Servicio de DNS

Descripcin El servicio DNS (Domain Name Service) es un servicio de Internet que traduce los nombres de los dominios (direcciones por nombre, p. ej. www.unizar.es) en direcciones IP (direcciones numricas, p. Ej. 155.210.3.32) y viceversa. Este servicio es imprescindible para poder iniciar cualquier comunicacin con otro computador accediendo al mismo por su nombre. Configuracin Los servidores DNS de la UZ son los siguientes: 155.210.12.9 primario 155.210.3.12 secundario 155.210.33.4 secundario Los usuarios de la UZ debern utilizar estos servidores en la configuracin de sus maquinas:

Si la configuracin de una maquina solo admite un servidor, deber utilizarse el primario 155.210.12.9 En aquellas maquinas cuya configuracin permita varios servidores deber incluirse el primario (155.210.12.9) y, al menos, uno de los secundarios (155.210.3.12 y 155.210.33.4)

A continuacin se explica cmo introducir estos datos en un ordenador con Windows XP. Para otros sistemas operativos Windows el procedimiento es muy similar Windows XP Ir a Inicio, Configuracin, Panel de Control,Conexiones de Red y Acceso Telefnico, Conexin de Area Local, Propiedades

Seleccionar Protocolo Internet (TCP/IP), y pulsar en Propiedades. En "Usar las siguientes direcciones de servidor DNS", introducir las direcciones IP de dos de los servidores DNS de la UZ. Windows 95-98 Ir a Inicio, Configuracin, Panel de Control, Red y marcar TCP/IP-->su tarjeta de red, luego Propiedades, seleccionar la solapa "Configuracin DNS", deber introducir las IP de los Servidores DNS. Luego hacer click en ACEPTAR. Es posible que el Windows solicite los discos de instalacin, que pueden estar en C:\win98 o en C:\windows\options\cabs. Posteriormente deber reiniciar el ordenador.

Domain Name System o DNS (en castellano: sistema de nombres de dominio) es un sistema de nomenclatura jerrquica para computadoras, servicios o cualquier recurso conectado a Internet o a una red privada. Este sistema asocia informacin variada con nombres de dominios asignado a cada uno de los participantes. Su funcin ms importante, es traducir (resolver) nombres inteligibles para los humanos en identificadores binarios asociados con los equipos conectados a la red, esto con el propsito de poder localizar y direccionar estos equipos mundialmente. El servidor DNS utiliza una base de datos distribuida y jerrquica que almacena informacin asociada a nombres de dominio en redes como Internet. Aunque como base de datos el DNS es capaz de asociar diferentes tipos de informacin a cada nombre, los usos ms comunes son la asignacin de nombres de dominio a direcciones IP y la localizacin de los servidores de correo electrnico de cada dominio. La asignacin de nombres a direcciones IP es ciertamente la funcin ms conocida de los protocolos DNS. Por ejemplo, si la direccin IP del sitio FTP de prox.mx es 200.64.128.4, la mayora de la gente llega a este equipo especificando ftp.prox.mx y no la direccin IP. Adems de ser ms fcil de recordar, el nombre es ms fiable. La direccin numrica podra cambiar por muchas razones, sin que tenga que cambiar el nombre. Inicialmente, el DNS naci de la necesidad de recordar fcilmente los nombres de todos los servidores conectados a Internet. En un inicio, SRI (ahora SRI International) alojaba un archivo llamado HOSTS que contena todos los nombres de dominio conocidos (tcnicamente, este archivo existe[cita requerida] - la mayora de los sistemas operativos actuales pueden ser configurados para revisar su archivo hosts[cita requerida]). El crecimiento explosivo de la red caus que el sistema de nombres centralizado en el archivo hosts no resultara prctico y en 1983, Paul Mockapetris public los RFCs 882 y 883 definiendo lo que hoy en da ha evolucionado hacia el DNS moderno. (Estos RFCs han quedado obsoletos por la publicacin en 1987 de los RFCs 1034 y 1035).
Componentes

Para la operacin prctica del sistema DNS se utilizan tres componentes principales:

Los Clientes DNS: Un programa cliente DNS que se ejecuta en la computadora del usuario y que genera peticiones DNS de resolucin de nombres a un servidor DNS (Por ejemplo: Qu direccin IP corresponde a nombre.dominio?); Los Servidores DNS: Que contestan las peticiones de los clientes. Los servidores recursivos tienen la capacidad de reenviar la peticin a otro servidor si no disponen de la direccin solicitada. Y las Zonas de autoridad, porciones del espacio de nombres de dominio que almacenan los datos. Cada zona de autoridad abarca al menos un dominio y posiblemente sus subdominios, si estos ltimos no son delegados a otras zonas de autoridad.

[] Entendiendo las partes de un nombre de dominio

Un nombre de dominio usualmente consiste en dos o ms partes (tcnicamente etiquetas), separadas por puntos cuando se las escribe en forma de texto. Por ejemplo, www.mohamedali.org o www.wikipedia.es

A la etiqueta ubicada ms a la derecha se le llama dominio de nivel superior (en ingls top level domain). Como org en www.ejemplo.org o es en
www.wikipedia.es

Cada etiqueta a la izquierda especifica una subdivisin o subdominio. Ntese que "subdominio" expresa dependencia relativa, no dependencia absoluta. En teora, esta subdivisin puede tener hasta 127 niveles, y cada etiqueta puede contener hasta 63 caracteres, pero restringidos a que la longitud total del nombre del dominio no exceda los 255 caracteres, aunque en la prctica los dominios son casi siempre mucho ms cortos. Finalmente, la parte ms a la izquierda del dominio suele expresar el nombre de la mquina (en ingls hostname). El resto del nombre de dominio simplemente especifica la manera de crear una ruta lgica a la informacin requerida. Por ejemplo, el dominio es.wikipedia.org tendra el nombre de la mquina "es", aunque en este caso no se refiere a una mquina fsica en particular.

El DNS consiste en un conjunto jerrquico de servidores DNS. Cada dominio o subdominio tiene una o ms zonas de autoridad que publican la informacin acerca del dominio y los nombres de servicios de cualquier dominio incluido. La jerarqua de las zonas de autoridad coincide con la jerarqua de los dominios. Al inicio de esa jerarqua se encuentra los servidores raz: los servidores que responden cuando se busca resolver un dominio de primer y segundo nivel.

[] DNS en el mundo real

Los usuarios generalmente no se comunican directamente con el servidor DNS: la resolucin de nombres se hace de forma transparente por las aplicaciones del cliente (por ejemplo, navegadores, clientes de correo y otras aplicaciones que usan Internet). Al realizar una peticin que requiere una bsqueda de DNS, la peticin se enva al servidor DNS local del sistema operativo. El sistema operativo, antes de establecer alguna comunicacin, comprueba si la respuesta se encuentra en la memoria cach. En el caso de que no se encuentre, la peticin se enviar a uno o ms servidores DNS. La mayora de usuarios domsticos utilizan como servidor DNS el proporcionado por el proveedor de servicios de Internet. La direccin de estos servidores puede ser configurada de forma manual o automtica mediante DHCP. En otros casos, los administradores de red tienen configurados sus propios servidores DNS.

En cualquier caso, los servidores DNS que reciben la peticin, buscan en primer lugar si disponen de la respuesta en la memoria cach. Si es as, sirven la respuesta; en caso contrario, iniciaran la bsqueda de manera recursiva. Una vez encontrada la respuesta, el servidor DNS guardar el resultado en su memoria cach para futuros usos y devuelve el resultado.

[editar] Jerarqua DNS

El espacio de nombres de dominio tiene una estructura arborescente. Las hojas y los nodos del rbol se utilizan como etiquetas de los medios. Un nombre de dominio completo de un objeto consiste en la concatenacin de todas las etiquetas de un camino. Las etiquetas son cadenas alfanumricas (con '-' como nico smbolo permitido), deben contar con al menos un carcter y un mximo de 63 caracteres de longitud, y deber comenzar con una letra (y no con '-') (ver la RFC 1035, seccin "2.3.1. Preferencia nombre de la sintaxis "). Las etiquetas individuales estn separadas por puntos. Un nombre de dominio termina con un punto (aunque este ltimo punto generalmente se omite, ya que es puramente formal). Un

FQDN correcto (tambin llamado Fully Qualified Domain Name), es por ejemplo este: www.example.com. (Incluyendo el punto al final) Un nombre de dominio debe incluir todos los puntos y tiene una longitud mxima de 255 caracteres. Un nombre de dominio se escribe siempre de derecha a izquierda. El punto en el extremo derecho de un nombre de dominio separa la etiqueta de la raz de la jerarqua (en ingls, root). Este primer nivel es tambin conocido como dominio de nivel superior (TLD). Los objetos de un dominio DNS (por ejemplo, el nombre del equipo) se registran en un archivo de zona, ubicado en uno o ms servidores de nombres.

[] Tipos de servidores DNS

Preferidos: Guardan los datos de un espacio de nombres en sus ficheros Alternativos: Obtienen los datos de los servidores primarios a travs de una transferencia de zona. Locales o cach: Funcionan con el mismo software, pero no contienen la base de datos para la resolucin de nombres. Cuando se les realiza una consulta, estos a su vez consultan a los servidores secundarios, almacenando la respuesta en su base de datos para agilizar la repeticin de estas peticiones en el futuro continuo o libre.

[] Tipos de resolucin de nombres de dominio

Existen dos tipos de consultas que un cliente puede hacer a un servidor DNS:

Iterativa

Las resoluciones iterativas consisten en la respuesta completa que el servidor de nombres pueda dar. El servidor de nombres consulta sus datos locales (incluyendo su cach) buscando los datos solicitados. El servidor encargado de hacer la resolucin realiza iterativamente preguntas a a los diferentes DNS de la jerarquia asociada al nombre que se desea resolver, hasta descender en ella hasta la maquina que contiene la zona autoritativa para el nombre que se desea resolver.

Recursiva

En las resoluciones recursivas, el servidor no tiene la informacin en sus datos locales, por lo que busca y se pone en contacto con un servidor DNS raz, y en caso de ser necesario repite el mismo proceso bsico (consultar a un servidor remoto y seguir a la siguiente referencia) hasta que obtiene la mejor respuesta a la pregunta.

Cuando existe ms de un servidor autoritario para una zona, Bind utiliza el menor valor en la mtrica RTT (round-trip time) para seleccionar el servidor. El RTT es una medida para determinar cunto tarda un servidor en responder una consulta. El proceso de resolucin normal se da de la siguiente manera: 1. 2. 3. 4. 5. 6. 7. 8. 9. El servidor A recibe una consulta recursiva desde el cliente DNS. El servidor A enva una consulta recursiva a B. El servidor B refiere a A otro servidor de nombres, incluyendo a C. El servidor A enva una consulta recursiva a C. El servidor C refiere a A otro servidor de nombres, incluyendo a D. El servidor A enva una consulta recursiva a D. El servidor D responde. El servidor A regresa la respuesta al resolver. El resolver entrega la resolucin al programa que solicit la informacin.

[] Tipos de registros DNS

A = Address (Direccin) Este registro se usa para traducir nombres de servidores de alojamiento a direcciones IPv4. AAAA = Address (Direccin) Este registro se usa en IPv6 para traducir nombres de hosts a direcciones IPv6. CNAME = Canonical Name (Nombre Cannico) Se usa para crear nombres de servidores de alojamiento adicionales, o alias, para los servidores de alojamiento de un dominio. Es usado cuando se estn corriendo mltiples servicios (como ftp y servidor web) en un servidor con una sola direccin ip. Cada servicio tiene su propia entrada de DNS (como ftp.ejemplo.com. y www.ejemplo.com.). esto tambin es usado cuando corres mltiples servidores http, con diferente nombres, sobre el mismo host. NS = Name Server (Servidor de Nombres) Define la asociacin que existe entre un nombre de dominio y los servidores de nombres que almacenan la informacin de dicho dominio. Cada dominio se puede asociar a una cantidad cualquiera de servidores de nombres. MX (registro) = Mail Exchange (Registro de Intercambio de Correo) Asocia un nombre de dominio a una lista de servidores de intercambio de correo para ese dominio. PTR = Pointer (Indicador) Tambin conocido como 'registro inverso', funciona a la inversa del registro A, traduciendo IPs en nombres de dominio. SOA = Start of authority (Autoridad de la zona) Proporciona informacin sobre el servidor DNS primario de la zona. HINFO = Host INFOrmation (Informacin del sistema informtico) Descripcin del host, permite que la gente conozca el tipo de mquina y sistema operativo al que corresponde un dominio. TXT = TeXT - ( Informacin textual) Permite a los dominios identificarse de modos arbitrarios. LOC = LOCalizacin - Permite indicar las coordenadas del dominio.

WKS - Generalizacin del registro MX para indicar los servicios que ofrece el dominio. Obsoleto en favor de SRV. SRV = SeRVicios - Permite indicar los servicios que ofrece el dominio. RFC 2782 SPF = Sender Policy Framework - Ayuda a combatir el Spam. En este registro se especifica cual o cuales hosts estn autorizados a enviar correo desde el dominio dado. El servidor que recibe, consulta el SPF para comparar la IP desde la cual le llega, con los datos de este registro.

Dynamic Host Configuration Protocol

DHCP (sigla en ingls de Dynamic Host Configuration Protocol - Protocolo de configuracin dinmica de host) es un protocolo de red que permite a los clientes de una red IP obtener sus parmetros de configuracin automticamente. Se trata de un protocolo de tipo cliente/servidor en el que generalmente un servidor posee una lista de direcciones IP dinmicas y las va asignando a los clientes conforme stas van estando libres, sabiendo en todo momento quin ha estado en posesin de esa IP, cunto tiempo la ha tenido y a quin se la ha asignado despus. Este protocolo se public en octubre de 1993, estando documentado actualmente en la RFC 2131. Para DHCPv6 se publica el RFC 3315.

Asignacin de direcciones IP
Sin DHCP, cada direccin IP debe configurarse manualmente en cada dispositivo y, si el dispositivo se mueve a otra subred, se debe configurar otra direccin IP diferente. El DHCP le permite al administrador supervisar y distribuir de forma centralizada las direcciones IP necesarias y, automticamente, asignar y enviar una nueva IP si fuera el caso en el dispositivo es conectado en un lugar diferente de la red. El protocolo DHCP incluye tres mtodos de asignacin de direcciones IP:

Asignacin manual o esttica: Asigna una direccin IP a una mquina determinada. Se suele utilizar cuando se quiere controlar la asignacin de direccin IP a cada cliente, y evitar, tambin, que se conecten clientes no identificados. Asignacin automtica: Asigna una direccin IP de forma permanente a una mquina cliente la primera vez que hace la solicitud al servidor DHCP y hasta que el cliente la libera. Se suele utilizar cuando el nmero de clientes no vara demasiado. Asignacin dinmica: el nico mtodo que permite la reutilizacin dinmica de las direcciones IP. El administrador de la red determina un rango de direcciones IP y cada dispositivo conectado a la red est configurado para solicitar su direccin IP al servidor cuando la tarjeta de interfaz de red se inicializa. El procedimiento usa un

concepto muy simple en un intervalo de tiempo controlable. Esto facilita la instalacin de nuevas mquinas clientes a la red. Algunas implementaciones de DHCP pueden actualizar el DNS asociado con los servidores para reflejar las nuevas direcciones IP mediante el protocolo de actualizacin de DNS establecido en RFC 2136 (Ingls). El DHCP es una alternativa a otros protocolos de gestin de direcciones IP de red, como el BOOTP (Bootstrap Protocol). DHCP es un protocolo ms avanzado, pero ambos son los usados normalmente. En Windows 98 o posterior, cuando el DHCP es incapaz de asignar una direccin IP, se utiliza un proceso llamado "Automatic Private Internet Protocol Addressing".

[] Parmetros configurables
Artculo principal: Parmetros DHCP

Un servidor DHCP puede proveer de una configuracin opcional al dispositivo cliente. Dichas opciones estn definidas en RFC 2132 (Ingls) Lista de opciones configurables:

Direccin del servidor DNS Nombre DNS Puerta de enlace de la direccin IP Direccin de Publicacin Masiva (broadcast address) Mscara de subred Tiempo mximo de espera del ARP (Protocolo de Resolucin de Direcciones segn siglas en ingls) MTU (Unidad de Transferencia Mxima segn siglas en ingls) para la interfaz Servidores NIS (Servicio de Informacin de Red segn siglas en ingls) Dominios NIS Servidores NTP (Protocolo de Tiempo de Red segn siglas en ingls)) Servidor SMTP Servidor TFTP Nombre del servidor WINS

[] Implementaciones
Microsoft introdujo el DHCP en sus Servidores NT con la versin 3.5 de Windows NT a finales de 1994. El Consorcio de Software de Internet (ISC: Internet Software Consortium) public distribuciones de DHCP para Unix con la versin 1.0.0 del ISC DHCP Server el 6 de diciembre de 1997 y una versin (2.0) que se adaptaba mejor al RFC el da 22 de junio de 1999. Se puede encontrar el software en http://www.isc.org/sw/dhcp/

Otras implementaciones importantes incluyen:

Cisco: un servidor DHCP habilitado en Cisco IOS 12.0 en el mes de febrero de 1999 Sun: aadi el soporte para DHCP a su sistema operativo Solaris el 8 de julio de 2001.

Adems, varios routers incluyen soporte DHCP para redes de hasta 255 dispositivos.

[] Anatoma del protocolo

Esquema de una sesin tpica DHCP. (Autoridad de Nmeros Asignados en Internet segn siglas en ingls) en BOOTP: 67/UDP para las computadoras servidor y 68/UDP para los clientes.

[] DHCP Discovery
Artculo principal: DHCP Discovery

DHCP Discovery es una solicitud DHCP realizada por un cliente de este protocolo para que el servidor DHCP de dicha red de computadoras le asigne una Direccin IP y otros Parmetros DHCP como la mscara de red o el nombre DNS.[1]

[] DHCP Offer
Artculo principal: DHCP Offer

DHCP Offer es el paquete de respuesta del Servidor DHCP a un cliente DHCP ante su peticin de la asignacin de los Parmetros DHCP. Para ello involucra su direccin MAC (Media Access Control).

[] DHCP Request
Artculo principal: DHCP Request

El cliente selecciona la configuracin de los paquetes recibidos de DHCP Offer. Una vez ms, el cliente solicita una direccin IP especfica que indic el servidor DHCPREQUEST UDP Src=0.0.0.0 sPort=68 Dest=255.255.255.255 dPort=67 OP HTYPE HLEN HOPS 0x01 0x01 0x06 0x00 XID 0x3903F326 SECS FLAGS 0x0000 0x0000 CIADDR 0x00000000 YIADDR 0x00000000 SIADDR 0x00000000 GIADDR 0x00000000 CHADDR 0x00053C04 0x8D590000 0x00000000 0x00000000 192 octets of 0's. BOOTP legacy Magic Cookie 0x63825363 DHCP Options DHCP option 53: DHCP Request DHCP option 50: 192.168.1.100 requested DHCP option 54: 192.168.1.1 DHCP server.

[] DHCP Acknowledge
Artculo principal: DHCP Acknowledge

Cuando el servidor DHCP recibe el mensaje DHCPREQUEST del cliente, se inicia la fase final del proceso de configuracin. Esta fase implica el reconocimiento DHCPACK el envo de un paquete al cliente. Este paquete incluye el arrendamiento de duracin y cualquier otra informacin de configuracin que el cliente pueda tener solicitada. En este punto, la configuracin TCP / IP proceso se ha completado. El servidor reconoce la solicitud y la enva acuse de recibo al cliente. El sistema en su conjunto espera que el cliente para configurar su interfaz de red con las opciones suministradas. El servidor DHCP responde a la DHCPREQUEST con un DHCPACK, completando as el ciclo de iniciacin. La direccin origen es la direccin IP del servidor de DHCP y la direccin de destino es todava 255.255.255.255. El campo YIADDR contiene la direccin del cliente, y los campos CHADDR y DHCP: Client Identifier campos son la direccin fsica de la tarjeta de red en el cliente. La seccin de opciones del DHCP identifica el paquete como un ACK. DHCPACK UDP Src=192.168.1.1 sPort=67 Dest=255.255.255.255 dPort=68 OP HTYPE HLEN HOPS 0x02 0x01 0x06 0x00 XID 0x3903F326 SECS FLAGS 0x0000 0x0000 CIADDR (Client IP Address) 0x00000000 YIADDR (Your IP Address) 0xC0A80164 SIADDR (Server IP Address) 0x00000000 GIADDR (Gateway IP Address switched by relay) 0x00000000 CHADDR (Client Hardware Address) 0x00053C04 0x8D590000 0x00000000 0x00000000 192 octets of 0's. BOOTP legacy Magic Cookie 0x63825363

DHCP Options DHCP option 53: DHCP ACK DHCP option 1: 255.255.255.0 subnet mask DHCP option 3: 192.168.1.1 router DHCP option 51: 1 day IP lease time DHCP option 54: 192.168.1.1 DHCP server

[] DHCP Release
Si los clientes envan una peticin al servidor DHCP para liberar su direccin IP. Como los clientes generalmente no de broadcast. El router puede ser configurado para redireccionar los paquetes DHCP a un servidor DHCP en una subred diferente. La implementacin cliente crea un paquete UDP (Protocolo de Datagramas de Usuario segn siglas en ingls) con destino 255.255.255.255 y requiere tambin su ltima direccin IP conocida, aunque esto no es necesario y puede llegar a ser ignorado por el servidor esto da origen a errores del sistema.

[] DHCP Inform
El cliente enva una peticin al servidor de DHCP: para solicitar ms informacin que la que el servidor ha enviado con el DHCPACK original; o para repetir los datos para un uso particular - por ejemplo; los browsers usan DHCP Inform para obtener la configuracin de los proxies a travs de WPAD. Dichas peticiones no hacen que el servidor de DHCP refresque el tiempo de vencimiento de IP en su base de datos.

[] QU ES UN DHCP3-SERVER?
Es un protocolo de red en el que el servidor bajo el que est corriendo provee los parmetros de configuracin necesarios a las mquinas conectadas a la red que as lo soliciten. Mediante DHCP se asignarn de forma totalmente automtica y transparente los parmetros, como la puerta de enlace, la mscara de Subred, la DNS o la propia direccin IP.

[] LICENCIA DHCP
Es distribuido bajo los trminos de la Licencia GPL.

[] REQUERIMIENTOS MNIMOS DE HARDWARE Y SOFTWARE HARDWARE

Los mnimos necesarios para realizar la instalacin del sistema operativo.

[] SOFTWARE

Cmo instalar un servidor DHCP para asignar direcciones IP automticamente? Rango de Direcciones IP: de 192.168.1.100 a 192.168.1.200 Mscara de Sub red: 255.255.255.0 Servidores DNS: 202.188.0.133, 202.188.1.5 Dominios: tudominio.com Direccin de la Puerta de Enlace: 192.168.1.1 1.- Instalamos el servidor dhcp y para ello lo realizamos con la siguiente sentencia: #aptitude install dhcp3-server
[2]

== Referencias == DHCP Options and BOOTP Vendor Extensions. *[MANUAL DE DHCP-SERVER EDICIN N1 .-Gerencia General de Telecomunicaciones/ Oficina de Evaluacin Tecnolgica
1. 2.

Asignacin de una direccin IP

Existen distintos metodos para asignar una direccin IP:

De forma Esttica De forma Dinamica

Asignacin Esttica

La asignacin esttica funciona mejor en las redes pequeas con poca frecuencia de cambios. De forma manual, el administrador del sistema asigna y rastrea las direcciones IP para cada computador, impresora o servidor de una red interna. Es fundamental llevar un buen registro para evitar que se produzcan problemas con las direcciones IP repetidas. Esto es posible slo cuando hay una pequea cantidad de dispositivos que rastrear.

Los servidores deben recibir una direccin IP esttica de modo que las estaciones de trabajo y otros dispositivos siempre sepan cmo acceder a los servicios requeridos.

Otros dispositivos que deben recibir direcciones IP estticas son las impresoras en red, servidores de aplicaciones y Routers.

Asignacin de direcciones RARP IP

El Protocolo de resolucin inversa de direcciones (RARP) asocia las direcciones MAC conocidas a direcciones IP. Esta asociacin permite que los dispositivos de red encapsulen los datos antes de enviarlos a la red. Es posible que un dispositivo de red, como por ejemplo una estacin de trabajo sin disco, conozca su direccin MAC pero no su direccin IP. RARP permite que el dispositivo realice una peticin para conocer su direccin IP. Los dispositivos que usan RARP requieren que haya un servidor RARP en la red para responder a las peticiones RARP.

Por ejemplo: un dispositivo origen desee enviar datos al dispositivo madre. El dispositivo fuente conoce su propia direccin MAC pero es incapaz de ubicar su propia direccin IP en la tabla ARP. El dispositivio origen debe incluir tanto su direccin MAC como su direccin IP para que el dispositivo destino retire los datos, los pase a las capas superiores del modelo OSI y responda al dispositivo transmisor. De esta manera, el origen inicia un proceso denominado peticin RARP. Esta peticin ayuda al dispositivo origen a detectar su propia direccin IP. Las peticiones RARP se envan en broadcast a la LAN y el servidor RARP que por lo general es un Router responde.

RARP utiliza el mismo formato de paquete que ARP. Sin embargo, en una peticin RARP, los encabezados MAC y el "cdigo de operacin" son diferentes a los de una peticin ARP. El formato de paquete RARP contiene lugares para las direcciones MAC tanto de los dispositivos de origen como de los de destino. El campo de direccin IP origen est vaco. El broadcast se dirige a todos los dispositivos de la red.

Por lo tanto, la direccin MAC destino deber ser: FF:FF:FF:FF:FF:FF. Las estaciones de trabajo que admiten RARP tienen cdigos en ROM que los dirige a iniciar el proceso de RARP.

Asignacin de direcciones BOOTP IP El protocolo bootstrap (BOOTP) opera en un entorno cliente-servidor y slo requiere el intercambio de un solo paquete para obtener la informacin IP. Sin embargo, a diferencia del RARP, los paquetes de BOOTP pueden incluir la direccin IP, as como la direccin de un Router, la direccin de un servidor y la informacin especfica del fabricante.

Sin embargo, un problema del BOOTP es que no se dise para proporcionar la asignacin dinmica de las direcciones. Con el BOOTP, un administrador de redes crea un archivo de configuracin que especifica los parmetros de cada dispositivo. El administrador debe agregar hosts y mantener la base de datos del BOOTP. Aunque las direcciones se asignan de forma dinmica, todava existe una relacin exacta entre el nmero de direcciones IP y el nmero de hosts. Esto significa que para cada host de la red, debe haber un perfil BOOTP con una asignacin de direccin IP en l. Dos perfiles nunca pueden tener la misma direccin IP. Es posible que estos perfiles se utilicen al mismo tiempo y esto quiere decir que dos hosts tendran la misma direccin IP.

Un dispositivo obtiene su direccin IP cuando se inicializa por medio de BOOTP. Esto lo logra usando paquetes UDP para transportar los mensajes. El mensaje UDP se encapsula en un paquete IP. Un computador utiliza el BOOTP para enviar un paquete IP de broadcast a la direccin IP destino de todos unos, o sea, 255.255.255.255 en anotacin decimal punteada. El servidor del BOOTP recibe el broadcast y responde en forma de broadcast. El cliente recibe una trama y verifica la direccin MAC. Si el cliente encuentra su propia direccin MAC en el campo de direccin destino y un broadcast en el campo IP destino, toma la direccin IP y la guarda junto con la otra informacin proporcionada por el mensaje BOOTP de respuesta.

Administracin de direcciones DHCP IP

El Protocolo de configuracin dinmica del host (DHCP) es el sucesor del BOOTP. DHCP permite que el host obtenga la direccin IP de forma dinmica sin que el administrador de red tenga que configurar un perfil individual para cada dispositivo. Lo nico que se requiere para utilizar el DHCP es un rango definido de direcciones IP en un servidor DHCP. A medida que los hosts entran en lnea, se comunican con el servidor DHCP y solicitan una direccin. El servidor DHCP elige una direccin y se la arrienda a dicho host. Con DHCP, la configuracin completa de las red se puede obtener en un mensaje. Esta forma de asignar direcciones resulta ser muy eficiente cuando hay muchos hosts en una red.

El servidor DHCP incluye todos los datos que proporciona el mensaje BOOTP ms una direccin IP arrendada y una mscara de subred.

La principal ventaja que tiene DHCP es que permite que los usuarios sean mviles. Esta mobilidad permite que los usuarios cambien libremente las conexiones de red de un lugar a otro. Otra gran ventaja es que ahorra mucho trabajo a los administradores de redes, ya que no tienen que configurar los hosts nuevos que se incorporan a la red, por lo tanto ya no es necesario mantener un perfil fijo de cada dispositivo conectado a la red como en el caso del sistema BOOTP. La importancia de este avance del DHCP es su capacidad de arrendar una direccin IP a un dispositivo y luego reclamar dicha direccin IP para otro usuario una vez que el primero la libera. Esto siginifica que DHCP puede asignar una direccin IP disponible a cualquiera que se conecte a la red.

Problemas en la resolucin de direcciones

En la comunicacin TCP/IP, el datagrama de una red de rea local debe contener tanto una direccin MAC destino como una direccin IP destino. Estas direcciones deben ser correctas y concordar con las direcciones IP y MAC destino del dispositivo host. Si no concuerdan, el host destino descartar el datagrama. La comunicacin dentro de un segmento de LAN requiere de dos direcciones. Debe haber una forma de mapear las direcciones IP a MAC de forma automtica. Se necesitara demasiado tiempo si el usuario creara los mapas de forma manual. El cojunto TCP/IP cuenta con un protocolo, llamado Protocolo de resolucin de direcciones (ARP), que puede obtener las direcciones MAC, de forma automtica, para la transmisin local.

Protocolo de resolucin de direcciones (ARP)

En la red TCP/IP, el paquete de datos debe contener tanto la direccin MAC destino como la direccin IP destino. Si el paquete pierde alguna de las dos, los datos no pasarn de la Capa 3 a las capas superiores. De esta forma, las direcciones MAC e IP actan como controles y balances entre s. Una vez que los dispositivos determinan las direcciones IP de los dispositivos destino, pueden agregar las direcciones MAC de destino a los paquetes de datos.

Algunos dispositivos guardan tablas que contienen las direcciones MAC e IP de otros dispositivos conectados a la misma LAN. Estas reciben el nombre de tablas del Protocolo de resolucin de direcciones (ARP). Las tablas ARP se guardan en la memoria RAM, donde la informacin en cach se guarda automticamente en cada uno de los dispositivos.

Cada dispositivo de una red lleva su propia tabla ARP. Cuando un dispositivo desea enviar datos a travs de la red, utiliza la informacin que proporciona la tabla ARP.

Cuando un origen determina la direccin IP para un destino, luego consulta la tabla ARP a fin de encontrar la direccin MAC destino. Si el origen encuentra una entrada en su tabla (direccin IP destino a direccin MAC destino), se asigna la direccin IP a la direccin MAC y luego la usa para encapsular los datos. Luego el paquete de datos se enva a travs del medio de networking para que el destino lo reciba.

Son dos las formas en las que los dispositivos pueden recolectar las direcciones MAC que necesitan agregar a los datos encapsulados. Una es monitorear el trfico que se produce en el segmento de la red local. Todas las estaciones de una red Ethernet analizarn todo el trfico a fin de determinar si los datos son para ellas. Parte de este proceso consiste en registrar la direccin IP y MAC origen del datagrama en una tabla ARP. A medida que los datos se transmiten a la red, los pares de direcciones pueblan la tabla ARP.

Otra forma de obtener un par de direcciones para la transmisin de datos es realizar el broadcast de una peticin ARP.

El dispositivo que requiere un par de direcciones IP y MAC enva una peticin ARP en broadcast, por lo tanto todos los dispositivos de la LAN lo recibiran. Estos dispositivos analizan la peticin, si la direccin de uno de los dispositivos locales concuerda con la direccin IP de la peticin, enva una respuesta ARP que contiene el par IP-MAC.

Si la direccin IP es para la red de rea local y el dispositovo no existe o se encuentra apagado, no hay respuesta a la peticin ARP. En este caso, el dispositivo origen informa un error. Si la peticin es para una red IP diferente, hay otro proceso que se puede utilizar.

Los Routers no envan los paquetes de broadcast. Si la caracterstica est activa, un Router ejecuta un ARP proxy. Un ARP proxy es una variante del protocolo ARP. En esta variante, un Router enva una respuesta ARP con la direccin MAC de la interfaz en la que se recibi la peticin al host que la ejecuta. El Router responde con direcciones MAC para aquellas peticiones en las que la direccin IP no se encuentra en el rango de direcciones de la subred local.

Otro mtodo para enviar datos a la direccin de un dispositivo que se encuentra en otro segmento de red consiste en configurar un gateway por defecto. El Gateway por defecto es una opcin de host en la que la direccin IP de la interfaz del Router se guarda en la configuracin de red del host. El host origen compara la direccin IP destino y su propia direccin IP para determinar si las dos direcciones estn ubicadas en el mismo segmento. Si el host receptor no est en el mismo segmento, el host origen enva los datos utilizando la direccin IP real del destino y la direccin MAC del Router. La direccin MAC para el Router se obtuvo de la tabla ARP utilizando la direccin IP de dicho Router.

Si el gateway por defecto del host o la caracterstica ARP proxy del Router no estn configurados, el trfico no podr salir de la red del rea local. Es necesario el uno o el otro para tener una conexin fuera de la red del rea local.

Servidor de Correo Un servidor de correo es una aplicacin informtica ubicada en una pgina web en internet cuya funcin es parecida al Correo postal solo que en este caso los correos (otras veces llamados mensajes) que circulan, lo hacen a travs de nuestras Redes de transmisin de datos y a diferencia del correo postal, por este medio solo se pueden enviar adjuntos de

ficheros de cualquier extensin y no bultos o paquetes al viajar la informacin en formato electrnico.

Agente de Transferencia de Correo

Los servidores de correo a menudo realizan diferentes funciones segn sea el uso que se planifique para el mismo. Agente de Transferencia de Correo (del ingls Mail Transport Agent o MTA; tambin Message Transport Agent, Agente de Transporte de Mensajes) es uno de los programas que ejecutan los servidores de correo, y tiene como fin transferir un conjunto de datos de una computadora a otra. El MTA, tiene varias formas de comunicarse con otros servidores de correo: 1.- Recibe los mensajes desde otro MTA. Acta como "servidor" de otros servidores. 2.- Enva los mensajes hacia otro MTA. Acta como un "cliente" de otros servidores. 3.- Acta como intermediario entre un "Mail Submision Agent" y otro MTA. Algunas soluciones de correo que incluyen un MTA son: Sendmail, qmail, Postfix, Exim, Mdaemon, Mercury Mail Transport System, Lotus Notes (IBM) y Microsoft Exchange Server. Por defecto el protocolo estndar para la transferencia de correos entre servidores es el SMTP, o Protocolo Simple de Transferencia de Correo. Est definido en el RFC 2821 y es un estndar oficial de Internet.( http://tools.ietf.org/html/rfc2821)

Intercambio de Correo Electrnico

Un servidor de correo realiza una serie de procesos que tienen la finalidad de transportar informacin entre los distintos usuarios. Usualmente el envo de un correo electrnico tiene como fin que un usuario (remitente) cree un correo electrnico y lo enve a otro (destinatario). Esta accin toma tpicamente 5 pasos. 1.- El usuario inicial crea un "correo electrnico"; un archivo que cumple los estndares de un correo electrnico. Usar para ello una aplicacin ad-hoc. Las aplicaciones ms usadas, en indistinto orden son: Outlook Express (Microsoft), Oulook (Microsoft), Mozilla Thuntherbird (Mozilla), Pegasus Mail (David Harris), IBM Lotus Notes (IBM), etc. 2.- El archivo creado es enviado a un almacn; administrado por el servidor de correo local al usuario remitente del correo; donde se genera una solicitud de envo.

3.- El servicio MTA local al usuario inicial recupera este archivo e inicia la negociacin con el servidor del destinatario para el envo del mismo. 4.- El servidor del destinatario valida la operacin y recibe el correo, depositndolo en el "buzn" correspondiente al usuario receptor del correo. El "buzn" no es otra cosa que un registro en una base de datos. 5.- Finalmente el software del cliente receptor del correo recupera este archivo o "correo" desde el servidor almacenando una copia en la base de datos del programa cliente de correo, ubicada en la computadora del cliente que recibe el correo. A diferencia de un servicio postal clsico, que recibe un nico paquete y lo transporta de un lugar a otro; el servicio de correo electrnico copia varias veces la informacin que corresponde al correo electrnico. Este proceso que en la vida real ocurre de manera muy rpida involucra muchos protocolos. Por ejemplo para obtener los mensajes del servidor de correos receptor, los usuarios se sirven de clientes de correo que utilizan el protocolo POP3 o el protocolo IMAP para recuperar los "correos" del servidor y almacenarlos en sus computadores locales.

Seguro o inseguro
Si tiene en cuenta el proceso, hay por lo menos una copia del correo en el servidor de envo y otra copia en el servidor de recepcin. Las polticas de funcionamiento de cada servidor, con o sin aviso a los usuarios remitente y/o destinatario, podran: 1.- No recibir correos de acuerdo a algn parmetro. 2.- Destruir las copias de los correos, por ejemplo al trasferirlos satisfactoriamente. 3.- Copiar los correos a algn otro registro o archivo. 4.- Enviar una o ms copias a otros destinatarios. 5.- No destruir nunca los correos almacenados. Es de suma importancia considerar qu entidad, institucin y funcionario son los responsables de administrar finalmente los servidores de correo que usamos. Los correos pueden en muchos casos ser fuente de invasin a la privacidad.

Servidores de correo WEB

Una forma especial de servidor de correo, es aqul que es accedido va WEB usando el protocolo http. Es especial, debido a que el protocolo http no es un protocolo definido en los servidores de correo como obligatorio. En este tipo de servidor, el archivo de datos del remitente o destinatario puede ser accedido sin requerir un cliente especfico. En el mismo servidor se integran programas para acceder a los correos del mismo. Ejemplos tpicos de este servicio son: www.hotmail.com, www.yahoo.com, www.gmail.com, etc.

Firewalls y seguridad en Internet

1. Introduccin. La seguridad ha sido el principal concerniente a tratar cuando una organizacin desea conectar su red privada al Internet. Sin tomar en cuenta el tipo de negocios, se ha incrementado el numero de usuarios de redes privadas por la demanda del acceso a los servicios de Internet tal es el caso del World Wide Web (WWW), Internet Mail (e-mail), Telnet, y File Transfer Protocol (FTP). Adicionalmente los corporativos buscan las ventajas que ofrecen las paginas en el WWW y los servidores FTP de acceso publico en el Internet. Los administradores de red tienen que incrementar todo lo concerniente a la seguridad de sus sistemas, debido a que se expone la organizacin privada de sus datos as como la infraestructura de sus red a los Expertos de Internet (Internet Crakers). Para superar estos temores y proveer el nivel de proteccin requerida, la organizacin necesita seguir una poltica de seguridad para prevenir el acceso noautorizado de usuarios a los recursos propios de la red privada, y protegerse contra la exportacin privada de informacin. Todava, aun si una organizacin no esta conectada al Internet, esta debera establecer una poltica de seguridad interna para administrar el acceso de usuarios a porciones de red y proteger sensitivamente la informacin secreta.
1. Un Firewall en Internet es un sistema o grupo de sistemas que impone una

poltica de seguridad entre la organizacin de red privada y el Internet. El firewall determina cual de los servicios de red pueden ser accesados dentro de esta por los que estn fuera, es decir quien puede entrar para utilizar los recursos de red pertenecientes a la organizacin. Para que un firewall sea efectivo, todo trafico de informacin a travs del Internet deber pasar a travs del mismo donde podr ser inspeccionada la informacin. El firewall podr nicamente autorizar el paso del trafico, y el mismo podr ser inmune a la penetracin. desafortunadamente, este sistema no puede ofrecer proteccin alguna una vez que el agresor lo traspasa o permanece entorno a este.

Ilustracin -1 La Poltica De Seguridad Crea Un Permetro De Defensa. esto es importante, ya que debemos de notar que un firewall de Internet no es justamente un ruteador, un servidor de defensa, o una combinacin de elementos que proveen seguridad para la red. El firewall es parte de una poltica de seguridad completa que crea un permetro de defensa diseada para proteger las fuentes de informacin. Esta poltica de seguridad podr incluir publicaciones con las guas de ayuda donde se informe a los usuarios de sus responsabilidades, normas de acceso a la red, poltica de servicios en la red, poltica de autenticidad en acceso remoto o local a usuarios propios de la red, normas de dial-in y dial-out, reglas de enciptacion de datos y discos, normas de proteccin de virus, y entrenamiento. Todos los puntos potenciales de ataque en la red podrn ser protegidos con el mismo nivel de seguridad. Un firewall de Internet sin una poltica de seguridad comprensiva es como poner una puerta de acero en una tienda. 1. 1. Beneficios de un firewall en Internet Los firewalls en Internet administran los accesos posibles del Internet a la red privada. Sin un firewall, cada uno de los servidores propios del sistema se exponen al ataque de otros servidores en el Internet. Esto significa que la seguridad en la red privada depende de la "Dureza" con que cada uno de los servidores cuenta y es nicamente seguro tanto como la seguridad en la fragilidad posible del sistema. El firewall permite al administrador de la red definir un "choke point" (envudo), manteniendo al margen los usuarios no-autorizados (tal, como., hackers, crakers, vndalos, y espas) fuera de la red, prohibiendo potencialmente la entrada o salida al vulnerar los servicios de la red, y proporcionar la proteccin para varios tipos de ataques posibles. Uno de los beneficios clave de un firewall en Internet es que ayuda a simplificar los trabajos de administracin, una vez que se consolida la seguridad en el sistema firewall, es mejor

que distribuirla en cada uno de los servidores que integran nuestra red privada. El firewall ofrece un punto donde la seguridad puede ser monitoreada y si aparece alguna actividad sospechosa , este generara una alarma ante la posibilidad de que ocurra un ataque, o suceda algn problema en el transito de los datos. Esto se podr notar al acceder la organizacin al Internet, la pregunta general es "si" pero "cuando" ocurrir el ataque. Esto es extremadamente importante para que el administrador audite y lleve una bitcora del trafico significativo a travs del firewall. Tambin, si el administrador de la red toma el tiempo para responder una alarma y examina regularmente los registros de base. Esto es innecesario para el firewall, desde que el administrador de red desconoce si ha sido exitosamente atacado!. Concentra la seguridad Centraliza los accesos Genera alarmas de seguridad Traduce direcciones (NAT) Monitorea y registra el uso de Servicios de WWW y FTP. Internet. Ilustracin -2 Beneficios De Un Firewall De Internet. Con el paso de algunos aos, el Internet ha experimentado una crisis en las direcciones, logrando que el direccionamiento IP sea menos generoso en los recursos que proporciona. Por este medio se organizan las compaas conectadas al Internet, debido a esto hoy no es posible obtener suficientes registros de direcciones IP para responder a la poblacin de usuarios en demanda de los servicios. Un firewall es un lugar lgico para desplegar un Traductor de Direcciones de Red (NAT) esto puede ayudar aliviando el espacio de direccionamiento acortando y eliminando lo necesario para reenumerar cuando la organizacin cambie del Proveedor de Servicios de Internet (ISPs) . Un firewall de Internet es el punto perfecto para auditar o registrar el uso del Internet. Esto permite al administrador de red justificar el gasto que implica la coneccion al Internet, localizando con precisin los cuellos de botella potenciales del ancho de banda, y promueve el mtodo de cargo a los departamentos dentro del modelo de finanzas de la organizacin.

Un firewall de Internet ofrece un punto de reunin para la organizacin. Si una de sus metas es proporcionar y entregar servicios informacin a consumidores, el firewall de Internet es ideal para desplegar servidores WWW y FTP. Finalmente, el firewall puede presentar los problemas que genera un punto de falla simple. Enfatizando si este punto de falla se presenta en la conexin al Internet, aun as la red interna de la organizacin puede seguir operando - nicamente el acceso al Internet esta perdido -. La preocupacin principal del administrador de red, son los mltiples accesos al Internet, que se pueden registrar con un monitor y un firewall en cada punto de acceso que posee la organizacin hacia el Internet. Estos dos puntos de acceso significa dos puntos potenciales de ataque a la red interna que tendrn que ser monitoreados regularmente! 1. Limitaciones de un firewall Un firewall no puede protegerse contra aquellos ataques que se efecten fuera de su punto de operacin. Por ejemplo, si existe una coneccion dial-out sin restricciones que permita entrar a nuestra red protegida, el usuario puede hacer una coneccion SLIP o PPP al Internet. Los usuarios con sentido comn suelen "irritarse" cuando se requiere una autenticacin adicional requerida por un Firewall Proxy server (FPS) lo cual se puede ser provocado por un sistema de seguridad circunvecino que esta incluido en una conexin directa SLIP o PPP del ISP. Este tipo de conexiones derivan la seguridad provista por firewall construido cuidadosamente, creando una puerta de ataque. Los usuarios pueden estar consientes de que este tipo de conexiones no son permitidas como parte de integral de la arquitectura de la seguridad en la organizacin.

Ilustracin -3 Conexin Circunvecina Al Firewall De Internet. El firewall no puede protegerse de las amenazas a que esta sometido por traidores o usuarios inconscientes. El firewall no puede prohibir que los traidores o espas corporativos copien datos sensitivos en disquettes o tarjetas PCMCIA y substraigan estas del edificio. El firewall no puede proteger contra los ataques de la "Ingeniera Social", por ejemplo un Hacker que pretende ser un supervisor o un nuevo empleado despistado, persuade al menos sofisticado de los usuarios a que le permita usar su contrasea al servidor del corporativo o que le permita el acceso "temporal" a la red. Para controlar estas situaciones, los empleados deberan ser educados acerca de los varios tipos de ataque social que pueden suceder, y a cambiar sus contraseas si es necesario peridicamente. El firewall no puede protegerse contra los ataques posibles a la red interna por virus informativos a travs de archivos y software. Obtenidos del Internet por sistemas operativos al momento de comprimir o descomprimir archivos binarios, el firewall de Internet no puede contar con un sistema preciso de SCAN para cada tipo de virus que se puedan presentar en los archivos que pasan a travs de el. La solucin real esta en que la organizacin debe ser consciente en instalar software anti-viral en cada despacho para protegerse de los virus que llegan por medio de disquettes o cualquier otra fuente. Finalmente, el firewall de Internet no puede protegerse contra los ataques posibles en la transferencia de datos, estos ocurren cuando aparntente datos inocuos son enviados o copiados a un servidor interno y son ejecutados despachando un ataque. Por ejemplo, una transferencia de datos podra causar que un servidor modificara los archivos relacionados a la seguridad haciendo mas fcil el acceso de un intruso al sistema. Como nosotros podemos ver, el desempeo de los servidores Proxy en un servidor de defensa es un excelente medio de prohibicin a las conexiones directas por agentes externos y reduce las amenazas posibles por los ataques con transferencia de datos.
1. Firewalls

Es difcil describir el ataque "tpico" de un hacker debido a que los intrusos poseen diferentes niveles de tcnicos por su experiencia y son adems son

motivados por diversos factores. Algunos hackers son intrigosos por el desafo, otros mas gozan de hacer la vida difcil a los dems, y otros tantos substraen datos delicados para algn beneficio propio. 1. Recoleccin de informacin 2. Herramientas del hacker 1. Firewalls y seguridad en Internet Generalmente, el primer paso es saber en que forma se recolecta la informacin y adems que tipo de informacin es. La meta es construir una base de datos que contenga la organizacin de la red y colectar la informacin acerca de los servidores residentes. Esta es una lista de herramientas que un hacker puede usar para colectar esta informacin:

El protocolo SNMP puede utilizarse para examinar la tabla de ruteo en un dispositivo inseguro, esto sirve para aprender los detalles mas ntimos acerca del objetivo de la topologa de red perteneciente a una organizacin. El programa TraceRoute puede revelar el numero de redes intermedias y los ruteadores en torno al servidor especifico. El protocolo Whois que es un servicio de informacin que provee datos acerca de todos los dominios DNS y el administrador del sistema responsable para cada dominio. No obstante que esta informacin es anticuada. Servidores DNS pueden accesarce para obtener una lista de las direcciones IP y sus correspondientes Nombres (Programa Nslookup). El protocolo Finger puede revelar informacin detallada acerca de los usuarios (nombres de Login, nmeros telefnicos, tiempo y ultima sesin, etc.) de un servidor en especifico. El programa Ping puede ser empleado para localizar un servidor particular y determinar si se puede alcanzar. Esta simple herramienta puede ser usada como un programa de escaneo pequeo que por medio de llamadas a la direccin de un servidor haga posible construir una lista de los servidores que actualmente son residentes en la red.

1. Sondeo del sistema para debilitar la seguridad Despus que se obtienen la informacin de red perteneciente a dicha organizacin, el hacker trata de probar cada uno de los servidores para debilitar la seguridad. Estos son algunos usos de las herramientas que un hacker puede utilizar automticamente para explorar individualmente los servidores residentes en una red:

Una vez obtenida una lista no obstantemente pequea de la vulnerabilidad de servicios en la red, un hacker bien instruido puede escribir un pequeo programa que intente conectarse a un puerto especificando el tipo de servicio que esta

asignado al servidor en cuestin. La corrida del programa presenta una lista de los servidores que soportan servicio de Internet y estn expuestos al ataque. Estn disponibles varias herramientas del dominio publico, tal es el caso como el Rastreador de Seguridad en Internet (ISS) o la Herramienta para Anlisis de Seguridad para Auditar Redes (SATAN) , el cual puede rastrear una subred o un dominio y ver las posibles fugas de seguridad. Estos programas determinan la debilidad de cada uno de los sistemas con respecto a varios puntos de vulnerabilidad comunes en un sistema. El intruso usa la informacin collectada por este tipo de rastreadores para intentar el acceso no-autorizado al sistema de la organizacin puesta en la mira.

Un administrador de redes hbil puede usar estas herramientas en su red privada para descubrir los puntos potenciales donde esta debilitada su seguridad y as determina que servidores necesitan ser remendados y actualizados en el sofware. 1. 2. Acceso a sistemas protegidosi El intruso utiliza los resultados obtenidos a travs de las pruebas para poder intentar accesar a los servicios especficos de un sistema. Despus de tener el acceso al sistema protegido, el hacker tiene disponibles las siguientes opciones:

Puede atentar destruyendo toda evidencia del asalto y adems podr crear nuevas fugas en el sistema o en partes subalternas con el compromiso de seguir teniendo acceso sin que el ataque original sea descubierto. Pueden instalar paquetes de sondeo que incluyan cdigos binarios conocidos como "caballos de Troya" protegiendo su actividad de forma transparente. Los paquetes de sondeo colectan las cuentas y contraseas para los servicios de Telnet y FTP permitiendo al hacker expandir su ataque a otras maquinas. Pueden encontrar otros servidores que realmente comprometan al sistema. Esto permite al hacker explotar vulnerablemente desde un servidor sencillo todos aquellos que se encuentren a travs de la red corporativa. Si el hacker puede obtener acceso privilegiado en un sistema compartido, podr leer el correo, buscar en archivos

1. Bases para el diseo decisivo del firewall

Cuando se disea un firewall de Internet, se tiene que tomar algunas decisiones que pueden ser asignadas por el administrador de red:

Posturas sobre la poltica del Firewall. La poltica interna propia de la organizacin para la seguridad total. El costo financiero del Proyecto "Firewall". Los componentes o la construccin de secciones del Firewall.

1. Polticas del firewall. Las posturas del sistema firewall describen la filosofa fundamental de la seguridad en la organizacin. Estas son dos posturas diametralmente opuestas que la poltica de un firewall de Internet puede tomar:

"No todo lo especficamente permitido esta prohibido" "Ni todo lo especficamente prohibido esta permitido"

la primera postura asume que un firewall puede obstruir todo el trafico y cada uno de los servicios o aplicaciones deseadas necesariamente para ser implementadas bsicamente caso por caso. Esta propuesta es recomendada nicamente a un limitado numero de servicios soportados cuidadosamente seleccionados en un servidor. La desventaja es que el punto de vista de "seguridad" es mas importante que - facilitar el uso - de los servicios y estas limitantes numeran las opciones disponibles para los usuarios de la comunidad. Esta propuesta se basa en una filosofa conservadora donde se desconocen las causas acerca de los que tienen la habilidad para conocerlas. La segunda postura asume que el firewall puede desplazar todo el trafico y que cada servicio potencialmente peligroso necesitara ser aislado bsicamente caso por caso. Esta propuesta crea ambientes mas flexibles al disponer mas servicios para los usuarios de la comunidad. La desventaja de esta postura se basa en la importancia de "facilitar el uso" que la propia - seguridad - del sistema. Tambin adems, el administrador de la red esta en su lugar de incrementar la seguridad en el sistema conforme crece la red. Desigual a la primer propuesta, esta postura esta basada en la generalidad de conocer las causas acerca de los que no tienen la habilidad para conocerlas 1. Poltica interna de la seguridad 2. Tan discutidamente escuchada, un firewall de Internet no esta solo - es parte de la poltica de seguridad total en una organizacin -, la cual define todos los aspectos en competentes al permetro de defensa. Para que esta sea exitosa, la organizacin debe de conocer que es lo se esta protegiendo. La poltica de seguridad se basara en una conduccin cuidadosa analizando la seguridad, la asesora en caso riesgo, y la situacin del negocio. Si no se posee con la informacin detallada de la poltica a seguir, aun que sea un firewall cuidadosamente desarrollado y armado, estar exponiendo la red privada a un posible atentado. Cuanto puede ofrecer una organizacin por su seguridad?, un simple paquete de filtrado firewall puede tener un costo mnimo ya que la organizacin necesita un ruteador conectado al Internet, y dicho paquete ya esta incluido como estndar del equipo. Un sistema comercial de firewall provee un incremento mas a la seguridad pero su costo puede ser de $32,000 hasta $240,000 pesos dependiendo de la complejidad y el numero de sistemas protegidos. Si la organizacin posee al experto en casa, un firewall casero puede ser construido con software de dominio publico pero este ahorro de recursos repercuten en trminos del tiempo de desarrollo y el

despliegue del sistema firewall. Finalmente requiere de soporte continuo para la administracin, mantenimiento general, actualizacin de software, reparacin de seguridad, e incidentes de manejo. 3. Costo del firewall 4. Componentes del sistema firewall Despus de las decisiones acerca de los ejemplos previos, la organizacin puede determinar especficamente los componentes del sistema. Un firewall tpico se compone de uno, o una combinacin, de los siguientes obstculos.

Ruteador Filtra-paquetes. Gateway a Nivel-aplicacin. Gateway a Nivel-circuito.

por lo que resta del capitulo, se discutir cada una de las opciones para la edificacin de obstculos y se describir como se puede trabajar junto con ellos para construir un efectivo sistema firewall de Internet.
1. Este ruteador toma las decisiones de rehusar/permitir el paso de cada uno de los

paquetes que son recibidos. El ruteador examina cada datagrama para determinar si este corresponde a uno de sus paquetes filtrados y que a su vez haya sido aprobado por sus reglas. Las reglas de filtrado se basan en revisar la informacin que poseen los paquetes en su encabezado, lo que hace posible su desplazamiento en un proceso de IP. Esta informacin consiste en la direccin IP fuente, la direccin IP destino, el protocolo de encapsulado (TCP, UDP,ICMP, o IP tunnel), el puerto fuente TCP/UDP, el puerto destino TCP/UDP, el tipo de mensaje ICMP, la interface de entrada del paquete, y la interface de salida del paquete. Si se encuentra la correspondencia y las reglas permiten el paso del paquete, este ser desplazado de acuerdo a la informacin a la tabla de ruteo, si se encuentra la correspondencia y las reglas niegan el paso, el paquete es descartado. Si estos no corresponden a las reglas, un parmetro configurable por incumplimiento determina descartar o desplazar el paquete.

Ilustracin -4 Ruteador Filtra-Paquetes. 1. 2. Servicio dependiente del filtrado

2. Edificando obstculos: ruteador filtra-paquetes Las reglas acerca del filtrado de paquetes a travs de un ruteador para rehusar/permitir el trafico esta basado en un servicio en especifico, desde entonces muchos servicios vierten su informacin en numerosos puertos TCP/UDP conocidos. Por ejemplo, un servidor Telnet esta a la espera para conexiones remotas en el puerto 23 TCP y un servidor SMTP espera las conexiones de entrada en el puerto 25 TCP. Para bloquear todas las entradas de conexin Telnet, el ruteador simplemente descarta todos los paquetes que contengan el valor del puerto destino TCP igual a 23. Para restringir las conexiones Telnet a un limitado numero de servidores internos, el ruteador podr rehusar el paso a todos aquellos paquetes que contengan el puerto destino TCP igual a 23 y que no contengan la direccin destino IP de uno de los servidores permitidos. Algunas caractersticas tpicas de filtrado que un administrador de redes podra solicitar en un ruteador filtra-paquetes para perfecionar su funcionamiento serian:

Permitir la entrada de sesiones Telnet nicamente a una lista especifica de servidores internos. Permitir la entrada de sesiones FTP nicamente a los servidores internos especificados. Permitir todas las salidas para sesiones Telnet. Permitir todas las salidas para sesiones FTP. Rehusar todo el trafico UDP.

1. Servicio independiente del filtrado 2. Este tipo de ataques ciertamente son difciles de identificar usando la informacin bsica de los encabezados debido a que estos son independientes al tipo de servicio. Los ruteadores pueden ser configurados para protegerse de este tipo de ataques pero son mas difciles de especificar desde entonces las reglas para el filtrado requieren de informacin adicional que pueda ser estudiada y examinada por la tabla de ruteo, inspeccionando las opciones especificas IP, revisando fragmentos especiales de edicin, etc. Algunos ejemplos de este tipo de ataques incluye: Agresiones Originadas Por El Direccionamiento IP. Para este tipo de ataque, el intruso trasmite paquetes desde afuera pretendiendo pasar como servidor interno - los paquetes poseen una direccin fuente IP falsa de un servidor interno del sistema -. El agresor espera que usando este impostor se pueda penetrar al sistema para emplearlo seguramente como direccin fuente donde los paquetes que trasmita sean autentificados y los del otro servidor sean descartados dentro del sistema. Los ataques por seudo-fuentes pueden ser frustrados si descartamos la direccin fuente de cada paquete con una direccin fuente "interno" si el paquete arriva en una de las interfaces del ruteador "externo".

Agresiones Originadas En El Ruteador. En un ataque de ruteo, la estacin de origen especifica la ruta que un paquete deber de tomar cuando cruce a travs del Internet. Este tipo de ataques son diseados para cuantificar las derivaciones de seguridad y encauzan al paquete por un inesperado camino a su destino. Los ataques originados en el ruteador pueden ser frustrados simplemente descartando todos los paquetes que contengan fuentes de ruteo opcionales. Agresiones Por Fragmentacin. Por este tipo de ataques, los intrusos utilizan las caractersticas de fragmentacin para crear fragmentos extremadamente pequeos y obligan a la informacin del encabezado TCP a separarce en paquetes. Estos pequeos fragmentos son diseados para evitar las reglas definidas por el filtrado de un ruteador examinando los primeros fragmentos y el resto pasa sin ser visto. Aunque si bien nicamente es explotado por sencillos decodificadores , una agresin pequeisima puede ser frustrada si se descartan todos los paquetes donde el tipo de protocolo es TCP y la fragmentacin de compensacin IP es igual a 1. La mayora de sistemas firewall son desplegados usando nicamente ruteadores filtra-paquetes. Otros que tienen tiempo planean los filtros y configuran el ruteador, sea este pequeo o no , el costoso para implementar la filtracin de paquetes no es cara; desde que los componentes bsicos de los ruteadores incluyen revisiones estndar de software para dicho efecto. Desde entonces el acceso a Internet es generalmente provisto a travs de interfaces WAN, optimando la operacin del ruteador moderando el trafico y definiendo menos filtros. Finalmente, el ruteador de filtrado es por lo general transparente a los usuarios finales y a las aplicaciones por lo que no se requiere de entrenamiento especializado o software especifico que tenga que ser instalado en cada uno de los servidores. 3. Beneficios del ruteador filtra-paquetes 4. Limitaciones del ruteador filtra-paquetes Definir el filtrado de paquetes puede ser una tarea compleja porque el administrador de redes necesita tener un detallado estudio de varios servicios de Internet, como los formatos del encabezado de los paquetes, y los valores especficos esperados a encontrase en cada campo. Si las necesidades de filtrado son muy complejas, se necesitara soporte adicional con lo cual el conjunto de reglas de filtrado puede empezar a complicar y alargar el sistema haciendo mas difcil su administracin y comprensin. Finalmente, estas sern menos fciles de verificar para las correcciones de las reglas de filtrado despus de ser configuradas en el ruteador. Potencialmente se puede dejar una localidad abierta sin probar su vulnerabilidad. Cualquier paquete que pasa directamente a travs de un ruteador puede ser posiblemente usado como parte inicial un ataque dirigido de datos. Haciendo memoria este tipo de ataques ocurren cuando los datos aparentementes inocuos se desplazan por el ruteador a un

servidor interno. Los datos contienen instrucciones ocultas que pueden causar que el servidor modifique su control de acceso y seguridad relacionando sus archivos facilitando al intruso el acceso al sistema. Generalmente, los paquetes entorno al ruteador disminuyen conforme el numero de filtros utilizados se incrementa. Los ruteadores son optimizados para extraer la direccin destino IP de cada paquete, haciendo relativamente simple la consulta a la tabla de ruteo, y el desplazamiento de paquetes para la interface apropiada de la transmisin. Si esta autorizado el filtro, no nicamente podr el ruteador tomar la decisin de desplazar cada paquete, pero tambin sucede aun aplicando todas las reglas de filtrado. Esto puede consumir ciclos de CPU e impactar el perfecto funcionamiento del sistema. El filtrado de paquetes IP no puede ser capaz de proveer el suficiente control sobre el trafico. Un ruteador Filtra-Paquetes puede permitir o negar un servicio en particular, pero no es capaz de comprender el contexto/dato del servicio. Por ejemplo, un administrador de red necesita filtrar el trafico de una capa de aplicacin - limitando el acceso a un subconjunto de comandos disponibles por FTP o Telnet, bloquear la importacin de Mail o Newsgroups concerniente a tpicos especficos. Este tipo de control es muy perfeccionado a las capas altas por los servicios de un servidor Proxy y en Gateways a Nivel-aplicacin. 1. Edificando obstculos: gateways a nivel-aplicacin 2. Los gateways nivel-aplicacin permiten al administrador de red la implementacin de una poltica de seguridad estricta que la que permite un ruteador filtra-paquetes. Mucho mejor que depender de una herramienta genrica de filtra-paquetes para administrar la circulacin de los servicios de Internet a travs del firewall, se instala en el gateway un cdigo de proposito-especial (un servicio Proxy) para cada aplicacin deseada. Si el administrador de red no instala el cdigo Proxy para la aplicacin particular, el servicio no es soportado y no podrn desplazarse a travs del firewall. Aun cuando, el cdigo Proxy puede ser configurado para soportar nicamente las caractersticas especificas de una aplicacin que el administrador de red considere aceptable mientras niega todas las otras. Un aumento de seguridad de este tipo incrementa nuestros costos en trminos del tipo de gateway seleccionado, los servicios de aplicaciones del Proxy, el tiempo y los conocimientos requeridos para configurar el gateway, y un decrecimiento en el nivel de los servicios que podrn obtener nuestros usuarios, dando como resultado un sistema carente de transparencia en el manejo de los usuarios en un ambiente "amigable". Como en todos los casos el administrador de redes debe de balancear las necesidades propias en seguridad de la organizacin con la demanda de "fcil de usar" demandado por la comunidad de usuarios. Es importante notar que los usuarios tienen acceso por un servidor Proxy, pero ellos jamas podrn seccionar en el Gateway a nivel-aplicacin. Si se permite a los usuarios seccionar en el sistema de firewall, la seguridad es amenazada desde el

momento en que un intruso puede potencialmente ejecutar muchas actividades que comprometen la efectividad del sistema. Por ejemplo, el intruso podra obtener el acceso de root, instalar un caballo de troya para colectar las contraseas, y modificar la configuracin de los archivos de seguridad en el filrewall. 1. 2. Servidor de defensa Un ruteador filtra-paquetes permite la circulacin directa de los paquetes dentro y fuera del sistema, diferente a esto el Gateway a nivel-aplicacin deja que la informacin circule entre los sistemas pero no permite el intercambio directo de paquetes. El principal riesgo de permitir que los paquetes se intercambien dentro y fuera del sistema se debe a que el servidor residente en los sistemas de proteccin de la red podr ser asegurado contra cualquier amenaza representada por los servicios permitidos. Un Gateway a nivel-aplicacin por lo regular es descrito como un "servidor de defensa" porque es un sistema diseado especficamente blindado y protegido contra cualquier ataque. Hay varias caractersticas de diseo que son usadas para hacer mas seguro un servidor de defensa:

La plataforma de Hardware del servidor de defensa ejecuta una versin "segura" de su sistema operativo. Por ejemplo, si el servidor de defensa es una plataforma UNIX, se ejecutara una versin segura del sistema operativo UNIX que es diseado especficamente para proteger los sistemas operativos vulnerables y garantizar la integridad del firewall. Unicamente los servicios que el administrador de redes considera esenciales son instalados en el servidor de defensa. La lgica de operacin es que si el servicio no esta instalado, este puede ser atacado. Generalmente, un conjunto limitado de aplicaciones Proxy tales como Telnet, DNS, FTP, SMTP, y autenticacin de usuarios son instalados en este servidor. El servidor de defensa podr requerir de una autenticacin adicional para que el usuario accese a los servicios Proxy. Por ejemplo, el servidor de defensa es ideal para colocar un sistema fuerte de supervisin de autorizacin (tal como la tecnologa "una-sola vez" de contrasea donde una tarjeta inteligente generaba un cdigo de acceso nico por medios criptogrficos). Adicionalmente, cada servicio Proxy podr requerir de autorizacin propia despus que el usuario tenga acceso a su sesin. Cada Proxy es configurado para soportar nicamente un subconjunto de aplicaciones estndar de un conjunto de comandos. Si un comando estndar no es soportado por la aplicacin Proxy, es porque simplemente no esta disponible para el usuario. Cada Proxy esta configurado para dejar acceder nicamente a los servidores especificados en el sistema. Esto significa que existe un conjunto de caractersticas/comandos que podrn ser aplicados para un subconjunto de sistemas en la red protegida.

Cada Proxy mantiene la informacin detallada y auditada de todos los registros del trafico, cada conexin , y la duracin de cada conexin. El registro de audicin es un herramienta esencial para descubrir y finalizar el ataque de un intruso. Cada Proxy es un programa pequeo y sencillo especficamente diseado para la seguridad de redes. Este permite que el cdigo fuente de la aplicacin pueda revisar y analizar posibles intrusos y fugas de seguridad. Por ejemplo, una tpica aplicacin - UNIX mail - puede tener alrededor de 20,000 lneas de cdigo cuando un correo Proxy puede contener menos de mil. Cada Proxy es independiente de todas las dems aplicaciones Proxy en el servidor de defensa. Si se sucitara un problema con la operacin de cualquier Proxy, o si se descubriera un sistema vulnerable, este puede desinstalarse sin afectar la operacin de las dems aplicaciones. Aun, si la poblacin de usuarios requiere el soporte de un nuevo servicio, el administrador de redes puede fcilmente instalar el servicio Proxy requerido en el servidor de defensa. Un Proxy generalmente funciona sin acceso al disco lo nico que hace es leer su archivo de configuracin inicial . desde que la aplicacin Proxy no ejecuta su acceso al disco para soporte, un intruso podr encontrar mas dificultades para instalar caballos de Troya perjudiciales y otro tipo de archivos peligrosos en el servidor de defensa. Cada Proxy corre como un usuario no-previlegiado en un directorio privado y seguro del servidor de defensa.

1. Ejemplo: telnet proxy La ilustra la operacin de un Telnet Proxy en un servidor de defensa. Para este ejemplo, un cliente externo ejecuta una sesin Telnet hacia un servidor integrado dentro del sistema de seguridad por el Gateway a nivel-aplicacin.

Ilustracin -5 Telnet Proxy. El Telnet Proxy nunca permite al usuario remoto que se registre o tenga acceso directo al servidor interno. El cliente externo ejecuta un telnet al servidor de defensa donde es autorizado por la tecnologa "una-sola vez" de contrasea. Despus de ser autentificado, el cliente obtiene acceso a la interface de usuario del Telnet Proxy. Este nicamente permite un subconjunto de comandos Telnet y adems determina cual de los servidores son disponibles para el acceso va Telnet.

Ilustracin -6 Sesin Va Terminal De Telnet Proxy. Los usuarios externos especifican el servidor de destino y el Telnet Proxy una vez hecha la conexin, los comandos internos son desplazados hacia el cliente externo. El cliente externo cree que el Telnet Proxy es el servidor interno real, mientras el servidor interno cree que el Telnet proxy es un cliente externo. El Ilustracin -7 presenta la salida en pantalla de la terminal de un cliente externo como la "conexin" a el servidor interno una vez establecida. Ntese que el cliente no se esta registrando al servidor de defensa - el usuario comienza su sesin autentificndose por el servidor de defensa e intercambia respuestas, una vez que se le ha permitido seccionar se comunica con el Telnet Proxy -. Despus de pasar el intercambio de respuestas, el servidor Proxy limita un conjunto de comandos y destinos que estn disponibles para los clientes externos. La autenticacin puede basarse en "algo conocido por los usuarios" (como una contrasea) o "algo que tengan" que posean fsicamente (como una tarjeta electrnica) cualquiera de las dos. Ambas tcnicas estn sujetas a plagio, pero usando una combinacin de ambos mtodos se incrementa la probabilidad del uso correcto de la autenticacin. En el ejemplo de Telnet, el Proxy transmite un requerimiento de registro y el usuario, con la ayuda de su tarjeta electrnica, obtendr una respuesta de validacin por un numero. Tpicamente, se le entrega al usuario su tarjeta desactivada para que el introduzca un PIN y se le regresa la tarjeta, basada en parte como llave "secreta" de encriptacion y con un reloj interno propio, una vez que se establece la sesin se obtiene un valor de respuesta encriptado. 1. Beneficios del gateway a nivel-aplicacin 2. Son muchos los beneficios desplegados en un gateway a nivel-aplicacin. Ellos dan a la administracin de red un completo control de cada servicio desde aplicaciones proxy limitadas por un conjunto de comandos y la determinacin del servidor interno donde se puede accesar a los servicios. Aun cuando, el administrador de la red tenga el completo control acerca de que servicios que son permitidos desde la carencia de un servicio proxy para uno en particular significa que el servicio esta completamente bloqueado. Los gateways a nivel-aplicacin tienen la habilidad de soportar autenticaciones forzando al usuario para proveer informacin detallada de registro. Finalmente, las reglas de filtrado para un gateway de este tipo son mucho mas fciles de configurar y probar que en un ruteador filtra-paquetes. 3. Limitaciones del gateway a nivel-aplicacin Probablemente una de las grandes limitaciones de un gateway a nivel-aplicacin es que requiere de modificar la conducta del usuario o requiere de la instalacin de software especializado en cada sistema que accese a los servicios Proxy. Por ejemplo, el acceso de Telnet va gateway a nivel-aplicacin demanda modificar la conducta del usuario desde el momento en que se requiere de dos pasos para hacer una conexin mejor que un paso. Como siempre, el software especializado podr ser instalado en un sistema terminado para hacer las aplicaciones del gateway transparentes al permitir a los usuarios especificar el servidor de destino, mejor que el propio, en un comando de telnet.

1. Edificando obstculos: gateway a nivel-circuito Un Gateway a nivel-circuito es en si una funcin que puede ser perfeccionada en un Gateway a nivel-aplicacin. A nivel-circuito simplemente trasmite las conexiones TCP sin cumplir cualquier proceso adicional en filtrado de paquetes.

Ilustracin -8Gateway Nivel-Circuito. La Ilustracin -9 muestra la operacin de una conexin tpica Telnet a travs de un Gateway a nivel-circuito. Tal como se menciono anteriormente, este gateway simplemente trasmite la conexin a travs del firewall sin examinarlo adicionalmente, filtrarlo, o dirigiendo el protocolo de Telnet. El gateway a nivel-circuito acciona como una cable copiando los bytes antes y despus entre la conexin interna y la conexin externa. De cualquier modo, la conexin del sistema externo acta como si fuera originada por el sistema de firewall tratando de beneficiar el encubrir la informacin sobre la proteccin de la red. El Gateway a nivel-circuito se usa frecuentemente para las conexiones de salida donde el administrador de sistemas somete a los usuarios internos. La ventaja preponderante es que el servidor de defensa puede ser configurado como un Gateway "hbrido" soportando nivelaplicacin o servicios Proxy para conexiones de venida y funciones de nivel-circuito para conexiones de ida. Esto hace que el sistema de firewall sea fcil de usar para los usuarios internos quienes desean tener acceso directo a los servicios de Internet mientras se proveen las funciones del firewall necesarias para proteger la organizacin de los ataques externos.

Fuentes de documento www.wikipedia.com www.monografas.com