Your SlideShare is downloading. ×
Criminalística Cibernética
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Criminalística Cibernética

335
views

Published on

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
335
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 1erCursoInternacionaldeCriminalísticaCibernéticaCurso: Criminalística CibernéticaModulo: Informática Forense.DocenteResponsable:Alonso Eduardo Caballero QuezadaPáginaWeb:http://alonsocaballero.informatizate.netCorreoelectrónico:reydes@gmail.comAreadeSistemasdelaCámara de Comercio de la Libertad.BrainBenchCertifiedLinuxAdministration(Advanced)IntegrantedelGrupoPeruanodeSeguridad,Security Wari ProjectsIntegrantedelGrupodeSeguridaddehablahispana RareGaZz Security Team..IntegranteyWebMasterdelPortaldeNoticiasdeTrujillo,NoticiasTrujillo.IntegrantedelGrupoinformatizate.NúmerodeHoras:16HorasAcadémicas.Trujillo – Perú / 2005
  • 2. 1. Definiciones básicas1.1 Sistemas Operativos:Un sistema operativo (SO) es un conjunto de programas o software destinado apermitir la comunicación del usuario con un ordenador y gestionar sus recursos demanera cómoda y eficiente. Comienza a trabajar cuando se enciende elordenador, y gestiona el hardware de la máquina desde los niveles más básicos.Hoy en día un sistema operativo se puede encontrar normalmente enordenadores o productos electrónicos como teléfonos móviles.a. DOSDOS es una familia de sistemas operativos para PC. El nombre son las siglas deDisk Operating System ( sistema operativo de disco). Fue creado originalmentepara computadoras de la familia IBM PC, que utilizaban los procesadores Intel8086/8088 de 16 bits, siendo el primer sistema operativo popular para estaplataforma. Tenía una interfaz de línea de comandos vía su intérprete decomandos, command.com.Existen varias versiones de DOS. El más conocido de ellos es el MS-DOS, deMicrosoft (de ahí las iniciales MS). Otros sistemas son el PC-DOS, DR-DOS y,más recientemente, el FreeDOS.Con la aparición de los sistemas gráficos del tipo Windows, el DOS ha idoquedando relegado a un segundo plano.-MSDOS es un sistema operativo de Microsoft perteneciente a la familia DOS.Fue un sistema operativo para el IBM PC que alcanzó gran difusión.MS-DOS significa MicroSoft Disk Operating System (Sistema operativo de discoMicroSoft), antiguamente Microsoft se escribía separado por un guión("MicroSoft"). Al principio el MS-DOS se almacenaba en un único diskette.- Características: El DOS carece por completo de interfaz gráfica, y no utiliza elratón. Era incapaz de detectar el hardware (no existía el Plug-and-play), por lo quetodo debía ser configurado manualmente.No era ni multiusuario ni multitarea. No podía trabajar con discos duros muygrandes. Originalmente, por limitaciones del software, no podía manejar más de64KB de memoria RAM. Poco a poco, con las mejoras en la arquitectura de losPCs, llegó primero a manejar 640KB (la llamada "memoria convencional"), y luegohasta 1 MegaByte (agregando a la memoria convencional la "memoria superior" o
  • 3. UMB). Más tarde, aparecieron mecanismos como la memoria extendida (XMS) y lamemoria expandida (EMS), que permitían ya manejar varios megabytes.Desde el punto de vista de los programadores, este sistema operativo permitía uncontrol total del ordenador, libre de las capas de abstracción y medidas deseguridad a las que obligan los sistemas multiusuario y multitarea. Así, hasta laaparición del DirectX, y con el fin de aprovechar al máximo el hardware, la mayoríade los videojuegos para PC funcionaban bajo DOS.La necesidad de mantener la compatibilidad con programas antiguos, hacía cadavez más difícil programar para DOS, debido a que la memoria estaba segmentada,es decir, la memoria apuntada por un puntero tenía como máximo el tamaño de unsegmento de 64KB. Para superar estas limitaciones del modo real de losprocesadores x86, se recurría al modo protegido de los procesadores posteriores(80386, 80486...), utilizando programas extensores que hacían funcionarprogramas de 32 bits sobre DOS.b. GNU/Linux:GNU/Linux es la denominación defendida por Richard Stallman y otros para elsistema operativo que utiliza el kernel Linux en conjunto con las aplicaciones desistema creadas por el proyecto GNU. Comúnmente este sistema operativo esdenominado simplemente Linux.Desde 1984, Richard Stallman y voluntarios están intentando crear un sistemaoperativo libre con un funcionamiento similar al UNIX, recreando todos loscomponentes necesarios para tener un sistema operativo funcional que seconvertiría en el sistema operativo GNU. En el comienzo de los años 1990,después de seis años, GNU tenía muchas herramientas importantes listas, comocompiladores, depuradores, intérpretes de comando etc, excepto por elcomponente central: el núcleo. Con el surgimiento del kernel Linux, esta lagunafue llenada y surgió el sistema operativo con el kernel Linux en conjunto con lasherramientas GNU. De esta manera, Stallman juzga que este sistema operativo esuna "versión modificada" del sistema GNU y por lo tanto debe tener ladenominación GNU/Linux. Esta denominación resolvería la confusión entre elnúcleo y el sistema operativo completo a que puede llevar, y de hecho ha llevado,la denominación Linux en solitario. Stallman también espera que con el aporte delnombre GNU, se dé al proyecto GNU que él encabeza el reconocimiento quemerece por haber creado las aplicaciones de sistema imprescindibles para ser unsistema operativo compatible con UNIX. Es conocida la cita de Richard Stallman:«Its GNU/Linux, dammit!» («¡Es GNU/Linux, maldita sea!»).Richard Stallman ha reconocido que desde que existe Linux el desarrollo de unnúcleo específico del proyecto GNU (el Hurd) ya no es prioritario. Esto explica que
  • 4. después de dos décadas desde el anuncio del proyecto GNU, un sistemaúnicamente GNU no esté acabado.Algunas distribuciones apoyan esta denominación, e incluyen GNU/Linux en susnombres, tal es el caso de Debian GNU/Linux o GNU/LinEx. En el proyecto Debiantambién existe Debian GNU/Hurd y Debian GNU/BSD que combinan lasaplicaciones de sistema de GNU con esos núcleos.En ocasiones, el proyecto KDE ha utilizado una tercera denominación:GNU/Linux/X para enfatizar los tres proyectos sobre los que se apoya su entornode escritorio.Algunos sectores de la comunidad de usuarios del sistema operativo hanrechazado la denominación GNU/Linux por varias razones, entre ellas que ya sehabía empezado a denominar Linux al sistema operativo antes de que RichardStallman promocionase esta denominación. Otras personas se oponen a lapostura ideológica de Stallman radicalmente en contra del software no libre y porello son contrarios al uso de este nombre para evitar la promoción de las ideas delfundador del proyecto GNU. Otros sectores de la comunidad han reconocido laconveniencia de este nombre.Hay que señalar que, al igual que es una simplificación denominar al sistema queusa el usuario final Linux, obviando las aplicaciones GNU que completan elsistema operativo, el conjunto linux+GNU representa solamente una parte (aunqueimportante) del software encontrado en una distribución Linux. Existe una grancantidad de software original del sistema operativo BSD o producidoindependientemente de los proyectos GNU y Linux por otras personas uorganizaciones, como por ejemplo Apache, el X Window System, Samba, KDE,OpenOffice.org y miles de otros.- Distribuciones: Una distribución Linux, o distribución GNU/Linux (abreviada confrecuencia distro) es un conjunto de aplicaciones reunidas por un grupo, empresao persona para permitir instalar fácilmente un sistema Linux (también llamadoGNU/Linux). Son sabores de Linux que, en general, se destacan por lasherramientas para configuración y sistemas de paquetes de software a instalar.Existen numerosas distribuciones Linux. Cada una de ellas puede incluir cualquiernúmero de software adicional (libre o no), como algunos que facilitan la instalacióndel sistema y una enorme variedad de aplicaciones, entre ellos, entornos gráficos,suites ofimáticas, servidores web, servidores de correo, servidores FTP, etcétera.La base de cada distribución incluye el núcleo Linux, con las bibliotecas yherramientas del proyecto GNU y de muchos otros proyectos/grupos de software,como BSD.Usualmente se utiliza la plataforma XFree86 o la Xorg para sostener interfacesgráficas (esta última es un fork de XFree86, surgido a raíz del cambio de licencia
  • 5. que este proyecto sufrió en la versión 4.4 y que lo hacía incompatible con laGPL).servidores web, servidores de correo, servidores FTP, etcétera.La base de cada distribución incluye el núcleo Linux, con las bibliotecas yherramientas del proyecto GNU y de muchos otros proyectos/grupos de software,como BSD.Usualmente se utiliza la plataforma XFree86 o la Xorg para sostener interfacesgráficas (esta última es un fork de XFree86, surgido a raíz del cambio de licenciaque este proyecto sufrió en la versión 4.4 y que lo hacía incompatible con la GPL).Interfaz de Comandos GNU/Linux Entorno visual en GNU/Linuxc. Windows:Microsoft Windows es el nombre de una familia de sistemas operativos no libresdesarrollados por la empresa de software Microsoft Corporation. Todos ellostienen en común el estar basados en una interfaz gráfica de usuario basada en elparadigma de ventanas (de ahí su nombre en inglés). Las versiones de Windowsque existen hasta el momento se basan en dos líneas separadas de desarrolloque finalmente convergen en una sola con la llegada de Windows XP.Versiones basadas en MS DOSLa primera de esas líneas conformaba la apariencia de un Sistema Operativo,aunque realmente requerían otro sobre el que ejecutarse (MS DOS). Todos losSistemas Operativos, desde Windows 1.0 a Windows ME necesitaban tener MSDOS instalado, aunque desde la aparición de Windows 95, podía instalarseWindows sobre un disco duro vacío, ya que durante su propia instalación, se
  • 6. instalaba además una versión reducida de MS DOS. La arquitectura de Windowscomenzó siendo de 16 bits, hasta Windows 95, donde pasó a funcionar bajo unaarquitectura de 32 bits, aunque manteniendo bastantes módulos de 16 bits porrazones de compatibilidad.Windows 1.x 3.x, 95, 98, MEVersiones basadas en NT (Network Technology)La segunda linea de desarrollo (NT) se basaba en emplear desde el origen unsistema operativo en modo gráfico y con una arquitectura de 32 bits. Éste SistemaOperativo no requiere tener instalado ningún otro previamente. Incluye en todassus versiones, un emulador de consola en modo texto. A modo de anécdota,Windows NT 4.0, en origen no era compatible con tarjetas gráficas AGP. Requeríala instalación de un Service Pack o conjunto de parches (de la versión 3 enadelante), que permitian su detección y la instalación de sus controladores.Windows NT 3.x, 4. 2000, XP, Server 2003Pantalla de un Windows 3.11 Pantalla de un Windows XPd. Macintosh:Apple Macintosh (abreviado Mac) es el nombre de una serie de ordenadoresfabricados y comercializados por Apple Computer desde 1984. Apple autorizó aotras compañías, como Motorola, Umax o PowerComputing para la fabricación declones Macintosh en los 90, aunque en la actualidad sólo Apple comercializaordenadores Macintosh.Los primeros Macintosh estaban basados en los microprocesadores de la familia68000 de Motorola, de tecnología CISC. En Marzo de 1994, Apple introdujo en lagama Macintosh los chips PowerPC del Consorcio Apple/IBM/Motorola, que
  • 7. suponían el cambio a la tecnología RISC. Desde la introducción de los Power MacG5 en Junio de 2003, utilizan el PowerPC de IBM.Los Apple Macintosh son comercializados con el sistema operativo Mac OS X, consoporte integrado para el sistema operativo anterior: Mac OS 9, pero también esposible instalar en ellos Linux, NetBSD ó Darwin, entre otros.Pantalla de un Mace. Novell Netware:Novell NetWare está en el mercado desde 1983, el mismo año en que IBMintrodujo la computadora personal IBM XT y el DOS 2.0 para IBM PC. Cada unode estos productos implantó estándares. El IBM XT fue la primera computadora deIBM que incorporaba un disco fijo, mientras que el DOS 2.0 para el IBM PC fue elprimer sistema operativo de disco que controlaba discos fijos sin complementosespeciales. Ambos generaron un sistema de estándares para el crecimiento de losPC hacia entornos y aplicaciones más sofisticadas basadas en ellos. NetWare ibaa convertirse en el sistema operativo en red a elegir para estos equipos.Novell desarrolló originalmente NetWare para ejecutarse en un servidor basado enel microprocesador Motorola MC68000 usando configuración de red Novell S-Net.La presentación del XT de IBM y la versión 2 del DOS hizo ver a muchasempresas, entre ellas Novell, la oportunidad de desarrollo del producto. Como elcódigo de NetWare estaba escrito en C, que es un lenguaje de los denominados"portables", Novell pudo trasladar parte del código del NetWare existente al nuevoequipo.Como es sabido, el entorno DOS/Intel 8088 no es el mejor para ejecutaraplicaciones multiusuario, especialmente un sistema operativo multiusuario como
  • 8. NetWare. El BIOS (sistema básico de entradas/salidas), desarrollado para el PCoriginal (y necesario con el DOS), está diseñado para monousuario. Novell tomó laimportante decisión de dejar de lado completamente este sistema de E/S y crearun sistema operativo que funcionase de forma más efectiva en modo multiusuario.Debido a esto, NetWare se escribió específicamente para el hardware de lossistemas basados en el 8088, sin tener en cuenta el DOS y su sistema de E/S.Esta estrategia fue la que marcó la buena estrella de Novell desde entonces. Otrasempresas que han desarrollado sus sistemas operativos de red para funcionarbajo DOS han sufrido sus limitaciones.Las dificultades de Novell estribaron en la necesidad de escribir y actualizarconstantemente los controladores para ofrecer compatibilidad con el DOS a losusarios. Estos problemas fueron solventados rápidamente usando un shell paraDOS en las estaciones de trabajo. El shell es un interfaz software que permite alos usuarios de las estaciones trabajar con el DOS de forma normal, ejecutandotambién órdenes NetWare. El shell intercepta las órdenes de la red y las dirige alservidor. Casi todas las aplicaciones del DOS se pueden ejecutar en el sistemaoperativo NetWare, gracias a su shell para DOS. Además, NetWare incluyeprogramas para seguridad y tolerancia a fallos que son imposibles de preparar enla de estructura de archivos del DOS, marcando un nivel claramente superior.Mientras tanto, Novell siguió mejorando NetWare al ritmo de los avances tecnoló-gicos. NetWare 286 funciona en modo protegido del procesador 80286, el más efi-ciente. En 1989, Novell presentó NetWare 386, el primer sistema operativo queaprovechaba al máximo las ventajas del microprocesador Intel 80386. El 80386 esespecialmente adaptable a entornos multiusuario, como las redes.Pantalla de Novell Netware
  • 9. 1.2 Sistemas de Archivos:Un sistema de archivos consta de tipos de datos abstractos, que son necesariospara el almacenamiento, organización jerárquica, manipulación, navegación,acceso y consulta de datos.La mayoría de los sistemas operativos poseen su propio sistema de archivos. Lossistemas de archivos son representados ya sea textual o gráficamente utilizandogestores de archivos o shells. En modo gráfico a menudo son utilizadas lasmetáforas de carpetas (directorios) conteniendo documentos, archivos y otrascarpetas. Un sistema de archivos es parte integral de un sistema operativomoderno.Los sistemas de archivos más comunes utilizan dispositivos de almacenamientode datos que permiten el acceso a los datos como una cadena de bloques de unmismo tamaño, a veces llamados sectores, usualmente de 512 bytes de longitud.El software del sistema de archivos es responsable de la organización de estossectores en archivos y directorios y mantiene un registro de qué sectorespertenecen a qué archivos y cuáles no han sido utilizados. En la realidad, unsistema de archivos no requiere necesariamente de un dispositivo dealmacenamiento de datos, sino que puede ser utilizado también para acceder adatos generados dinámicamente, como los recibidos a través de una conexión dered.Generalmente un sistema de archivos tiene directorios que asocian nombres dearchivos con archivos, usualmente conectando el nombre de archivo a un índiceen una tabla de asignación archivos de algún tipo, como FAT en sistemas dearchivos MS-DOS o los inodos de los sistemas Unix. La estructura de directoriospuede ser plana o jerárquica (ramificada o "en árbol"). En algunos sistemas dearchivos los nombres de archivos son estructurados, con sintaxis especiales paraextensiones de archivos y números de versión. En otros, los nombres de archivosson simplemente cadenas de texto y los metadatos de cada archivo son alojadosseparadamente.En sistemas de archivos jerárquicos, en lo usual, se declara la ubicación precisade un archivo con una cadena de texto llamada "ruta". La nomenclatura para rutasvaría ligeramente de sistema en sistema, pero mantienen por lo general unamisma estructura. Una ruta viene dada por una sucesión de nombres dedirectorios y subdirectorios, ordenados jerárquicamente de izquierda a derecha yseparados por algún caracter especial que suele ser una barra (/) o barrainvertida () y puede terminar en el nombre de un archivo presente en la últimarama de directorios especificada.
  • 10. Los sistemas de archivos tradicionales proveen métodos para crear, mover yeliminar tanto archivos como directorios, pero carecen de métodos para crear, porejemplo, enlaces adicionales a un directorio o archivo (enlaces "duros" en Unix) orenombrar enlaces padres (".." en Unix).El acceso seguro a sistemas de archivos básicos puede estar basado en losesquemas de lista de control de acceso o capacidades. Las listas de control deacceso hace décadas que demostraron ser inseguras, por lo que los sistemasoperativos experimentales utilizan el acceso por capacidades. Los sistemasoperativos comerciales aún funcionan con listas de control de acceso.Sistemas de Archivos populares:a. FAT:(File Allocation Table o "tabla de ubicación de archivos") es el principal sistema dearchivos desarrollado para MS-DOS y Windows. El sistema de archivos FAT esrelativamente sencillo, y debido a eso es muy popular como formato paradisquetes. Adicionalmente, el formato FAT es soportado por casi todos lossistemas operativos para IBM PCs, y debido a esto a menudo se lo utiliza paracompartir información entre diversos sistemas operativos.FAT es un sistema de archivos relativamente anticuado, y debido a esto sufre devarios problemas. Para comenzar, su distribución de archivos simple permite lafragmentación, lo que produce eventuales pérdidas en el desempeño de operacio-nes sobre archivos. Luego, FAT no fue diseñado para redundancia en caso de fa-llos del sistema. Las primeras versiones de FAT permitían nombres de archivo dehasta 8+3 caracteres (8 para el nombre y 3 para la extensión) , aunque esto fuesolucionado por Microsoft al inventar VFAT, el cual permite nombres de hasta 255caracteres. Finalmente, los sistemas de archivos FAT no permiten directivas deseguridad, garantizando el acceso a todos los archivos de una partición por cual-quier usuario del sistema operativo.FAT12A la versión inicial de FAT se le nombra ahora como FAT12. Como sistema dearchivos para disquetes, tiene varias limitaciones: no tiene soportes paradirectorios, las direcciones de clúster tenían una longitud de "sólo" 12 bits (quehacía que el código que manipulaba el FAT fuera un poco delicado) y el tamañodel disco era almacenado como una cuenta de 16 bits de sectores , lo que limitabael tamaño a 32MB.
  • 11. FAT16FAT16 es una versión del sistema de archivos FAT que soporta hasta 65.535unidades de asignación (direccionables con 16 bits, de ahí el nombre) de hasta 32KB cada una. De todas las unidades de asignación, 18 están reservadas para elsistema. Por lo tanto, el tamaño máximo de una partición que use FAT16 es deunos 2 GB (65.535-18 x 32 KB).Estructura de un Volumen FAT16
  • 12. FAT32FAT32 es una versión del sistema de archivos FAT que maneja en teoría hasta4.294.967.296 unidades de asignación (direccionables con 32 bits, de ahí elnombre) de hasta 32 KB cada una. De estos 32 bits de direccionamiento solo seusan 28 (268.435.456 unidades de asignación) y 18 de éstas están reservadaspara el sistema. Por lo tanto, el tamaño máximo teórico de una partición que useFAT32 es de unos 8 TB (268.435.456-18 x 32 KB). Pero por problemas en eldiseño, algunas de las utilidades de Microsoft para el trabajo con FAT32 estánlimitadas a 4.177.920 unidades de asignación, lo que hace que en la práctica solose puedan crear particiones de unos 124 GB.Estructura de un Volumen FAT32b. NTFS:NTFS (siglas en inglés de New Technology File System) es un sistema dearchivos diseñado específicamente para Windows NT, con el objetivo de crear unsistema de archivos eficiente, robusto y con seguridad incorporada desde su base.También soporta compresión nativa de ficheros y encriptación (esto último sólo apartir de Windows 2000).NTFS permite definir el tamaño del cluster, a partir de 512 bytes (tamaño mínimode un sector) de forma independiente al tamaño de la partición.Es un sistema adecuado para las particiones de gran tamaño requeridas enestaciones de trabajo de alto rendimiento y servidores. Puede manejar discos dehasta 2 Terabytes.Los inconvenientes que plantea son:* Necesita para si mismo una buena cantidad de espacio en disco duro por lo queno es recomendable su uso en discos menores de 400 MB.* No es compatible con MS-DOS, Windows 95 ni Windows 98.
  • 13. * La conversión a NTFS es unidireccional. Si elige actualizar la unidad, no podrávolver a convertirla a FAT.GNU/Linux sólo tiene soporte de lectura para este sistema de ficheros, y deescritura experimental, aunque no se suele activar por defecto. Existe unaalternativa Captive-NTFS, que usa las librerías propietarias de Windows NT paratener acceso completo a NTFS.Compatibilidad de Sistemas de Archivos con NTFS y FATc. EXT2:EXT2 (second extended filesystem o "segundo sistema de archivos extendido")fue el sistema de archivos estándar en el sistema operativo Linux por varios añosy continúa siendo ampliamente utilizado. Fue diseñado originalmente por RémyCard. La principal desventaja de EXT2 es que no posee una bitácora, por lo quemuchos de sus usuarios están emigrando a ReiserFS y su sucesor EXT3.Conceptos Básicos:Cada Sistema de archivos en Linux implementa un conjunto básico de conceptoscomunes derivados del sistema operativo UNIX, los archivos son representadospor “inodos”, directorios son simplemente archivos conteniendo una lista deentradas y los dispositivos puede acceder mediante peticiones de E/S en archivosespeciales.Inodos: Cada archivo es representado por una estructura, llamada un inodo, cadainodo contiene la descripción de un archivo: tipo de archivo, permisos de acceso,propietarios, fecha, puntero a bloque de datos. Las direcciones de bloques dedatos localizados en un archivo son almacenados en su inodo. Cuando un usuariohace una operación de E/S a un archivo, el código del kernel convierte eldesplazamiento actual a un numero de bloque, usando este numero como uníndice en la Tabla de direcciones de bloques y lee o escribe en el bloque físico. Lasiguiente figura representa la estructura de un inodo.
  • 14. Estructura de un inodo-Directorios: Directorios son estructurados en un árbol jerárquico. Cada directoriopuede contener archivos y subdirectorios. Son implementados como un tipoespecial de archivos. Actualmente, un directorio es un archivo conteniendo unalista de entradas. Cada entrada contiene un numero de inodo y un nombre dearchivo. Cuando un proceso usa una ruta, el código del kernel busca en sudirectorio para encontrar el numero de inodo correspondiente. Después el nombretiene que ser convertido a un numero de inodo, el inodo es cargado en memoria yes usado para futuras peticiones.Representación de un Directorio-Enlaces: El sistema de archivos UNIX implementa el concepto de enlace, Muchosnombres pueden ser asociados con un inodo. El inodo contiene un campoconteniendo el numero asociado con el archivo. Añadir un enlace simplementeconsiste en crear una entrada en el directorio, donde numero de inodo apunta alinodo, e incrementando la cuenta de enlaces en el inodo. Cuando un enlace esborrado; cuando se usa el comando “rm” para remover un archivo; el kernel
  • 15. decrementa la cuenta de enlaces y desaloja el inodo, si la cuenta se convierte encero.Este tipo de enlaces es llamado un enlace duro y puede ser usado dentro un solosistema de archivos; es imposible crear un enlace duro entre sistemas de archivosdiferentes. Enlaces duros solo pueden apuntar a archivos: un enlace duro adirectorio no puede ser creado para prevenir la aparición de un ciclo en el árbol dedirectorios.Otro tipo de enlaces existe en la mayoría de archivos de sistemas UNIX. Enlacessimbólicos son simplemente archivos que contienen un nombre de archivo.Cuando el kernel encuentra un enlace simbólico durante una ruta a unaconversión de inodo, este reemplaza el nombre del enlace por su contenido; porejemplo; el nombre de un archivo, es decir, el nombre del archivo objetivo, yreinicia la interpretación de la ruta. Dado que un enlace simbólico no apunta a uninodo, es posible crear enlaces simbólicos entre sistemas de archivos diferentes.Enlaces simbólicos pueden apuntar a cualquier tipo de archivo, hasta archivos queno existen. Enlaces simbólicos son muy útiles porque no tienen limitacionesasociadas a los enlaces duros. Sin embargo usan el mismo espacio de disco,localizado por sus inodos y sus bloques de datos, y causa un overhead en la rutahasta la conversión de inodo porque el kernel reinicia la interpretación del nombrecuando este encuentra un enlace simbólico.-Archivos Especiales de Dispositivos: En los sistemas similares a UNIX, losdispositivos se pueden acceder mediante archivos especiales. Un Archivo deDispositivo no utiliza espacio en el sistema de archivos. Y tiene solo un punto deacceso al controlador del dispositivo. Dos tipos de archivos especiales existen:archivos especiales de carácter y bloque. El primero permite operaciones de E/Sen modo carácter mientras que el ultimo requiere que los datos sean escrito enbloques mediante funciones de un buffer de cache. Cuando una petición de E/S esrealizada sobre un archivo especial, este es redireccionado a un (pseudo)controlador de dispositivo. Un archivo especial es referido por un numero mayor, elcual identifica el tipo de dispositivo, y un numero menor, el cual identifica la unida.d. EXT3:EXT3 (third extended filesystem o "tercer sistema de archivos extendido") es unsistema de archivos con registro por diario (en inglés journaling), es un sistema dearchivo de registro por diario, por el solo hecho de tener un "espacio apartado parael buffer de journaling". este sistema el cual se encuentra creciendo enpopularidad entre usuarios del sistema operativo Linux. A pesar de su menordesempeño y escalabilidad frente a alternativas como ReiserFS o XFS, posee laventaja de permitir migrar del sistema de archivos EXT2 sin necesidad dereformatear el disco.
  • 16. La única diferencia entre EXT2 y EXT3 es el registro por diario. Un sistema dearchivos EXT3 puede ser montado y usado como un sistema de archivos EXT2.Provee escalabilidad en el tamaño del sistema de archivos del disco Nos permitehacer mas y mas grandes sistemas de archivos sin tener la penalidad del sistemade archivos del disco La meta principal es proveer una funcionalidad plena en unasola pieza Otra de las metas es proveer total, absoluta y completa combatibilidadbackward y forward entre EXT2 y EXT3.Otra diferencia también importante, es que EXT3 utiliza un arbol binariobalanceado (AVL)e. ISO 9660 (sistema de archivos de solo lectura para CD-ROM)El estándar ISO 9660 es una norma publicada inicialmente en 1986 por la ISO,que especifica el formato para el almacenaje de archivos en los soportes de tipodisco compacto. El estándar ISO 9660 define un sistema de archivos para CD-ROM. Su propósito es que tales medios sean leíbles por diferentes sistemasoperativos, de diferentes proveedores y en diferentes plataformas, por ejemplo,MS-DOS, Microsoft Windows, Mac OS y UNIX.La norma ISO 9660 es descendiente directa de un esfuerzo de estandarizaciónmás temprano llamado HSG (acrónimo de High Sierra Group), el cual fuepropuesto por un conjunto de actores de la industria que se reunieron en 1985 enel hotel High Sierra, de Lake Tahoe, Nevada. Aunque la ISO aceptó una granmayoría de las propuestas del HSG, existen algunas diferencias menores.
  • 17. 1.5 Redes de Computadoras:HistoriaEl concepto de trabajo en redes es probablemente tan antiguo como lo es el de lastelecomunicaciones. Imagínese por un momento, gente viviendo en la Edad dePiedra, en donde los individuos usen tambores para transmitirse mensajes.Supóngase que un hombre de las cavernas A quiere invitar a otro hombre B a unapartida de choques de piedra. Lamentablemente viven tan distantes, que a B lesería imposible escuchar el tambor de A cuando éste lo llame. ¿Qué puede hacerA para remediar esto? Él podría 1) ir caminando al sitio de B, 2) conseguir untambor más grande, o 3) pedirle a C, quien vive a mitad de camino que reenvíe elmensaje. La tercera elección es denominada Trabajo en Redes.Por supuesto, la humanidad ha avanzado un poco desde la la Edad de Piedra; yano se usan aquellos primitivos artefactos ni tenemos los mismos inconvenientesque nuestros antepasados. En la actualidad, contamos con computadoras quehablan con otras sobre una colección de cables, fibra óptica, microondas, etc. tangrande como para llenar el estadio en el partido de fútbol de los sábados. Acontinuación, se hará referencia a los conceptos y métodos que son utilizadospara llevar a cabo todo esto. Sin embargo, dejaremos de lado tanto el tema de loscables, como la parte del fútbol.En esta guía se describirán tres tipos de redes. Sin embargo, se discutirá másprofundamente TCP/IP puesto que es el protocolo más usado, ya sea en RedesLocales (Local Area Networks, LANs), o en Redes de Área Amplia (Wide AreaNetworks, WANs), como por ejemplo, Internet. También se echará un vistazo aUUCP e IPX. UUCP fue antiguamente el medio general para transportar lasnoticias y los mensajes de correo, mediante una conexión telefónica. Es menosusado en estos días, pero sigue siendo útil en muchas situaciones. El protocoloIPX es usado más frecuentemente en los entornos Novell NetWare, y se detallarácómo usarlo para conectar una máquina GNU/Linux a una red Novell. Cada unode estos protocolos de red son usados para transportar datos entre computadoras.Se discutirá aquí cómo son usados y se hará una introducción a sus principiosfundamentales.Se define una red, como una colección de nodos (del inglés hosts), capaces decomunicarse entre sí, a veces confiando en los servicios de un númerodeterminado de máquinas que se encargan de transmitir datos entre quienes quelo demanden. Los nodos son casi siempre computadoras, pero nonecesariamente; se puede pensar, sin equivocación, en terminales X o impresorasinteligentes como nodos. Por otro lado, a las pequeñas aglomeraciones de éstos,se las denomina sitios, (sites).La comunicación, sería imposible sin algún tipo de lenguaje o código. En la jergade las redes de computadoras, estos lenguajes se denominan conjuntamentecomo protocolos. No obstante, no se debería pensar aquí en lenguajes ya escritos
  • 18. y definidos, sino más bien en el código de comportamiento altamente formalizado,que se observa en una población cuando se reúnen jefes de estado, por citar unejemplo. Así, los protocolos usados en las redes de computadoras no son másque reglas muy estrictas de intercambio de mensajes entre dos o más servidores.Redes TCP/IPLas aplicaciones modernas para trabajo en redes requieren de un sofisticado mé-todo de transporte desde una máquina a otra. Si usted administra una máquinaGNU/Linux que posea muchos usuarios, los cuales desean estar conectados si-multáneamente a un servidor remoto o a una red, necesitará un modo de accesopara que puedan compartir la conexión a la red, sin que las acciones de cada unointerfieran con las de los demás. La estrategia que un gran número de protocolosde red utilizan hoy día se llama conmutación de paquetes, (packet-switching). Unpaquete es nada más que un pequeño trozo de datos que se transfiere de una má-quina a otra a través de una red. Esta transferencia ocurre a medida que el data-grama es transmitido a través de cada enlace en la red. Una red de conmutaciónde paquetes comparte un único enlace con muchos usuarios, enviando los paque-tes alternadamente, desde un usuario a otro, a través de ese enlace.La solución que muchos sistemas Unix, (y posteriormente muchas otrasplataformas), han adoptado, se conoce como TCP/IP. Cuando se habla de redesTCP/IP, siempre estará presente el término datagrama. Técnicamente, estetérmino tiene un significado especial, pero es a menudo usado de formaintercambiable con paquete. En la siguiente sección, se echará un vistazo a losconceptos fundamentales de los protocolos TCP/IP.EthernetsEl tipo de hardware más utilizado en LANs es lo que comúnmente conocemoscomo Ethernet. Descrito de una forma simple, consta de un solo cable con losnodos unidos a él a través de conectores, clavijas o transceptores. Losadaptadores Ethernet simples, son relativamente baratos de instalar, lo que unidoa un flujo de transferencia neto de 10, 100 o hasta 1,000 Mega bits por segundo,avala gran parte de su popularidad.Las redes Ethernet se pueden clasificar en tres tipos atendiendo al grosor delcable: gruesos, finos, y de par trenzado. Los dos primeros pueden usar cablecoaxial, difiriendo en el grosor y el modo de conectar este cable a los nodos. Elcable Ethernet fino emplea conectores “BNC” con forma de T, que se pinchan enel cable y se enganchan a los conectores de la parte trasera del ordenador. Elcable Ethernet grueso requiere que se realice un pequeño agujero en el cable, yse conecte un transceptor utilizando un “conector vampiro” Luego, se podránconectar uno o más nodos al transceptor. Los cables Ethernet fino y gruesopueden alcanzar una distancia de 200 y 500 metros, respectivamente, y es por elloque se les llama también 10base-2 y 10base-5. La palabra “base” hace referencia
  • 19. a “modulación de banda base” y significa, simplemente, que los datos quealimentan al cable, fluyen directamente sin pasar por un módem. El número que seencuentra delante de la palabra alude a la velocidad de transmisión, en Mega bitspor segundo, mientras que el número al final indica la máxima longitud que se lepuede dar al cable, en cientos de metros. El par trenzado usa un cable hecho dedos hilos de cobre. Por lo común necesitan, además, hardware adicional que seconoce como Núcleo Activo. A este Ethernet se le conoce también como 10base-T, en donde “T” significa de par trenzado. Los pares trenzados con velocidad de100 Mega bits por segundo son conocidos como 100base-T.Para agregar un nodo a una instalación Ethernet fina se deberá suspender elservicio de la red por al menos unos minutos, ya que se deberá cortar el cablepara insertar un conector. A pesar de que, por otro lado, agregar un nodo a unsistema Ethernet grueso es un poco complicado no hará, por lo general, que elservicio de la red se interrumpa. Un Ethernet de par trenzado es aún más simple.Usa un dispositivo denominado “hub,” que trabaja como un punto deinterconexión. Se pueden insertar y quitar nodos de un núcleo sin interrumpir enabsoluto, a ninguno de los demás usuarios.La mayoría de gente prefiere el Ethernet fino porque es barato: las tarjetas de PCpueden encontrarse por unos 30 dollar; americanos (algunas compañías estánliteralmente, regalándolas), y el cable por pocos centavos el metro. Sin embargo,para instalaciones de gran escala, son más apropiados el Ethernet grueso o el depar trenzado. Por ejemplo, en un principio, el Departamento de Matemáticas de laGMU decidió utilizar el cableado Ethernet grueso, ya que el gran tráfico que poseetoda la red a lo largo de su gran recorrido, no se interrumpe cada vez que seañade un nodo. Actualmente, son muy comunes los cables Ethernet de partrenzado en una gran variedad de instalaciones. Los “hubs” son ahora másaccesibles, y pequeñas unidades están disponibles a precios que son atractivos,incluso para pequeñas redes domésticas. El cable de par trenzado puede sersignificativamente más barato para grandes instalaciones. Además, el mismocable de par trenzado es mucho más flexible que los coaxiales usados por otrossistemas Ethernet. Los administradores de la red en la división de matemáticas deGMU, están planeando reemplazar su sistema por uno de par trenzado el año queviene, ya que, además de ahorrar tiempo a la hora de agregar nuevos nodos, ycambiar de lugar los viejos, también podrán ponerse al día con la tecnologíaactual.Uno de los inconvenientes de la tecnología Ethernet es su limitada longitud decable, que imposibilita cualquier uso fuera de las LANs. Sin embargo, puedenenlazarse varios segmentos de red Ethernet entre sí utilizando repetidores,puentes o encaminadores[2]. Los repetidores simplemente copian las señalesentre dos o más segmentos, de forma que todos los segmentos juntos actúancomo si fuese una única Ethernet. Debido a requisitos de tiempo, no puede habermas de cuatro repetidores entre cualquier par de nodos de la red. Los puentes yencaminadores son más sofisticados, analizan los datos de entrada y los reenvíansólo si el nodo receptor no está en la Ethernet local.
  • 20. Ethernet funciona como un sistema de bus, donde un nodo puede mandarpaquetes (o marcos) de hasta 1500 bytes a otro nodo de la misma Ethernet. Acada nodo se le asigna una dirección de seis bytes grabada en el firmware(memoria fija) de su tarjeta Ethernet. Estas direcciones se especificangeneralmente como una secuencia de números hexadecimales de dos dígitosseparados por dos puntos, como por ejemplo aa:bb:cc:dd:ee:ff.Una trama enviada por una estación es vista por todas las demás estacionesconectadas, pero sólo el nodo destinatario la toma y la procesa. Si dos estacionesintentan emitir al mismo tiempo, se produce lo que se llama una colisión. Unacolisión en un complejo Ethernet, es detectada electrónicamente por las tarjetasde interfaz. Se resuelve por parte de las dos estaciones abortando el envío, yreintentándolo al cabo de un intervalo de tiempo tomado al azar. Seguramente sehan escuchado muchas historias que afirmen que las colisiones en un Ethernetson un problema, y que la verdadera tasa de transmisión de datos en un Ethernet,sólo ocupa un 30 por ciento del ancho de banda disponible debido a ellas. Laverdad es que las colisiones en un sistema Ethernet son un fenómeno natural. Esmás, en un sistema muy activo, no se debería sorprender al ver que las colisionestienen un índice mayor al 30 por ciento. En la práctica, el administrador de una redEthernet sólo debería preocuparse cuando la tasa de transmisión se vea limitada aaproximadamente un 60 por ciento del ancho de banda.[3]El Protocolo IP (Internet Protocol)Por supuesto, el administrador puede no querer que su red esté limitadasolamente a una Ethernet, o a un sólo enlace de datos punto-a-punto.Seguramente la idea original consistirá en poder acceder a un servidor sinimportar el hardware del que dispone. Por ejemplo, en instalaciones grandes comola Universidad de Groucho Marx, se encontrará muy a menudo con varias redesdistanciadas unas de otras, pero conectadas entre ellas de alguna manera. En laGMU, el departamento de matemáticas tiene dos Ethernets: una red de máquinasrápidas para profesores y graduados, y otra con máquinas más lentas paraestudiantes. Ambas redes están enlazadas de la red troncal FDDI del campus.Esta conexión se gestiona con un nodo dedicado, denominado pasarela, ogateway, que maneja los paquetes entrantes y salientes copiándolos entre las dosEthernets y el cable de fibra óptica. Por ejemplo, si se encuentra en elDepartamento de Matemáticas, y quiere acceder a quark situada en la LAN delDepartamento de Físicas, desde su máquina GNU/Linux, el software de red nopuede mandar paquetes a quark directamente, porque no esta en la mismaEthernet. Por tanto, tiene que confiar en la pasarela para que actúe comoretransmisor. La pasarela (llamémosla sophus) reenvía entonces estos paquetes asu pasarela homóloga niels del Departamento de Física, usando la red troncal, ypor fin niels los entrega a la máquina destino. El flujo de datos entre erdos y quarkse muestra en la Figura.
  • 21. Los tres pasos del envío de un datagramaEste esquema de envío de datos al nodo remoto se llama encaminamiento, y eneste contexto a los paquetes se les denomina datagramas. Para facilitar las cosas,el intercambio de datagramas esta gobernado por un único protocolo que esindependiente del hardware utilizado: IP, o Internet Protocol (Protocolo deInternet).El principal beneficio del IP es su cualidad de convertir a redes físicamentediferentes en una red aparentemente homogénea. A esto se le llama interconexiónde redes, y a la resultante “meta-red” se la denomina internet. Obsérvese aquí lasutil diferencia entre una internet y la Internet. El último es el nombre oficial de unainternet global en particular.Claro que el IP también necesita un esquema de direccionamiento independientedel hardware. Esto se consigue asignando a cada nodo un número único de 32bits, denominado dirección IP. Una dirección IP está definida normalmente, por 4números en decimal, uno por cada división de 8 bits, y separados por puntos. Porejemplo, quark podría tener una dirección IP 0x954C0C04, que se escribiría como149.76.12.4. Este formato de dirección, es comúnmente llamado notación decimalde puntos, aunque también puede hacerse referencia a él como notacióncuadrangular de puntos. Sin embargo la denominación de IP, está cambiando delnombre de IPv4, (por Internet Protocol, Version 4), a un nuevo estándar llamadoIPv6 que ofrece mucha más flexibilidad a la hora de direccionar y otras mejorasmodernas. Pasará por lo menos un año tras esta edición, antes de que IPv6empiece a ser usado.Se dará cuenta de que ahora tenemos tres tipos distintos de direcciones: primero,tenemos el nombre del nodo, como por ejemplo quark, después tenemos lasdirecciones IP, y por fin están las direcciones hardware, como la direcciónEthernet de 6 bytes. De alguna forma todas ellas deben relacionarse, de modo
  • 22. que cuando se escriba rlogin quark, se le pueda pasar la dirección IP de quark alsoftware de red; y cuando el nivel IP envíe datos a la Ethernet del Departamentode Físicas, de algún modo tenga cómo encontrar a que dirección Ethernetcorresponde la dirección IP.El Protocolo de Control de Transmisión, TCPPero la historia no se acaba con el envío de datagramas de un nodo a otro. Si seregistra en quark, necesita disponer de una conexión fiable entre su proceso rloginen erdos y el proceso del intérprete de órdenes en quark. Así, la informaciónenviada en uno u otro sentido debe dividirse por paquetes en el origen, y serreensamblada en un flujo de caracteres por el receptor. Esto que parece trivial,implica varias tareas complejas.Una cosa importante a saber sobre IP es que, por sí sólo, no es fiable. Supongaque diez personas de su Ethernet comienzan a transferirse la última versión delcódigo fuente del Navegador web Netscape, usando el servidor FTP de GNU. Lacantidad de tráfico generada por esto podría ser excesiva para la pasarela, por serdemasiado lenta, o tener poca memoria. Si en ese momento Ud. enviara unpaquete a quark, sophus podría tener agotado el espacio del búfer durante uninstante y por tanto no seria capaz de reenviarlo. IP resuelve este problemasimplemente descartando el paquete el cual se pierde irrevocablemente. Estotraslada, por consiguiente, la responsabilidad de comprobar la integridad yexactitud de los datos a los nodos extremos, y su retransmisión en caso de error.De este proceso se encarga otro protocolo: el Protocolo de Control deTransmisión, (TCP, Transmission Control Protocol), que construye un serviciofiable por encima de IP. La propiedad esencial de TCP es que usa IP para dar alusuario la impresión de una conexión simple entre los procesos en su equipo y lamáquina remota, de modo que no tiene que preocuparse de cómo y sobre elrecorrido de los datos a través de la ruta por la que viajan. Una conexión TCPfunciona básicamente como una tubería de doble sentido, en la que ambosprocesos pueden escribir y leer; Se puede usar la analogía de una conversacióntelefónica para comprender el funcionamiento de este protocolo.TCP identifica los extremos de una conexión específica por las direcciones IP delos dos nodos implicados, y el número de los puertos de cada nodo. Los puertosse pueden ver como puntos de enganche para conexiones de red. Para seguirutilizando el ejemplo del teléfono un poco más, si pensamos en una analogía entrelas ciudades como nodos, se puede comparar las direcciones IP con los prefijosde área (los números representarían ciudades), y los números de puerto con loscódigos locales (números que representan teléfonos de personas concretas). Unnodo en particular puede soportar diferentes servicios, cada uno diferenciado porsu propio número de puerto.
  • 23. En el ejemplo con rlogin, la aplicación cliente (rlogin) abre un puerto en erdos y seconecta al puerto 513 de quark, en el cual se sabe que el servidor rlogind estáescuchando. Esto establece una conexión TCP. Usando esta conexión, rloginddesempeña el procedimiento de autorización para luego, generar un servicio deontérprete de órdenes. La entrada y salida estándar de la shell se redirigen a laconexión TCP, de tal forma que cualquier cosa que se teclee a rlogin en nuestramáquina será pasada al flujo TCP para ser luego transmitida a la entrada estándardel intérprete de órdenes.El Protocolo de Datagramas de UsuarioSin embargo, TCP no es el único protocolo de usuario en redes TCP/IP. Aunqueadecuado para aplicaciones como rlogin, la sobrecarga que impone es prohibitivapara aplicaciones como NFS, la cual utiliza un protocolo derivado de TCP llamadoUDP, o User Datagram Protocol (Protocolo de Datagramas de Usuario). De igualmodo que TCP, UDP permite que una aplicación contacte con un servicio en unpuerto concreto de la máquina remota, pero no establece una conexión para ello.En cambio, se puede usar para enviar paquetes sueltos al servicio destino - de ahísu nombre.Supóngase que se ha solicitado una pequeña cantidad de información de unservidor de base de datos. Esto tomará, al menos tres datagramas para establecerla conexión TCP, otros tres para enviar y confirmar la cantidad de datos y otrostres para cerrar la conexión. UDP nos facilita el hacer la mayor parte de todo esto,pero solamente usando dos datagramas. Este protocolo es caracterizado por tenerun método de conexión y desconexión mucho más rápido, y no requiere que elusuario establezca y cierre una conexión. El mecanismo es simple: UDP colocalos datos en un datagrama y lo envía al servidor. Éste realiza un proyecto delreenvío, poniendo los datos dentro de un datagrama direccionado a nuestramáquina, y luego lo transmite. Mientras que este procedimiento es más rápido ymás eficiente que el de TCP para transacciones simples, UDP no fue construidopara tratar con posibles pérdidas de datos. Lidiar con estas dificultades dependeráde la aplicación en cuestión.Más sobre PuertosLos puertos se pueden ver como puntos de anclaje para conexiones de red. Si unaaplicación quiere ofrecer un cierto servicio, se engancha ella misma a un puerto yespera a los clientes (a esto también se le llama escuchar en el puerto). Un clienteque quiera usar este servicio se asigna un puerto libre en su nodo local, y seconecta al puerto del servidor en el nodo remoto. El puerto del servidor podrá serabierto por diferentes máquinas, pero nunca podrán usarlo más de una al mismotiempo.Una propiedad importante de los puertos es que, una vez que se ha establecidouna conexión entre el cliente y el servidor, otra copia del servidor puedeengancharse a su mismo puerto y aguardar a otros clientes. Esto permite, por
  • 24. ejemplo, varios accesos remotos simultáneos al mismo nodo, usando todos ellosel mismo puerto 513. TCP es capaz de distinguir unas conexiones de otras, ya quetodas ellas provienen de diferentes puertos o nodos. Por ejemplo, si accede dosveces a quark desde erdos, el primer cliente rlogin usará el puerto local 1023, y elsegundo el 1022. Sin embargo, ambos se conectarán al mismo puerto 513 dequark. Las dos conexiones se distinguirán según el puerto que cada una use enerdos.Este ejemplo muestra el uso de puertos como puntos de encuentro, donde uncliente se contacta con un puerto específico para obtener un servicio específico.Para que un cliente pueda conectarse al número de puerto correcto, se ha tenidoque llegar a un acuerdo entre los administradores de los dos sistemas para definirla asignación de estos números. Para servicios ampliamente usados, como rlogin,estos números tienen que administrarse de modo universal. Esto lo realiza el IETF(o Internet Engineering Task Force), que regularmente publica un RFC (RequestFor Comment) denominado Assigned Numbers (Números Asignados, RFC-1700).Describe, entre otras cosas, los números de puerto asignados a serviciosreconocidos. GNU/Linux utiliza un archivo para hacer corresponder los nombrescon números, llamado /etc/services.Merece la pena indicar que aunque las conexiones TCP y UDP se basan enpuertos, estos números no entran en conflicto. Esto significa que el puerto TCP513, por ejemplo, es diferente del puerto UDP 513. De hecho, estos puertos sirvencomo puntos de acceso para dos servicios diferentes, como rlogin (TCP) y rwho(UDP).1.4 Internet:Internet es una red de redes a escala mundial de millones de computadorasinterconectadas con el conjunto de protocolos TCP/IP. También se usa estenombre como sustantivo común y por tanto en minúsculas para designar acualquier red de redes que use las mismas tecnologías que la Internet,independientemente de su extensión o de que sea pública o privada.Al contrario de lo que se piensa comúnmente, "Internet" no es sinónimo de WorldWide Web. Ésta es parte de aquella, siendo la World Wide Web uno de losmuchos servicios ofertados en la red Internet. La Web es un sistema deinformación mucho más reciente (1995) que emplea la red Internet como medio detransmisión.Algunos de los servicios disponibles en Internet aparte de la Web son el accesoremoto a otras máquinas (telnet y SSH | ssh), transferencia de archivos (FTP),correo electrónico (SMTP | e-mail), boletines electrónicos (NNTP | news o gruposde noticias), conversaciones en línea (IRC|chat), mensajería instantánea (ICQ,YIM, Jabber), etcétera.
  • 25. Historia de InternetA finales de 1972 se realizó la primera demostración pública de ARPANET, unanueva red de comunicaciones financiada por la DARPA que funcionaba de formadistribuída sobre la red telefónica conmutada. El éxito de esta nueva arquitecturasirvió para que, en 1973, la DARPA iniciara un programa de investigación sobreposibles técnicas para interconectar redes (orientadas al tráfico de paquetes) dedistintas clases. Para este fin, desarrollaron nuevos Protocolo|protocolos decomunicaciones que permitiesen este intercambio de información de forma"transparente" para los ordenadores conectados. De la filosofía del proyecto surgióel nombre de "Internet", que se aplicó al sistema de redes interconectadasmediante los protocolos TCP IP|TCP e IP.El 1 de enero de 1983 ARPANET cambió el protocolo NCP por TCP/IP. Esemismo año, se creó el IAB con el fin de estandarizar el protocolo TCP/IP y deproporcionar recursos de investigación a Internet. Por otra parte, se centró lafunción de asignación de identificadores en la IANA que, más tarde, delegó partede sus funciones en el IR que, a su vez, proporciona servicios a los DNS.En 1986 la NSF comenzó el desarrollo de NSFNET que se convirtió en la principalred troncal de Internet, complementada después con las redes NSINET y ESNET,todas ellas en EE.UU. Paralelamente, otras redes troncales en Europa, tantopúblicas como comerciales, junto con las americanas formaban el esqueletobásico ("backbone") de Internet.A partir de 1989, con la integración de los protocolos OSI en la arquitectura deInternet, se inició la tendencia actual de permitir no sólo la interconexión de redesde estructuras dispares, sino también la de facilitar el uso de distintos protocolosde comunicaciones.El protocolo de transferencia de archivos (FTP o File Transfer Protocol) es elprotocolo estándar en la red para efectuar transferencias de archivos de unservidor a un ordenador o entre ordenadores.En 1989 también, en el CERN de Ginebra, un grupo de Físicos encabezado porTim Berners-Lee, crearon el lenguaje HTML, basado en el SGML. En 1990 elmismo equipo construyó el primer cliente Web, llamado WorldWideWeb (WWW), yel primer servidor web.Actualmente Internet incluye aproximadamente 5000 redes en todo el mundo ymás de 100 protocolos distintos basados en TCP/IP, que se configura como elprotocolo de la red.En algunos países el acceso a Internet está restringido únicamente a entidadesgubernamentales y empresas extranjeras o fuertemente controlado por el estado.
  • 26. Internet2 es un consorcio de universidades estadounidenses y empresastecnológicas con el objetivo de crear nuevos protocolos y aplicaciones quemejoren el rendimiento y la calidad que se consigue en la actual Internet. Losmiembros de Internet2 han creado la Red Abilene con estas tecnologías. Esta reda menudo se denomina de manera informal, Internet2.Uso de Internet en SudAmerica1.5 Informática o Computo Forense:Computo Forense es sobre la evidencia de computadoras la cual es suficienteconfiable para ser presentada en un juzgado. Es un conjunto de técnicasespecializadas que tiene como finalidad la reconstrucción de hechos pasadosbasados en los datos recolectados, para lo cual se procesa la información quepueda ser usada como evidencia en un equipo de cómputoComputo Forense, es refiere como Análisis de Computo forense, Hallazgoelectrónico, Hallazgo de evidencia electrónica, hallazgo digital, Recuperación deDatos, Hallazgo de Datos, Análisis de Computadoras, y examen de computadoras.1.6 El Investigador Forense:El Perito Forense debe ser un experto en su campo, y ante una juzgado puedeser consultado sobre sus logros personales; Educación recibida y grados
  • 27. realizados, entrenamiento profesional recibido, Certificaciones, detalle de suexperiencia, casos en los que haya testificado como experto.1.7 Seguridad Física y Lógica:Seguridad Física:La seguridad física de los sistemas informáticos consiste en la aplicación debarreras físicas y procedimientos de control como medidas de prevención ycontramedidas contra las amenazas a los recursos y la información confidencial.Más claramente, por “seguridad física” podemos entender todos aquellasmecanismos generalmente de prevención y detección destinados a protegerfísicamente cualquier recurso del sistema; estos recursos son desde un simpleteclado hasta una cinta de backup con toda la información que hay en el sistema,pasando por la propia CPU de la máquina.Protección del Hardware:Acceso FísicoDesastres NaturalesDesastres del entornoProtección de Datos:InterceptaciónCopias de Seguridad (backups)Otros elementosSeguridad Lógica:La Seguridad Lógica consiste en la aplicación de barreras y procedimientos queresguardan el acceso a los datos y sólo permiten acceder a ellos a las personasautorizadas para hacerlo.Existe un viejo dicho en la seguridad informática que dicta: "lo que no estápermitido debe estar prohibido" y esto es lo que debe hacer ésta seguridad lógica.Los objetivos para conseguirlo son:Restringir el acceso (de personas de la organización y de las que no lo son) a losprogramas y archivos.Asegurar que los operadores puedan trabajar pero que no puedan modificar losprogramas ni los archivos que no correspondan (sin una supervisión minuciosa).
  • 28. Asegurar que se utilicen los datos, archivos y programas correctos en/y/por elprocedimiento elegido.Asegurar que la información transmitida sea la misma que reciba el destinatario alcual se ha enviado y que no le llegue a otro.Asegurar que existan sistemas y pasos de emergencia alternativos de transmisiónentre diferentes puntos.1.8 Hackers, Crackers, definiciones:- Hacker: (del inglés hack, recortar), también conocidos como white hats(sombreros blancos) o black hats (sombreros negros), según una clasificaciónde sus acciones (según sean solo destructivas o no, etc.). Su entendimientoes más sofisticado y profundo respecto a los Sistemas informáticos, ya sea detipo hardware o software. El término "Hacker" trasciende a los expertosrelacionados con la informática, para también referirse a cualquier profesionalque está en la cúspide de la excelencia en su profesión, ya que en ladescripción más pura, un "Hacker" es aquella persona que le apasiona elconocimiento, descubrir o aprender nuevas cosas y entender elfuncionamiento de éstas. En definitiva, la versión actual del filósofo.- Cracker: El término deriva de la expresión "criminal hacker", y fue creadoalrededor de 1985 por contraposición al termino hacker, en defensa de estosúltimos por el uso incorrecto del término. Se considera que la actividad de estaclase de cracker es dañina e ilegal. También se denomina cracker a quiendiseña o programa cracks informáticos, que sirven para modificar elcomportamiento o ampliar la funcionalidad del software o hardware original alque se aplican, sin que en absoluto pretenda ser dañino para el usuario delmismo.- Phreaker: Un phreaker es una persona que interfiere en los sistemastelefónicos, de forma ilegal, mediante el uso de tecnología para poder obteneralgún tipo de beneficio. El término proviene de las palabrasphone+phreak+hacker (telefono+loco+hacker) y surgió en los Estados Unidosen los años 60. Durante muchos años los phreakers usaron las llamadasboxes, artefactos que provocaban diversas anomalías en la línea telefónica,estos dispositivos se conocen por un color identificativo -blue boxes, blackboxes, beige boxes. En la actualidad, los phreakers tienen también comoblanco a la telefonía móvil y a las tecnologías inalámbricas.- Malware: La palabra malware proviene de una agrupación de las palabrasmalicious software. Este programa o archivo, que es dañino para el ordenador,está diseñado para insertar virus, gusanos, troyanos o spyware intentando
  • 29. conseguir algún objetivo, como podría ser el de recoger información sobre elusuario o sobre el ordenador en sí.Virus: Los virus informáticos utilizan una variedad de portadores. Los blancoscomunes son los archivos ejecutables que son parte de las aplicaciones, losdocumentos que contienen macros, y los sectores de arranque de los discosde 3,1/2 pulgadas.Gusanos (worms): Los gusanos informáticos son similares a los virus, pero losgusanos no dependen de archivos portadores para poder contaminar otrossistemas. Estos pueden modificar el sistema operativo con el fin de autoejecutarse como parte del proceso de inicialización del sistema. Paracontaminar otros sistemas, los gusanos explotan vulnerabilidades del objetivoo utilizan algún tipo de ingeniería social para engañar a los usuarios y poderseejecutar.Caballos de Troya: Un programa caballo de troya es una pieza de softwaredañino disfrazado de software legítimo. Los caballos de troya no son capacesde replicarse por si mismos y pueden ser adjuntados con cualquier tipo desoftware por un programador o puede contaminar a los equipos por medio delengaño. Una puerta trasera es un software que permite el acceso al sistemade la computadora ignorando los procedimientos normales de autenticación.SpyWare: El spyware es todo aquel software que recolecta y envíainformación de los usuarios. Normalmente trabajan y contaminan sistemascomo lo hacen los caballos de troya.1.9 Conceptos de criptografía:La palabra criptografía deriva del griego kryptos (ocultar) y grafos (escribir), lo cualpuede traducirse como escritura oculta, la criptografía es el arte o ciencia de cifrary descifrar información utilizando técnicas que hagan posible el intercambio demensajes de manera que sólo puedan ser leídos por las personas a quienes vandirigidos.La criptografía es la ciencia que estudia la transformación de un determinadomensaje en un código de forma tal que a partir de dicho código solo algunaspersonas sean capaces de recuperar el mensaje original. En general se utilizapara ello una palabra clave o password con la cual se cifra el mensaje, el códigoresultante solamente puede ser descifrado por aquellos que conozcan elpassword.La criptografía es una actividad muy antigua: Ya en la época de los griegos sesupone que existían métodos para codificar los mensajes que se enviaban a lastropas en regiones alejadas, sin embargo, el primer criptosistema del cual setienen pruebas de su existencia fue utilizado en la época del imperio romano y se
  • 30. llamaba CAESAR el sistema era utilizado por Julio Cesar para enviar mensajescifrados a sus allegados mas cercanos, hablaremos del criptosistema CAESARmuy pronto.Junto a la criptografía coexiste necesariamente otra disciplina: el criptoanálisis,mientras que los criptógrafos se encargan de desarrollar criptosistemas cada vezmas seguros y difíciles de descifrar los criptoanalistas tratan de romper uncriptosistema obteniendo el mensaje a partir del código cifrado. De estos dosbandos con objetivos diametralmente opuestos siempre se afirma que alguno delos bandos es el lado bueno y el otro inevitablemente los chicos malos estosroles se pueden intercambiar indefinidamente dependiendo de la situación y elcontexto en el cual estudiemos el tema. En este texto desarrollaremos la teoríaoperativa y técnicas mas habituales tanto de los criptógrafos como de loscriptoanalistas.Lamentablemente la criptografía y su ciencia paralela el criptoanálisis sondisciplinas que experimentan marcados avances en épocas de guerra, allí esnecesaria la comunicación de estrategias, planes tácticos e informes supersecretos entre las distintas fuerzas de cada bando de forma tal que si el código esinterceptado por un eventual enemigo este no pueda hacerse de la informaciónque se envío. La criptografía experimenta su mayor avance durante el transcursode la segunda guerra mundial en donde adquiere un protagonismo singular, allí, elcriptosistema de la maquina alemana Enigma es roto por los criptoanalistas delas fuerzas aliadas siendo éste un factor que contribuyo en gran medida a lavictoria final de los aliados. En este caso los criptógrafos alemanes eran losmalos y los criptoanalistas aliados eran los buenos, pero si nosotros queremosenviar un mensaje secreto a alguien y el mismo resulta publicado en un diariovamos a pensar que los criptoanalistas son personas sumamente viles. Comovemos todo depende de la situación.Afortunadamente la criptografía experimenta su segundo gran auge con lamasificación de las comunicaciones digitales y el advenimiento de la era de lascomputadoras. Hoy en día suele ser necesario enviar y recibir mensajes a travésde Internet de forma tal que el mensaje solo pueda ser entendido por algunapersona en particular, por ejemplo si enviamos nuestro numero de tarjeta decrédito queremos que lo obtenga solamente el vendedor y no algún criptoanalistapakistaní que pasaba por allí. En los últimos años la criptografía se ha convertidoen una ciencia de enorme importancia y a la cual se le destina cada vez untratamiento más serio y más científico de forma tal de lograr comunicacionesseguras. Como veremos esto no es una tarea para nada sencilla.a Conceptos de Seguridad en computadoras digitales:Uno de los puntos que siempre estuvo en discusión sobre el almacenamiento deinformación en computadoras digitales, fue la seguridad de los mismos frente aposibles miradas indiscretas, desde que la primera computadora hizo su aparición
  • 31. en alguna organización militar o gubernamental la necesidad de resguardar lainformación allí almacenada se hizo evidente.Para proteger la información almacenada se suele recurrir a las denominadastécnicas de encriptación, la encriptación consiste básicamente en convertir unmensaje en otro de forma tal que el mensaje original solo pueda ser recuperadopor un determinado grupo de personas que saben como "desencriptar" el mensajecodificado. El esquema básico de encriptación implica la utilización de unpassword para encriptar de forma tal que solo puedan desencriptar el mensajeaquellos que conocen el password utilizado, esto trae varios problemas comoveremos mas adelante.Con el advenimiento de Internet y la masificación absoluta de las comunicacionesla privacidad de los datos se ha vuelto un tema muy en boga en los últimostiempos, originando todo tipo de problemas que involucran desde el mas simple einocente usuario de internet hasta las mas altas organizaciones gubernamentalesdel planeta.En el mundo de las computadoras la criptografía puede ser utilizada para variascosas, algunas áreas importantes en donde se utiliza la criptografía son:. La encriptación de información critica que debe ser almacenada encomputadoras, actos gubernamentales, informaciones secretas, etc.. La encriptación de mensajes enviados a través de redes, redes locales, redespublicas e internet.. La certificación de identidad de quienes envían mensajes importantes a través deinternet.. Protección de información delicada que deba enviarse a través de internetcomo, por ejemplo, números de tarjetas de crédito.. Encriptación de comunicaciones telefónicas, radiales o televisivas que puedenser interceptadas.b.Encriptación de Datos:Las técnicas de encriptación suelen dividir a los algoritmos en dos grupos: losalgoritmos de clave privada y los algoritmo de clave publica. A los algoritmos declave privada se los llama también algoritmos de encriptación simétricos mientrasque los de clave pública suelen denominarse algoritmos antisimétricos.c.Algoritmos de Clave Simétrica:Los algoritmos de clave simétrica, también llamados de clave secreta o privada,son los algoritmos clásicos de encriptación en los cuales un mensaje es encriptadoutilizando para ello una cierta clave sin la cual no puede recuperarse el mensajeoriginal.El esquema básico de los algoritmos de clave simétrica es:
  • 32. MENSAJE + CLAVE = CÓDIGO (encriptación)CÓDIGO + CLAVE = MENSAJE (desencriptación)Esto se lleva a cabo sustituyendo porciones del mensaje original por porciones demensaje encriptado usando la clave. La sustitución puede ser de varias formas:Monoalfabética:Cuando se encripta, cada caracter encriptado corresponde a un caracter delmensaje original y viceversa.Homofónica:Cuando un caracter de texto original se encripta en varios caracteres del textoencriptado.Poligráfica:Cuando n caracteres del mensaje original generan n caracteres del mensajeencriptado.Polialfabética:Cuando n caracteres del texto original se encriptan en m caracteres del textoencriptado (m≠n) .Cabe destacar que la sustitución poligráfica y la sustitución homofónica son casosparticulares de la sustitución polialfabética.CriptosistemasDefiniremos a un criptosistema como un conjunto de tres elementos:.Un espacio de mensajes: PT que es la colección de todos los posibles mensajespt que pretendemos enviar..Un espacio de claves K. Cada clave k determina un método de encriptación Ek yun método de desencriptado Dk. De forma tal que Ek(pt) = código y Dk(código)=pt..Un espacio de códigos: CT que es la colección de todos los posibles códigos ct.Sistemas Monoalfabéticos y polialfabéticos:Un algoritmo de encriptación por clave privada es monoalfabético si cadaocurrencia de un mismo caracter en el mensaje original es reemplazada siemprepor un mismo caracter en el código cifrado.Un algoritmo de encriptación por clave privada es polialfabético si cada ocurrenciade un mismo caracter en el mensaje original es reemplazada por distintoscaracteres en el código cifrado.
  • 33. Desarrollaremos a continuación algunos de los criptosistemas de clave privadamas conocidos, desde los más básicos hasta los más complejos.Criptosistema CaesarCriptosistema HillCriptosistema AfinesCriptosistema PlayfairCriptosistema DESDeficiencia de los Algoritmos de clave privada:Los algoritmos de clave privada pueden construirse tan eficientes como se deseeutilizando passwords mas y mas largos, sin embargo por mas largo que sea elpassword estos algoritmos presentan una vulnerabilidad evidente: el password.En un esquema de encriptación por clave privada todo aquel que conozca elpassword es capaz de desencriptar un mensaje, de aquí que a veces, es masimportante estudiar como proteger el password que como trabaja el algoritmoelegido. Además, muchas veces es necesario transmitir, o enviar el password aalguna persona por lo que será necesario a su vez encriptar el passwordingresando en un loop infinito.Muchas veces el password es tan vulnerable que los criptoanalistas no semolestan en descifrar el código interceptado sino que directamente intentanaveriguar el password. Uno de los ejemplos mas habituales consiste en averiguarpasswords que permiten el acceso a determinados sistemas: cuentas bancarias,computadoras, computadoras donde se guardan otros passwords, etc. Acontinuación mencionamos algunas de las técnicas mas utilizadas para robo depasswords..Shoulder Surfing:Esta técnica es la más básica y consiste en merodear a aquellas personas queconocen el password que se quiere averiguar intentando ver si se consiguevisualizar el momento en que el password es tipeado en un teclado o escrito enalgún papel, variantes más modernas de esta técnica incluyen programasresidentes que monitorean las teclas que se oprimen en el teclado, cámaras queregistran lo que se tipea desde un punto elevado, etc. La forma mas elemental escomo su nombre lo indica observar por encima del hombro de la persona que tipeael password, parece tonto pero se utiliza muchísimo..Caballos de Troya:Los caballos de Troya son programas que se diseñan con el fin específico derobar passwords. El programa es introducido en una computadora y lo que hacees simplemente cada vez que es ejecutado pedirle el password al usuario y si estelo tipea (grave error) guardarlo en un archivo. Luego lo único que hay que hacer es
  • 34. cada tanto consultar el archivo y ver que es lo que nuestro caballo de Troya hapescado. Una de las reglas de seguridad mas importantes que establecen losadministradores de sistemas es adiestrar a los usuarios para que JAMAS ingresensu password una vez que se han logoneado en el sistema, además suele serrecomendable resetear la terminal antes de logonearse al sistema por si el usuarioanterior dejo andando un caballo de Troya que imita al programa de login..Ingeniería Social:Esta disciplina puede parecer ridícula pero es la más exitosa en cuanto a robo depasswords. La Ingeniería Social consiste en conseguir que una persona,simplemente, le diga su password a otra. Las técnicas son de lo mas variadas:llamados telefónicos pidiendo el password pues se cayó un disco y hay quebackupear la información de cada usuario, pedidos de password paraverificaciones rutinarias, encuestas a ver quien tiene el password mas seguro(!!!!), etc, etc...Aunque parezca mentira hay personas realmente especializadas en este tipo deataques.La importancia del mensaje:Contrariamente a lo que se cree habitualmente, la fuerza de un criptosistema declave privada no reside únicamente en el algoritmo utilizado, o en la longitud de laclave sino que depende, también, del mensaje a enviar. Hay mensajes que porsus características propias serán mas fáciles de descifrar que otros, dado unmismo criptosistema, por lo tanto a la hora de enviar un texto ultra-secretodebemos tener en cuenta varios factores relacionados con el mensaje en sí.Recomendaciones a la hora de escribir un texto altamente critico que deba serencriptado por clave privada:.No utilizar espacios en blanco, escribir todo el texto de corrido. Cualquier caracterde alta probabilidad de ocurrencia, como por ejemplo los espacios en blanco, sonun punto débil en el mensaje aun cuando se utilice un esquema polialfabético..Si es muy necesario separar las palabras del mensaje a enviar, utilizar cualquiercaracter elegido arbitrariamente en reemplazo del espacio en blanco..Escribir con mucho cuidado el texto intentando que la distribución de cadacaracter utilizado en el texto sea lo mas pareja posible, esto es de granimportancia, evitar el uso de uno o mas caracteres en forma predominante, usarpalabras sinónimos, o incluir faltas de ortografía y sintaxis si es necesario. Escribirpor ejemplo salujdhos pedfdro que puede ser entendido fácilmente cuando sedescifra el código pero podría llegar a complicar sensiblemente el criptoanálisis.
  • 35. .Empezar algunas palabras con caracteres que no tengan sentido alguno comopor ejemplo la llave que cierra } o un punto y coma ;, esto puede desalentarvarios intentos criptoanalíticos correctamente orientados..Escribir algunas palabras al revés o con todas las vocales al final y lasconsonantes al principio, una especie de doble codificación.Por ejemplo: sldsauo qrdueio pdreo quiere decir saludos querido pedro.Los criptoanalistas que consideren como factor cierto la alternancia de vocales yconsonantes en un texto tendrán problemas para descifrar nuestro mensaje. Enalgunas palabras se pueden poner todas las vocales al final y en otras todas alprincipio..Jamas utilizar dos veces la misma palabra en un texto, aun en sistemaspolialfabéticos esto constituye una debilidad.-Escribir todos los mensajes de la forma mas breve que sea posible, evitar el usode artículos salvo que sean estrictamente necesarios para comprender el texto.Las chances de éxito de un buen criptoanálisis aumentan vertiginosamente amedida que se consigue mas información sobre el mensaje a descifrar.d. Sistemas de clave pública:Los sistemas de encriptación de datos por clave publica han revolucionado elmundo de la criptografía y se han impuesto ampliamente en el mercado de lascomunicaciones, la idea aunque sencilla recién surgió en la década del 70, losexpertos en criptografía no logran ponerse de acuerdo en cual fue el motivo quedemorara tanto el surgimiento de este tipo de sistema de encriptación.La idea de los sistemas de clave publica es sencilla: cada usuario genera 2 (dos)claves: una publica y una privada, el usuario debe conservar su clave privada asalvo mientras que la clave publica es distribuida en forma masiva.El juego de claves funciona de la siguiente forma: los mensajes que sonencriptados con la clave publica de un usuario solo pueden ser desencriptadoscon la clave privada del mismo.El algoritmo de encriptación es publico, de forma tal que cualquiera puedaencriptar un mensaje, el algoritmo de desencriptación debe de forma tal que sin laclave privada sea muy difícil desencriptar el código mientras que con la claveprivada esto es una tarea sencilla. Todos los algoritmos de encriptación por clavepublica se basan en algún problema en general de tipo matemático de cuyotiempo de resolución no pueda establecerse una cota inferior.RSA:
  • 36. El algoritmo de clave publica más probado y utilizado en todo el mundo es elalgoritmo RSA, denominado así debido a sus autores: Rivest, Shamir y Adleman.Está basado en una idea asombrosamente sencilla de la teoría de números yhasta la fecha ha resistido todo tipo de ataques criptoanalíticos.La idea es simple: dados dos números primos p y q muy grandes es sencillo apartir de p y q hallar su producto (p*q) pero es un problema muy complejo a partirdel producto hallar los números p y q en cuestión. Si bien hasta el momento no seha podido demostrar que la factorización prima de un numero es un problema NP-complejo, todos los intentos realizados para factorizar un número en forma velozhan fracasado.Criptoanálisis:Las técnicas criptoanalíticas más utilizadas contra el RSA, aunque sin éxito,consisten en intentar factorizar el numero "n" que se distribuye en la clave publicaaveriguando de esta forma los números p y q. Debido a que no existen algoritmoseficientes para factorizar un número, el problema de descomponer un numero muygrande insume un tiempo tan elevado que los ataques mas sofisticados contra elRSA han fallado (o casi...)El algoritmo RSA sin embargo presenta una vulnerabilidad: hay una leyenda queindicaría que el algoritmo es vulnerable. Y la clave de todo se la ha llevado a latumba (una vez más) el misterioso Fermat.PGP (Prett Good Privacy):En esta sección analizamos el programa más utilizado para encriptar ydesencriptar datos mediante algoritmos de clave publica. El PGP se utiliza eninternet y en casi todas las redes de mensajería cada vez que quiere transmitirseinformación privada.PGP es un producto de distribución libre, es distribuido con sus fuentes y sudistribución le ha causado a su autor Philip Zimmerman más de un problema comoveremos más adelante.PGP trabaja con el algoritmo RSA utilizando claves de 256,512 o 1024 bytessegún el nivel de seguridad que se necesite, las claves de 1024 bytes superanampliamente los mas estrictos requisitos militares sobre seguridad criptográfica.PGP genera las claves públicas y privadas del usuario utilizando un algoritmo muyavanzado de pseudoaleatorización que mide los tiempos transcurridos entre lo quese tipea en un teclado. (PGP solicita al usuario que tipee durante un cierto tiempoen la pantalla) o los movimientos del mouse (se solicita al usuario que lo muevaaleatoriamente durante cierto tiempo).
  • 37. La clave publica queda grabada en el disco y lista para ser distribuida, la claveprivada se almacena también en el disco, PGP en sus manuales destaca que elacceso a la computadora donde se almacena la clave privada debe restringirse enforma drástica pues el conseguir la clave privada anula todo el sistema, el autorrecomienda el uso de dispositivos que distorsionen las señales de radio en elambiente donde reside la computadora pues existen dispositivos ultra-avanzadosde las agencias gubernamentales que permiten leer la información de un disco adistancia mediante ondas de radio (!!).Las claves publicas que nos envían otros usuarios son almacenadas en unconjunto de claves publicas (Public-key-ring) sobre el cual se pueden realizaraltas, bajas y modificaciones.Cuando un usuario le envía a otro su clave pública, por ejemplo a través deinternet, el usuario que recibe la clave suele querer chequear que la clave publicarecibida sea la del usuario que el quiere y no cualquier otra. Para ello PGP permiteextraer de cada clave publica un numero conocido como FINGERPRINT elFingerprint puede ser chequeado telefónicamente o personalmente, y si coincidepuede certificarse que la clave publica es de quien dice ser. (Cualquier cambio enla clave publica modifica el Fingerprint). El fingerprint se calcula hasheando laclave publica.PGP dispone de varias opciones interesantes:Envío del mensaje en forma clásica:Este esquema sigue el mecanismo clásico de la encriptación por clave publica, elmensaje es encriptado usando la clave publica de un determinado usuario deforma tal que solo pueda ser desencriptado por la clave privada del mismo.Certificación de mensajes:Esta es una utilidad muy recomendable, y sirve para que un usuario firme unmensaje de forma tal que se pueda autenticar su autoría. Lo que hace el PGP esprimero extraer un concentrado del mensaje sometiéndolo a una función dehashing, luego el concentrado es encriptado con la clave privada del usuario yagregado al final del mensaje. Cuando el mensaje es recibido por un usuario lafirma digital es desencriptada usando la clave pública del usuario y luego elmensaje es sometido a la función de hashing, si el concentrado coincide con elconcentrado desencriptado del mensaje entonces el mensaje fue escrito por quiendice ser, de lo contrario o bien fue escrito por otra persona o bien fue modificado eltexto del mensaje.Los mensajes certificados a su vez pueden ser encriptados para que solo puedanser leídos por una cierta persona.Notar que la certificación utiliza el juego de claves en forma inversa al uso normalde las mismas.
  • 38. Mensaje solo para tus ojos:Esta opción del PGP permite encriptar un mensaje para una cierta persona deforma tal que cuando esta lo desencripte usando su clave privada el texto delmensaje solo se pueda ver en pantalla y no pueda ser grabado en un archivo, estaopción otorga una seguridad extra a quien envía el mensaje y tiene miedo que elusuario que lo recibe lo trate en forma descuidada dejándolo por allí.Borrado especial del archivo a encriptar:Cuando se quiere encriptar un mensaje muy critico que esta escrito en un archivo,PGP dispone de la opción de eliminar el archivo original del disco una vezencriptado. PGP no utiliza un borrado común del archivo sino que sobreescribe elárea del disco con sucesivas pasadas de unos, ceros y unos y ceros alternados enforma random, esto lo hace varias veces. El algoritmo de borrado del PGPasegura que la información no podrá ser recuperada del disco. (Si el algoritmo noes lo suficientemente seguro el análisis de trazas magnéticas del disco puedepermitir recuperar la información).PGP es un programa sumamente seguro y es utilizado en todo el mundo para elenvío de e-mail en forma segura y la certificación de mensajes de importancia.e. Criptografía Cuántica:La criptografía cuántica es una nueva área dentro de la criptografía que hace usode los principios de la física cuántica para transmitir información de forma tal quesolo pueda ser accedida por el destinatario previsto.Para poder llegar a explicar los detalles de la criptografía cuántica se necesitanestablecer algunos conceptos básicos de criptografía y física cuántica que seránde ayuda para la comprensión del tema. Pero antes que nada se expone elproblema que la criptografía cuántica intentará solucionar.En general observar un sistema cuántico perturba al mismo, e impide que elobservador conozca su estado exacto antes de la observación. Por lo tanto, si unsistema cuántico es utilizado para transferir información, alguien que quiera espiarla comunicación, o incluso el receptor previsto, podría verse impedido de obtenertoda la información enviada por el emisor. Este rasgo negativo de la mecánicacuántica, conocido como principio de incertidumbre de Heisenberg, recientementeha encontrado un uso positivo en el área de las comunicaciones privadas yseguras.2. Como se producen los ataques y delitos informáticos.2.1 Seguridad en los servidores Internet:Mientras que el computo forense en un ocupación reciente, tiene relación conmuchos precursores en tecnologías de información. Estas disciplinas padre no
  • 39. solo incluyen la teoría y la practica de hardware, software y programación, sinotambién notablemente Seguridad de computo, que ha madurado junto con latecnología de información para ayudar a proteger, no solo contra ataques, sinotambién contra errores y accidentes.Hay dos importante observaciones que vienen a la mente sobre ésta relaciónentre el computo forense y la seguridad de computadoras. Primero, las redesremotas y empresas en línea, después del año 1991, ha hecho cada vez masdifícil establecer el alcance de una política de seguridad. Antes era posiblemaquetar un limite alrededor de las operaciones, para distinguir entre “los dedentro”, quienes estaban permitidos de usar el sistema y los “de afuera”, quienesno estaban permitidos, y enfocarse en la construcción de limites seguros. Estadistinción ha llegado a no tener sentido, tanto como las empresas y los órganosdel gobierno arremeten para establecer su presencia en internet. Ahora el enfoquese ha desplazado a rol de las aplicaciones, el lugar donde los roles son permitidosestán descritos en términos de derechos de acceso en jerarquías. Segundoasesores de riesgo siempre tienen que advertir la actuación de estos “intrusos”evitando el inadecuado monitoreo de roles, quienes probablemente comenten lamayor parte de crímenes de computadora, se estima el 80%.El objetivo de la seguridad de computadoras en sus sentido mas amplio espreservar un sistema; como es su significado; especificamentem como las politicasde seguridad dictan. Computo forense, o al menos forense de intrusion, explicacomo las politicas son violadas, un proceso puede revelar los agujeros fatales enlas politicas mismas. Existen algunas razones para la discrepancia seguridad /forense:2.2 Area de Actividades:Uno de los primeros pasos es determinar el área de las actividades. Se deseaidentificar enteramente a la organización o los limites de las actividades en ciertasáreas.. En algunos casos puede resultar un poco complicado determinar todas lasentidades asociadas a la organización objetivo. Los proveedores de internetcontienen conjuntos de recursos que se pueden utilizar para el area de actividadesy también proporciona algo más; como el tipo y cantidad de información publicadisponible sobre la organización y los empleados.La pagina web de una organización puede proporcionar una cantidad deinformación que puede ser de ayuda a los atacantes, como por ejemplo:LugaresEntidades o empresas relacionadasNoticias de adquisicionesNúmeros telefónicosNombre de contacto y direcciones de correo electrónico
  • 40. Políticas de seguridad y privacidad indicando el tipo de mecanismo de seguridaden el lugarEnlaces a otros servidores web, relacionados con la organización.Consulta Google, para enlaces a dominio especificado2.3 Información general del objetivo (Web, Whois, news):Aquí se inicia el proceso de enumeración para identificar los nombres de dominioy redes asociadas, que se relacionan a una organización en particular. Losnombres de dominio representan la presencia de la empresa en internet y son elequivalente en internet al nombre de la empresa, como “JugosDel.com” o“hansgross.com”Para enumerar los dominios e iniciar a descubrir la redes anexas al objetivo, sedebe escudriñar la internet. Existen multiples bases de datos “whois” que puedenser consultadas para proporcionar información sobre cada entidad que se deseainvetigar. En los años 1999 la empresa network solutions tenia el monopolio de losregistro de dominios y mantenia esta inforamcion en sus servidores “whois”. Estemonopolio fue disuelto y actualmente hay una multitud de registradoresacreditados. Y se hace necesario realizar la consulta al registrador adecuado, paraobtener la información que se requiera.
  • 41. Existen diferentes mecanismos, pare realizar las consultas a las diferentes basesde datos “whois“. En cualquier caso siempre se debe de obtener la mismainformaciónInterface Web:http://www.networksolutions.com/http://www.arin.netCliente WHOIS:dig, host, nslookup (GNU/Linux)SamSpade (Windows) http://www.samspade.org/Consulta vía Web a una Base de Datos WHOIS
  • 42. Consulta a una Base de Datos WHOIS via consolaDiversa información puede ser obtenida con cada consulta realizada. Lossiguiente tipos de consulta proporcionan la mayoría de información que unatacante puede utilizar:Registrante (información del registrador y servidores whois asociados)Organización (información relacionada con la organización)Dominio (información relacionada con un dominio en particular)Red (información relacionada a una red particular o una simple dirección IP)Punto de Contacto (información de una persona especifica, contactoadministrativo)2.4 Interrogación a DNS:Después de indentificar los dominios asociados, se inicia la consulta a los DNS.DNS es una base de datos distribuida utilizado para mapear direcciones IP anombres de dominios y viceversa. Si el DNS esta configurada de manerainsegura, es posible obtener una revelación de información sobre la organización.Una de los mas comunes errores de configuración de los administradores desistemas es permitir a usuarios no permitidos realizar transferencias de zonas.Una transferencia de zona, permite a un servidor maestro secundario actualizarsu base de datos de zonas desde el servidor primario.Un medio simple para realizar estas consultas en con el comando “host”:
  • 43. 2.5 Reconocimiento de la Red:Cuando se han identificado potenciales Redes, se intenta determinar la topologíade la Red y tambien las posibles rutas hacia la Red.Para realizar esta tarea, se puede usar “traceroute”, el cual puede encontrarsecon la mayoria de sistemas GNU/Linux y tambien para sistemas Windows.Tracerote es una herramienta de diagnostico que permite ver la ruta que unpaquete IP sigue de un host a otro. Usa la opción TTL (tiempo de vida) en elpaquete IP para obtener un mensaje ICMP TIME_EXCEEDED de cada router.
  • 44. VisualRoute es una herramienta Visual que no solo obtener información de los“saltos” sino también la ubicación geográfica e información anexa.
  • 45. 2.6 Servidores accesibles:El escaneo es equivalente a tocar las paredes para encontrara puertas oventanas abiertas. Es importante recordar que el hecho de que una IP este listadaen una transferencia de zona, no significa que esta sea alcanzable vía internet. Senecesita probar cada sistema objetivo para percibir si esta vivo, y si lo esta, quepuertos tiene activos.La manera mas básica de mapear una red es realizar un PING automatizadosobre un rango de direcciones IPnmap sobre conjunto de direcciones IP2.7 Rastreo de puertos:El escaneo de puertos es un proceso de conectar a puertos TCP y UDP de unsistema objetivo para determinar que servicios están ejecutándose o en estado“LISTENING”Identificar puertos “a la escucha” es critico para determinar el tipo de sistemaoperativo y aplicaciones utilizadas. Servicios activos que están “escuchando”pueden permitir acceso no autorizado a usuarios para ganar acceso a sistemasque estas mal configurados o ejecutando versiones de software que se conocentienen vulnerabilidades de seguridad. Las herramientas de escaneo hanevolucionado significativamente con el transcurrir de los años.
  • 46. Alguno de los objetivos que se persiguen al realizar un escaneo de puertos a unsistema objetivo, son lo siguientes; pero no limitados a:Identificar servicios ejecutándose tanto TCP como UDP, sobre el sistema objetivoIdentificar el tipo de sistema Operativo del sistema objetivo.Identificar aplicaciones especificas o versiones de un servicio particular.2.8 Rastreo de sistemas operativos:Es momento de identificar el tipo de sistema Operativo que ha sido objeto delescaneo. Información sobre un sistema Operativo especifico es de utilidad durantela fase de mapeo de vulnerabilidades. Es importante recordar que se intenta ser lomas preciso posible para determinar las vulnerabilidades asociadas de nuestrosistema Objetivo. Y se hace necesario poder identificar el Sistema Operativo delSistema Objetivo.Se puede realizar un simple reconocimiento del Sistema Operativo utilizandotécnicas de reconocimiento de “banners”, esto aunado a los la información deservicios como FTP, SMTP HTTP, POP3, y otros. Este es la manera mas simplede detectar un sistema operativo y el numero de versión asociado del servicioejecutándose. Obviamente existen herramientas que nos ayudan en esta tarea.Tenemos a nmap y xprobe2
  • 47. 2.9 Rastreadores de red (Sniffers):Un packet sniffer es un programa de captura de paquetes de red, generalmenteutilizado con fines maliciosos.Es algo común que, por necesidad material, el medio de transmisión seacompartido entre varios ordenadores (cable coaxial, UTP, fibra óptica etc.) lo cualhace posible que un ordenador capture paquetes no destinados a él, para lo cualel sniffer pone la tarjeta de red en un estado llamado "modo promiscuo". De estamanera se puede obtener todo tipo de información de cualquier aparato conectadoa la red como contraseñas, correos electrónicos o cualquier otro tipo informaciónpersonal (por lo que son muy usados por crackers, aunque también pueden serusados para realizar comprobaciones y solucionar problemas en la red de modolegal por un administrador de dicha red).Es importante remarcar el hecho de que los sniffer solo pueden ser usados enredes que compartan el medio de transmisión (generalmente redes de área local)como en redes sobre cable coaxial, redes sobre cables de par trenzadoconectados a un concentrador o redes WiFi. El uso de switch en lugar de hubincrementa la seguridad de la red ya que impide el uso de sniffers al no pasar lospaquetes por ordenadores no destinatarios.Ethereal: Es una herramienta utilizada por profesionales alrededor del mundo paralocalizar averías, análisis, desarrollo de software y protocolos, y educación. Poseetodas las características estándar que se desea encontrar en un analizador de
  • 48. protocolos e incluye varias características que no pueden ser localizadas en otrosproductos. Tiene licencia Open Source , permite a talentos en redes de lacomunidad realizar mejoras. Se ejecuta en las más populares plataformas,incluyendo Unix, Linux, Windows.2.10 Secuestro y falsificación DNS:Ataque DNS Spoofing:DNS Spoofing se describe como un servidor DNS que hace uso de informaciónfalsa recibida desde un host que no es autoridad para la información. Es unaamenaza significativa para la seguridad de las organizaciones que no han tomadomedidas para protegerse de ella. El DNS Spoofing puede permitir a los atacantesacceder al correo de un sitio, y puede hacer que los usuarios sean redireccionadosa sitios Web incorrectos incluso proporcionando una abertura para un ataque deNegación de Servicio.Escenario: La compañía, TAMJTeK Inc., está compitiendo para acabar eldesarrollo del último software de juegos antes de que el capital de la empresasalga. Se comienza a anunciar el aviso pendiente de una brecha en tecnología de
  • 49. este juego en el sitio Web de Internet. Usted tiene una llamada de uno de lossocios de la empresa. Ella desea saber por que termina llegando awww.hackncrack.net cuando intenta llegar a www.tamjtek.com. Usted intentaconectarse al sitio Web y, seguro, termina llegando a www.hackncrac.net. Ustedprueba algunos otros sitios y todo parece muy bien excepto, que encuentra que sucompetidor más fuerte ha anunciado una brecha en el mismo juego. Su sitio Webdemuestra una imagen de su juego, la cual parece notablemente similar a la suyacon aspectos virtualmente idénticos. ¿Coincidencia? Quizás no.Ataque DNS ID Hacking:El DNS ID Hacking no es una forma usual de hacking/spoofing o cualquier otro.Este método se basa en una vulnerabilidad en protocolo del DNS. Más eficaz, elDNS ID hack/spoof es muy eficiente y muy fuerte porque no hay generación dedemonios de DNS que se escape de ella (incluso WinNT).Ataque DNS Caché Poisoning:Siempre que un servidor DNS no tenga la respuesta a una consulta dentro de sucaché, el servidor DNS puede pasar la consulta a otro servidor DNS a nombre delcliente. Si el servidor pasa la consulta a otro servidor DNS que tenga informaciónincorrecta, estará colocándola intencionalmente o no intencionalmente, pudiendoocurrir entonces un caché poisoning. EL Caché Poisoning es comúnmente referidocomo DNS Spoofing.Por ejemplo, suponga que hay un servidor de nombres, conocido comodnsobjetivo.com, manteniendo una red de computadoras, como se muestra en laFigura 1. Estas computadoras son en esencia clientes DNS. Una aplicación en unsistema cliente, host1, hace una consulta DNS que es enviada adnsobjetivo.ejemplo.com. Entonces dnsobjetivo.ejemplo.com examina su cachépara ver si tiene la respuesta a la consulta. Para propósito del ejemplo,dnsobjetivo.ejemplo.com no es autoritario para el nombre DNS en la consulta nitiene la respuesta para la consulta en su caché. Debe enviar la consulta a otroservidor, llamado dnsinfectado.ejemplo.org. La información endnsinfectado.ejemplo.org sucede que es incorrecta, comúnmente debido a la malaconfiguración, y la respuesta enviada de regreso a dnsobjetivo.ejemplo.comcontiene información engañosa. Puesto que dnsobjetivo.ejemplo.com estaalmacenando las respuestas, almacena esta información engañosa y envía larespuesta de regreso a host1. Mientras esta información exista en la caché dednsobjetivo.ejemplo.com, todos los clientes, no solo host1, son ahora susceptiblespara recibir esta falsa información.
  • 50. 2.11 Ataques contra servicios con autenticación, fuerza bruta:Un Ataque por fuerza bruta consiste en probar todos los posibles códigos,combinaciones o claves, hasta que se obtenga alguna valida. La dificultad deestos ataques depende de muchos factores, como son:. La longitud de la “clave”.Cuantos posibles valores de puede tener cada componente de la clave.Con que longitud debe tratar de probarse cada clave..Existencia de un mecanismo que bloquee al atacante después de un numero deintentos fallidosImagínese un sistema el cual permite códigos de 4 dígitos. Esto significaque existe un máximo de 10000 posibles combinaciones del PIN. Un ataque porfuerza bruta, puede siempre ser satisfactoria; eventualmente; sin embargo,ataques por fuerza bruta contra sistemas con suficientemente sólidas claves,puede requerir billones de años en ser completadas.• Ataques por Fuerza Bruta vs. Ataques por Diccionario:En muchos casos, un ataque por diccionario, puede trabajar mas rápidamenteque un ataque por fuerza bruta, Sin embargo un ataque por fuerza bruta, esmas certero para alcanzar resultados que un ataque por diccionario.Entre el software disponible se tiene a hydra; hydra explota uno de los masgrandes agujeros en la seguridad, que son las contraseñas. Hydra es uncrackeador en paralelo de autenticación, que soporta numerosos protocolos quepueden ser atacados. Nuevos módulos son fáciles de añadir, esto es flexible yrápido.Actualmente la herramienta soporta: Telnet, ftp, http, https, http-proxy, smb,smbnt, mysql, rexec, rsh, rlogin, cvs, etc, etc.Esta herramienta es una prueba de concepto, para proporcionar a losinvestigadores y consultores de seguridad, la posibilidad de mostrar cuan fácilpuede ser obtener acceso no autorizado remotamente a un sistema.
  • 51. 2.12 Desbordamiento de memoria (Buffer overflow)Estos días han saltado a la opinión pública una serie de errores provocados pordesbordamiento de buffer (buffer overflow) los cuales permitían tomar el controlabsoluto de nuestra máquina, o bien a un atacante remoto, o bien a gusanos /virus (Blaster, por ejemplo) que usan dicha vulnerabilidad."Desbordamiento de buffer" es una de las frases que muchas veces asumimos sinpreguntar -aunque sólo sea en plan curiosidad-, qué es lo que significa. En elpresente artículo, creado para neófitos en informática, vamos a intentar clarificareste concepto: qué es lo que realmente significa, y por qué sucede. Esto esinherente a cualquier sistema operativo, por lo que no es exclusivo de Microsoft.Vamos a utilizar en varios puntos de este artículo la palabra "exploit". Un exploit noes nada más que una manera, o un código, o lo que sea, de manejar unavulnerabilidad para tomar el control de una máquina, o bien para hacerla malfuncionar y provocar la caída de sus servicios.Un programa tiene su área de código ejecutable, y usa en memoria un espaciopara almacenamiento del propio código y también para almacenamiento de losdatos que vaya a utilizar. Igualmente, si el programa recibe parámetros o datos,debe guardarlos temporalmente en memoria.
  • 52. Por ejemplo, imaginemos un programa servidor de páginas web. Cuando elusuario teclea en un navegador: "http://www.microsoft.com/directx", el textotecleado: "www.microsoft.com/directx" viaja como dato al servidor web deMicrosoft. Dicho servidor es un programa que recibe ese texto, y que tiene quealmacenarlo en memoria.Imaginemos que desde nuestro navegador, podemos teclear lo que queramos sintener un tamaño máximo para escribir. Es decir que tecleamos"http://www.microsoft.com/xx....xxxx" y el texto que ponemos en las xxxxx esenorme. Pongamos que enviamos 10.000 caracteres... a ver que pasa.Si el programa servidor que se está ejecutando en los servidores de Microsoft notiene presente que pueda recibir toda esta cantidad de datos, y el programadorque lo ha realizado ha previsto sólo una cantidad, digamos razonable de 1000caracteres, el propio programa al intentar guardarse esos 10.000 caracteres, está"machacando" áreas de memoria que pueden ser de contenido de otros datos (encuyo caso se machacan) o incluso de código ejecutable del propio servidor. Encualquier caso, hay destrucción de información que provocarán en el mejor de loscasos o un mal funcionamiento, o lo más probable, una "caída" del programarservidor web por machacarse parte de su propio códigoEvidentemente, la solución pasaría por comprobar el tamaño de lo tecleado antesde moverlo a zonas de memoria.Este es un caso muy sencillo y muy simplificado, pero nos puede servir como ideade lo que sucede. Generalicemos un poco: un programa, se descompone enfunciones. Dicho programa recibe parámetros o datos, se los guarda, y los pasa alresto de funciones o subprogramas que lo necesiten.El problema es cuando el propio programa o los propios subprogramas ofunciones, tienen reservados tamaños inferiores a la longitud de los datos quereciben. La solución, por supuesto, es que cada programa, función, modulo,librería, DLL, etc... no se fíe de nadie y verifique exhaustivamente todo antes detomar ninguna acción y ni tan siquiera guardarlo en memoria.Normalmente, los controles anteriores no se hacen excepto en entrada de datos,debido a que esto implica sobrecargar excesivamente de código de comprobación,y en tiempo de ejecución todos los parámetros y todas las zonas de memoria a lasque accede el programa.El problema surge cuando muchas de las funciones diseñadas para ejecutarseinternamente, y que no tienen controles de los parámetros, deciden reutilizarse enotros programas de nivel superior los cuales pueden no tener tampoco dichoscontroles. En este caso, y aunque su funcionamiento sea normal, puedenencontrarse situaciones en que alguien malintencionado lo descubra y decida"explotar" esta vulnerabilidad. Es vulnerable un programa desde el momento en
  • 53. que somos capaces de hacerlo "cascar". Si somos capaces de ello, tambiénseremos capaces de hacer lo que queramos: es decir de tomar control de él.2.13 Vulnerabilidades de las aplicaciones web:Cuando una organización pone una aplicación web, están invitando a todo elmundo a enviar peticiones HTTP. Este tipo de ataques pueden pasar fácilmente,cortafuegos, filtros, sistemas detectores de intrusos, sin ser notados, debido a queson peticiones HTTP legales.Lo que se plantea no es nuevo, este hecho se ha conocido por décadas, pero aunhoy se esta comprometiendo la seguridad de los sistemas en internet. No existeuna solución mágica para poner una curar estos graves problemas, ahora laprevención y la protección esta mejorando, pero en un subconjunto de temasespecifico en el mejor de los casos. Para tratar estos temas, las organizacionesdeben cambiar su cultura de desarrollo, entrenamiento de desarrolladores,actualizar su proceso de desarrollo de software y utilizar la tecnología cuando seanecesaria.A continuación se detalla una lista relacionadas con este tópico:.Entradas no ValidadasEn la práctica, los atacantes pueden emplear información no validada paraalcanzar componentes secundarios
  • 54. .Control de Acceso RotoDebido a que no se establecen las adecuadas restricciones en la autenticación deusuarios, los agresores pueden tener acceso a otras cuentas o acceder afunciones no autorizadas..Autenticación RotaFallos en administración de sesiones y autenticación. Credenciales de cuentas ytokens de sesión no están protegidos adecuadamente, lo que puede permitir quelos atacantes comprometan contraseñas, llaves, cookies de sesión, y que asumanla identidad de otros usuarios.
  • 55. .Cross Site ScriptingEn este caso, la aplicación web se emplea como mecanismo para realizar ataquescontra el navegador de los usuarios finales, lo que puede posibilitar que queden aldescubierto cookies de sesión, o que se utilice contenido falso para engañar alusuario..Buffer Overflows (Desbordamiento de buffer)Componentes de la aplicación web escritos en lenguajes que no realicen unavalidación de datos de entrada adecuada pueden fallar y, en algunos casos,permitir tomar el control de un proceso..Inyección de banderas.
  • 56. Las aplicaciones web pasan parámetros cuando acceden al sistema externo o alsistema operativo. Si en los parámetros se incluyen comandos maliciosos, elsistema externo puede ejecutarlos en nombre de la aplicación web..Manejo inadecuado de errores.Puede ser empleada por los atacantes para obtener información detallada delsistema o provocar denegaciones de servicio..Almacenamiento de erroresSe ha demostrado que las aplicaciones web que utilizan funciones criptográficaspara proteger la información y las credenciales no cifran adecuadamente, lo queda como resultado una protección débil..Denegaciones de servicio a la aplicaciónComo se ha mencionado anteriormente, los atacantes pueden consumir recursosde la aplicación web hasta conseguir que los usuarios legítimos no puedanacceder a ella. A su vez, los agresores podrán bloquear las cuentas de usuarios oprovocar la caída de la aplicación.
  • 57. .Manejo inseguro de configuraciónLos servidores web tienen muchas opciones de configuración que afectan laseguridad y que no son seguras hacia fuera. Tener un estándar de configuraciónfuerte es crítico.2.14Denegación de servicioLos ataques de denegaciones de servicio (DoS) cuestan millones de dólaresanualmente a las empresas y son una seria amenaza a los sistemas y redes decomputadoras. Estos costos están relacionados al tiempo “muerto”, perdidas enventas, en la labor relacionada con la identificación y reacción ante estos ataques.
  • 58. Un ataque de denegación de servicio altera o completamente deniega el servicioa usuarios legítimos, redes, sistemas u otros recursos. La intención de tales esgeneralmente de tendencia maliciosa, ya que se requieren muy pocosconocimientos y las herramientas están libremente disponibles.Tipos de ataque DoS:.Consumo de Ancho de Banda: Esencialmente los atacantes consumen todo elancho de banda disponible de una red en particular, esto puede ocurrir en una redlocal, pero es mucho mas común que los atacantes consuman estos recursos,remotamente..Consumo de Recursos Hardware: Difiere del ataque de consumo al ancho debanda en que este se enfoca en consumir recursos del sistema y también recursosde la red. Esto involucra consumo de recursos de CPU, memoria, sistema dearchivos u otros procesos..Banderas en Programas: Son fallas de una aplicación, sistema operativo, o lógicaincrustada en un chip para manejar condiciones de excepcionales, estasgeneralmente ocurren cuando un usuario envía datos a un elemento vulnerable..Ataque de enrutamiento y a DNS: este tipo de ataque involucra la manipulaciónde la tabla de enrutamiento para denegar servicios a sistemas o redes legítimos.Debido a que algunos protocolos no tienen un tipo de autenticación, es unescenario ideal para este tipo de ataques para alterar rutas legitimas, falsificandolas direcciones IP e origen, para crear una condición de DoS. Las víctimas de estetipo de ataques pueden percibir como su trafico es redireccionado a otra red osimplemente a un hoyo negro.DDoS: Este tipo de ataque ocurre cuando alguien utiliza software librementedisponible y envía flujos constantes de paquetes a una red destino o host, en unintento por saturar sus recursos. Pero la principal diferencia es que el ataqueprovien de de diversas fuentes y la única manera de crear este escenario escomprometer computadoras existentes en internet.
  • 59. 2.15Analizadores de SeguridadCORE IMPACT:Es el primer producto automatizado para realizar “pruebas de penetración” yexponer amenazas especificas a la seguridad en la organización. Con COREIMPACT, cualquier administrador de redes puede fácilmente y eficientementedeterminar exactamente como un atacante puede obtener control sobre suinformación.. No se necesita ser un experto, o un especialista en seguridad, pararealizar este tipo de evaluaciones en la red, identificar los recursos que estánexpuestos, y determinar su la inversión actual en seguridad esta actualmentedetectando y previniendo ataques. Este software ayuda a mejorar la seguridadmientras se reducen costos.
  • 60. Nessus:Nessus es el mas popular escaner de vulnerabilidades de codigo abierto a nivelmundial, usado en mas de 75000 organizaciones alrededor del mundo. Muchas delas mas grandes organizaciones están realizando reducciones significativas decostos utilizando Nessus para auditar dispositivos y aplicaciones criticas de laempresa.Nessus esta considerado actualmente como uno de los productos “top” de su tipoen la industria de la seguridad y es avalado por profesionales en seguridad de lainformación y organizaciones con la SANS Institute.2.16 Ingeniería SocialBásicamente se denomina ingeniería social a todo artilugio, tretas y técnicas máselaboradas a través del engaño de las personas en revelar contraseñas u otrainformación, más que la obtención de dicha información a través de lasdebilidades propias de una implementación y mantenimiento de un sistema.
  • 61. El único medio para entender como defenderse contra esta clase de ataques esconocer los conceptos básicos que pueden ser utilizados contra usted o sucompañía y que abren brechas para conseguir sus datos. Con este conocimientoes posible adoptar una aptitud más saludable que lo alerte sin convertirse en unser paranoico.*Los métodosIntentando persuadir a un individuo para completar un objetivo o tarea se puedenusar varios métodos:El primero y más obvio es simplemente una demanda directa, donde a unindividuo se le pide completar su tarea directamente. Aunque probablementetenga menor éxito, éste es el método más fácil y el más sincero. El individuo sabelo que usted quiere que ellos hagan exactamente.El segundo método es ejecutado indirectamente en una situación previamenteideada donde el individuo es simplemente una parte de la misma. El mismo puedeser persuadido porque cree en las razones suministradas. Esto involucra muchomás trabajo para la persona que hace el esfuerzo de la persuasión, y casiciertamente se involucra obteniendo un conocimiento extenso del objetivo. Estono significa que las situaciones no tienen que ser basadas en hecho real. Cuandomenos falsedades, mayor la factibilidad de que el individuo en cuestión juegue elpapel que le fue designado.Una de las herramientas esenciales usadas para la ingeniería social es una buenarecolección de los hábitos de los individuos.*Las situacionesLa ingeniería social se dirige a los individuos con menos conocimientos, dado quelos argumentos y otros factores de influencia tienen que ser construidosgenerando una situación creíble que el individuo ejecute.Algunos ejemplos que se pueden citar:- La ejecución de un virus troyano por parte del usuario, adjunto a un correoelectrónico enviado por una casilla que le es familiar o simplemente con uninteresante título al destinatario como "es divertido, pruébalo", "mira a Anitadesnuda", etc.- La voz agradable de un hombre o mujer, que pertenece al soporte técnico denuestra empresa o de nuestro proveedor de tecnología, que nos requieretelefónicamente de información para resolver un inconveniente detectado ennuestra red.
  • 62. - El llamado de un usuario que necesita que se le asignen nuevamente su claveporque la ha cambiado durante el transcurso del día y no la recuerda.Esto son burdos ejemplos, citados simplemente para graficar algunos conceptosanteriormente explicados. No es objetivo de este artículo un análisis profundo deeste tema, sino simplemente presentar al lector un panorama general sobre losaspectos más simples que rodean al manejo de la información.*La conclusiónContrariamente a la creencia popular, es a menudo más fácil de utilizar a laspersonas, que explotar vulnerabilidades o malas implementaciones de un sistema.Pero toma más esfuerzo educar a los usuarios para que puedan prevenirse ydescubrir los esfuerzos a la ingeniería social que afianzar la seguridad operativacon el administrador del sistema.A los Administradores, no permita que el eslabón humano en su cadena deseguridad desgaste su trabajo.Al lector y usuario medio, asesórese sobre políticas de seguridad para sus datos,como así también consulte si su empresa tiene implementadas tales medidas.2.17 PhreakingLa primera historia sobre alguien capaz de trampear el sistema telefónico fue JoeEngressia, también llamado "The Whistler". Esta persona, que era ciego, contabacon un oido perfecto y podía, a base de silbidos, realizar llamadas telefónicas.El primer Phreacker como tal fue el "Capitán Crunch". Su nombre deriva de unacaja de cereales que llevaba un silbato. Descubrió que el tono del silbato era elmismo que activaba las comunicaciones entre centralitas analógicas de largadistancia.Tanto Steve Wozniak como Steve Jobs, fundadores de Apple, se dedicaron en susprimeros años a idear un aparato electrónico que prescindiera de silbatos osilbidos y automatizara el proceso. Dicho aparato se denominó bluebox y permitióa ambos obtener el dinero necesario que les llevaría a proyectos más ambiciososcomo los primeros Apple.Sin duda actualmente los mejores phreakers residen en Chile, el más famosoFox1 este personaje fue capaz de intervenir centrales telefónicas tanto en su paísde origen como en el extranjero. Estafó a las empresas de telefonía móvil y fija enmas 48 millones de pesos sin contar los fraudes internacionales.
  • 63. Con el tiempo, las centralitas analógicas se volvieron digitales e impidieron laproliferación de las blueboxes, por lo que las miras se dirigieron a la alteración delas centralitas de oficina para efectuar redirecciones de llamadas.2.18 Carding y estafas bancariasSe llama carding a la actividad de cometer un fraude o una estafa con un numerode tarjeta de crédito.Este concepto que parece simple tiene sus hontanares de cuestión. Primero notodo fraude con tarjeta de crédito se transforma en carding, así se roba o seencuentra una tarjeta y es utilizada por otra persona que no es su titular, ello no escarding es solo un fraude.El carding consiste entonces en usar un numero de tarjeta de crédito, ya sea real ocreado de la nada mediante procedimientos digitales, para realizar compras adistancia por Internet y efectuar pagos.El nivel de seguridad en Internet para realizar transacciones económicas no esbueno, por ello existen fugas de información, muchos usuarios de la red ponen sunumero de tarjeta de crédito para hacer compras, estos números son captados porotras personas que los reutilizan para hacer más compras sin ser los titulares de latarjeta.A esta actividad debe agregarse la de generar números validos de tarjetas decrédito para luego usarlos en compras a distancias.Cuando una empresa de tarjetas asigna una tarjeta numerada a un usuario lohace a través de un sistema automatizado de creación de numero aleatorios. Porello basta usar el mismo sistema para crear números validos; cualquier estudiantede ingeniería puede hacer un sistema de calculo de numero aleatorios.El carding es sin duda la actividad más riesgosa de todas las entendidas comodelitos informáticos, pues si se quiere recibir lo que se compró hay que ordenarque lo manden a algún sitio, he allí el problema: a qué sitio, pues quien comprócon un número de tarjeta que no era suyo, se arriesga a que en el ínterin lodescubran y al ir a recoger la cosa, lo arresten.3. Seguridad informática y sistemas de seguridad.3.1 . Conceptos y principios de la administración de la seguridadPodemos entender como seguridad una característica de cualquier sistema(informático o no) que nos indica que ese sistema está libre de todo peligro, dañoo riesgo, y que es, en cierta manera, infalible. Como esta característica,particularizando para el caso de sistemas operativos o redes de computadores, esmuy difícil de conseguir (según la mayoría de expertos, imposible), se suaviza ladefinición de seguridad y se pasa a hablar de fiabilidad (probabilidad de que unsistema se comporte tal y como se espera de él) más que de seguridad; por tanto,se habla de sistemas fiables en lugar de hacerlo de sistemas seguros.
  • 64. A grandes rasgos se entiende que mantener un sistema seguro (o fiable) consistebásicamente en garantizar tres aspectos: confidencialidad, integridad ydisponibilidad. Algunos estudios integran la seguridad dentro de una propiedadmás general de los sistemas, la confiabilidad, entendida como el nivel de calidaddel servicio ofrecido. Consideran la disponibilidad como un aspecto al mismo nivelque la seguridad y no como parte de ella, por lo que dividen esta última en sólo lasdos facetas restantes, confidencialidad e integridad. En este trabajo noseguiremos esa corriente por considerarla minoritaria.Qué implica cada uno de los tres aspectos de los que hablamos? Laconfidencialidad nos dice que los objetos de un sistema han de ser accedidosúnicamente por elementos autorizados a ello, y que esos elementos autorizadosno van a convertir esa información en disponible para otras entidades; laintegridad significa que los objetos sólo pueden ser modificados por elementosautorizados, y de una manera controlada, y la disponibilidad indica que losobjetos del sistema tienen que permanecer accesibles a elementos autorizados;es el contrario de la negación de servicio. Generalmente tienen que existir lostres aspectos descritos para que haya seguridad.3.2 Mecanismos de protecciónLos tres elementos principales a proteger en cualquier sistema informático son elsoftware, el hardware y los datos. Por hardware entendemos el conjunto formadopor todos los elementos físicos de un sistema informático, como CPUs, terminales,cableado, medios de almacenamiento secundario (cintas, CD-ROMs, diskettes...)o tarjetas de red. Por software entendemos el conjunto de programas lógicos quehacen funcional al hardware, tanto sistemas operativos como aplicaciones, y pordatos el conjunto de información lógica que manejan el software y el hardware,como por ejemplo paquetes que circulan por un cable de red o entradas de unabase de datos. Aunque generalmente en las auditorías de seguridad se habla deun cuarto elemento a proteger, los fungibles (elementos que se gastan odesgastan con el uso continuo, como papel de impresora, tóners, cintasmagnéticas, diskettes...), aquí no consideraremos la seguridad de estos elementospor ser externos al sistema.Habitualmente los datos constituyen el principal elemento de los tres a proteger,ya que es el más amenazado y seguramente el más difícil de recuperar: con todaseguridad una máquina Unix está ubicada en un lugar de acceso físico restringido,o al menos controlado, y además en caso de pérdida de una aplicación (o unprograma de sistema, o el propio núcleo de Unix) este software se puede restaurarsin problemas desde su medio original (por ejemplo, el CD-ROM con el sistemaoperativo que se utilizó para su instalación). Sin embargo, en caso de pérdida deuna base de datos o de un proyecto de un usuario, no tenemos un medio `originaldesde el que restaurar: hemos de pasar obligatoriamente por un sistema de copiasde seguridad, y a menos que la política de copias sea muy estricta, es difícildevolver los datos al estado en que se encontraban antes de la pérdida.
  • 65. Contra cualquiera de los tres elementos descritos anteriormente (peroprincipalmente sobre los datos) se pueden realizar multitud de ataques o, dicho deotra forma, están expuestos a diferentes amenazas. Generalmente, la taxonomíamás elemental de estas amenazas las divide en cuatro grandes grupos:interrupción, interceptación, modificación y fabricación. Un ataque se clasificacomo interrupción si hace que un objeto del sistema se pierda, quede inutilizableo no disponible. Se tratará de una interceptación si un elemento no autorizadoconsigue un acceso a un determinado objeto del sistema, y de una modificaciónsi además de conseguir el acceso consigue modificar el objeto; algunos autoresconsideran un caso especial de la modificación: la destrucción, entendiéndolacomo una modificación que inutiliza al objeto afectado. Por último, se dice que unataque es una fabricación si se trata de una modificación destinada a conseguirun objeto similar al atacado de forma que sea difícil distinguir entre el objetooriginal y el `fabricado. En la figura se muestran estos tipos de ataque de unaforma gráfica.3.3 Técnicas de identificación y autenticaciónYa sabemos que unos requerimientos primordiales de los sistemas informáticosque desempeñan tareas importantes son los mecanismo de seguridad adecuadosa la información que se intenta proteger; el conjunto de tales mecanismos ha deincluir al menos un sistema que permita identificar a las entidades (elementosactivos del sistema, generalmente usuarios) que intentan acceder a los objetos(elementos pasivos, como ficheros o capacidad de cómputo), mediante procesostan simples como una contraseña o tan complejos como un dispositivo analizadorde patrones retinales.Los sistemas que habitualmente utilizamos los humanos para identificar a unapersona, como el aspecto físico o la forma de hablar, son demasiado complejospara una computadora; el objetivo de los sistemas de identificación de usuarios nosuele ser identificar a una persona, sino autenticar que esa persona es quiendice ser realmente. Aunque como humanos seguramente ambos términos nosparecerán equivalentes, para un ordenador existe una gran diferencia entre ellos:imaginemos un potencial sistema de identificación estrictamente hablando, porejemplo uno biométrico basado en el reconocimiento de la retina; una personamiraría a través del dispositivo lector, y el sistema sería capaz de decidir si es unusuario válido, y en ese caso decir de quién se trata; esto es identificación. Sinembargo, lo que habitualmente hace el usuario es introducir su identidad (unnúmero, un nombre de usuario...) además de mostrar sus retinas ante el lector; elsistema en este caso no tiene que identificar a esa persona, sino autenticarlo:comprobar los parámetros de la retina que está leyendo con los guardados en unabase de datos para el usuario que la persona dice ser: estamos reduciendo elproblema de una población potencialmente muy elevada a un grupo de usuariosmás reducido, el grupo de usuarios del sistema que necesita autenticarlos.
  • 66. Los métodos de autenticación se suelen dividir en tres grandes categorías, enfunción de lo que utilizan para la verificación de identidad: (a) algo que el usuariosabe, (b) algo que éste posee, y (c) una característica física del usuario o un actoinvoluntario del mismo. Esta última categoría se conoce con el nombre deautenticación biométrica. Es fácil ver ejemplos de cada uno de estos tipos deautenticación: un password (Unix) o passphrase (PGP) es algo que el usuarioconoce y el resto de personas no, una tarjeta de identidad es algo que el usuariolleva consigo, la huella dactilar es una característica física del usuario, y un actoinvoluntario podría considerarse que se produce al firmar (al rubricar la firma no sepiensa en el diseño de cada trazo individualmente). Por supuesto, un sistema deautenticación puede (y debe, para incrementar su fiabilidad) combinarmecanismos de diferente tipo, como en el caso de una tarjeta de crédito junto alPIN a la hora de utilizar un cajero automático o en el de un dispositivo generadorde claves para el uso de One Time Passwords.Cualquier sistema de identificación (aunque les llamemos así, recordemos querealmente son sistemas de autenticación) ha de poseer unas determinadascaracterísticas para ser viable; obviamente, ha de ser fiable con una probabilidadmuy elevada (podemos hablar de tasas de fallo de en los sistemas menosseguros), económicamente factible para la organización (si su precio es superior alvalor de lo que se intenta proteger, tenemos un sistema incorrecto) y ha desoportar con éxito cierto tipo de ataques (por ejemplo, imaginemos que cualquierusuario puede descifrar el password utilizado en el sistema de autenticación deUnix en tiempo polinomial; esto sería inaceptable). Aparte de estas característicastenemos otra, no técnica sino humana, pero quizás la más importante: un sistemade autenticación ha de ser aceptable para los usuarios , que serán al fin y al caboquienes lo utilicen. Por ejemplo, imaginemos un potencial sistema de identificaciónpara acceder a los recursos de la Universidad, consistente en un dispositivo quefuera capaz de realizar un análisis de sangre a un usuario y así comprobar que esquien dice ser; seguramente sería barato y altamente fiable, pero nadie aceptaríadar un poco de sangre cada vez que desee consultar su correo.Contraseñas:El modelo de autenticación más básico consiste en decidir si un usuario es quiendice ser simplemente basándonos en una prueba de conocimiento que a priorisólo ese usuario puede superar; y desde Alí Babá y su `Ábrete, Sésamo hasta losmás modernos sistemas Unix, esa prueba de conocimiento no es más que unacontraseña que en principio es secreta. Evidentemente, esta aproximación es lamás vulnerable a todo tipo de ataques, pero también la más barata, por lo que seconvierte en la técnica más utilizada en entornos que no precisan de una altaseguridad, como es el caso de los sistemas Unix en redes normales (y en generalen todos los sistemas operativos en redes de seguridad media-baja); otrosentornos en los que se suele aplicar este modelo de autenticación son lasaplicaciones que requieren de alguna identificación de usuarios, como el softwarede cifrado PGP o el escáner de seguridad NESSUS. También se utiliza como
  • 67. complemento a otros mecanismos de autenticación, por ejemplo en el caso delNúmero de Identificación Personal (PIN) a la hora de utilizar cajeros automáticos.En todos los esquemas de autenticación basados en contraseñas se cumple elmismo protocolo: las entidades (generalmente dos) que participan en laautenticación acuerdan una clave, clave que han de mantener en secreto sidesean que la autenticación sea fiable. Cuando una de las partes deseaautenticarse ante otra se limita a mostrarle su conocimiento de esa clave común, ysi ésta es correcta se otorga el acceso a un recurso. Lo habitual es que existanunos roles preestablecidos, con una entidad activa que desea autenticarse y otrapasiva que admite o rechaza a la anterior (en el modelo del acceso a sistemasUnix, tenemos al usuario y al sistema que le permite o niega la entrada).Como hemos dicho, este esquema es muy frágil: basta con que una de las partesno mantenga la contraseña en secreto para que toda la seguridad del modelo sepierda; por ejemplo, si el usuario de una máquina Unix comparte su clave con untercero, o si ese tercero consigue leerla y rompe su cifrado (por ejemplo, comoveremos luego, mediante un ataque de diccionario), automáticamente esa personapuede autenticarse ante el sistema con éxito con la identidad de un usuario que nole corresponde.Tarjetas inteligentes (smartcards)Las ventajas de utilizar tarjetas inteligentes como medio para autenticar usuariosson muchas frente a las desventajas; se trata de un modelo ampliamenteaceptado entre los usuarios, rápido, y que incorpora hardware de alta seguridadtanto para almacenar datos como para realizar funciones de cifrado. Además, suuso es factible tanto para controles de acceso físico como para controles deacceso lógico a los hosts, y se integra fácilmente con otros mecanismos deautenticación como las contraseñas; y en caso de desear bloquear el acceso deun usuario, no tenemos más que retener su tarjeta cuando la introduzca en ellector o marcarla como inválida en una base de datos (por ejemplo, si se equivocavarias veces al teclar su PIN, igual que sucede con una tarjeta de crédito normal).Como principal inconveniente de las smartcards podemos citar el coste adicionalque supone para una organización el comprar y configurar la infraestructura dedispositivos lectores y las propias tarjetas; aparte, que un usuario pierda su tarjetaes bastante fácil, y durante el tiempo que no disponga de ella o no puede accederal sistema, o hemos de establecer reglas especiales que pueden comprometernuestra seguridad (y por supuesto se ha de marcar como tarjeta inválida en unabase de datos central, para que un potencial atacante no pueda utilizarla).También la distancia lógica entre la smartcard y su poseedor - simplemente nospodemos fijar en que la tarjeta no tiene un interfaz para el usuario - puede serfuente de varios problemas de seguridadAparte de los problemas que puede implicar el uso de smartcards en sí, contra lalógica de una tarjeta inteligente existen diversos métodos de ataque, como realizaringeniería inversa - destructiva - contra el circuito de silicio (y los contenidos de la
  • 68. ROM), adulterar la información guardada en la tarjeta o determinar por diferentesmétodos el contenido de la memoria EEPROM..3.4 Seguridad Físicala seguridad física de los sistemas informáticos consiste en la aplicación debarreras físicas y procedimientos de control como medidas de prevención ycontramedidas contra las amenazas a los recursos y la información confidencial.Más claramente, y particularizando para el caso de equipos Unix y sus centros deoperación, por `seguridad física podemos entender todas aquellas mecanismos -generalmente de prevención y detección - destinados a proteger físicamentecualquier recurso del sistema; estos recursos son desde un simple teclado hastauna cinta de backup con toda la información que hay en el sistema, pasando por lapropia CPU de la máquina.Desgraciadamente, la seguridad física es un aspecto olvidado con demasiadafrecuencia a la hora de hablar de seguridad informática en general; en muchasorganizaciones se suelen tomar medidas para prevenir o detectar accesos noautorizados o negaciones de servicio, pero rara vez para prevenir la acción de unatacante que intenta acceder físicamente a la sala de operaciones o al lugardonde se depositan las impresiones del sistema. Esto motiva que en determinadassituaciones un atacante se decline por aprovechar vulnerabilidades físicas en lugarde lógicas, ya que posiblemente le sea más fácil robar una cinta con una imagencompleta del sistema que intentar acceder a él mediante fallos en el software.Hemos de ser conscientes de que la seguridad física es demasiado importantecomo para ignorarla: un ladrón que roba un ordenador para venderlo, un incendioo un pirata que accede sin problemas a la sala de operaciones nos pueden hacermucho más daño que un intruso que intenta conectar remotamente con unamáquina no autorizada; no importa que utilicemos los más avanzados medios decifrado para conectar a nuestros servidores, ni que hayamos definido una políticade firewalling muy restrictiva: si no tenemos en cuenta factores físicos, estosesfuerzos para proteger nuestra información no van a servir de nada. Además, enel caso de organismos con requerimientos de seguridad medios, unas medidas deseguridad físicas ejercen un efecto disuasorio sobre la mayoría de piratas: comocasi todos los atacantes de los equipos de estos entornos son casuales (esto es,no tienen interés específico sobre nuestros equipos, sino sobre cualquier equipo),si notan a través de medidas físicas que nuestra organización está preocupadapor la seguridad probablemente abandonarán el ataque para lanzarlo contra otrared menos protegida.Aunque como ya dijimos en la introducción este proyecto no puede centrarse en eldiseño de edificios resistentes a un terremoto o en la instalación de alarmaselectrónicas, sí que se van a intentar comentar ciertas medidas de prevención ydetección que se han de tener en cuenta a la hora de definir mecanismos ypolíticas para la seguridad de nuestros equipos. Pero hemos de recordar que cada
  • 69. sitio es diferente, y por tanto también lo son sus necesidades de seguridad; deesta forma, no se pueden dar recomendaciones específicas sino pautas generalesa tener en cuenta, que pueden variar desde el simple sentido común (como es elcerrar con llave la sala de operaciones cuando salimos de ella) hasta medidasmucho más complejas, como la prevención de radiaciones electromagnéticas delos equipos o la utilización de degaussers. En entornos habituales suele sersuficiente con un poco de sentido común para conseguir una mínima seguridadfísica; de cualquier forma, en cada institución se ha de analizar el valor de lo quese quiere proteger y la probabilidad de las amenazas potenciales, para en funciónde los resultados obtenidos diseñar un plan de seguridad adecuado. Por ejemplo,en una empresa ubicada en Valencia quizás parezca absurdo hablar de laprevención ante terremotos (por ser esta un área de bajo riesgo), pero nosucederá lo mismo en una universidad situada en una zona sísmicamente activa;de la misma forma, en entornos de I+D es absurdo hablar de la prevención anteun ataque nuclear, pero en sistemas militares esta amenaza se ha de tener encuenta3.5 Normas existentes.a.ISO 17799:ISO/IEC 17799:2005, establece lineamientos y principios generales parainicializar, implementar, mantener, y mejorar el gerenciamiento de La seguriad deInformación en una organización. Los objetivos proporcionan una guia generalsobre los objetivos comunmente aceptados en el gerenciamiento de la Seguridadde Información.-ISO/IEC 17799:2005 contiene las mejores practicas sobre elcontrol de objetivos y controles en las siguientes areas de gerenciamiento deSeguridad de Información:Políticas de SeguridadSeguridad de la Información de la OrganizaciónGerenciamiento de ActivosSeguridad de Recursos HumanosSeguridad física y ambientalGerenciamiento de Operaciones y ComunicacionesControl de AccesoAdquisición de los Sistemas de información, desarrollo y mantenimientoGerenciamiento de los incidentes de Seguridad de InformaciónGerenciamiento de continuidad de la EmpresaConformidad.El Control de objetivos y controles en ISO/IEC 17799:2005, se hicieron para serimplementados y conocer los requrimientos identificados en un analisis deriesgos. ISO/IEC 17799:2005 esta pensado como una base común y guia practicapara desarrollar standares en la Seguridad organizacional y standares efectivos en
  • 70. el gerenciamiento de seguridad, y ayudar a construir confianza en las actividadesinter organizacionales.b.BS 7799BS 7799 fue publicado en Febrero del año 1995, es un conjunto de controles quecomprende las mejores practicas en seguridad de información. BS 7799 estahecho para servircon un punto simple de referencia para identificar un rango decontroles necesarios para muchas situaciones donde los sistemas de informaciónson usados en la industria y comercio, y ser usados en grandes, medianas opequeñas organizaciones. Fue significativamente revisada y mejorada en el año1999.Con los esquemas de acreditación y certificación en orden, BS 7799 puedeconvertirse en un referente de ultima instancia contra la cual una empresa puedeser comparada. Incluso se han realizado peticiones de inclusión obligatoria en losreportes de estado de una organización.3.6 Análisis de riesgos.En un entorno informático existen una serie de recursos (humanos, técnicos, deinfraestructura...) que están expuestos a diferentes tipos de riesgos: los`normales, aquellos comunes a cualquier entorno, y los excepcionales, originadospor situaciones concretas que afectan o pueden afectar a parte de unaorganización o a toda la misma, como la inestabilidad política en un país o unaregión sensible a terremotos. Para tratar de minimizar los efectos de un problemade seguridad se realiza lo que denominamos un análisis de riesgos, término quehace referencia al proceso necesario para responder a tres cuestiones básicassobre nuestra seguridad:Qué queremos proteger?Contra quién o qué queremos proteger?Cómo lo queremos protegerEn la práctica existen dos aproximaciones para responder a estas cuestiones, unacuantitativa y otra cualitativa. La primera de ellas es con diferencia la menosusada, ya que en muchos casos implica cálculos complejos o datos difíciles deestimar. Se basa en dos parámetros fundamentales: la probabilidad de que unsuceso ocurra y una estimación del coste o las pérdidas en caso de que así sea; elproducto de ambos términos es lo que se denomina coste anual estimado (EAC,Estimated Annual Cost), y aunque teóricamente es posible conocer el riesgo decualquier evento (el EAC) y tomar decisiones en función de estos datos, en lapráctica la inexactitud en la estimación o en el cálculo de parámetros hace difícil ypoco realista esta aproximación.El segundo método de análisis de riesgos es el cualitativo, de uso muy difundido
  • 71. en la actualidad especialmente entre las nuevas `consultoras de seguridad(aquellas más especializadas en seguridad lógica, cortafuegos, tests depenetración y similares). Es mucho más sencillo e intuitivo que el anterior, ya queahora no entran en juego probabilidades exactas sino simplemente una estimaciónde pérdidas potenciales. Para ello se interrelacionan cuatro elementos principales:las amenazas, por definición siempre presentes en cualquier sistema, lasvulnerabilidades, que potencian el efecto de las amenazas, el impacto asociado auna amenaza, que indica los daños sobre un activo por la materialización de dichaamenaza, y los controles o salvaguardas, contramedidas para minimizar lasvulnerabilidades (controles preventivos) o el impacto (controles curativos). Porejemplo, una amenaza sería un pirata que queramos o no (no depende denosotros) va a tratar de modificar nuestra página web principal, el impacto seríauna medida del daño que causaría si lo lograra, una vulnerabilidad sería unaconfiguración incorrecta del servidor que ofrece las páginas, y un control lareconfiguración de dicho servidor o el incremento de su nivel de parchado. Conestos cuatro elementos podemos obtener un indicador cualitativo del nivel deriesgo asociado a un activo determinado dentro de la organización, visto como laprobabilidad de que una amenaza se materialice sobre un activo y produzca undeterminado impacto.En España es interesante la metodología de análisis de riesgos desarrolladadesde el Consejo Superior de Informática (Ministerio de AdministracionesPúblicas) y denominada MAGERIT (Metodología de Análisis y Gestión de Riesgosde los sistemas de Información de las AdminisTraciones públicas); se trata de unmétodo formal para realizar un análisis de riesgos y recomendar los controlesnecesarios para su minimización. MAGERIT se basa en una aproximacióncualitativa que intenta cubrir un amplio espectro de usuarios genéricos gracias aun enfoque orientado a la adaptación del mecanismo dentro de diferentesentornos, generalmente con necesidades de seguridad y nivel de sensibilidadtambién diferentes. En la página web del Consejo Superior de Informáticapodemos encontrar información más detallada acerca de esta metodología, asícomo algunos ejemplos de ejecución de la misma.Tras obtener mediante cualquier mecanismo los indicadores de riesgo en nuestraorganización llega la hora de evaluarlos para tomar decisiones organizativasacerca de la gestión de nuestra seguridad y sus prioridades. Tenemos por unaparte el riesgo calculado, resultante de nuestro análisis, y este riesgo calculado seha de comparar con un cierto umbral (umbral de riesgo) determinado por la políticade seguridad de nuestra organización; el umbral de riesgo puede ser o bien unnúmero o bien una etiqueta de riesgo (por ejemplo, nivel de amenaza alto, impactoalto, vulnerabilidad grave, etc.), y cualquier riesgo calculado superior al umbral hade implicar una decisión de reducción de riesgo. Si por el contrario el calculado esmenor que el umbral, se habla de riesgo residual, y el mismo se consideraasumible (no hay porqué tomar medidas para reducirlo). El concepto de asumiblees diferente al de riesgo asumido, que denota aquellos riesgos calculadossuperiores al umbral pero sobre los que por cualquier razón (política, económica...)se decide no tomar medidas de reducción; evidentemente, siempre hemos de huir
  • 72. de esta situación.Una vez conocidos y evaluados de cualquier forma los riesgos a los que nosenfrentamos podremos definir las políticas e implementar las soluciones prácticas- los mecanismos - para minimizar sus efectos. Los siguientes; son los puntos aconsiderar al responder a las preguntas que nos hemos planteado al principio deeste punto:Identificación de los RecursosIdentificación de la AmenazasMedidas de Protección4. Rastreo, identificación y análisis de redes.4.1 Clasificación de las redes:Como ya hemos visto, se denomina red de computadoras una serie de hostautónomos y dispositivos especiales intercomunicador entre sí.Ahora bien, este concepto genérico de red incluye multitud de tipos diferentes deredes y posibles configuraciones de las mismas, por lo que desde un principiosurgió la necesidad de establecer clasificaciones que permitieran identificarestructuras de red concretas.La posibles clasificaciones de las redes pueden ser muchas, atendiendo cada unade ellas a diferentes propiedades, siendo las más comunes y aceptadas lassiguientes:Clasificación de las redes según su tamaño y extensión:Redes LAN. Las redes de área local (Local Area Network) son redes deordenadores cuya extensión es del orden de entre 10 metros a 1 kilómetro.Son redes pequeñas, habituales en oficinas, colegios y empresas pequeñas,que generalmente usan la tecnología de broadcast, es decir, aquella en que aun sólo cable se conectan todas las máquinas. Como su tamaño esrestringido, el peor tiempo de transmisión de datos es conocido, siendovelocidades de transmisión típicas de LAN las que van de 10 a 100 Mbps(Megabits por segundo).Redes MAN. Las redes de área metropolitana (Metropolitan Area Network)son redes de ordenadores de tamaño superior a una LAN, soliendo abarcar eltamaño de una ciudad. Son típicas de empresas y organizaciones que poseendistintas oficinas repartidas en un mismo área metropolitana, por lo que, en sutamaño máximo, comprenden un área de unos 10 kilómetros.Redes WAN. Las redes de área amplia (Wide Area Network) tienen untamaño superior a una MAN, y consisten en una colección de host o de redesLAN conectadas por una subred. Esta subred está formada por una serie de
  • 73. líneas de transmisión interconectadas por medio de routers, aparatos de redencargados de rutear o dirigir los paquetes hacia la LAN o host adecuado,enviándose éstos de un router a otro. Su tamaño puede oscilar entre 100 y1000 kilómetros.Redes internet. Una internet es una red de redes, vinculadas medianteruteadores gateways. Un gateway o pasarela es un computador especial quepuede traducir información entre sistemas con formato de datos diferentes. Sutamaño puede ser desde 10000 kilómetros en adelante, y su ejemplo másclaro es Internet, la red de redes mundial.Redes inalámbricas. Las redes inalámbricas son redes cuyos medios físicosno son cables de cobre de ningún tipo, lo que las diferencia de las redesanteriores. Están basadas en la transmisión de datos mediante ondas deradio, microondas, satélites o infrarrojos.Clasificación de las redes según la tecnología de transmisión:a. Redes de Broadcast. Aquellas redes en las que la transmisión de datos serealiza por un sólo canal de comunicación, compartido entonces por todaslas máquinas de la red. Cualquier paquete de datos enviado por cualquiermáquina es recibido por todas las de la red.b. Redes Point-To-Point. Aquellas en las que existen muchas conexionesentre parejas individuales de máquinas. Para poder transmitir los paquetesdesde una máquina a otra a veces es necesario que éstos pasen pormáquinas intermedias, siendo obligado en tales casos un trazado de rutasmediante dispositivos routers.Clasificación de las redes según el tipo de transferencia de datos que soportan:I. Redes de transmisión simple. Son aquellas redes en las que los datossólo pueden viajar en un sentido.II. Redes Half-Duplex. Aquellas en las que los datos pueden viajar en ambossentidos, pero sólo en uno de ellos en un momento dado. Es decir, sólopuede haber transferencia en un sentido a la vez.III.Redes Full-Duplex. Aquellas en las que los datos pueden viajar en ambossentidos a la vez.4.2 Topologías de red:Hemos visto en el tema sobre el modelo OSI y la arquitectura TCP/IP que lasredes de ordenadores surgieron como una necesidad de interconectar losdiferentes host de una empresa o institución para poder así compartir recursos yequipos específicos.Pero los diferentes componentes que van a formar una red se puedeninterconectar o unir de diferentes formas, siendo la forma elegida un factorfundamental que va a determinar el rendimiento y la funcionalidad de la red.La disposición de los diferentes componentes de una red se conoce con el nombrede topología de la red. La topología idónea para una red concreta va a depender
  • 74. de diferentes factores, como el número de máquinas a interconectar, el tipo deacceso al medio físico que deseemos, etc.Podemos distinguir tres aspectos diferentes a la hora de considerar una topología:1. La topología física, que es la disposición real de las máquinas, dispositivosde red y cableado (los medios) en la red.2. La topología lógica, que es la forma en que las máquinas se comunican através del medio físico. Los dos tipos más comunes de topologías lógicasson broadcast (Ethernet) y transmisión de tokens (Token Ring).3. La topología matemática, mapas de nodos y enlaces, a menudo formandopatrones.La topología de broadcast simplemente significa que cada host envía sus datoshacia todos los demás hosts del medio de red. Las estaciones no siguen ningúnorden para utilizar la red, sino que cada máquina accede a la red para transmitirdatos en el momento en que lo necesita. Esta es la forma en que funcionaEthernet.En cambio, la transmisión de tokens controla el acceso a la red al transmitir untoken eléctrico de forma secuencial a cada host. Cuando un host recibe el tokensignifica que puede enviar datos a través de la red. Si el host no tiene ningún datopara enviar, transmite el token hacia el siguiente host y el proceso se vuelve arepetir.Vamos a ver a continuación los principales modelos de topología.Modelos de topologíaLas principales modelos de topología son:Topología de busLa topología de bus tiene todos sus nodos conectados directamente a un enlace yno tiene ninguna otra conexión entre nodos. Físicamente cada host estáconectado a un cable común, por lo que se pueden comunicar directamente,aunque la ruptura del cable hace que los hosts queden desconectados.La topología de bus permite que todos los dispositivos de la red puedan ver todaslas señales de todos los demás dispositivos, lo que puede ser ventajoso si deseaque todos los dispositivos obtengan esta información. Sin embargo, puederepresentar una desventaja, ya que es común que se produzcan problemas detráfico y colisiones, que se pueden paliar segmentando la red en varias partes.Es la topología más común en pequeñas LAN, con hub o switch final en uno de losextremos.Topología de anillo
  • 75. Una topología de anillo se compone de un solo anillo cerrado formado por nodos yenlaces, en el que cada nodo está conectado solamente con los dos nodosadyacentes.Los dispositivos se conectan directamente entre sí por medio de cables en lo quese denomina una cadena margarita. Para que la información pueda circular, cadaestación debe transferir la información a la estación adyacente.Topología de anillo dobleUna topología en anillo doble consta de dos anillos concéntricos, donde cada hostde la red está conectado a ambos anillos, aunque los dos anillos no estánconectados directamente entre sí. Es análoga a la topología de anillo, con ladiferencia de que, para incrementar la confiabilidad y flexibilidad de la red, hay unsegundo anillo redundante que conecta los mismos dispositivos.La topología de anillo doble actúa como si fueran dos anillos independientes, delos cuales se usa solamente uno por vez.Topología en estrellaLa topología en estrella tiene un nodo central desde el que se irradian todos losenlaces hacia los demás nodos. Por el nodo central, generalmente ocupado por unhub, pasa toda la información que circula por la red.La ventaja principal es que permite que todos los nodos se comuniquen entre sí demanera conveniente. La desventaja principal es que si el nodo central falla, toda lared se desconecta.Topología en estrella extendida:La topología en estrella extendida es igual a la topología en estrella, con ladiferencia de que cada nodo que se conecta con el nodo central también es elcentro de otra estrella. Generalmente el nodo central está ocupado por un hub oun switch, y los nodos secundarios por hubs.La ventaja de esto es que el cableado es más corto y limita la cantidad dedispositivos que se deben interconectar con cualquier nodo central.La topología en estrella extendida es sumamente jerárquica, y busca que lainformación se mantenga local. Esta es la forma de conexión utilizada actualmentepor el sistema telefónico.Topología en árbol
  • 76. La topología en árbol es similar a la topología en estrella extendida, salvo en queno tiene un nodo central. En cambio, un nodo de enlace troncal, generalmenteocupado por un hub o switch, desde el que se ramifican los demás nodos.El enlace troncal es un cable con varias capas de ramificaciones, y el flujo deinformación es jerárquico. Conectado en el otro extremo al enlace troncalgeneralmente se encuentra un host servidor.Topología en malla completaEn una topología de malla completa, cada nodo se enlaza directamente con losdemás nodos. Las ventajas son que, como cada todo se conecta físicamente a losdemás, creando una conexión redundante, si algún enlace deja de funcionar lainformación puede circular a través de cualquier cantidad de enlaces hasta llegar adestino. Además, esta topología permite que la información circule por varias rutasa través de la red.La desventaja física principal es que sólo funciona con una pequeña cantidad denodos, ya que de lo contrario la cantidad de medios necesarios para los enlaces, yla cantidad de conexiones con los enlaces se torna abrumadora.Topología de red celularLa topología celular está compuesta por áreas circulares o hexagonales, cada unade las cuales tiene un nodo individual en el centro.La topología celular es un área geográfica dividida en regiones (celdas) para losfines de la tecnología inalámbrica. En esta tecnología no existen enlaces físicos;sólo hay ondas electromagnéticas.La ventaja obvia de una topología celular (inalámbrica) es que no existe ningúnmedio tangible aparte de la atmósfera terrestre o el del vacío del espacio exterior(y los satélites). Las desventajas son que las señales se encuentran presentes encualquier lugar de la celda y, de ese modo, pueden sufrir disturbios y violacionesde seguridad.Como norma, las topologías basadas en celdas se integran con otras topologías,ya sea que usen la atmósfera o los satélites.Topología irregular
  • 77. En este tipo de topología no existe un patrón obvio de enlaces y nodos. Elcableado no sigue un modelo determinado; de los nodos salen cantidadesvariables de cables. Las redes que se encuentran en las primeras etapas deconstrucción, o se encuentran mal planificadas, a menudo se conectan de estamanera.Las topologías LAN más comunes son:● Ethernet: topología de bus lógica y en estrella física o en estrella extendida.● Token Ring: topología de anillo lógica y una topología física en estrella.● FDDI: topología de anillo lógica y topología física de anillo doble.Redes LAN EthernetEthernet es la tecnología de red LAN más usada, resultando idóneas paraaquellos casos en los que se necesita una red local que deba transportar tráficoesporádico y ocasionalmente pesado a velocidades muy elevadas. Las redesEthernet se implementan con una topología física de estrella y lógica de bus, y secaracterizan por su alto rendimiento a velocidades de 10-100 Mbps.El origen de las redes Ethernet hay que buscarlo en la Universidad de Hawai,donde se desarrollo, en los años setenta, el Método de Acceso Múltiple conDetección de Portadora y Detección de Colisiones, CSMA/CD (Carrier Senseand Multiple Access with Collition Detection), utilizado actualmente por Ethernet.Este método surgió ante la necesidad de implementar en las islas Hawai unsistema de comunicaciones basado en la transmisión de datos por radio, que sellamó Aloha, y permite que todos los dispositivos puedan acceder al mismo medio,aunque sólo puede existir un único emisor encada instante. Con ello todos lossistemas pueden actuar como receptores de forma simultánea, pero la informacióndebe ser transmitida por turnos.El centro de investigaciones PARC (Palo Alto Research Center) de la XeroxCorporation desarrolló el primer sistema Ethernet experimental en los años 70,que posteriormente sirvió como base de la especificación 802.3 publicada en 1980por el Institute of Electrical and Electronic Engineers (IEEE).Las redes Ethernet son de carácter no determinista, en la que los hosts puedentransmitir datos en cualquier momento. Antes de enviarlos, escuchan el medio detransmisión para determinar si se encuentra en uso. Si lo está, entonces esperan.En caso contrario, los host comienzan a transmitir. En caso de que dos o más hostempiecen a transmitir tramas a la vez se producirán encontronazos o choquesentre tramas diferentes que quieren pasar por el mismo sitio a la vez. Estefenómeno se denomina colisión, y la porción de los medios de red donde seproducen colisiones se denomina dominio de colisiones.Una colisión se produce pues cuando dos máquinas escuchan para saber si haytráfico de red, no lo detectan y, acto seguido transmiten de forma simultánea. Eneste caso, ambas transmisiones se dañan y las estaciones deben volver atransmitir más tarde.Para intentar solventar esta pérdida de paquetes, las máquinas poseen
  • 78. mecanismos de detección de las colisiones y algoritmos de postergación quedeterminan el momento en que aquellas que han enviado tramas que han sidodestruidas por colisiones pueden volver a transmitirlas.Existen dos especificaciones diferentes para un mismo tipo de red, Ethernet yIEEE 802.3. Ambas son redes de broadcast, lo que significa que cada máquinapuede ver todas las tramas, aunque no sea el destino final de las mismas. Cadamáquina examina cada trama que circula por la red para determinar si estádestinada a ella. De ser así, la trama pasa a las capas superiores para suadecuado procesamiento. En caso contrario, la trama es ignorada.Ethernet proporciona servicios correspondientes a las capas física y de enlace dedatos del modelo de referencia OSI, mientras que IEEE 802.3 especifica la capafísica y la porción de acceso al canal de la capa de enlace de datos, pero nodefine ningún protocolo de Control de Enlace Lógico.Ethernet es una tecnología de broadcast de medios compartidos. El método deacceso CSMA/CD que se usa en Ethernet ejecuta tres funciones:1. Transmitir y recibir paquetes de datos.2. Decodificar paquetes de datos y verificar que las direcciones sean válidasantes de transferirlos a las capas superiores del modelo OSI.>3. Detectar errores dentro de los paquetes de datos o en la red.Tanto Ethernet como IEEE 802.3 se implementan a través de la tarjeta de red opor medio de circuitos en una placa dentro del host.Formato de trama EthernetSegún hemos visto, los datos generados en la capa de aplicación pasan a la capade transporte, que los divide en segmentos, porciones de datos aptas para sutransporte por res, y luego van descendiendo pos las sucesivas capas hasta llegara los medios físicos. Conforme los datos van bajando por la pila de capas, paso apaso cada protocolo les va añadiendo una serie de cabeceras y datosadicionales ;necesarios para poder ser enviados a su destino correctamente. Elresultado final es una serie de unidades de información denominadas tramas, queson las que viajan de un host a otro.La forma final de la trama obtenida, en redes Ethernet, es la siguiente:Y los principales campos que la forman son:Preámbulo: Patrón de unos y ceros que indica a las estaciones receptoras queuna trama es Ethernet o IEEE 802.3. La trama Ethernet incluye un byte adicionalque es el equivalente al campo Inicio de Trama (SOF) de la trama IEEE 802.3.● Inicio de trama (SOF): Byte delimitador de IEEE 802.3 que finaliza con dos
  • 79. bits 1 consecutivos, y que sirve para sincronizar las porciones de recepciónde trama de todas las estaciones de la red. Este campo se especificaexplícitamente en Ethernet.● Direcciones destino y origen: Incluye las direcciones físicas (MAC) únicasde la máquina que envía la trama y de la máquina destino. La direcciónorigen siempre es una dirección única, mientras que la de destino puede serde broadcast única (trama enviada a una sola máquina), de broadcastmúltiple (trama enviada a un grupo) o de broadcast (trama enviada a todoslos nodos).● Tipo (Ethernet): Especifica el protocolo de capa superior que recibe losdatos una vez que se ha completado el procesamiento Ethernet.● Longitud (IEEE 802.3): Indica la cantidad de bytes de datos que sigue estecampo.● Datos: Incluye los datos enviados en la trama. En las especificación IEEE802.3, si los datos no son suficientes para completar una trama mínima de64 bytes, se insertan bytes de relleno hasta completar ese tamaño (tamañomínimo de trama). Por su parte, las especificaciones Ethernet versión 2 noespecifican ningún relleno, Ethernet espera por lo menos 46 bytes de datos.● Secuencia de verificación de trama (FCS): Contiene un valor de verificaciónCRC (Control de Redundancia Cíclica) de 4 bytes, creado por el dispositivoemisor y recalculado por el dispositivo receptor para verificar la existenciade tramas dañadas.Cuando un paquete es recibido por el destinatario adecuado, les retira la cabecerade Ethernet y el checksum de verificación de la trama, comprueba que los datoscorresponden a un mensaje IP y entonces lo pasa a dicho protocolo para que loprocese. El tamaño máximo de los paquetes en las redes Ethernet es de 1500bytes.Tipos de redes EthernetExisten por lo menos 18 variedades de Ethernet, relacionadas con el tipo decableado empleado y con la velocidad de transmisión.Las tecnologías Ethernet más comunes y más importantes las son:● Ethernet 10Base2. Usa un cable coaxial delgado, por lo que se puededoblar más fácilmente, y además es más barato y fácil de instalar, aunquelos segmentos de cable no pueden exceder de 200 metros y 30 nodos. Lasconexiones se hacen mediante conectores en T, más fáciles de instalar ymás seguros.● Ethernet 10Base5. También llamada Ethernet gruesa, usa un cable coaxialgrueso, consiguiendo una velocidad de 10 Mbps. Puede tener hasta 100nodos conectados, con una longitud de cable de hasta 500 metros. Lasconexiones se hacen mediante la técnica denominada derivaciones devampiro, en las cuales se inserta un polo hasta la mitad del cable,realizándose la derivación en el interior de un transceiver, que contiene los
  • 80. elementos necesarios para la detección de portadores y choques. Eltransceiver se une al computador mediante un cable de hasta 50 metros.● Ethernet 10Base-T. Cada estación tiene una conexión con un hub central,y los cables usados son normalmente de par trenzado. Son las LAN máscomunes hoy en día. Mediante este sistema se palian los conocidosdefectos de las redes 10BAse2 y 10Base5, a saber, la mala detección dederivaciones no deseadas, de rupturas y de conectores flojos. Comodesventaja, los cables tienen un límite de sólo 100 metros, y los hubspueden resultar caros.● Ethernet 10Base-FX. Basada en el uso de fibra óptica para conectar lasmáquinas, lo que la hace cara para un planteamiento general de toda la red,pero idónea para la conexión entre edificios, ya que los segmentos puedentener una longitud de hasta 2000 metros, al ser la fibra óptica insensible alos ruidos e interferencias típicos de los cables de cobre. Además, suvelocidad de transmisión es mucho mayor.● Fast Ethernet. Las redes 100BaseFx (IEEE 802.3u) se crearon con la ideade paliar algunos de los fallos contemplados en las redes Ethernet 10Base-T y buscar una alternativa a las redes FDDI Son también conocidas comoredes Fast Ethernet, y están basadas en una topología en estrella para fibraóptica. Con objeto de hacerla compatible con Ethernet 10Base-T, latecnología Fast Ethernet preserva los formatos de los paquetes y lasinterfaces, pero aumenta la rapidez de transmisión hasta los 100 Mbps. Enla redes Fast Ethernet se usan cables de cuatro pares trenzados de la clase3, uno de los cuales va siempre al hub central, otro viene siempre desde elhub, mientras que los otros dos pares son conmutables. En cuanto a lacodificación de las señales, se sustituye la codificación Manchester porseñalización ternaria, mediante la cual se pueden transmitir 4 bits a la vez.También se puede implementar Fast Ethernet con cableado de la clase 5 entopología de estrella (100BaseTX), pudiendo entonces soportar hasta 100Mbps con transmisión full dúplex.Redes LAN Token RingLas redes Token Ring son redes de tipo determinista, al contrario de las redesEthernet. En ellas, el acceso al medio está controlado, por lo que solamente puedetransmitir datos una máquina por vez, implementándose este control por medio deun token de datos, que define qué máquina puede transmitir en cada instante.Token Ring e IEEE 802.5 son los principales ejemplos de redes de transmisión detokens.Las redes de transmisión de tokens se implementan con una topología física deestrella y lógica de anillo, y se basan en el transporte de una pequeña trama,denominada token, cuya posesión otorga el derecho a transmitir datos. Si un nodoque recibe un token no tiene información para enviar, transfiere el token alsiguiente nodo. Cada estación puede mantener al token durante un período de
  • 81. tiempo máximo determinado, según la tecnología específica que se hayaimplementado.Cuando una máquina recibe un token y tiene información para transmitir, toma eltoken y le modifica un bit, transformándolo en una secuencia de inicio de trama. Acontinuación, agrega la información a transmitir a esta trama y la envía al anillo,por el que gira hasta que llega a la estación destino.Mientras la trama de información gira alrededor del anillo no hay ningún otro tokenen la red, por lo que ninguna otra máquina puede realizar transmisiones.Cuando la trama llega a la máquina destino, ésta copia la información contenidaen ella para su procesamiento y elimina la trama, con lo que la estación emisorapuede verificar si la trama se recibió y se copió en el destino.Como consecuencia de este método determinista de transmisión, en las redesToken Ring no se producen colisiones, a diferencia de las redes CSMA/CD comoEthernet. Además, en las redes Token Ring se puede calcular el tiempo máximoque transcurrirá antes de que cualquier máquina pueda realizar una transmisión, loque hace que sean ideales para las aplicaciones en las que cualquier demoradeba ser predecible y en las que el funcionamiento sólido de la red sea importante.La primera red Token Ring fue desarrollada por la empresa IBM en los añossetenta, todavía sigue usándose y fue la base para la especificación IEEE 802.5(método de acceso Token Ring), prácticamente idéntica y absolutamentecompatible con ella. Actualmente, el término Token Ring se refiere tanto a la redToken Ring de IBM como a la especificación 802.5 del IEEE.Las redes Token Ring soportan entre 72 y 260 estaciones a velocidades de 4 a 16Mbps, se implementan mediante cableado de par trenzado, con blindaje o sin él, yutilizan una señalización de banda base con codificación diferencial deManchester.TokensLos tokens están formados por un byte delimitador de inicio, un byte de control deacceso y un byte delimitador de fin. Por lo tanto, tienen una longitud de 3 bytes.El delimitador de inicio alerta a cada estación ante la llegada de un token o de unatrama de datos/comandos. Este campo también incluye señales que distinguen albyte del resto de la trama al violar el esquema de codificación que se usa en otraspartes de la trama.● El byte de control de acceso contiene los campos de prioridad y de reserva,así como un bit de token y uno de monitor. El bit de token distingue untoken de una trama de datos/comandos y un bit de monitor determina si unatrama gira continuamente alrededor del anillo.● El delimitador de fin señala el fin del token o de una trama de
  • 82. datos/comandos. Contiene bits que indican si hay una trama defectuosa yuna trama que es la última de una secuencia lógica.El tamaño de las tramas de datos/comandos varía según el tamaño del campo deinformación. Las tramas de datos transportan información para los protocolos decapa superior, mientras que las tramas de comandos contienen información decontrol y no poseen datos para los protocolos de capa superior.En las tramas de datos o instrucciones hay un byte de control de trama acontinuación del byte de control de acceso. El byte de control de trama indica si latrama contiene datos o información de control. En las tramas de control, este byteespecifica el tipo de información de control.A continuación del byte de control de trama hay dos campos de dirección queidentifican las estaciones destino y origen. Como en el caso de IEEE 802.5, lalongitud de las direcciones es de 6 bytes. El campo de datos está ubicado acontinuación del campo de dirección. La longitud de este campo está limitada porel token de anillo que mantiene el tiempo, definiendo de este modo el tiempomáximo durante el cual una estación puede retener al token.Y a continuación del campo de datos se ubica el campo de secuencia deverificación de trama (FCS). La estación origen completa este campo con un valorcalculado según el contenido de la trama. La estación destino vuelve a calcular elvalor para determinar si la trama se ha dañado mientras estaba en tránsito. Si latrama está dañada se descarta. Como en el caso del token, el delimitador de fincompleta la trama de datos/comandos.Sistema de prioridadLas redes Token Ring usan un sistema de prioridad sofisticado que permite quedeterminadas estaciones de alta prioridad usen la red con mayor frecuencia. Lastramas Token Ring tienen dos campos que controlan la prioridad: el campo deprioridad y el campo de reserva.Sólo las estaciones cuya prioridad es igual o superior al valor de prioridad queposee el token pueden tomar ese token. Una vez que se ha tomado el token y éstese ha convertido en una trama de información, sólo las estaciones cuyo valor deprioridad es superior al de la estación transmisora pueden reservar el token para elsiguiente paso en la red. El siguiente token generado incluye la mayor prioridad dela estación que realiza la reserva. Las estaciones que elevan el nivel de prioridadde un token deben restablecer la prioridad anterior una vez que se ha completadola transmisión.Mecanismos de controlLas redes Token Ring usan varios mecanismos para detectar y compensar losfallos de la red. Uno de estos mecanismos consiste en seleccionar una estaciónde la red Token Ring como el monitor activo. Esta estación actúa como una fuentecentralizada de información de temporización para otras estaciones del anillo yejecuta varias funciones de mantenimiento del anillo. Potencialmente cualquier
  • 83. estación de la red puede ser la estación de monitor activo.Una de las funciones de esta estación es la de eliminar del anillo las tramas quecirculan continuamente. Cuando un dispositivo transmisor falla, su trama puedeseguir circulando en el anillo e impedir que otras estaciones transmitan suspropias tramas; esto puede bloquear la red. El monitor activo puede detectar estastramas, eliminarlas del anillo y generar un nuevo token.La topología en estrella de la red Token Ring de IBM también contribuye a laconfiabilidad general de la red. Las MSAU (unidades de acceso de estaciónmúltiple) activas pueden ver toda la información de una red Token Ring, lo que lespermite verificar si existen problemas y, de ser necesario, eliminar estaciones delanillo de forma selectiva.Otro mecanismo de control de fallos de red es el conocido como Beaconing.Cuando una estación detecta la existencia de un problema grave en la red (porejemplo, un cable roto), envía una trama de beacon. La trama de beacon defineun dominio de error. Un dominio de error incluye la estación que informa acercadel error, su vecino corriente arriba activo más cercano (NAUN) y todo lo que seencuentra entre ellos.Entones el beaconing inicia un proceso denominado autoreconfiguración, en elque los nodos situados dentro del dominio de error automáticamente ejecutandiagnósticos. Este es un intento de reconfigurar la red alrededor de las áreas enlas que hay errores. Físicamente, las MSAU pueden lograrlo a través de lareconfiguración eléctrica.Redes LAN FDDILas redes FDDI (Fiber Distributed Data Interface - Interfaz de Datos Distribuida porFibra ) surgieron a mediados de los años ochenta para dar soporte a lasestaciones de trabajo de alta velocidad, que habían llevado las capacidades de lastecnologías Ethernet y Token Ring existentes hasta el límite de sus posibilidades.Están implementadas mediante una física de estrella (lo más normal) y lógica deanillo doble de token, uno transmitiendo en el sentido de las agujas del reloj (anilloprincipal ) y el otro en dirección contraria (anillo de respaldo o back up), que ofreceuna velocidad de 100 Mbps sobre distancias de hasta 200 metros, soportandohasta 1000 estaciones conectadas. Su uso más normal es como una tecnologíade backbone para conectar entre sí redes LAN de cobre o computadores de altavelocidad.El tráfico de cada anillo viaja en direcciones opuestas. Físicamente, los anillosestán compuestos por dos o más conexiones punto a punto entre estacionesadyacentes. Los dos anillos de la FDDI se conocen con el nombre de primario ysecundario. El anillo primario se usa para la transmisión de datos, mientras que elanillo secundario se usa generalmente como respaldo.
  • 84. Se distinguen en una red FDDI dos tipos de estaciones: las estaciones Clase B, oestaciones de una conexión (SAS), se conectan a un anillo, mientras que las deClase A, o estaciones de doble conexión (DAS), se conectan a ambos anillos.Las SAS se conectan al anillo primario a través de un concentrador que suministraconexiones para varias SAS. El concentrador garantiza que si se produce una fallao interrupción en el suministro de alimentación en algún SAS determinado, el anillono se interrumpa. Esto es particularmente útil cuando se conectan al anillo PC odispositivos similares que se encienden y se apagan con frecuencia.Las redes FDDI utilizan un mecanismo de transmisión de tokens similar al de lasredes Token Ring, pero además, acepta la asignación en tiempo real del ancho debanda de la red, mediante la definición de dos tipos de tráfico:1. Tráfico Síncrono: Puede consumir una porción del ancho de banda total de100 Mbps de una red FDDI, mientras que el tráfico asíncrono puedeconsumir el resto.2. Tráfico Asíncrono: Se asigna utilizando un esquema de prioridad de ochoniveles. A cada estación se asigna un nivel de prioridad asíncrono.El ancho de banda síncrono se asigna a las estaciones que requieren unacapacidad de transmisión continua. Esto resulta útil para transmitir información devoz y vídeo. El ancho de banda restante se utiliza para las transmisionesasíncronasFDDI también permite diálogos extendidos, en los cuales las estaciones puedenusar temporalmente todo el ancho de banda asíncrono.El mecanismo de prioridad de la FDDI puede bloquear las estaciones que nopueden usar el ancho de banda síncrono y que tienen una prioridad asíncronademasiado baja.En cuanto a la codificación, FDDI no usa el sistema de Manchester, sino queimplementa un esquema de codificación denominado esquema 4B/5B, en el quese usan 5 bits para codificar 4. Por lo tanto, dieciséis combinaciones son datos,mientras que las otras son para control.Debido a la longitud potencial del amillo, una estación puede generar una nuevatrama inmediatamente después de transmitir otra, en vez de esperar su vuelta, porlo que puede darse el caso de que en el anillo haya varias tramas a la vez.Las fuentes de señales de los transceptores de la FDDI son LEDs (diodoselectroluminiscentes) o lásers. Los primeros se suelen usar para tendidos entremáquinas, mientras que los segundos se usan para tendidos primarios debackbone.Tramas FDDILas tramas en la tecnología FDDI poseen una estructura particular. Cada trama secompone de los siguientes campos:
  • 85. Preámbulo, que prepara cada estación para recibir la trama entrante.● Delimitador de inicio, que indica el comienzo de una trama, y está formadopor patrones de señalización que lo distinguen del resto de la trama.● Control de trama, que contiene el tamaño de los campos de dirección, si latrama contiene datos asíncronos o síncronos y otra información de control.● Dirección destino, que contiene la dirección física (6 bytes) de la máquinadestino, pudiendo ser una dirección unicast (singular), multicast (grupal) obroadcast (cada estación).● Dirección origen, que contiene la dirección física (6 bytes) de la máquinaque envió la trama.● Secuencia de verificación de trama (FCS), campo que completa la estaciónorigen con una verificación por redundancia cíclica calculada (CRC), cuyovalor depende del contenido de la trama. La estación destino vuelve acalcular el valor para determinar si la trama se ha dañado durante eltránsito. La trama se descarta si está dañada.● Delimitador de fin, que contiene símbolos que indican el fin de la trama.● Estado de la trama, que permite que la estación origen determine si se haproducido un error y si la estación receptora reconoció y copió la trama.Medios en las redes FDDIFDDI especifica una LAN de dos anillos de 100 Mbps con transmisión de tokens,que usa un medio de transmisión de fibra óptica.Aunque funciona a velocidades más altas, FDDI es similar a Token Ring. Ambasconfiguraciones de red comparten ciertas características, tales como su topología(anillo) y su método de acceso al medio (transferencia de tokens).Una de las características de FDDI es el uso de la fibra óptica como medio detransmisión. La fibra óptica ofrece varias ventajas con respecto al cableado decobre tradicional, por ejemplo:● Seguridad: la fibra no emite señales eléctricas que se pueden interceptar.● Confiabilidad: la fibra es inmune a la interferencia eléctrica.● Velocidad: la fibra óptica tiene un potencial de rendimiento mucho mayorque el del cable de cobre.Existen dos clases de fibra: monomodo (también denominado modo único); ymultimodo. La fibra monomodo permite que sólo un modo de luz se propague através de ella, mientras que la fibra multimodo permite la propagación de múltiplesmodos de luz. Los modos se pueden representar como haces de rayos luminososque entran a la fibra en un ángulo determinado.Cuando se propagan múltiples modos de luz a través de la fibra, éstos puedenrecorrer diferentes distancias, según su ángulo de entrada. Como resultado, nollegan a su destino simultáneamente; a este fenómeno se le denomina dispersiónmodal.
  • 86. La fibra monomodo puede acomodar un mayor ancho de banda y permite eltendido de cables de mayor longitud que la fibra multimodo. Debido a estascaracterísticas, la fibra monomodo se usa a menudo para la conectividad entreedificios mientras que la fibra multimodo se usa con mayor frecuencia para laconectividad dentro de un edificio. La fibra multimodo usa los LED comodispositivos generadores de luz, mientras que la fibra monomodo generalmenteusa láser.4.3 Modelo ISO/OSI:En un principio, los computadores eran elementos aislados, constituyendo cadauno de ellos una estación de trabajo independiente, una especie de "islainformática".Cada computador precisaba sus propios periféricos y contenía sus propiosarchivos, de tal forma que cuando una persona necesitaba imprimir un documentoy no disponía de una impresora conectada directamente a su equipo, debía copiaréste en un disquete, desplazarse a otro equipo con impresora instalada eimprimirlo desde allí. La única solución a este problema era instalar otra impresoraen el primer equipo, lo que acarreaba una duplicación de dispositivos y derecursos.Además, era imposible implementar una administración conjunta de todos losordenadores, por lo que la configuración y gestión de todos y cada uno de losequipos independientes y de los periféricos a ellos acoplados era una tarea arduapara el responsable de esta labor.Esta forma de trabajo era a todas luces poco práctica, sobre todo cuando lasempresas e instituciones fueron ampliando su número de computadores.Se hizo necesario entonces implementar sistemas que permitieran lacomunicación entre diferentes ordenadores y la correcta transferencia de datosentre ellos, surgiendo de esta forma el concepto de "redes de ordenadores" y de"trabajo en red" (networking).A mediados de los 70 diversos fabricantes desarrollaron sus propios sistemas deredes locales. En 1980 la empresa Xerox, en cooperación con Digital EquipmentCorporation e Intel, desarrolló las especificaciones del primer sistema de red,denominado EtherNet. En 1982 aparecen los ordenadores personales, y en 1986IBM introdujo la red TokenRing.El principal inconveniente de estos sistemas de comunicación en red fue que cadauno de ellos era propietario de una empresa particular, siendo desarrollados conhardware y software propios, con elementos protegidos y cerrados, que usabanprotocolos y arquitecturas diferentes. Como consecuencia de ello, la comunicaciónentre ordenadores pertenecientes a distintas redes era imposible.Cuando las empresas intentaron comunicar redes situadas en lugares diferentes,cada una con una implementación particular, se dieron cuenta de que necesitaban
  • 87. salir de los sistemas de networking propietarios, optando por una arquitectura dered con un modelo común que hiciera posible interconectar varias redes sinproblemas.Para solucionar este problema, la Organización Internacional para laNormalización (ISO) realizó varias investigaciones acerca de los esquemas de red.La ISO reconoció que era necesario crear un modelo que pudiera ayudar a losdiseñadores de red a implementar redes que pudieran comunicarse y trabajar enconjunto (interoperabilidad) y por lo tanto, elaboraron el modelo de referencia OSIen 1984.En la actualidad, una adecuada interconexión entre los usuarios y procesos deuna empresa u organización, puede constituir una clara ventaja competitiva. Lareducción de costes de periféricos, o la facilidad para compartir y transmitirinformación son los puntos claves en que se apoya la creciente utilización deredes..El modelo OSIEl Modelo de Referencia de Interconexión de Sistemas Abiertos, OSI-RM (OpenSystem Interconection-Reference Model) proporcionó a los fabricantes un conjuntode estándares que aseguraron una mayor compatibilidad e interoperabilidad entrelos distintos tipos de tecnología de red utilizados por las empresas a nivel mundial.Para poder simplificar el estudio y la implementación de la arquitectura necesaria,la ISO dividió el modelo de referencia OSI en capas, entendiéndose por capa unaentidad que realiza de por sí una función específica.Cada capa define los procedimientos y las reglas (protocolos normalizados) quelos subsistemas de comunicaciones deben seguir, para poder comunicarse consus procesos correspondientes de los otros sistemas. Esto permite que unproceso que se ejecuta en una computadora, pueda comunicarse con un procesosimilar en otra computadora, si tienen implementados los mismos protocolos decomunicaciones de capas OSI.Los criterios que llevaron a este modelo de referencia fueron:● Deberá crearse una nueva capa siempre que se precise un nuevo grado deabstracción.● A cada capa deberá asignarse un numero bien definido de funcionespropias.● La funcionalidad de cada capa deberá tener en cuenta la posibilidad dedefinir protocolos normalizados a nivel internacional.● La frontera de las capas será tal que se minimice el flujo de información através de la interfaz entre ambas.● El numero de capas será lo suficientemente grande como para no reunir enun nivel funcionalidades distinta y lo suficientemente pequeño para que elresultado final sea manejable en la práctica.BBBEn el modelo de referencia OSI hay siete capas numeradas, cada una de lascuales ilustra una función de red particular. La división de la red en siete capas
  • 88. presenta las siguientes ventajas:1. Divide la comunicación de red en partes más pequeñas y sencillas.2. Normaliza los componentes de red para permitir el desarrollo y el soportede los productos de diferentes fabricantes.3. Permite a los distintos tipos de hardware y software de red comunicarseentre sí de una forma totalmente definida.4. Divide la comunicación de red en partes más pequeñas para simplificar elaprendizaje.Una analogía del sistema de capas puede ser la forma en que una carta esenviada desde el emisor hasta el destinatario. En este proceso intervienen unaserie de entidades o capas (carteros, oficinas postales, medios de transporte,etc.), cada una de las cuales realiza una serie de funciones específicas,necesarias para el funcionamiento de las demás y para la entrega efectiva de lacarta.Las sietes capas OSI son:Capa 7: La capa de aplicación.La capa de aplicación es la capa del modelo OSI más cercana al usuario, y estárelacionada con las funciones de mas alto nivel, proporcionando soporte a lasaplicaciones o actividades del sistema, suministrando servicios de red a lasaplicaciones del usuario y definiendo los protocolos usados por las aplicacionesindividuales.Es el medio por el cual los procesos las aplicaciones de usuario acceden a lacomunicación por red mediante el entorno OSI, proporcionando los procedimientosprecisos para ello.Los procesos de las aplicaciones se comunican entre sí por medio de entidadesde aplicación propias, estando éstas controladas por protocolos específicos de lacapa de aplicación, que a su vez utilizan los servicios de la capa de presentación,situada inmediatamente debajo en el modelo.Difiere de las demás capas debido a que no proporciona servicios a ninguna otracapa OSI, sino solamente a aplicaciones que se encuentran fuera del modelo(procesadores de texto, hojas de cálculo, navegadores web, etc.).La capa de aplicación establece la disponibilidad de los diversos elementos quedeben participar en la comunicación, sincroniza las aplicaciones que cooperanentre sí y establece acuerdos sobre los procedimientos de recuperación de erroresy control de la integridad de los datos.Capa 6: La capa de presentación.La capa de presentación proporciona sus servicios a la capa de aplicación,garantizando que la información que envía la capa de aplicación de un sistemapueda ser entendida y utilizada por la capa de aplicación de otro, estableciendo elcontexto sintáctico del diálogo.
  • 89. Su tarea principal es aislar a las capas inferiores del formato de los datos de lasaplicaciones específicas, transformando los formatos particulares (ASCII, EBCDIC,etc.) en un formato común de red, entendible por todos los sistemas y apto paraser enviado por red.Es también las responsable de la obtención y de la liberalización de la conexión desesión cuando existan varias alternativas disponibles.Para cumplir estas funciones, la capa de presentación realiza las siguientesoperaciones:● Traducir entre varios formatos de datos utilizando un formato común,estableciendo la sintaxis y la semántica de la información transmitida. Paraello convierte los datos desde el formato local al estándar de red yviceversa.● Definir la estructura de los datos a transmitir. Por ejemplo, en el caso de unacceso a base de datos, definir el orden de transmisión y la estructura delos registros.● Definir el código a usar para representar una cadena de caracteres (ASCII,EBCDIC, etc).● Dar formato a la información para visualizarla o imprimirla.● Aplicar a los datos procesos criptográficos cuando sea necesario.Capa 5: La capa de sesión.La capa de sesión proporciona sus servicios a la capa de presentación,proporcionando el medio necesario para que las entidades de presentación de doshost que se están comunicando por red organicen y sincronicen su diálogo yprocedan al intercambio de datos.Sus principales funciones son:● Establecer, administrar y finalizar las sesiones entre dos hosts (máquinasen red) que se están comunicando.● Si por algún motivo una sesión falla por cualquier causa ajena al usuario,restaurar la sesión a partir de un punto seguro y sin perdida de datos o, siesto no es posible, terminar la sesión de una manera ordenada,chequeando y recuperando todas sus funciones, evitando así problemas ensistemas transaccionales.● Sincronizar el diálogo entre las capas de presentación de los dos hosts yadministrar su intercambio de datos, estableciendo las reglas o protocolospara el dialogo entre máquinas, regulando quien habla y por cuanto tiempo.● Conseguir una transferencia de datos eficiente y un registro de excepcionesacerca de los problemas de la capa de sesión, presentación y aplicación.● Manejar tokens . Los tokens son objetos abstractos y únicos que se usanpara controlar las acciones de los participantes en la comunicación, base deciertos tipos de redes, como Token Ring o FDDI.● Hacer checkpoints, que son puntos de recuerdo en la transferencia dedatos, necesarios para la correcta recuperación de sesiones perdidas.
  • 90. Capa 4: La capa de transporte.La capa de transporte proporciona sus servicios a la capa de sesión, efectuando latransferencia de datos entre dos entidades de sesión.Para ello, divide los datos originados en el host emisor en unidades apropiadas,denominadas segmentos , que vuelve a reensamblar en el sistema del hostreceptor.Mientras que las capas de aplicación, presentación y sesión están relacionadascon aspectos de las aplicaciones de usuario, las tres capas inferiores se encargandel transporte de datos. Además, la capa de transporte es la primera que secomunica directamente con su capa par de destino, ya que la comunicación de lascapas anteriores es de tipo máquina a máquina.La capa de transporte intenta suministrar un servicio de transporte de datos queaísle las capas superiores de los detalles del mismo, encargándose de conseguiruna transferencia de datos segura y económica y un transporte confiable de datosentre los nodos de la red.Para ello, la capa de transporte establece, mantiene y termina adecuadamente loscircuitos virtuales, proporcionando un servicio confiable mediante el uso desistemas de detección y recuperación de errores de transporte.Se conocen con el nombre de circuitos virtuales a las conexiones que seestablecen dentro de una red. En ellos no hay la necesidad de tener que elegiruna ruta nueva para cada paquete, ya que cuando se inicia la conexión sedetermina una ruta de la fuente al destino, ruta que es usada para todo el tráficode datos posterior.Podemos resumir las funciones de la capa de transporte en los siguientes puntos:● Controlar la interacción entre procesos usuarios en las máquinas que secomunican.● Incluir controles de integración entre usuarios de la red para prevenirperdidas o doble procesamiento de transmisiones.● Controlar el flujo de transacciones y el direccionamiento de procesos demaquina a procesos de usuario.● Asegurar que se reciban todos los datos y en el orden adecuado, realizandoun control de extremo a extremo.● Aceptar los datos del nivel de sesión, fragmentándolos en unidades máspequeñas aptas para el transporte confiable, llamadas segmentos, quepasa luego a la capa de red para su envío.● Realizar funciones de control y numeración de las unidades de información(los segmentos).● Reensamblar los mensajes en el host destino, a partir de los segmentosque lo forman.● Garantizar la transferencia de información a través de la red.
  • 91. Capa 3: La capa de red.La capa de red proporciona sus servicios a la capa de transporte, siendo una capacompleja que proporciona conectividad y selección de la mejor ruta para lacomunicación entre máquinas que pueden estar ubicadas en redesgeográficamente distintas.Es la responsable de las funciones de conmutación y enrutamiento de lainformación (direccionamiento lógico), proporcionando los procedimientosnecesarios para el intercambio de datos entre el origen y el destino, por lo que esnecesario que conozca la topología de la red (forma en que están interconectadoslos nodos), con objeto de determinar la ruta más adecuada.Sus principales funciones son:● Dividir los mensajes de la capa de transporte (segmentos) en unidades máscomplejas, denominadas paquetes , a los que asigna las direccioneslógicas de los host que se están comunicando.● Conocer la topología de la red y manejar el caso en que la máquina origen yla máquina destino estén en redes distintas.● Encaminar la información a través de la red en base a las direcciones delpaquete, determinando los métodos de conmutación y enrutamiento através de dispositivos intermedios (routers).● Enviar los paquetes de nodo a nodo usando un circuito virtual odatagramas.● Ensamblar los paquetes en el host destino.En esta capa es donde trabajan los routers, dispositivos encargados de encaminaro dirigir los paquetes de datos desde el host origen hasta el host destino a travésde la mejor ruta posible entre ellos.Capa 2: La capa de enlace de datos.La capa de enlace proporciona sus servicios a la capa de red, suministrando untránsito de datos confiable a través de un enlace físico.Se ocupa del direccionamiento físico, la topología de red, el acceso a la misma, lanotificación de errores, la formación y entrega ordenada de datos y control de flujo.Su principal misión es convertir el medio de transmisión en un medio libre deerrores de cualquier tipo, realizando para ello las siguientes funciones:● Establecer los medios necesarios para una comunicación confiable yeficiente entre dos máquinas en red.● Agregar una secuencia especial de bits al principio y al final de los paquetesde datos, estructurando este flujo bajo un formato predefinido, denominadotrama , que suele ser de unos cientos de bytes.● Sincronizar el envío de las tramas, transfiriéndolas de una forma confiablelibre de errores. Para detectar y controlar los errores se añaden bits deparidad, se usan CRC (Códigos Cíclicos Redundantes) y envío de acusesde recibo positivos y negativos, y para evitar tramas repetidas se usan
  • 92. números de secuencia en ellas.● Controlar la congestión de la red.● Regular la velocidad de tráfico de datos.● Controlar el flujo de tramas mediante protocolos que prohíben que elremitente envíe tramas sin la autorización explícita del receptor,sincronizando así su emisión y recepción.● Encargarse del acceso de los datos al medio (soportes físicos de la red).Capa 1: La capa física.La misión principal de esta capa es transmitir bits por un canal de comunicación,de manera que cuanto envíe el emisor llegue sin alteración al receptor.La capa física proporciona sus servicios a la capa de enlace de datos, definiendolas especificaciones eléctricas, mecánicas, de procedimiento y funcionales paraactivar, mantener y desactivar el enlace físico entre sistemas finales, relacionandola agrupación de circuitos físicos a través de los cuales los bits son transmitidos.Sus principales funciones las podemos resumir en:● Definir las características materiales (componentes y conectoresmecánicos) y eléctricas (niveles de tensión) que se van a usar en latransmisión de los datos por los medios físicos.● Definir las características funcionales de la interfaz (establecimiento,mantenimiento y liberación del enlace físico).● Transmitir el flujo de bits a través del medio.● Manejar voltajes y pulsos eléctricos.● Especificar cables, conectores y componentes de interfaz con el medio detransmisión, polos en un enchufe, etc.● Garantizar la conexión (aunque no la fiabilidad de ésta).Esta capa solamente reconoce bits individuales.4.4 Medios de transmisión:Cable de Par Trenzado.Los cables de Par trenzado son utilizados en Tokeng ring, Ethernet, 10BaseT(ethernet 10MB/s)Cable coaxialEl cable coaxial consta de un núcleo de cobre sólido rodeado por un aislante, unaespecie de combinación entre pantalla y cable de tierra y un revestimientoprotector exterior. En el pasado, el cable coaxial permitió una transmisión más alta
  • 93. (10 Mbps) que el cable de par trenzado, aunque las recientes técnicas detransmisión sobre par trenzado igualan e incluso superan la velocidad detransmisión por cable coaxial. Sin embargo, los cables coaxiales pueden conectarlos dispositivos de la red a distancias más largas que los de par trenzado. A pesarde ser el cable coaxial el medio tradicional de transmisión en redes basadas enEthernet y ARCNET, la utilización de par trenzado y fibra óptica ya es muy comúnhoy en día sobre este tipo de redes.Fibra ópticaEl cable de fibra óptica transmite señales luminosas (fotones) a través de unnúcleo de dióxido de silicio puro tan diáfano que un espesor de más de tres millasdel mismo no produce distorsión en una visión a su través. La transmisión fotónicano produce emisiones externas al cable, sin ser afectada por la radiación exterior.El cable de fibra se prefiere cuando existen ciertos requisitos de seguridad. Laconversión electrónica de los valores lógicos 1 y 0 en destellos de luz permite latransmisión de las señales a través del cable de fibra óptica. Un diodo emisor deluz, situado en un extremo, emite destellos que se transmiten por el cable hasta elotro extremo, donde se recogen por un simple fotodetector y se convierten enseñales eléctricas. Puesto que no existe una resistencia a las señalestransmitidas, la velocidad de transmisión por fibra óptica supera en prestacionesampliamente a la transmisión por cable de cobre.Inhalambrica:Se basan en la propagación de ondas electromagnéticas a través del aire. Paraello sólo requieren la estación emisora y receptora , además de posiblesrepetidores intermedios para salvar la orografía del terreno, ya que este tipo detransmisión exige visibilidad entre las dos estaciones emisora y receptora. En laactualidad existen los siguientes tipos de radioenlaces: de onda corta, sistemasterrestres de microondas y sistemas basados en satélites de comunicaciones. Latransmisión mediante microondas se lleva a cabo en una gama de frecuencias queva desde 2 a 40 GHz. Cuando las distancias son extremadamente grandes, elnúmero de repetidores sería también grande. Además, si tenemos en cuenta lasuperficie terrestre recubierta de agua donde la instalación de repetidores seríacompleja, se utilizan los satélites de comunicaciones soportados sobre satélitesartificiales geoestacionarios, es decir, que no modifican su posición respecto a latierra.
  • 94. 4.5 Dispositivos de Red (Ruteadores, gateways, switches, repetidores)Repetidor:Dispositivo hardware encargado de amplificar o regenerarla señal entre dossegmentos de una red homogénea que se interconectan ampliando su cobertura.El propósito de un repetidor es regenerar y retemporizar las señales de red a nivelde los bits para permitir que los bits viajen a mayor distancia a través de losmedios.Opera en el nivel físico del modelo de referencia OSI.Routers (encaminadores)El router (enrutador o encaminador) es un dispositivo hardware o software deinterconexión de redes de computadoras que opera en la capa 3 (nivel de red) delmodelo OSI. Este dispositivo interconecta segmentos de red o redes enteras.Hacen pasar paquetes de datos entre redes tomando como base la información dela capa de red.Los routers toman decisiones lógicas con respecto a la mejor ruta para el envío dedatos a través de una red interconectada y luego dirigen los paquetes hacia elsegmento y el puerto de salida adecuados. Los routers toman decisionesbasándose en diversos parametros. La más importante es decidir la dirección de lared hacia la que va destinado el paquete (En el caso del protocolo IP esta sería ladirección IP). Otras serían la carga de tráfico de red en los distintos interfaces dered del router y la velocidad de cada uno de ellos, dependiendo del protocolo quese utilice.Pasarela (Gateway)Una pasarela o gateway es un dispositivo, con frecuencia un ordenador querealiza la conversión de protocolos entre diferentes tipos de redes o aplicaciones.Por ejemplo, un gateway de correo electrónico o de mensajes, convierte mensajesentre dos diferentes protocolos de mensajes. La traducción de las unidades deinformación reduce mucho la velocidad de transmisión a través de estos equipos.En realidad es una puerta de acceso, teniendo lugar una conversión completa deprotocolos hasta la capa de aplicación del modelo de referencia OSI.Switch (Conmutadores)Un switch (en castellano "interruptor" o "conmutador") es un dispositivo deinterconexión de redes de computadoras que opera en la capa 2 (nivel de enlacede datos) del modelo OSI Open Systems Interconection). Un switch interconecta
  • 95. dos o más segmentos de red, funcionando de manera similar a los puentes(bridges), pasando datos de una red a otra, de acuerdo con la dirección MAC dedestino de los datagramas en la red.Los switches se utilizan cuando se desea conectar múltiples redes. Al igual que losbridges, dado que funcionan como un filtro en la red, mejoran el rendimiento y laseguridad de las LANs (Local Area Network- Red de Área Local)Hub (Concentrador)Dispositivo que permite centralizar el cableado de una red También conocido conel nombre de hub.Un concentrador funciona repitiendo cada paquete de datos en cada uno de lospuertos con los que cuenta de forma que todos los puntos tienen acceso a losdatos. Son la base para las redes de topología tipo estrella. Como alternativaexisten los sistemas en los que los ordenadores están conectados en serie, esdecir, a una línea que une varios o todos los ordenadores entre sí, antes de llegaral ordenador central. Llamado también repetidor multipuerto, existen 3 clases.Pasivo: No necesita energía eléctrica.Activo: Necesita alimentación.Inteligente: o smart hubs son hubs activos que incluyen microprocesador.Dentro del modelo OSI el concentrador opera a nivel de la capa física.4.6Paradigma cliente/servidor:El paradigma cliente/servidor es uno de los más extendidos dentro de los serviciosa través de red. La idea básica y general que hay detrás de este modelo es quehay alguien que ofrece algo (el servidor) y alguien que quiere algo (el cliente). Enel caso de las páginas web tenemos un servidor web que es aquél que tiene laspáginas web (o sea, la información) y un cliente (un navegador) que es el que pidela página web (generalmente para mostrarla). El modelo cliente-servidor aparecetambién en multitud de situaciones cotidianas que tienen poco que ver con lainformática: así cuando estamos en la cola de una hamburguesería somos losclientes que estamos demandando un servicio (nuestra comida) de un servidor(que sería el cajero y que nos "sirve" la comida).Generalmente cuando navegamos por Internet nos encontraremos, por tanto, en ellado del cliente. En esta asignatura vamos a ir adentrándonos paulatinamente enla parte del servidor, ya que tendremos que gestionar convenientementecontenidos y recursos para ofrecerlos a los clientes que así lo soliciten.
  • 96. La siguiente figura muestra claramente el funcionamiento de este modelo.Podemos ver cómo el cliente realiza peticiones al servidor, mientras que elservidor se dedica simplemente a responderle. De por sí, un servidor no hacenada; necesita que un cliente le demande algo. Todos los servicios de Internet(WWW, correo, FTP, IRC, etc.) tienen clientes y servidores específicos, aunque entiempos recientes se intente integrar todo bajo un interfaz web que es másamigable para el usuario.La integración universal hacia el web es una de las características másimportantes de los últimos años y que afectará de manera notoria a lo quehagamos en esta asignatura. Aún cuando nuestra labor sea gestionar contenidos yrecursos en el servidor, es muy probable, casi seguro, que estas acciones lasrealizaremos mediante nuestro navegador.El funcionamiento de las páginas web es básicamente el siguiente. Al introduciruna dirección web lo que estamos haciendo es pedir un fichero localizado en unordenador (que actuará de servidor). El servidor nos enviará este fichero y nuestronavegador (el programa cliente) se encargará de interpretarlo para que nosaparezca la página web (que será más o menos vistosa) en pantalla.En general, sin embargo, la interacción entre el cliente y el servidor se reducía aun simple "dame esa página web"; da igual que el cliente la pida ahora o mañana,siempre recibirá el mismo fichero, porque éste no ha sufrido cambios. En losbuscadores, damos un paso más y como clientes le pedimos que nos devuelvauna página web con el resultado de una operación de búsqueda. Le estamospidiendo, por tanto, que genere la página web dinámicamente y nos la envíe.4.6 FirewallsUn cortafuegos (o firewall en inglés), es un elemento de hardware o softwareutilizado en las redes para prevenir algunos tipos de comunicaciones prohibidaspor las políticas de red, las cuales se fundamentan en las necesidades del usuario.La configuración correcta de cortafuegos se basa en conocimientos considerablesde los protocolos de red y de la seguridad de la computadora. Errores pequeñospueden dejar a un cortafuego sin valor como herramienta de seguridad.Tipos:1.- Firewall de capa de red.- Funciona al nivel de la red de la pila de protocolos(TCP/IP) como filtro de paquetes IP, no permitiendo que estos pasen el cortafuegoa menos que se atengan a las reglas definidas por el administrador del cortafuegoo aplicadas por defecto como en algunos sistemas inflexibles de cortafuego. Una
  • 97. disposición más permisiva podría permitir que cualquier paquete pase el filtromientras que no cumpla con ninguna regla negativa de rechazo.2.- Firewall de capa de aplicación.- Trabaja en el nivel de aplicación. Analizandotodo el tráfico de HTTP, (u otro protocolo), puede interceptar todos los paquetesque llegan o salen desde y hacia las aplicaciones que corren en la red. Este tipode cortafuegos usa ese conocimiento sobre la información transferida para proveerun bloqueo más selectivo y para permitir que ciertas aplicaciones autorizadasfuncionen adecuadamente. A menudo tienen la capacidad de modificar lainformación transferida sobre la marcha, de modo de engañar a las aplicaciones yhacerles creer que el contrafuegos no existe. Otros también tienen adosadosoftware para revisar por virus el correo electrónico.Ventajas:* Protege de intrusiones.- Solamente entran a la red las personas autorizadasbasadas en la política de la red en base a las configuraciones.* Optimización de acceso.- Identifica los elementos de la red internos y optimizaque la comunicación entre ellos sea más directa si así se desea. Esto ayuda areconfigurar rápida y fácilmente los parámetros de seguridad.* Protección de información privada.- Permite el acceso solamente a quien tengaprivilegios a la información de cierta área o sector de la red.* Protección contra virus.- Evita que la red se vea infestada por nuevos virus quesean liberados.
  • 98. 4.7 Mapeo de PuertosEl mapeo de Puertos o Port Address Translation (PAT) es el proceso donde lospaquetes que llegan a una dirección IP o Puerto puede ser traducida y de éstamanera redireccionada a una dirección IP o puerto diferente. Esta funcionalidad esuna manera de crear un pasaje persistente mediante NAT, Port Mapping solo esnecesario para las conecciones entrantes, no para el tráfico de retorno.4.9 Sistema de Detección de InstrusosUn sistema de detección de intrusos (IDS) es un programa usado para detectaraccesos desautorizados a un computador o a una red. Estos accesos pueden serataques de habilidosos hackers, o de Script Kiddies que usan herramientasautomáticas.En el mercado existen diferentes versiones, de Hardware y de Software.Por mencionar algunos esta el Intrusion Detection de Computer Associates ySNORT.
  • 99. De Hardware esta de Symantec, el Security gateway (como modulo), entre otros.El funcionamiento de estas herramientas se basa en el análisis pormenorizado deltrafico de red, el cual al entrar al analizador es comparado con firmas de ataquesconocidos, y/o comportamientos sospechosos, como puede ser el scaneo depuertos, paquetes malformados, etc.Normalmente esta herramienta se integra con un firewall, El detector de intrusoses incapaz de detener los ataques por si solo "excepto los que están embebidosen un dispositivo de gateway con funcionalidad de firewall" , pero al estartrabajando en conjunto con el firewall se convierten en una herramienta muypoderosa ya que se une la inteligencia del IDS "el IDS no solo analiza que tipo detrafico es, si no que también revisa el contenido y su comportamiento", y el poderde bloqueo del firewall, este al ser el punto donde forzosamente deben pasar lospaquetes, ahí pueden ser bloqueados sin problema alguno.