Desarrollo y Aplicación de la Administración por Valores
Redes ,,,,
1.
2. ¿QUÉ ES UN FIREWALL?
Un firewall es software o hardware que comprueba la información procedente de Internet o de una red y, a
continuación, bloquea o permite el paso de ésta al equipo, en función de la configuración del firewall.
Un firewall puede ayudar a impedir que hackers o software malintencionado (como gusanos) obtengan
acceso al equipo a través de una red o de Internet. Un firewall también puede ayudar a impedir que el equipo
envíe software malintencionado a otros equipos.
En la siguiente ilustración se muestra el funcionamiento de un firewall.
4. ¿QUÉ ES UN FIREWALL?
Un firewall crea una barrera entre Internet y el equipo, igual que la barrera física que constituiría una pared
de ladrillos.
Un firewall no es lo mismo que un programa antivirus. Para ayudar a proteger su equipo, necesita tanto un
firewall como un programa antivirus y antimalware.
Un cortafuegos (firewall) es una parte de un sistema o una red que está diseñada para bloquear el acceso no
autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.
Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el
tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.
Los cortafuegos pueden ser implementados en hardware o software, o en una combinación de ambos. Los
cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso
a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de
la intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen
los criterios de seguridad especificados. También es frecuente conectar el cortafuegos a una tercera red,
llamada zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben
permanecer accesibles desde la red exterior.
Un cortafuegos correctamente configurado añade una protección necesaria a la red, pero que en ningún
caso debe considerarse suficiente. La seguridad informática abarca más ámbitos y más niveles de trabajo y
protección.
5. PROXY
Un proxy, o servidor proxy, en una red informática, es un servidor (un programa o sistema informático), que
sirve de intermediario en las peticiones de recursos que realiza un cliente (A) a otro servidor (C). Por
ejemplo, si una hipotética máquina A solicita un recurso a C, lo hará mediante una petición a B, que a su vez
trasladará la petición a C; de esta forma C no sabrá que la petición procedió originalmente de A. Esta
situación estratégica de punto intermedio suele ser aprovechada para soportar una serie de
funcionalidades: control de acceso, registro del tráfico, prohibir cierto tipo de tráfico, mejorar el
rendimiento, mantener el anonimato, proporcionar Caché web, etc; este último sirve para acelerar y mejorar
la experiencia del usuario mediante permisos que guardará la web, esto se debe a que la próxima vez que se
visiten las páginas web no se extraerá información de la web si no que se recuperara información de la
caché.
Un servidor proxy es un equipo que actúa de intermediario entre un explorador web (como Internet Explorer)
e Internet. Los servidores proxy ayudan a mejorar el rendimiento en Internet ya que almacenan una copia de
las páginas web más utilizadas. Cuando un explorador solicita una página web almacenada en la colección
(su caché) del servidor proxy, el servidor proxy la proporciona, lo que resulta más rápido que consultar la
Web. Los servidores proxy también ayudan a mejorar la seguridad, ya que filtran algunos contenidos web y
software malintencionado.
Los servidores proxy se utilizan a menudo en redes de organizaciones y compañías. Normalmente, las
personas que se conectan a Internet desde casa no usan un servidor proxy.
6. FILTRO DE PAQUETES
Un filtro de paquetes es un software que examina la cabecera de los paquetes según van pasando, y decide
la suerte del paquete completo. Podría decidir descartarlo (DROP) (esto es, como si nunca lo hubiera
recibido), aceptarlo (ACCEPT) (dejar que pase), o cosas más complicadas.
En Linux, el filtrado de paquetes está programado en el núcleo (como módulo o como componente estático), y
hay algunas cosas curiosas que podemos hacer con los paquetes, pero aún sigue ahí el principio general de
mirar las cabeceras para decidir la suerte del paquete.
7. ¿PARA QUÉ QUERRÍA UN FILTRO DE
PAQUETES?
CONTROL. SEGURIDAD. VIGILANCIA
8. CONTROL
cuando está usando una máquina Linux para conectar su red interna a otra (por ejemplo, Internet), tiene la
oportunidad de permitir ciertos tipos de tráfico, y restringir otros. Por ejemplo, la cabecera de un paquete
contiene la dirección de destino del paquete, de manera que puede evitar que salgan los que van a cierto
sitio fuera de la red. Otro ejemplo: yo uso le Netscape para acceder a los archivos de Dilbert. Hay anuncios de
doubleclick.net en la página, y Netscape malgasta mi tiempo bajándoselos alegremente. Diciéndole a mi
filtro de paquetes que no permita que ningún paquete vaya de o hacia las direcciones de doubleclick.net
resuelve el problema (hay mejores maneras de hacer esto, sin embargo: vea el Junkbuster).
9. SEGURIDAD
cuando su máquina Linux es lo único entre el caos de Internet y su bonita y ordenada red, es bueno saber que
puede restringir lo que llega aporreando su puerta. Por ejemplo, podríamos permitir todo lo que salga de la
red, pero puede que esté preocupado por el bien conocido «Ping de la Muerte» que puede llegar de gente
maliciosa del exterior. En otro ejemplo, podría ser que no quisiera que la gente de fuera pueda hacer telnet a
su máquina Linux, incluso aunque todas sus cuentas tengan clave. Quizá quiera (como la mayoría) ser un
observador en Internet, y no un servidor (). Simplemente, no quiere dejar que nadie se conecte, haciendo que
el filtro de paquetes rechace los paquetes entrantes que se usan para establecer conexiones.
10. VIGILANCIA
algunas veces, una máquina mal configurada de la red local puede decidir vomitar paquetes al mundo
exterior. Es bueno decirle al filtro de paquetes que le avise si ocurre algo anormal; quizá usted pueda hacer
algo al respecto, o puede que sencillamente sea curioso por naturaleza.
11. ¿CÓMO HAGO EL FILTRADO DE
PAQUETES CON LINUX?
Los núcleos de Linux han tenido capacidades de filtrado de paquetes de desde la serie 1.1. La primera
generación, basada en el ipfw de BSD, fue adaptada por Alan Cox a finales de 1994. Fue mejorada por Jos Vos y
otros para Linux 2.0; la herramienta «ipfwadm», ejecutada en espacio de usuario, controlaba las reglas de
filtrado del núcleo. A mediados de 1998, rehíce en gran medida esa parte del núcleo, con la ayuda de Michael
Neuling, e introduje la herramienta «ipchains». Finalmente, a mediados de 1999 hubo otra reescritura del
núcleo, y la herramienta de cuarta generación, «iptables», para Linux 2.4. Es en esta iptables en la que se
centra este COMO.
12. Neceista un núcelo que contenga la infraestructura netfilter. Netfilter es un área de trabajo general dentro
del núcleo, a la que pueden conectarse otras cosas (como el módulo de iptables). Esto significa que
necesitará un núcleo 2.3.15 o más nuevo, y responder «Y» a CONFIG_NETFILTER en la configuración del núcleo.
La herramienta iptables se comunica con el núcleo y le dice qué paquetes filtrar. A menos que sea
programador, o muy curioso, es ésta la manera en que controlará el filtrado de paquetes.
iptables
La heramienta iptables inserta y elimina reglas de la tabla de filtrado de paquetes del núcleo. Esto significa
que cualquier cosa que establezca, se perderá cuando reinicie; vea Hacer permanentes las reglas para estar
seguro de que serán restauradas la siguiente vez que Linux arranque.
iptables es un sustituto para ipfwadm e ipchains: vea Uso de ipchains e ipfwadm para ver cómo evitar
iptables y evitarse muchos dolores de cabeza si ya estaba usando una de estas otras herramientas.
Hacer permanentes las reglas
La configuración que su cortafuegos tiene en este momento está almacenada en el núcleo, de manera que se
perderá cuando reinicie. En mi lista TODO (Por Hacer) está escribir iptables-save e iptables-restore. Cuando
existan, serán increíbles, lo prometo.
Mientras tanto, escriba las órdenes necesarias para configurar sus reglas en un guión (script) de inicio.
Asegúrese de que hace algo inteligente en el caso de que alguna de las reglas falle (normalmente «exec
/sbin/sulogin»)
14. TCP
Transmission Control Protocol (TCP) o Protocolo de Control de Transmisión, es uno de los protocolos
fundamentales en Internet. Fue creado entre los años 1973 y 1974 por Vint Cerf y Robert Kahn.1
Muchos programas dentro de una red de datos compuesta por redes de computadoras, pueden usar TCP para
crear “conexiones” entre sí a través de las cuales puede enviarse un flujo de datos. El protocolo garantiza
que los datos serán entregados en su destino sin errores y en el mismo orden en que se transmitieron.
También proporciona un mecanismo para distinguir distintas aplicaciones dentro de una misma máquina, a
través del concepto de puerto.
TCP da soporte a muchas de las aplicaciones más populares de Internet (navegadores, intercambio de
ficheros, clientes FTP, etc.) y protocolos de aplicación HTTP, SMTP, SSH y FTP.
15. Objetivos de TCP
Con el uso de protocolo TCP, las aplicaciones pueden comunicarse en forma segura (gracias al de acuse de
recibo -ACK- del protocolo TCP) independientemente de las capas inferiores. Esto significa que los routers
(que funcionan en la capa de Internet) sólo tiene que enviar los datos en forma de datagrama, sin
preocuparse con el monitoreo de datos porque esta función la cumple la capa de transporte (o más
específicamente el protocolo TCP).
Información técnica
TCP es usado en gran parte de las comunicaciones de datos. Por ejemplo, gran parte de las comunicaciones
que tienen lugar en Internet emplean TCP.
Funciones de TCP
En la pila de protocolos TCP/IP, TCP es la capa intermedia entre el protocolo de internet (IP) y la aplicación.
Muchas veces las aplicaciones necesitan que la comunicación a través de la red sea confiable. Para ello se
implementa el protocolo TCP que asegura que los datos que emite el cliente sean recibidos por el servidor
sin errores y en el mismo orden que fueron emitidos, a pesar de trabajar con los servicios de la capa IP, la
cual no es confiable. Es un protocolo orientado a la conexión, ya que el cliente y el servidor deben de
anunciarse y aceptar la conexión antes de comenzar a transmitir los datos a ese usuario que debe recibirlos.
Características del TCP
• Permite colocar los datagramas nuevamente en orden cuando vienen del protocolo IP.
• Permite el monitoreo del flujo de los datos y así evita la saturación de la red.
• Permite que los datos se formen en segmentos de longitud variada para "entregarlos" al protocolo IP.
• Permite multiplexor los datos, es decir, que la información que viene de diferentes fuentes (por ejemplo,
aplicaciones) en la misma línea pueda circular simultáneamente.
16. UDP
User Datagram Protocol (UDP) es un protocolo del nivel de transporte basado en el intercambio de
datagramas (Encapsulado de capa 4 Modelo OSI). Permite el envío de datagramas a través de la red sin que
se haya establecido previamente una conexión, ya que el propio datagrama incorpora suficiente información
de direccionamiento en su cabecera. Tampoco tiene confirmación ni control de flujo, por lo que los paquetes
pueden adelantarse unos a otros; y tampoco se sabe si ha llegado correctamente, ya que no hay
confirmación de entrega o recepción. Su uso principal es para protocolos como DHCP, BOOTP, DNS y demás
protocolos en los que el intercambio de paquetes de la conexión/desconexión son mayores, o no son
rentables con respecto a la información transmitida, así como para la transmisión de audio y vídeo en real,
donde no es posible realizar retransmisiones por los estrictos requisitos de retardo que se tiene en estos
casos.
UDP utiliza puertos para permitir la comunicación entre aplicaciones. El campo de puerto tiene una longitud
de 16 bits, por lo que el rango de valores válidos va de 0 a 65.535. El puerto 0 está reservado, pero es un valor
permitido como puerto origen si el proceso emisor no espera recibir mensajes como respuesta.
Los puertos 1 a 1023 se llaman puertos "bien conocidos" y en sistemas operativos tipo Unix enlazar con uno
de estos puertos requiere acceso como supe usuario.
Los puertos 1024 a 49.151 son puertos registrados.
Los puertos 49.152 a 65.535 son puertos efímeros y son utilizados como puertos temporales, sobre todo por
los clientes al comunicarse con los servidores.
17. La mayoría de las aplicaciones claves de Internet utilizan el protocolo UDP, incluyendo: el Sistema de
Nombres de Dominio (DNS), donde las consultas deben ser rápidas y solo contaran de una sola solicitud,
luego de un paquete único de respuesta, el Protocolo de Administración de Red (SNMP), el Protocolo de
Información de Enrutamiento (RIP) y el Protocolo de Configuración dinámica de host(DHCP).
Las características principales de este protocolo son:
1. Trabaja sin conexión, es decir que no emplea ninguna sincronización entre el origen y el destino.
2. Trabaja con paquetes o datagramas enteros, no con bytes individuales como TCP. Una aplicación que
emplea el protocolo UDP intercambia información en forma de bloques de bytes, de forma que por cada
bloque de bytes enviado de la capa de aplicación a la capa de transporte, se envía un paquete UDP.
3. No es fiable. No emplea control del flujo ni ordena los paquetes.