seguridad informatica
DESCRIPTION
Un resumen de la seguridad informaticaTRANSCRIPT
Introducción a la seguridad informática
Debido a que el uso de Internet se encuentra en aumento, cada vez más compañías permiten
a sus socios y proveedores acceder a sus sistemas de información. Por lo tanto, es
fundamental saber qué recursos de la compañía necesitan protección para así controlar el
acceso al sistema y los derechos de los usuarios del sistema de información. Los mismos
procedimientos se aplican cuando se permite el acceso a la compañía a través de Internet.
Además, debido a la tendencia creciente hacia un estilo de vida nómada de hoy en día, el
cual permite a los empleados conectarse a los sistemas de información casi desde cualquier
lugar, se pide a los empleados que lleven consigo parte del sistema de información fuera de
la infraestructura segura de la compañía.
Introducción a la seguridad
Los riesgos, en términos de seguridad, se caracterizan por lo general mediante la siguiente
ecuación.
riesgo = (amenaza * vulnerabilidad) / contramedida
La amenaza representa el tipo de acción que tiende a ser dañina, mientras que la
vulnerabilidad (conocida a veces como falencias (flaws) o brechas (breaches)) representa el
grado de exposición a las amenazas en un contexto particular. Finalmente, la contramedida
representa todas las acciones que se implementan para prevenir la amenaza.
Las contramedidas que deben implementarse no sólo son soluciones técnicas, sino también
reflejan la capacitación y la toma de conciencia por parte del usuario, además de reglas
claramente definidas.
Para que un sistema sea seguro, deben identificarse las posibles amenazas y por lo tanto,
conocer y prever el curso de acción del enemigo. Por tanto, el objetivo de este informe es
brindar una perspectiva general de las posibles motivaciones de los hackers, categorizarlas,
y dar una idea de cómo funcionan para conocer la mejor forma de reducir el riesgo de
intrusiones.
Objetivos de la seguridad informática
Generalmente, los sistemas de información incluyen todos los datos de una compañía y
también en el material y los recursos de software que permiten a una compañía almacenar y
hacer circular estos datos. Los sistemas de información son fundamentales para las
compañías y deben ser protegidos.
Generalmente, la seguridad informática consiste en garantizar que el material y los recursos
de software de una organización se usen únicamente para los propósitos para los que fueron
creados y dentro del marco previsto.
La seguridad informática se resume, por lo general, en cinco objetivos principales:
Integridad: garantizar que los datos sean los que se supone que son
Confidencialidad: asegurar que sólo los individuos autorizados tengan acceso a los recursos
que se intercambian
Disponibilidad: garantizar el correcto funcionamiento de los sistemas de información
Evitar el rechazo: garantizar de que no pueda negar una operación realizada.
Autenticación: asegurar que sólo los individuos autorizados tengan acceso a los recursos
Confidencialidad
La confidencialidad consiste en hacer que la información sea ininteligible para aquellos
individuos que no estén involucrados en la operación.
Integridad
La verificación de la integridad de los datos consiste en determinar si se han alterado los
datos durante la transmisión (accidental o intencionalmente).
Disponibilidad
El objetivo de la disponibilidad es garantizar el acceso a un servicio o a los recursos.
No repudio
Evitar el repudio de información constituye la garantía de que ninguna de las partes
involucradas pueda negar en el futuro una operación realizada.
Autenticación
La autenticación consiste en la confirmación de la identidad de un usuario; es decir, la
garantía para cada una de las partes de que su interlocutor es realmente quien dice ser. Un
control de acceso permite (por ejemplo gracias a una contraseña codificada) garantizar el
acceso a recursos únicamente a las personas autorizadas.
Necesidad de un enfoque global
Frecuentemente, la seguridad de los sistemas de información es objeto de metáforas. A
menudo, se la compara con una cadena, afirmándose que el nivel de seguridad de un
sistema es efectivo únicamente si el nivel de seguridad del eslabón más débil también lo es.
De la misma forma, una puerta blindada no sirve para proteger un edificio si se dejan las
ventanas completamente abiertas.
Lo que se trata de demostrar es que se debe afrontar el tema de la seguridad a nivel global y
que debe constar de los siguientes elementos:
Concienciar a los usuarios acerca de los problemas de seguridad
Seguridad lógica, es decir, la seguridad a nivel de los datos, en especial los datos de la
empresa, las aplicaciones e incluso los sistemas operativos de las compañías.
Seguridad en las telecomunicaciones: tecnologías de red, servidores de compañías, redes de
acceso, etc.
Seguridad física, o la seguridad de infraestructuras materiales: asegurar las habitaciones, los
lugares abiertos al público, las áreas comunes de la compañía, las estaciones de trabajo de
los empleados, etc.
Cómo implementar una política de seguridad
Generalmente, la seguridad de los sistemas informáticos se concentra en garantizar el
derecho a acceder a datos y recursos del sistema configurando los mecanismos de
autentificación y control que aseguran que los usuarios de estos recursos sólo posean los
derechos que se les han otorgado.
Los mecanismos de seguridad pueden sin embargo, causar inconvenientes a los usuarios.
Con frecuencia, las instrucciones y las reglas se vuelven cada vez más complicadas a
medida que la red crece. Por consiguiente, la seguridad informática debe estudiarse de
modo que no evite que los usuarios desarrollen usos necesarios y así puedan utilizar los
sistemas de información en forma segura.
Por esta razón, uno de los primeros pasos que debe dar una compañía es definir una política
de seguridad que pueda implementar en función a las siguientes cuatro etapas:
Identificar las necesidades de seguridad y los riesgos informáticos que enfrenta la compañía
así como sus posibles consecuencias
Proporcionar una perspectiva general de las reglas y los procedimientos que deben
implementarse para afrontar los riesgos identificados en los diferentes departamentos de la
organización
Controlar y detectar las vulnerabilidades del sistema de información, y mantenerse
informado acerca de las falencias en las aplicaciones y en los materiales que se usan
Definir las acciones a realizar y las personas a contactar en caso de detectar una amenaza
La política de seguridad comprende todas las reglas de seguridad que sigue una
organización (en el sentido general de la palabra). Por lo tanto, la administración de la
organización en cuestión debe encargarse de definirla, ya que afecta a todos los usuarios del
sistema.
En este sentido, no son sólo los administradores de informática los encargados de definir
los derechos de acceso sino sus superiores. El rol de un administrador de informática es el
de asegurar que los recursos de informática y los derechos de acceso a estos recursos
coincidan con la política de seguridad definida por la organización.
Es más, dado que el/la administrador/a es la única persona que conoce perfectamente el
sistema, deberá proporcionar información acerca de la seguridad a sus superiores,
eventualmente aconsejar a quienes toman las decisiones con respecto a las estrategias que
deben implementarse, y constituir el punto de entrada de las comunicaciones destinadas a
los usuarios en relación con los problemas y las recomendaciones de seguridad.
La seguridad informática de una compañía depende de que los empleados (usuarios)
aprendan las reglas a través de sesiones de capacitación y de concientización. Sin embargo,
la seguridad debe ir más allá del conocimiento de los empleados y cubrir las siguientes
áreas:
Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la compañía
y al uso de los empleados
Un procedimiento para administrar las actualizaciones
Una estrategia de realización de copias de seguridad (backup) planificada adecuadamente
Un plan de recuperación luego de un incidente
Un sistema documentado actualizado
Las causas de inseguridad
Generalmente, la inseguridad se puede dividir en dos categorías:
Un estado de inseguridad activo; es decir, la falta de conocimiento del usuario acerca de las
funciones del sistema, algunas de las cuales pueden ser dañinas para el sistema (por
ejemplo, no desactivar los servicios de red que el usuario no necesita)
Un estado de inseguridad pasivo; es decir, la falta de conocimiento de las medidas de
seguridad disponibles (por ejemplo, cuando el administrador o usuario de un sistema no
conocen los dispositivos de seguridad con los que cuentan)
ASO – CAPITULO 2
Integración de sistemas
En la actualidad es muy frecuente encontrarse con redes heterogéneas en las que conviven
diferentes sistemas operativos tanto a nivel cliente como a nivel servidor, una de las tareas
del administrador de sistemas es que los diferentes equipos puedan comunicarse
correctamente, compartir información, recursos, etc…
Esquemas básicos de red
La arquitectura de la red es el diseño de la red en el que se emplean determinados
componentes cuya finalidad es canalizar, permitr o denegar el tráfico con los elementos
apropiados. Existen varias arquitecturas de red, y algunos de los elementos básicos que
intervienen son:
Router, equipo que permite o deniega las comunicaciones entre dos o más redes, debe estar
especialmente protegido ya que puede ser objeto de un ataque. Puede ser un dispositivo
específico o un ordenador funcionando como tal.
Red interna, es donde se encuentran los equipos y servidores internos, se suele dividir en
varias redes para denegar o permitir el tráfico entre ellas.
Red perimetral o zona neutral, añadida entre dos redes para proporcionar mayor protección
a una de ellas. Su principal objetivo es que ante una posible intrusión en uno de los
servidores, se aisle la intrusión y no se permita el acceso a la red interna.
La configuración más simple consiste en el empleo de un router para comunicar la red
interna con internet, es la más insegura de todas ya que toda la seguridad reside en un único
punto: el router, en caso de fallo de seguridad en el router el atacante tendrá acceso a toda
la red interna. Otro aspecto a tener en cuenta con la configuración básica es que si
necesitamos tener un servidor ofreciendo servicios a internet lo tendremos que tener en la
red interna lo cual es peligroso, para solucionar este problema se añade una zona neutra o
desmilitarizada.
Esquemas de red con una zona neutra
Este es el esquema que debe usarse cuando se quieren ofrecer servicios a internet y
mantener un nivel adecuado de seguridad en la red interna, hace uso de dos routers para
crear un perimetro de seguridad en el que ubicar los servidores accesibles desde el exterior
protegiendo de esta forma la red interna de atacantes externos.Lo normal es que el router
exterior esté configurado para permitir el acceso desde internet a los servidores de la zona
neutra especificando los puertos utilizados mientras el router interior unicamente permite el
tráfico saliente de la red interna al exterior, de esta forma, si se lograse acceder a la zona
neutra el atacante nunca tendrá acceso a la red interna.
Diferentes configuraciones:
Gráfico de esquema de red con una zona neutra y una red interna utilizando un único router
con tres interfaces de red:
esquema_neutra_1router
Gráfico de esquema de red con una zona neutra y varias zonas internas, util si se tienen
diferentes tipos de seguridad o servidores internos
esquema_neutra_2redesinternas
Gráfico de esquema de red con dos zona neutras y varias zonas internas, permite crear dos
tipos de servicios, por ejemplo uno púbilico (FTP,HTTP..) y otro privado para conexiones
VPN
esquema_neutra_2redesneutras
Para permitir que los diferentes equipos trabajen correctamente entre sí se deben cumplir
los siguientes niveles de integración:
Red, los equipos pueden comunicarse entre sí.
Datos, los equipos pueden compartir datos entre sí.
Servicios, los equipos acceden a los servicios que ofrecen otros equipos.
RED
Una red debe contar, al menos, con los siguientes servicios.
Enrutamiento, permite a un servidor actuar como router.
Servidor DHCP, sin ser obligatorio, permite a los equipos cliente obtener la configuración
de la red (IP, mascara, DNS, gateway, etc…)
Servidor DNS, mantiene una equivalencia entre los nombres de los dominios y equipos con
sus direcciones IP
DATOS
Son el recurso más importante en la empresa, los servicios más utilizados en lo relativo a
datos son.
Samba, permite compartir archivos entre sistemas Windows y GNU/Linux.
NFS, es el servicio para compartir archivos en GNU/Linux.
Podemos usar un servidor como NAS (Network Attached Storage), otra forma de compartir
archivos es con el sistema de ficheros distribuido el cual permite acceder a los datos que se
almacenan en varios servidores que comparten la misma carpeta y se auto-replican los
datos, este metodo es especialmente útil cuando los clientes están ubicados en
localizaciones diferentes.
SERVICIOS
Los servicios de red proporcionan una funcionalidad a la red de una empresa, los más
utilizados son.
Acceso remoto:
- Modo terminal, Telnet es una manera cliente de acceder a un servidor, no seguro. SSH, el
más utilizado porque garantiza la seguridad de las comunicaciones.
- Modo gráfico, por ejemplo VNC, RDP (Terminal Server), X11.
Directorio activo, gestiona dominios para una mejor administración de usuarios y equipo.
Cuando un usuario se conecta a la red debe elegir el nombre de dominio al cual se conecta,
este le autenticará y el usuario dispondrá de los recursos en los que tiene permisos. La
gestión se realiza de manera centralizada puesto que toda la información se almacenan en
los controladores de dominio (DC), los cuales al utilizar sistemas de ficheros distribuidos se
replican esta información.
Servidores de impresión, permitem compartir impresoras entre diferentes clientes, se puede
monitorizar el estado, la cola de impresión, adminstrar los trabajos, etc…
Actualización centralizada de sistemas, permite tener correctamente actualizados a todos
los sitemas de la red, además es un solo servidor (o varios configurados con ese rol) el que
se descarga las actualizaciones desde intenet y las distribuye a los clientes de la red interna,
evitando de este modo un tráfico intenso hacia internet y como las actualizaciones se
pueden programar se reduce también el tráfico local.
Monitorización centralizada, se encarga de la supervisión de los sitemas y estos envian
alertas (con diferentes niveles de severidad) acerca de su estado (mediante plantillas
previamente configuradas). Las herramientas más comunes son Nagios, HP OVO, etc..
Conmutación (redes de comunicación)
Conmutación es la conexión que realizan los diferentes nodos que existen en distintos
lugares y distancias para lograr un camino apropiado para conectar dos usuarios de una red
de telecomunicaciones. La conmutación permite la descongestión entre los usuarios de la
red disminuyendo el tráfico.
Conmutación de circuitos
En la conmutación de circuitos los equipos de conmutación deben establecer un camino
físico entre los medios de comunicación previo a la conexión entre los usuarios. Este
camino permanece activo durante la comunicación entre los usuarios, liberándose al
terminar la comunicación. Ejemplo: Red Telefónica Conmutada. Su funcionamiento pasa
por las siguientes etapas: solicitud, establecimiento, transferencia de archivos y liberación
de conexión.
Ventajas
La transmisión se realiza en tiempo real, siendo adecuado para comunicación de voz y
video.
Acaparamiento de recursos. Los nodos que intervienen en la comunicación disponen en
exclusiva del circuito establecido mientras dura la sesión.
No hay contención. Una vez que se ha establecido el circuito las partes pueden comunicarse
a la máxima velocidad que permita el medio, sin compartir el ancho de banda ni el tiempo
de uso.
El circuito es fijo. Dado que se dedica un circuito físico específicamente para esa sesión de
comunicación, una vez establecido el circuito no hay pérdidas de tiempo calculando y
tomando decisiones de encaminamiento en los nodos intermedios. Cada nodo intermedio
tiene una sola ruta para los paquetes entrantes y salientes que pertenecen a una sesión
específica.
Simplicidad en la gestión de los nodos intermedios. Una vez que se ha establecido el
circuito físico, no hay que tomar más decisiones para encaminar los datos entre el origen y
el destino.
Desventajas
Retraso en el inicio de la comunicación. Se necesita un tiempo para realizar la conexión, lo
que conlleva un retraso en la transmisión de la información.
Acaparamiento (bloqueo) de recursos. No se aprovecha el circuito en los instantes de
tiempo en que no hay transmisión entre las partes. Se desperdicia ancho de banda mientras
las partes no están comunicándose.
El circuito es fijo. No se reajusta la ruta de comunicación, adaptándola en cada posible
instante al camino de menor costo entre los nodos. Una vez que se ha establecido el
circuito, no se aprovechan los posibles caminos alternativos con menor coste que puedan
surgir durante la sesión.
Poco tolerante a fallos. Si un nodo intermedio falla, todo el circuito se viene abajo. Hay que
volver a establecer conexiones desde el principio.
Conmutación de mensajes
Este método era el usado por los sistemas telegráficos, siendo el más antiguo que existe.
Para transmitir un mensaje a un receptor, el emisor debe enviar primero el mensaje
completo a un nodo intermedio el cual lo encola en la cola donde almacena los mensajes
que le son enviados por otros nodos. Luego, cuando llega su turno, lo reenviará a otro y éste
a otro y así las veces que sean necesarias antes de llegar al receptor. El mensaje deberá ser
almacenado por completo y de forma temporal en el nodo intermedio antes de poder ser
reenviado al siguiente, por lo que los nodos temporales deben tener una gran capacidad de
almacenamiento. Esto es lo que se llama funcionamiento "store and forward" ("almacenar y
reenviar").
Ventajas
Se multiplexan mensajes de varios procesos hacia un mismo destino, y viceversa, sin que
los solicitantes deban esperar a que se libere el circuito
El canal se libera mucho antes que en la conmutación de circuitos, lo que reduce el tiempo
de espera necesario para que otro remitente envíe mensajes.
No hay circuitos ocupados que estén inactivos. Mejor aprovechamiento del canal.
Si hay error de comunicación se retransmite una menor cantidad de datos.
Desventajas
Se añade información extra de encaminamiento (cabecera del mensaje) a la comunicación.
Si esta información representa un porcentaje apreciable del tamaño del mensaje el
rendimiento del canal (información útil/información transmitida) disminuye.
Mayor complejidad en los nodos intermedios:
Ahora necesitan inspeccionar la cabecera de cada mensaje para tomar decisiones de
encaminamiento.
También deben examinar los datos del mensaje para comprobar que se ha recibido sin
errores.
También necesitan disponer de memoria (discos duros) y capacidad de procesamiento para
almacenar, verificar y retransmitir el mensaje completo.
Sigue sin ser viable la comunicación interactiva entre los terminales.
Si la capacidad de almacenamiento se llena y llega un nuevo mensaje, no puede ser
almacenado y se perderá definitivamente.
Un mensaje puede acaparar una conexión de un nodo a otro mientras transmite un mensaje,
lo que lo incapacita para poder ser usado por otros nodos.
Es lenta
Conmutación de paquetes
El emisor divide los mensajes a enviar en un número arbitrario de paquetes del mismo
tamaño, donde adjunta una cabecera y la dirección origen y destino así como datos de
control que luego serán transmitidos por diferentes medios de conexión entre nodos
temporales hasta llegar a su destino. Este método de conmutación es el que más se utiliza
en las redes de ordenadores actuales.
Al igual que en la conmutación de mensajes, los nodos temporales almacenan los paquetes
en colas en sus memorias que no necesitan ser demasiado grandes.
Modos de Conmutación
Circuito virtual:
Cada paquete se encamina por el mismo circuito virtual que los anteriores.
Por tanto se controla y asegura el orden de llegada de los paquetes a destino.
Exiten 2 tipos:
PVC : Se establece un único camino para todos los envíos.
SVC : Se establece un nuevo camino en el siguiente envío .
Datagrama
Cada paquete se encamina de manera independiente de los demás
Por tanto la red no puede controlar el camino seguido por los paquetes, ni asegurar el orden
de llegada a destino.
Ventajas
Si hay error de comunicación se retransmite una cantidad de datos aun menor que en el
caso de mensajes
En caso de error en un paquete solo se reenvía ese paquete, sin afectar a los demás que
llegaron sin error.
Comunicación interactiva. Al limitar el tamaño máximo del paquete, se asegura que ningún
usuario pueda monopolizar una línea de transmisión durante mucho tiempo
(microsegundos), por lo que las redes de conmutación de paquetes pueden manejar tráfico
interactivo.
Aumenta la flexibilidad y rentabilidad de la red.
Se puede alterar sobre la marcha el camino seguido por una comunicación (p.ej. en caso de
avería de uno o más enrutadores).
Se pueden asignar prioridades a los paquetes de una determinada comunicación. Así, un
nodo puede seleccionar de su cola de paquetes en espera de ser transmitidos aquellos que
tienen mayor prioridad.
Desventajas
Mayor complejidad en los equipos de conmutación intermedios, que necesitan mayor
velocidad y capacidad de cálculo para determinar la ruta adecuada en cada paquete.
Duplicidad de paquetes. Si un paquete tarda demasiado en llegar a su destino, el host
receptor(destino) no enviara el acuse de recibo al emisor, por el cual el host emisor al no
recibir un acuse de recibo por parte del receptor este volverá a retransmitir los últimos
paquetes del cual no recibió el acuse, pudiendo haber redundancia de datos.
Si los cálculos de encaminamiento representan un porcentaje apreciable del tiempo de
transmisión, el rendimiento del canal (información útil/información transmitida) disminuye.
¿QUE ES DIAL-UP?
La tecnología Dial-Up le permite acceder al servicio Internet a través de una línea
telefónica analógica y un MODEM. El Internet es una red mundial de computadoras. A su
vez está formada por otras redes más pequeñas. Esta red conecta a unos 100 millones de
usuarios. Permite que un usuario se comunique con otro y que se transfieran archivos de
datos de una máquina a cualquier otra en la red.
La tecnología dial up es una forma de conectarse a Internet.
Es a través del servicio dial up que se puede:
* Enviar correo electrónico
* Jugar juegos
* Noticias, libros de interés actual
* Buscar información
* Compartir ideas
* Hacer compras
* Escuchar radio
* Ver videos
* Obtener software
Internet dial-up funciona al igual que la línea telefónica, mediante cables convencionales,
digitales, fibra óptica, vía telefonía celular, vía satélite etc. por los cuales se envían y
reciben datos.
La velocidad de conexión a Internet de este sistema, con un MODEM actual, es de
proximadamente 56 Kbps (Kilobytes por segundo)
Redes dedicadas
Definición
Una red dedicada es una denominación que usualmente se reserva para redes de
comunicaciones en las cuáles existe un único tipo de tráfico con objetivos de calidad
establecidos explícitamente en el contrato entre el operador y el usuarios. Normalmente se
utilizan para garantizar la disponibilidad de una cierta capacidad de transporte en ciertas
condiciones a grandes usuarios de comunicaciones. Las tecnologías que soportan estas
redes dedicadas dependen, en primer lugar, del tipo de información considerado: voz, vídeo
(+ audio) o datos. También aunque originalmente se trataba de redes separadas, de una
forma creciente se utilizan las mismas redes de transporte que para cualquier otra
comunicación a las que se incorporan los mecanismos adecuados para separar y priorizar el
tráfico en cuestión.
Frame Relay
Frame Relay o (Frame-mode Bearer Service) es una técnica de comunicación mediante
retransmisión de tramas para redes de circuito virtual, introducida por la ITU-T a partir de
la recomendación I.122 de 1988. Consiste en una forma simplificada de tecnología de
conmutación de paquetes que transmite una variedad de tamaños de tramas o marcos
(“frames”) para datos, perfecto para la transmisión de grandes cantidades de datos.
La técnica Frame Relay se utiliza para un servicio de transmisión de voz y datos a alta
velocidad que permite la interconexión de redes de área local separadas geográficamente a
un coste menor.
Aplicaciones y Beneficios
Reducción de complejidad en la red. elecciones virtuales múltiples son capaces de
compartir la misma línea de acceso.
Equipo a costo reducido. Se reduce las necesidades del “hardware” y el procesamiento
simplificado ofrece un mayor rendimiento por su dinero.
Mejora del desempeño y del tiempo de respuesta. penetración directa entre localidades con
pocos atrasos en la red.
Mayor disponibilidad en la red. Las conexiones a la red pueden redirigirse automáticamente
a diversos cursos cuando ocurre un error.
Se pueden utilizar procedimientos de Calidad de Servicio (QoS) basados en el
funcionamiento Frame Relay.
Tarifa fija. Los precios no son sensitivos a la distancia, lo que significa que los clientes no
son penalizados por conexiones a largas distancias.
Mayor flexibilidad. Las conexiones son definidas por los programas. Los cambios hechos a
la red son más rápidos y a menor costo si se comparan con otros servicios.
Ofrece mayores velocidades y rendimiento, a la vez que provee la eficiencia de ancho de
banda que viene como resultado de los múltiples circuitos virtuales que comparten un
puerto de una sola línea.
Los servicios de Frame Relay son confiables y de alto rendimiento. Son un método
económico de enviar datos, convirtiéndolo en una alternativa a las líneas dedicadas.
El Frame Relay es ideal para usuarios que necesitan una conexión de mediana o alta
velocidad para mantener un tráfico de datos entre localidades múltiples y distantes .
Opcionales WEB, Libros virtuales: redes...
Frame Relay constituye un método de comunicación orientado a paquetes para la conexión
de sistemas informáticos. Se utiliza principalmente para la interconexión de redes de área
local (LANs, local area networks) y redes de área extensa (WANs, wide area networks)
sobre redes públicas o privadas. La mayoría de compañías públicas de telecomunicaciones
ofrecen los servicios Frame Relay como una forma de establecer conexiones virtuales de
área extensa que ofrezcan unas prestaciones relativamente altas. Frame Relay es una
interfaz de usuario dentro de una red de conmutación de paquetes de área extensa, que
típicamente ofrece un ancho de banda comprendida en el rango de 56 kbit/s y 1.544 Mbit/s.
Frame Relay se originó a partir de las interfaces ISND y se propuso como estándar al
Comité consultivo internacional para telegrafía y telefonía (CCITT) en 1984. El comité de
normalización T1S1 de los Estados Unidos, acreditado por el Instituto americano de
normalización (ANSI), realizó parte del trabajo preliminar sobre Frame Relay.
Norma X.25
X.25 es un estándar ITU-T para redes de área amplia de conmutación de paquetes. Su
protocolo de enlace, LAPB, está basado en el protocolo HDLC (publicado por ISO, y el
cual a su vez es una evolución del protocolo SDLC de IBM). Establece mecanismos de
direccionamiento entre usuarios, negociación de características de comunicación, técnicas
de recuperación de errores. Los servicios públicos de conmutación de paquetes admiten
numerosos tipos de estaciones de distintos fabricantes. Por lo tanto, es de la mayor
importancia definir la interfaz entre el equipo del usuario final y la red. X.25 esta orientado
a la conexión y trabaja con circuitos virtuales tanto conmutados como permanentes. En la
actualidad se trata de una norma obsoleta con utilidad puramente académica.
X.25 y su relación con el modelo OSI
El modelo de interconexión de sistemas abiertos ha sido la base para la implementación de
varios protocolos. Entre ellos, el conjunto de protocolos conocido como X.25 es
probablemente el mejor conocido y el más ampliamente utilizado. X.25 fue establecido
como una recomendación de la ITU-TS (Telecommunications Section de la International
Telecommunications Union), una organización internacional que recomienda estándares
para los servicios telefónicos internacionales. X.25 ha sido adoptado para las redes públicas
de datos y es especialmente popular en Europa. X.25 es un protocolo que se basa en las
primeras tres capas del modelo OSI.
Niveles de la norma X.25
El Nivel Físico
La recomendación X.25 para el nivel de paquetes coincide con una de las recomendaciones
del tercer nivel OSI. X.25 abarca el tercer nivel y también los dos niveles más bajos. La
interfaz de nivel físico recomendado entre el ETD y el ETCD es el X.21. X.25 asume que el
nivel físico X.21 mantiene activados los circuitos T(transmisión) y R(recepción) durante el
intercambio de paquetes. Asume también, que el X.21 se encuentra en estado 13S(enviar
datos), 13R(recibir datos) o 13(transferencia de datos). Supone también que los canales
C(control) e I(indicación) de X.21 están activados. Por todo esto X.25 utiliza la interfaz
X.21 que une el ETD y el ETCD como un "conducto de paquetes", en el cual los paquetes
fluyen por las líneas de transmisión(T) y de recepción(R). El nivel físico de X.25 no
desempeña funciones de control significativas. Se trata más bien de un conducto pasivo, de
cuyo control se encargan los niveles de enlace y de red.
El Nivel de Enlace
En X.25 se supone que el nivel de enlace es LAPB. Este protocolo de línea es un conjunto
de HDLC. LAPB y X.25 interactúan de la siguiente forma: En la trama LAPB, el paquete
X.25 se transporta dentro del campo I(información). Es LAPB el que se encarga de que
lleguen correctamente los paquetes X.25 que se transmiten a través de un canal susceptible
de errores, desde o hacia la interfaz ETD/ETCD. La diferencia entre paquete y trama es que
los paquetes se crean en el nivel de red y se insertan dentro de una trama, la cual se crea en
nivel de enlace. Para funcionar bajo el entorno X.25, LAPB utiliza información(I),
Receptor Preparado(RR), Rechazo(REJ), Receptor No Preparado(RNR),
Desconexión(DSC), Activar Modo de Respuesta Asíncrono(SARM) y Activar Modo
Asíncrono Equilibrado(SABM). Las respuestas utilizadas son las siguientes: Receptor
Preparado(RR), Rechazo(REJ), Receptor No Preparado(RNR), Asentimiento No
Numerado(UA), Rechazo de Trama(FRMR) y Desconectar Modo(DM). Los datos de
usuario del campo I no pueden enviarse como respuesta. De acuerdo con las reglas de
direccionamiento HDLC, ello implica que las tramas I siempre contendrán la dirección de
destino con lo cual se evita toda posible ambigüedad en la interpretación de la trama. X.25
exige que LAPB utilice direcciones específicas dentro del nivel de enlace. Tanto X.25
como LAPB utilizan números de envío(S) y de recepción(R) para contabilizar el tráfico que
atraviesan sus respectivos niveles. En LAPB los números se denotan como N(S) y N(R),
mientras que en X.25 la notación de los números de secuencia es P(S) y P(R). Es un
protocolo de red, para la conmutación de paquetes.
Servicio de circuito virtual
El servicio de circuito virtual de X.25 ofrece dos tipos de circuitos virtuales: llamadas
virtuales y circuitos virtuales permanentes. Una llamada virtual es un circuito virtual que se
establece dinámicamente mediante una petición de llamada y una liberación de llamada. Un
circuito virtual permanente es un circuito virtual fijo asignado en la red. La transferencia de
los datos se produce como con las llamadas virtuales, pero en este caso no se necesita
realizar ni el establecimiento ni el cierre de la llamada.
Redes de Broadcast
Broadcast, difusión en español, es una forma de transmisión de información donde un nodo
emisor envía información a una multitud de nodos receptores de manera simultánea, sin
necesidad de reproducir la misma transmisión nodo por nodo.
La difusión en redes IPv4
El protocolo IP en su versión 4 también permite la difusión de datos. En este caso no existe
un medio de transmisión compartido, no obstante, se simula un comportamiento similar.
La difusión en IPv4 no se realiza a todos los nodos de la red porque colapsaría las líneas de
comunicaciones debido a que no existe un medio de transmisión compartido. Tan sólo es
posible la difusión a subredes concretas dentro de la red, generalmente, aquellas bajo el
control de un mismo enrutador. Para ello existen dos modalidades de difusión:
Difusión limitada (limited broadcast)
Consiste en enviar un paquete de datos IP con la dirección 255.255.255.255. Este paquete
solamente alcanzará a los nodos que se encuentran dentro de la misma red física
subyacente. En general, la red subyacente será una red de área local (LAN) o un segmento
de ésta.
Multidifusión (multicast)
La multidifusión utiliza un rango especial de direcciones denominado rango de clase D.
Estas direcciones no identifican nodos sino redes o subredes. Cuando se envía un paquete
con una dirección de multidifusión, todos los enrutadores intermedios se limitan a re-enviar
el paquete hasta el enrutador de dicha subred. Éste último se encarga de hacerlo llegar a
todos los nodos que se encuentran en la subred.
Aquella dirección que tiene todos y cada uno de los bits de la parte de dirección de máquina
con valor 1 es una dirección de multidifusión. Por ejemplo, en una red 192.168.11.0/24, la
dirección de broadcast es 192.168.11.255. El valor de host 255 en 192.168.11.255 se
codifica en binario con sus ocho bits a 1: 11111111.
Aún hoy día la multidifusión se utiliza únicamente como experimento. Existe una propuesta
de implementación de videoconferencia utilizando multidifusión, sin embargo, se han
estandarizado otros mecanismos.
La difusión en redes IPv6
La difusión en IPv6 ha demostrado tener bastante utilidad en la práctica. Por eso, la nueva
versión 6 del protocolo ha optado por otro esquema para simular la difusión:
Multidifusión (multicast)
La multidifusión es sensiblemente distinta en IPv6 respecto a IPv4. Un paquete de
multidifusión no está dirigido necesariamente a una red o subred, concepto que no existe en
IPv6, sino a un grupo de nodos predefinido compuesto por cualquier equipo en cualquier
parte de la red.
El nodo emisor emite su paquete a una dirección de multidifusión como si se tratase de
cualquier otro paquete. Dicho paquete es procesado por diversos enrutadores intermedios.
Estos enrutadores utilizan una tabla de correspondencia que asocia cada dirección de
multidifusión con un conjunto de direcciones reales de nodos. Una vez determinadas dichas
direcciones, retransmite una copia del paquete a cada uno de los nodos interesados.
Para construir dichas tablas de correspondencia, es necesario que cada nodo receptor se
registre previamente en una dirección de multidifusión.
Las direcciones de multidifusión comienzan por FF00 (en hexadecimal). A diferencia de
IPv4, la implementación de la multidifusión es obligatoria para los enrutadores. Su
aplicación práctica está en la videoconferencia y telefonía.
Difusión a una de varias (anycast)
Artículo principal: Anycast
La difusión anycast es similar a la anterior. La diferencia radica en que no se requiere que
el paquete llegue a todos los nodos del grupo, sino que se selecciona uno en concreto que
recibirá la información.
La utilidad de este tipo de difusión puede ser aumentar la disponibilidad de un servicio, el
descubrimiento de servicios en la red y el reparto de carga de cómputo entre varios nodos.
Aplicaciones prácticas de la difusión
La difusión de información es útil para dos tipos de escenarios:
Cuando el nodo emisor no conoce cual es el nodo destinatario. La aplicación más común es
el descubrimiento automático de servicios en una red. De esta manera, el usuario no tiene
por qué conocer de antemano la dirección del servidor que proporciona un determinado
servicio.
Cuando el nodo emisor necesita enviar la misma información a múltiples receptores. Es el
caso de la videoconferencia y el streaming.
El Broadcasting puede ser utilizado para generar un Ataque de denegación de servicio (o
Ataque DoS). El atacante envía falsos paquetes de peticiones ping con la IP fuente del
computador de la víctima. El computador víctima es inundado por las respuestas de todos
los computadores del dominio.
Documentacion de la Red Empresarial
Una de las primeras tareas para un nuevo técnico de red es familiarizarse con la estructura
de la red actual. Las redes empresariales pueden tener miles de hosts y cientos de
dispositivos de red, interconectados por tecnologías inalámbricas, de cables de cobre y de
fibra óptica. Todas las estaciones de trabajo de usuario final, los servidores y los
dispositivos de red, como los switches y los routers, deben estar documentados. Los
diversos tipos de documentación muestran diferentes aspectos de la red.
Los diagramas de infraestructura de la red o los diagramas topológicos mantienen un
registro de la ubicación, la función y el estado de los dispositivos. Los diagramas
topológicos representan la red física o la red lógica.
Un mapa de topología física emplea íconos para documentar la ubicación de los hosts, de
los dispositivos de red y de los medios. Es importante mantener y actualizar los mapas de
topología física para facilitar futuras tareas de instalación y resolución de problemas.
Un mapa de topología lógica agrupa los hosts según el uso de red, independientemente de
la ubicación física. En el mapa de topología lógica, se pueden registrar los nombres de los
hosts, las direcciones, la información de los grupos y las aplicaciones. Las conexiones entre
sitios múltiples pueden aparecer, pero no representan ubicaciones físicas reales.
Los diagramas de red empresarial pueden incluir también información del plano de control.
La información del plano de control describe los dominios de fallas y define las interfaces
en donde las diferentes tecnologías de red se interconectan.
Es fundamental que la documentación de la red permanezca actualizada y sea exacta. La
documentación de la red, normalmente, es exacta en el momento de la instalación de una
red. Sin embargo, a medida que la red crece o cambia, la documentación no siempre está
actualizada.
Los mapas de topología de red están basados, con frecuencia, en los planos de piso
originales. Los planos de piso actuales pueden haber sido modificados desde la
construcción del edificio. Los anteproyectos pueden estar marcados o coloreado en rojo
para indicar las modificaciones. El diagrama modificado se conoce como proyecto
terminado. Un diagrama de proyecto terminado documenta cómo se construyó realmente
una red, lo que puede diferir de los planos originales. Asegúrese siempre de que la
documentación actual refleje el plano de piso del proyecto terminado y todas las
modificaciones en la topología de la red.
Los diagramas de red se crean normalmente con software de diseño gráfico. Además de ser
una herramienta de diseño, muchas herramientas de diseño de red están vinculadas a una
base de datos. Esta característica permite al personal de asistencia de red desarrollar
documentación detallada mediante el registro de información sobre hosts y dispositivos de
red, que incluyen fabricante, número de modelo, fecha de compra, período de garantía y
otra información adicional. Al hacer clic en un dispositivo del diagrama, se abre un
formulario de inscripción con información detallada del dispositivo.
Además de los diagramas de red, se utilizan otros tipos importantes de documentación en la
red empresarial.
Plan de continuidad de la empresa:
El Plan de continuidad de la empresa (BCP, Business Continuity Plan) identifica los pasos
que se deben seguir para continuar con el funcionamiento de la empresa en caso de que
ocurra un desastre natural o provocado por el hombre.
Plan de seguridad de la empresa:
El Plan de seguridad de la empresa (BSP, Business Security Plan) incluye medidas de
control físicas, de sistema y organizacionales. El plan de seguridad general debe incluir una
porción de TI que describa cómo una organización protege su red y sus bienes de
información.
Plan de mantenimiento de red:
El Plan de mantenimiento de red (NMP, Network Maintenance Plan) asegura la
continuidad de la empresa mediante el cuidado y el funcionamiento eficiente de la red. El
mantenimiento de la red se debe programar durante períodos específicos, normalmente
durante las noches y los fines de semana, a fin de minimizar el impacto sobre las
operaciones comerciales.
Acuerdo de nivel de servicio:
El Acuerdo de nivel de servicio (SLA, Service Level Agreement) es un acuerdo contractual
entre el cliente y un proveedor de servicios o ISP, en el que se detalla información, como la
disponibilidad de la red y el tiempo de respuesta del servicio.
La mayoría de las redes empresariales tienen un Centro de operaciones de red (NOC) que le
permite realizar la administración general y el monitoreo de todos los recursos de red. El
NOC también se denomina Centro de datos.
Los empleados de un NOC típico de una empresa proporcionan soporte para ubicaciones
locales y remotas y, a menudo, administran problemas de redes locales y de redes de área
extensa. Los NOC más grandes pueden ser áreas de múltiples espacios de un edificio en
donde se concentra el equipo de red y el personal de soporte técnico.
Generalmente, el NOC tiene:
Pisos falsos para permitir que el cableado y el suministro de energía pasen por debajo del
piso y lleguen hasta los equipos.
Sistemas UPS y equipos de aire acondicionado de alto rendimiento para brindar un entorno
de funcionamiento seguro para los equipos.
Sistemas de extinción de incendios integrados al techo.
Estaciones de monitoreo de red, servidores, sistemas de respaldo y almacenamiento de
datos.
Switches de la capa de acceso y routers de la capa de distribución, si es que este NOC
funciona como una Instalación de distribución principal (MDF, Main Distribution Facility)
para el edificio o el campus donde está ubicado
Además de proveer asistencia y administración de red, muchos NOC también proveen
recursos centralizados, como servidores y almacenamiento de datos.
Los servidores del NOC están normalmente agrupados juntos con el fin de formar una
granja de servidores. La granja de servidores suele considerarse como un recurso único. Sin
embargo, ésta proporciona dos funciones: copia de seguridad y balanceo de cargas. Si un
servidor falla o se sobrecarga, otro toma el lugar del que falló.
Los servidores de la granja pueden estar montados en bastidor e interconectados por
switches de muy alta velocidad (Ethernet Gigabit o superior). Además, pueden ser
servidores blade montados en un chasis y conectados mediante un backplane de alta
velocidad dentro del chasis.
Otro aspecto importante del NOC de la empresa es el almacenamiento de datos de alta
velocidad y de alta capacidad. Este almacenamiento de datos o almacenamiento con
conexión a red (NAS), agrupa grandes cantidades de discos que están directamente
conectados a la red y pueden ser utilizados por cualquier servidor. Generalmente, un
dispositivo de NAS se conecta a una red Ethernet y se le asigna su propia dirección IP.
Una versión más sofisticada de NAS es Storage Area Network (SAN). Una SAN es una red
de alta velocidad que interconecta diferentes tipos de dispositivos de almacenamiento de
datos sobre una LAN o una WAN.
El equipo en el NOC de la empresa está normalmente montado sobre bastidores. En los
NOC grandes, los bastidores suelen estar montados verticalmente y pueden estar
conectados entre ellos. Al montar equipos en bastidores, asegúrese de que exista ventilación
adecuada y acceso desde la parte delantera y trasera. El equipo también debe estar
conectado a tierra.
El ancho más común de los bastidores es de 19 pulgadas (48,26 cm). La mayoría de los
equipos está diseñada para este ancho. El espacio vertical que ocupa el equipo se mide en
Unidades de bastidor (RU, Rack Units). Una unidad equivale a 1,75 pulgadas (4,4 cm). Por
ejemplo, un chasis de 2 unidades mide 3,5 pulgadas (8,9 cm) de altura. Cuanto menor sea el
número de RU, menor el espacio necesario para un dispositivo y, por lo tanto, más
dispositivos caben en el bastidor.
Otro factor para tener en cuenta son los equipos con muchas conexiones, como los
switches. Es posible que sea necesario colocarlos cerca de paneles de conexión y cerca de
donde el cableado se agrupa en bandejas de cables.
En un NOC de empresa, miles de cables pueden ingresar a la instalación y salir de ésta. El
cableado estructurado crea un sistema de cableado organizado que los instaladores,
administradores de red y cualquier otro técnico que trabaje con cables puede comprender
fácilmente.
La administración de cables cumple varios propósitos. Primero, presenta un sistema prolijo
y organizado, que ayuda a determinar problemas de cableado. Segundo, la optimización del
cableado protege a los cables del daño físico y de las interferencias EMI, lo que reduce en
gran medida la cantidad de problemas experimentados.
Para brindar asistencia en el proceso de resolución de problemas:
Todos los cables deben estar etiquetados en ambos extremos, mediante convención estándar
que indique origen y destino.
Todos los tendidos de cableado deben ser documentados en el diagrama de topología de la
red física.
Todos los tendidos de cableado, tanto de cobre como de fibra, deben probarse de extremo a
extremo mediante el envío de una señal a través del cable y la medición de la pérdida.
Los estándares de cableado especifican una distancia máxima para todos los tipos de cable
y todas las tecnologías de red. Por ejemplo, el IEEE especifica que, para una Fast Ethernet
sobre cable de par trenzado no blindado (UTP, unshielded twisted pair), el tendido del
cableado desde el switch hasta el host no puede superar los 100 metros (aproximadamente
328 pies). Si el tendido del cableado es mayor que el largo recomendado, pueden ocurrir
problemas con las comunicaciones de datos, especialmente si las terminaciones de los
extremos del cable no están totalmente terminadas.
La documentación del plan y de las pruebas de cables son fundamentales para el
funcionamiento de la red.
Diseño de la Sala de comunicaciones y factores para tener en cuenta
El NOC representa el sistema nervioso central de la empresa. Sin embargo, en la práctica,
la mayoría de los usuarios se conectan a un switch ubicado en un cuarto de
telecomunicaciones, el cual se encuentra a cierta distancia del NOC. El cuarto de
telecomunicaciones también se conoce como un armario cableado o una instalación de
distribución intermedia (IDF, intermediate distribution facility). Cuenta con los dispositivos
de red de la capa de acceso y mantiene a la perfección las condiciones ambientales, como el
aire acondicionado y UPS, de una manera similar al NOC.
Los usuarios que trabajan con tecnología conectada por cable se conectan a la red con
switches o hubs de Ethernet. Los usuarios que trabajan con tecnología inalámbrica se
conectan a través de un punto de acceso (AP, Access Point). Los dispositivos de capa de
acceso, tales como los switches y AP representan una posible vulnerabilidad en la
seguridad de la red. El acceso físico y remoto a este equipo se debe limitar únicamente al
personal autorizado. El personal de red también puede implementar seguridad en los
puertos y otras medidas en los switches, así como diversas medidas de seguridad
inalámbrica en los AP.
Proteger el cuarto de telecomunicaciones se ha convertido en algo aún más importante
debido a los crecientes casos de robo de identidad. Las nuevas leyes de privacidad aplican
duras sanciones si la información confidencial de una red cae en manos que no debe caer.
Los dispositivos de red modernos cuentan con propiedades que ayudan a prevenir estos
ataques y a proteger la información y la integridad del usuario.
Muchas IDF se conectan a una Instalación de distribución principal (MDF) con un diseño
de estrella extendida. Normalmente, la MDF está ubicada en el NOC o en el centro del
edificio.
Las MDF, comúnmente, son más grandes que las IDF. Contienen switches de alta
velocidad, routers y granjas de servidores. Los switches centrales de la MDF pueden
conectar servidores de empresas y discos duros mediante enlaces de cobre de gigabit.
Las IDF cuentan con switches, AP y hubs de menor velocidad. Habitualmente, los switches
de las IDF tienen grandes cantidades de puertos Fast Ethernet para que los usuarios se
conecten a la capa de acceso.
Por lo general, los switches de la IDF se conectan a los switches de la MDF con interfaces
Gigabit. Esta disposición crea conexiones de red troncal o uplinks. Estos enlaces de red
troncal, también llamados cableado vertical, pueden ser de cobre o de fibra óptica. Los
enlaces de cobre de Gigabit o Fast Ethernet tienen un límite máximo de 100 metros y deben
usar cable UTP CAT5e o CAT6. Los enlaces de fibra óptica pueden recorrer distancias
mayores. Los enlaces de fibra óptica, comúnmente, interconectan edificios y, debido a que
no transmiten electricidad, son inmunes a las descargas eléctricas causadas por los rayos,
las interferencias EMI, RFI y las conexiones a tierra diferenciales.
Además de proporcionar conectividad de acceso a red básica, es cada vez más común
suministrar energía para los dispositivos de usuarios finales directamente desde switches
Ethernet del cuarto de telecomunicaciones. Estos dispositivos incluyen teléfonos IP, puntos
de acceso y cámaras de vigilancia.
Los dispositivos están alimentados con IEEE 802.3af estándar, Power Over Ethernet o PoE.
El PoE suministra energía a un dispositivo por el mismo cable de par trenzado que
transmite los datos. Esto permite que, por ejemplo, un teléfono IP se coloque en un
escritorio sin necesidad de cable ni toma de alimentación aparte. A fin de soportar
dispositivos PoE como el teléfono IP, el switch de conexión debe admitir PoE.
Para aquellos switches que no soportan PoE también se puede suministrar PoE con
inyectores de alimentación o paneles de conexión PoE. Panduit y otros proveedores
producen paneles de conexión PoE que permiten que los switches sin capacidad PoE
participen en entornos PoE. Los switches Legacy se conectan a un panel de conexión PoE
que, a su vez, se conecta al dispositivo que admite PoE.