
RSET Aborta la transaccin en curso y borra todos los registros.
SEND Inicia una transaccin en la cual el mensaje se entrega a una terminal.
SOML El mensaje se entrega a un terminal o a un buzn.
SAML El mensaje se entrega a un terminal y a un buzn.
VRFY Solicita al servidor la verificacin de todo un argumento.
EXPN Solicita al servidor la confirmacin del argumento.
HELP Permite solicitar informacin sobre un comando.
NOOP Se emplea para reiniciar los temporizadores.
TURN Solicita al servidor que intercambien los papeles.

De los tres dgitos del cdigo numrico, el primero indica la categora de la respuesta,
estando definidas las siguientes categoras:

2XX, la operacin solicitada mediante el comando anterior ha sido concluida

con xito
3XX, la orden ha sido aceptada, pero el servidor esta pendiente de que el
cliente le enve nuevos datos para terminar la operacin
4XX, para una respuesta de error, pero se espera a que se repita la instruccin
5XX, para indicar una condicin de error permanente, por lo que no debe
repetirse la orden

Una vez que el servidor recibe el mensaje finalizado con un punto puede almacenarlo
si es para un destinatario que pertenece a su dominio, o bien retransmitirlo a otro
servidor para que finalmente llegue a un servidor del dominio del receptor.

Ejemplo de una comunicacin SMTP

En primer lugar se ha de establecer una conexin entre el emisor (cliente) y el receptor
(servidor). Esto puede hacerse automticamente con un programa cliente de correo o
mediante un cliente telnet.
En el siguiente ejemplo se muestra una conexin tpica. Se nombra con la letra C al
cliente y con S al servidor.
S: 220 Servidor SMTP
C: HELO miequipo.midominio.com
S: 250 Hello, please to meet you
C: MAIL FROM: <yo@midominio.com>
S: 250 Ok
C: RCPT TO: <destinatario@sudominio.com>
S: 250 Ok
C: DATA
S: 354 End data with <CR><LF>.<CR><LF>
C: Subject: Campo de asunto
C: From: yo@midominio.com
C: To: destinatario@sudominio.com
C:
C: Hola,
C: Esto es una prueba.
C: Hasta luego.
C:
C: .
C: <CR><LF>.<CR><LF>
S: 250 Ok: queued as 12345
C: quit
S: 221 Bye
Formato del mensaje
Como se muestra en el ejemplo anterior, el mensaje es enviado por el cliente despus
de que ste manda la orden DATA al servidor. El mensaje est compuesto por dos
partes:

Cabecera: en el ejemplo las tres primeras lneas del mensaje son la cabecera.
En ellas se usan unas palabras clave para definir los campos del mensaje.
Estos campos ayudan a los clientes de correo a organizarlos y mostrarlos. Los
ms tpicos son subject (asunto), from (emisor) y to (receptor). stos dos
ltimos campos no hay que confundirlos con las rdenes MAIL FROM y RCPT
TO, que pertenecen al protocolo, pero no al formato del mensaje.
Cuerpo del mensaje: es el mensaje propiamente dicho. En el SMTP bsico
est compuesto nicamente por texto, y finalizado con una lnea en la que el
nico carcter es un punto.

SMTP vs Recuperacin de correo

El protocolo de transferencia de correo simple (SMTP) solo se encarga de entregar el
mensaje. En un ambiente comn el mensaje es enviado a un servidor de correo de
salto siguiente a medida que llega a su destino. El correo se enlaza basado en el
servidor de destino. Otros protocolos como el protocolo de oficina de correos (POP) y

el protocolo de acceso a mensaje de internet (IMAP) su estructura es para usuarios

individuales, recuperacin de mensajes, gestin de buzones de correo. SMTP usa una
funcin, el procesamiento de colas de correo en un servidor remoto, permite que un
servidor de correo de forma intermitente conectado a mandar mensajes desde un
servidor remoto. El IMAP y el POP son protocolos inadecuados para la retransmisin
de correo de mquinas de forma intermitente-conectados, sino que estn diseados
para funcionar despus de la entrega final.
Inicio remoto de mensaje en cola
Es una caracterstica de SMTP que permite a un host remoto para iniciar el
procesamiento de la cola de correo en el servidor por lo que puede recibir mensajes
destinados a ella mediante el envo del comando TURN. Esta caracterstica se
considera insegura pero usando el comando ETRN en la extensin RFC 1985 funciona
de forma ms segura.
Peticin de Reenvo de Correo Bajo Demanda (ODMR)
On-Demand Mail Relay (ODMR por sus siglas en Ingls) es una extensin de SMTP
estandarizada en la RFC 2645 que permite que el correo electrnico sea transmitido al
receptor despus de que l ha sido aprobado. Usa la orden de SMTP ampliada ATRN,
disponible para la direcciones de IP dinmicas. El cliente publica EHLO y rdenes de
AUTH de servicios ODMR de correo, ODMR comienza a actuar como un cliente SMTP
y comienza a enviar todos los mensajes dirigidos a un cliente usando el protocolo
SMTP, al iniciar sesin el cortafuegos o el servidor pueden bloquear la sesin entrante
debido a IP dinmicas. Slo el servidor ODMR, el proveedor del servicio, debe
escuchar las sesiones SMTP en una direccin de IP fija.
Internacionalizacin
Muchos usuarios cuyo lenguaje base no es el latn han tenido dificultades con el
requisito de correo electrnico en Amrica. RFC 6531 fue creado para resolver ese
problema, proporcionando caractersticas de internacionalizacin de SMTP, la
extensin SMTPUTF8. RFC 6531 proporciona soporte para caracteres de varios bytes
y no para ASCII en las direcciones de correo electrnico. El soporte del
internacionalizacin actualmente es limitada pero hay un gran inters en la ampliacin
de el RFC 6531. RFC en pases como en china, que tiene una gran base de usuarios
en Amrica.
Correo saliente con SMTP
Un cliente de correo electrnico tiene que saber la direccin IP de su servidor SMTP
inicial y esto tiene que ser dado como parte de su configuracin (usualmente dada
como un nombre DNS). Este servidor enviar mensajes salientes en nombre del
usuario.
Restriccin de acceso y salida al servidor de correo
En un ambiente de servidores, los administradores deben tomar medidas de control en
donde los servidores estn disponibles para los clientes. Esto permite implementar
seguridad frente a posibles amenazas. Anteriormente, la mayora de los sistemas
imponan restricciones de uso de acuerdo a la ubicacin del cliente, slo estaba
permitido su uso por aquellos clientes cuya direccin IP es una de las controladas por
los administradores del servidor. Los servidores SMTP modernos se caracterizan por

ofrecer un sistema alternativo, el cual requiere de una autenticacin mediante

credenciales por parte de los clientes antes de permitir el acceso.
Restringir el acceso por ubicacin
Mediante este sistema, el servidor SMTP relativo al ISP no permitir el acceso de los
usuarios que estn fuera de la red del ISP. Especficamente, el servidor solo puede
permitir el acceso de aquellos usuarios cuya direccin IP fue proporcionada por el ISP,
lo cual es equivalente a exigir que estn conectados a internet mediante el mismo ISP.
Un usuario mvil suele estar a menudo en una red distinta a la normal de su ISP, y
luego descubrir que el envo de correo electrnico falla porque la eleccin del servidor
SMTP configurado ya no es accesible. Este sistema tiene distintas variaciones, por
ejemplo, el servidor SMTP de la organizacin slo puede proporcionar servicio a los
usuarios en la misma red, esto se hace cumplir mediante cortafuegos para bloquear el
acceso de los usuarios en general a travs de Internet. O puede que el servicio realice
comprobaciones de alcance en la direccin IP del cliente. Estos mtodos son
utilizados normalmente por empresas e instituciones, como las universidades que
proporcionan un servidor SMTP para el correo saliente solo para su uso interno dentro
de la organizacin. Sin embargo, la mayora de estos organismos utilizan ahora
mtodos de autenticacin de cliente, tal como se describe a continuacin. Al restringir
el acceso a determinadas direcciones IP, los administradores de servidores pueden
reconocer fcilmente la direccin IP de cualquier agresor. Como esta representa una
direccin significativa para ellos, los administradores pueden hacer frente a la mquina
o usuario sospechoso. Cuando un usuario es mvil, y puede utilizar diferentes
proveedores para conectarse a internet, este tipo de restriccin de uso es costoso, y la
alteracin de la configuracin perteneciente a la direccin de correo electrnico del
servidor SMTP saliente resulta ser poco prctica. Es altamente deseable poder utilizar
la informacin de configuracin del cliente de correo electrnico que no necesita
cambiar.
Seguridad y spam
Artculo principal: Antispam
Una de las limitaciones del SMTP original es que no facilita mtodos de autenticacin
a los emisores, as que se defini la extensin SMTP-AUTH en RFC 2554.
A pesar de esto, el spam es an el mayor problema. No se cree que las extensiones
sean una forma prctica para prevenirlo. Internet Mail 2000 es una de las propuestas
para reemplazarlo.[cita requerida]
Diferentes metodologas han aparecido para combatir el spam. Entre ellas destacan
DKIM, Sender Policy Framework (SPF) y desde el 2012 Domain-based Message
Authentication, Reporting and Conformance (DMARC).5

GATEWAY ANTIVIRUS
Gateway Anti-Virus permite a las aplicaciones en toda la empresa para comprobar los
archivos en busca de virus, proporcionando una JABN deteccin de virus basada en
servicios web. Las aplicaciones cliente adjuntar archivos a los mensajes SOAP y
someterlos al servicio Web Gateway Anti-Virus. El servicio web utiliza ClamAV para
escanear los archivos adjuntos en busca de virus y devuelve los resultados al cliente.

UTM
La gestin unificada de amenazas, que comnmente se abrevia como UTM, es un
trmino de seguridad de la informacin que se refiere a una sola solucin de
seguridad, y por lo general un nico producto de seguridad, que ofrece varias
funciones de seguridad en un solo punto en la red. Un producto UTM generalmente
incluye funciones como antivirus, anti-spyware, anti-spam, firewall de red, prevencin y
deteccin de intrusiones, filtrado de contenido y prevencin de fugas. Algunas
unidades tambin ofrecen servicios como enrutamiento remoto, traduccin de
direcciones de red (NAT, network address translation) y compatibilidad para redes
privadas virtuales (VPN, virtual private network). El encanto de la solucin se basa en
la simplicidad, por lo que las organizaciones que puedan haber tenido proveedores o
productos para cada tarea de seguridad por separado, ahora los pueden tener todos
en una sola solucin, con el apoyo de un nico equipo o segmento de TI, y que se
ejecuta en una sola consola.
De qu manera los productos UTM bloquean un virus informtico o muchos
virus
Los productos de gestin unificada de amenazas han ganado fuerza en el sector
debido a la aparicin de amenazas combinadas, que son el resultado de la
combinacin de diferentes tipos de malware y ataques que apuntan a partes
separadas de la red de forma simultnea. Puede ser difcil evitar estos tipos de
ataques cuando se utilizan distintos productos y proveedores para cada tarea de
seguridad especfica, ya que cada aspecto tiene que administrarse y actualizarse de
forma individual a fin de permanecer actualizado de cara a las ltimas formas de
malware y cibercrimen. A travs de la creacin de un nico punto de defensa y el uso
de una sola consola, las soluciones UTM facilitan en gran medida la tarea de tratar con
amenazas variadas.
Aunque la gestin unificada de amenazas s resuelve algunos problemas de seguridad
de red, no lo hace sin algunas desventajas, siendo la ms grande que el nico punto
de defensa que proporciona un producto UTM tambin crea un punto nico de falla.
Debido a esto, muchas organizaciones optan por complementar su dispositivo UTM
con un segundo permetro basado en software para detener cualquier malware que
pase por el firewall UTM.

PRODUCTOS FORTINET