Professional Documents
Culture Documents
8 Semestre Grupo 1
Seguridad Multiplataformas
en la dcada de 1970. Fue implantado en la red ARPANET, la primera red de rea amplia (WAN),
desarrollada por encargo de DARPA, una agencia del Departamento de Defensa de los Estados Unidos, y
predecesora de Internet. A veces se denomina como ', modelo DoD o modelo DARPA.
Las capas estn jerarquizadas. Cada capa se construye sobre su predecesora. El nmero de capas y, en
cada una de ellas, sus servicios y funciones son variables con cada tipo de red. Sin embargo, en cualquier
red, la misin de cada capa es proveer servicios a las capas superiores hacindoles transparentes el modo
en que esos servicios se llevan a cabo. De esta manera, cada capa debe ocuparse exclusivamente de su
nivel inmediatamente inferior, a quien solicita servicios, y del nivel inmediatamente superior, a quien
devuelve resultados.1
La capa de enlace de datos proporciona un medio para intercambiar datos a travs de medios locales
comunes.
Permite a las capas superiores acceder a los medios usando tcnicas, como tramas.
Controla cmo los datos se ubican en los medios y son recibidos desde los medios usando tcnicas
https://es.wikipedia.org/wiki/Modelo_TCP/IP
Dentro de la capa de enlace de datos manejamos los siguientes conceptos:
Medios/medio (fsico): los medios fsicos para la transferencia de informacin entre dos nodos.Red
La capa de enlace de datos es responsable del intercambio de tramas entre nodos a travs de los medios
Al igual que con la Capa Fsica, las vulnerabilidades de esta capa estn ligadas al medio sobre el que se
2 Capa de enlace de datos: Control de acceos al medio. (2012). Recuperado el 7 de Mayo del 2017 de
http://solucionesinformatica.wordpress.com/2012/09/21/capa-enlace-de-datos-control-de-acceso-al-medio
Este nivel comprende la conexin con el nodo inmediatamente adyacente, lo cual en una red punto a punto
es sumamente claro, pero en una red LAN, es difcil de interpretar cual es el nodo adyacente. Por esta razn
como mencionamos en la teora IEEE los separa en 2 subniveles: LLC y MAC (LLC: Logical Link Control,
MAC: Medium Access Control), en realidad como una de las caractersticas de una LAN es el empleo de un
nico canal por todos los Host, el nodo adyacente son todos los Host.
La importancia de este nivel, es que es el ltimo que encapsula todos los anteriores, por lo tanto si se
escucha y se sabe desencapsular se tiene acceso a absolutamente toda la informacin que circula en una
red. Bajo este concepto se trata del que revista mayor importancia para el anlisis de una red.
Qu debemos auditar:
Control de direcciones de Hardware: El objetivo de mxima en este nivel (Pocas veces realizado) es
poseer el control de la totalidad de las direcciones de Hardware de la red. Esto implica poseer la lista
completa del direccionamiento MAC o tambin llamado NIC (Network Interface Card), es decir de las
tarjetas de red.
Auditora de configuracin de Bridge o Switch: Estos son los dispositivos que operan a nivel 2 (En
realidad el concepto puro de Switch es el de un Bridge multipuerto), su trabajo consta de ir aprendiendo por
qu puerto se hace presente cada direccin MAC, y a medida que va aprendiendo, conmuta el trfico por la
puerta adecuada, segmentando la red en distintos Dominios de colisin. La totalidad de estos dispositivos
es administrable en forma remota o por consola, las medidas que se pueden tomar en su configuracin
Anlisis de trfico: En este nivel la transmisin puede ser Unicast (de uno a uno), Multicast (de uno a
muchos) o Broadcast (de uno a todos). La performance (rendimiento) de una red se ve seriamente resentida
con la presencia de Broadcast, de hecho esta es una de las medidas de mayor inters para optimizar redes
y tambin es motivo de un conocido ataque a la disponibilidad llamado Bombardeo de Broadcast. Otro tipo
de medidas es el anlisis de los multicast, pues son estos los mensajes que intercambian los Router, y es
de sumo provecho para un interesado en una red ajena ser partcipe de estos grupos, pues en
Anlisis de colisiones: Una colisin se produce cuando un host transmite y otro en un intervalo de tiempo
menor a 512 microsegundos (que es el tamao mnimo de una trama Ethernet) si se encuentra a una
distancia tal que la seal del primero no lleg, se le ocurre transmitir tambin. Ante este hecho, los
dos host hacen silencio y esperan una cantidad aleatoria de tiempos de ranura (512 microsegundos), e
intentan transmitir nuevamente. Si se tiene acceso fsico a la red, un ataque de negacin de servicio, es
justamente generar colisiones, pues obliga a hacer silencio a todos los Host de ese segmento.
Deteccin de Sniffers o analizadores de protocolos: Esta es una de las tareas ms difciles pues estos
elementos solamente escuchan, solo se hacen presentes cuando emplean agentes remotos que colectan
datos.
Captura automtica de contraseas enviadas en claro y nombres de usuario de la red. Esta capacidad
Anlisis de fallos para descubrir problemas en la red, tales como: por qu el ordenador A no puede
Medicin del trfico, mediante el cual es posible descubrir cuellos de botella en algn lugar de la red.
Deteccin de intrusos, con el fin de descubrir crackers. Aunque para ello existen programas especficos
llamados IDS (Intrusion Detection System, Sistema de Deteccin de intrusos), estos son prcticamente
Creacin de registros de red, de modo que los crackers no puedan detectar que estn siendo
investigados.
Para los desarrolladores, en aplicaciones cliente-servidor. Les permite analizar la informacin real que
Evaluacin de puntos de acceso WiFi: Esta tecnologa slo es segura si se configura adecuadamente,
por lo tanto en este aspecto es de especial inters verificar qu tipo de protocolos de autenticacin se han
configurado, los permisos de acceso a estos dispositivos, su potencia de emisin, la emisin de beacons,
etc.
debemos dejar de lado la existencia de este tipo de dispositivos y sobre todo que en muchas aplicaciones y
hardware viene activado por defecto, con lo que estando a una distancia adecuada, es posible su
explotacin.
2.- Capa de internet
El propsito de la capa de Internet es enviar paquetes origen desde cualquier red en la red yque estos
paquetes lleguen a su destino independientemente de la ruta y de las redes querecorrieron para llegar hasta
all. El protocolo especfico que rige esta capa se denominaProtocolo Internet (IP). En esta capa se produce
la determinacin de la mejor ruta y laconmutacin de paquetes. Esto se puede comparar con el sistema
postal. Cuando enviamosuna carta por correo, no sabemos cmo llega a destino (existen varias rutas
posibles); lo quenos interesa es que la carta llegue.Esta capa tiene como proposito seleccionar la mejor
ruta para enviar paquetes por la red. El protocolo mas importante de esta capa y piedra base detoda la
Internet es el
IP. Este protocolo proporciona los servicios bsicos de transmisin de paquetes sobre los cuales se
En esta capa se puede realizar cualquier ataque que afecte un datagrama IP. Se incluyen como ataques
contra esta capa las tcnicas de snifng, la suplantacin de mensajes, la modicacin de datos, los retrasos
Cualquier atacante puede suplantar un paquete si indica que proviene de otro sistema. La suplantacin de
un mensaje se puede realizar, por ejemplo, dando una respuesta a otro mensaje antes de que lo haga el
suplantado. En esta capa, la autenticacin de los paquetes se realiza a nivel de mquina (por direccin IP) y
no a nivel de usuario. Si un sistema suministra una direccin de mquina errnea, el receptor no detectar
la suplantacin. Para conseguir su objetivo, este tipo de ataques suele utilizar otras tcnicas, como la
prediccin de nmeros de secuencia TCP, el envenenamiento de tablas cach, etc. Por otro lado, los
3 Mancilla, C. (2010). Capa de internet del modelo TCP/IP. Recuperado el 7 de Mayo del 2017 de
https://es.scribd.com/doc/43425408/Capa-de-Internet-Del-Modelo-TCP
paquetes se pueden manipular si se modican sus datos y se reconstruyen de forma adecuada los controles
El centro de atencin de la auditora en este nivel, deber estar puestos en los mensajes de ruta y
direcciones:
para acceder al modo usuario es la primera que solicita si se accede va Telnet, luego tambin
para el ingreso a modo privilegiado, tambin se permite el acceso a una contrasea cifrada, la de
acceso va consola y por ltimo por medio de interfaz grfica por http.
startupconfig en forma consistente con la running-config, y esta a su vez en un servidor t_ftp, como
Protocolos de ruteo: El empleo de los protocolos de ruteo es crtico pues la mayor flexibilidad
est dada por el uso de los dinmicos (RIP, IGRP, EIGRP, OSPF), pero se debe tener en cuenta
que con esta medida se facilita informacin para ser aprovechada por intrusos, los cuales a su vez
pueden emplearla para hacerse partcipe de las tablas de ruteo (En especial con RIP pues no se
puede verificar el origen de los costos de las rutas, en OSPF, es ms fcil pues se enva una tabla
completa que pertenece a un router especfico y a su vez a este se lo puede verificar con dos
niveles de contrasea: normal y Message Digest). Las tablas de ruteo estticas, por el contrario,
incrementan sensiblemente las medidas de seguridad, pues toda ruta que no est contemplada,
Seguridad en el acceso por consola: Se debe prestar especial atencin pues por defecto
viene habilitada sin restricciones, y si se tiene acceso fsico al router, se obtiene el control total
del mismo. Siempre hay que tener presente que un usuario experto, si tiene acceso fsico
contrasea nueva.
Mejor ruta: Este se trata del Tipo Nro 5 de mensaje ICMP, y su mal empleo permite triangular la
ruta de una red para obligarla a pasar siempre por un router sobre el cual se obtiene la informacin
deseada.
Solicitud y respuesta de eco (Ping): Se lleva a cabo por medio del protocolo ICMP con
una solicitud y respuesta de eco (Tipo 0 y 8, conocido como ping). Un conocido ataque es enviarlo
con una longitud mayor a lo permitido por IP (65535 Byte). Al ser recibido, el host no sabe como
tratarlo y se bloquea. Cabe aclarar que hoy la masa de los sistemas ya no lo permiten. Tambin se
Destino no alcanzable: Es el tipo 3 de ICMP, lo importante pasa por los cdigos en que
se subdivide, pues por medio de estos, se obtiene informacin que es de sumo inters. Al recibir
Auditora ARP: El ataque ARP es uno de los ms difciles de detectar pues se refiere a una asociacin
incorrecta de direcciones MAC e IP, por lo tanto se debe analizar todas las tramas que circulan por la
red y comparar permanentemente las mismas con un patrn de referencia vlido. Existen programas
exista tambin una asignacin automtica que hoy prcticamente no se emplea ms):
Esttico: Se implementa en cada host manualmente, y se hace presente en la red siempre con la
Dinmico: Se asigna a travs del empleo del protocolo DHCP dentro del rango que se desee. Se
debe tener en cuenta que al producirse las cuatro tramas de DHCP, se pueden configurar varios
protocolos, TCP (orientado a la conexin) y UDP (no orientado a la conexin). La capa de transporte
transmite informacin TCP o UDP sobre datagramas IP. En esta capa podamos encontrar problemas de
autenticacin, de integridad y de condencialidad. Algunos de los ataques ms conocidos en esta capa son
En cuanto a los mecanismos de seguridad incorporados en el diseo del protocolo de TCP (como las
negociaciones involucradas en el establecimiento de una sesin TCP), existe una serie de ataques que
aprovechan ciertas deciencias en su diseo. Una de las vulnerabilidades ms graves contra estos
mecanismos de control puede comportar la posibilidad de interceptacin de sesiones TCP establecidas, con
el objetivo de secuestrarlas y dirigirlas a otros equipos con nes deshonestos. Estos ataques de secuestro
los equipos involucrados en una sesin. As, si un usuario hostil puede observar los intercambios de
informacin utilizados durante el inicio de la sesin y es capaz de interceptar con xito una conexin en
marcha con todos los parmetros de autenticacin congurados adecuadamente, podr secuestrar la
sesin.
En este nivel dentro de la pila TCP/IP existen dos posibilidades, operar en modo orientado a la conexin
para lo cual se emplea TCP o sin conexin cuyo protocolo es UDP, el responsable de decidir a qu protocolo
le entregar su mensaje es el que se emplee en el nivel superior, para lo cual existe el concepto de Puerto
que es el SAP (Service Acces Point) entre el nivel de transporte y el de aplicacin. En este nivel los dos
elementos importantes a auditar son el establecimiento de sesiones y los puertos, los cuales se
Ataques LAND.
Inundacin de SYN.
Auditoras en UDP: Este protocolo por no ser orientado a la conexin, no implementa ninguno de los
bit de TCP, por lo tanto, es sumamente difcil regular su ingreso o egreso seguro en una red. Mientras
que un Proxy, solo puede regular las sesiones TCP, una de las grandes diferencias con un Firewall es
que el ltimo puede Recordar las asociaciones entre los segmentos UDP y el datagrama
correspondiente, de manera tal de poder filtrar toda asociacin inconsistente. Este tipo de Firewall son
los que permiten el filtrado dinmico de paquetes. Como medida precautoria cierre todos los puertos
Auditora en Puertos UDP y TCP: Dentro del encabezado de TCP o UDP se encuentran los campos
Puerto Origen y Puerto Destino, los cuales son uno de los detalles ms importantes a auditar dentro de
una red pues a travs de ellos, se puede ingresar a un Host y operar dentro de este. Por lo tanto se
deber considerar las medidas a adoptar acorde a los puertos detallados en el captulo del nivel de
Auditora de puertos de Ataque Back Oriffice 2K y Netbus: Se deber prestar especial atencin a
infeccin de la mquina destino y luego desde esta misma iniciar las conexiones hacia el exterior, por lo
Auditora de Troyanos: Se deber prestar especial atencin a este tipo de actividades, lo cual como
Una vez superado el nivel cuatro (transporte), todas las funciones y/o servicios se orientan de cara al
usuario. Es decir, a partir de este nivel es poco probable que encontremos aspectos relacionados a la red,
en cambio entraremos a lo que en el modelo TCP/IP engloba como Aplicacin, que recordamos que aqu
es donde existe la mayor diferencia con el modelo OSI que lo trata como tres capas diferentes (5: Sesin, 6:
Presentacin, 7: Aplicacin).4
https://seguridadenredesleonardochaparro.wordpress.com/2014/11/23/vulnerabilidades-mas-comunes-
de-las-distintas-capas-del-modelo-tcpip/
3.2 Internet/Intranet/Extranet
Internet
La seguridad en internet es una rama de la seguridad informtica especficamente relacionada con Internet,
a menudo incluyendo la seguridad de los navegadores pero adems la seguridad de redes en un nivel ms
general, ya que se aplica a otras aplicaciones o sistemas operativos como un conjunto. Su objetivo es
establecer reglas y medidas que usar contra ataques en Internet. Internet representa un canal inseguro de
intercambio de informacin incluyendo un alto riesgo de intrusin o fraude, al igual que de phishing. Se han
estado utilizando diferentes mtodos para proteger la transferencia de datos, incluyendo cifrado.
Peligros
Malicious Software
Un usuario puede ser engaado o forzado a descargar programas en su ordenador con intenciones dainas.
Dichos software pueden aparecer de distintas formas, tal como virus, troyanos, spyware o gusanos.
Malware, abreviacin de software malicioso, es cualquier programa utilizado para cambiar o daar la
forma en la que opera el ordenador, conseguir informacin u obtener acceso a sistemas privados del
ordenador. El malware est definido por su intencin maliciosa, actuando contra las intenciones del
usuario, y no incluye software que cause dao inintencionado debido a alguna deficiencia. El trmino
badware se utiliza a veces, y se aplica a ambos casos, tanto al malware malintencionado como al
Un botnet es una red de ordenadores zombie que han sido tomados por un robot o bot que lleva a
Los virus informticos son programas que pueden replicar sus estructuras o efectos infectando otros
Un ransomware es un tipo de malware que restringe el acceso al sistema del ordenador que infecta y
demanda al usuario el pago de un rescate al creador del malware para que se elimine dicha restriccin.
vende a los consumidores a travs de estrategias de marketing poco ticas. Se utiliza el shock, la
Los spyware son programas espa que monitorizan la actividad de un ordenador y envan la
Un troyano es, en trminos generales, un software que se hace pasar por un programa inofensivo para
Un ataque de denegacin de servicio tambin llamado ataque DoS (siglas en ingls de Denial of Service) o
DDoS (de Distributed Denial of Service), es un intento para hacer que uno de los recursos de un ordenador
quede inutilizado para su usuario. A pesar de que los motivos, las formas de llevarlo a cabo o las vctimas de
un ataque DoS pueden variar, generalmente consiste en hacer que una pgina de Internet o un servicio
Phishing
El phising ocurre cuando el atacante se hace pasar por una entidad segura, ya sea va email o a travs de
una pgina web. Las vctimas son guiadas hacia webs falsas que aseguran ser totalmente legtimas a travs
de email, mensajera instantnea y otros medios. A menudo se utilizan tcticas como el email spoofing para
que los correos parezcan de remitentes legtimos, o largos y complejos subdominios que esconden al
Vulnerabilidades de aplicaciones
Algunas aplicaciones utilizadas para acceder a recursos de internet pueden tener vulnerabilidades de
seguridad como pueden ser memory safety bugs o pruebas de autentificacin dainas. El ms peligroso de
estos errores puede dar a los atacantes de la red control total sobre el ordenador. La mayor parte de las
Remedios
Los protocolos TCP/IP se pueden asegurar con mtodos de encriptacin y protocolos de seguridad. Estos
protocolos incluyen Secure Sockets Layer (SSL), seguido por Transport Layer Security (TLS) para trfico
web, Pretty Good Privacy (PGP) para email, e IPsec para la seguridad de la red.
Token de seguridad
Algunos sitios online ofrecen a los clientes la opcin de usar un cdigo de seis dgitos que cambia de forma
aleatoria cada 30-60 segundos en un token de seguridad. Las claves en el security token tienen
el dispositivo. Esto quiere decir que a cada treinta segundos hay solamente una serie de nmeros posibles
que deben ser introducidos correctamente para validar el acceso a la cuenta online. La pgina en la que el
usuario est entrando sabra el nmero de serie de ese dispositivo y conocera la computacin y hora
correcta reflejada en el dispositivo para verificar que el nmero introducido es uno de los nmeros de seis
dgitos que funciona en ese periodo de 30-60 segundos concreto. Despus de ese tiempo el aparato
presentar unos seis dgitos aleatorios nuevos que pueden ser utilizados para entrar en la pgina.
Seguridad de correo electrnico
Los correos electrnicos se componen, envan, y guardan en un proceso de varios pasos que comienza con
la composicin del mensaje. Cuando el usuario termina de redactar el correo y lo enva, el mensaje es
transformado a un formato estndar: un mensaje RFC 2822. Despus el mensaje puede ser transmitido.
Usando una conexin a internet, el cliente de correo electrnico, referido como Mail User Agent (MUA), se
conecta a un agente de transferencia de correo (MTA) que opera en el servidor de correo. El cliente de
correo correo proporciona la identidad del remitente al servidor. A continuacin, usando los comandos del
servidor de correo, el remitente enva la lista de receptores al servidor. En ese momento el cliente suministra
el mensaje. Una vez que el servidor recibe y procesa el correo, ocurren varias cosas: se identifica el servidor
del receptor, se establece la conexin y se transfiere el mensaje. Usando servicios de Domain Name
System (DNS), el servidor de correo del remitente determina el servidor para el/los receptor(es). Entonces el
servidor abre una conexin con el servidor de correo del destinatario y enva el mensaje empleando un
proceso similar al usado por el cliente del remitente, entregando el mensaje al receptor. 5
Intranet
Intranet es una red privada de informacin que cuenta con grupos limitados y bien definidos de usuarios,
pero no por ello est exenta de ataques que puedan poner en peligro y riesgo la informacin que all se
maneja, ya que por lo general los ataques y fraudes que se cometen en ella provienen en la mayora de los
casos de los usuarios internos. Una conexin a Internet puede crear peligros para el usuario informtico que
no sea consciente de ellos. Si utiliza un servidor de seguridad, puede reducir el riesgo. Un servidor de
seguridad es el primer paso hacia una exploracin en lnea ms segura. Puede reforzar la seguridad de su
equipo si mantiene el software actualizado y mantiene una suscripcin actualizada a un programa antivirus.
https://es.wikipedia.org/wiki/Seguridad_en_Internet
Para tratar de minimizar estos hechos las empresas deben establecer polticas de seguridad que describan
la forma adecuada del uso del sistema, las responsabilidades y los derechos de los usuarios y de los
administradores. Estas polticas incluyen una combinacin de hardware y software que proporcionan el
control del trfico; la encriptacin y las contraseas para convalidar usuarios; y las herramientas del
software para evitar y curar de virus, bloquear sitios indeseables y controlar el trfico. 6
Firewall
Para establecer una barrera de seguridad se crearon los firewall que es una combinacin de hardware y
software que controla el tipo de servicios permitidos hacia o desde la Intranet. Los beneficios de la firewall
son: Provee la mejor seguridad para los recursos corporativos, fcil administracin de seguridad de la red y
Servidores Sustitutos
Los servidores sustitutos son otra herramienta comn utilizada para construir un firewall. Un servidor
sustituto permite a los administradores de sistemas seguir la pista de todo el trfico que entra y sale de una
Intranet.
Otro factor clave en el diseo de la seguridad de una Intranet son los sistemas de autentificacin o de
gestin de identidades que se emplean para asegurar que cualquier persona que quiera acceder a un
recurso sea realmente la persona que dice ser. Los sistemas de autentificacin normalmente utilizan
Sistemas de Encriptacin
Lo que hace la encriptacin es consiste en enredar un mensaje con una frmula matemtica
irremediablemente complicada, volvindolo ilegible a cualquiera, salvo t y las personas que tengan la clave
Los sistemas de contraseas en un sistema e autentificacin eficaz, debe ser una de las polticas ms
importantes, ya que por lo general estos password constituyen la primera y tal vez nica manera de
autentificacin y, por tanto, la nica lnea de defensa contra ataques. Las contraseas deben cambiar
frecuentemente, que no sean adivinadas fcilmente y tienen que ser elaboradas por personas autorizadas
Router
Es otra manera de asegurarse de que las personas impropias o los datos errneos accedan a la Intranet ya
que filtra la informacin. Este es un tipo especial de router que examina la direccin IP y la informacin de
cabecera de cada paquete que entra en la Intranet y slo permite el acceso a aquellos paquetes que tengan
direcciones u otros datos, como e-mail, que el administrador del sistema ha decidido previamente que
Proxy Server
Es un servidor intermediario entre las computadoras de la red local e Internet, con esto la empresa se
Un proxy server es un gateway que separa la red de la empresa de la red externa (Internet).
Adems de esto pueder ser un servidor de cach que hace que los accesos a Internet sean ms
Anfitrin bastin
Llamado tambin servidor bastn es una de las defensas principales en el firewall de una Intranet. Es un
servidor fuertemente fortificado que se coloca dentro del firewall, y es el punto de contacto principal de la
Intranet e Internet. Al tener como punto de contacto principal un servidor aislado, duramente defendido, el
resto de los recursos de la Intranet pueden proteger de los ataques que se inician en Internet
Virus en la intranet
Los virus son el mayor riesgo en la seguridad de las Intranets. Pueden daar datos, ocupar y consumir
recursos, e interrumpir operaciones. Los archivos de programas eran la principal fuente de problemas en el
pasado, pero los nuevos virus de "macro" se pueden esconder en archivos de datos e iniciarse, por ejemplo,
cuando se ejecutan una macro en un programa de procesamiento de texto. El software para examinar virus
basado en el servidor y el basado en el cliente poseen dispositivos que ayudan a proteger a la Intranet.
Un virus se esconde dentro de un programa. Hasta que ejecutes el programa infectado, el virus permanece
inactivo, entonces el virus entra en accin. Algunas veces, lo primero que se har infectar otros programas
La extranet
La seguridad en el diseo de la extranet es fundamental para asegurar que los datos confidenciales sigan
siendo confidenciales pese a viajar por la red. Que slo las personas autorizadas tengan acceso a la
Las Extranet tienen una complejidad adicional, dado que no slo estn mediando entre el mundo interno de
una organizacin y el mundo externo de Internet, sino que tambin estn mediando entre las culturas de
La seguridad es responsabilidad de todas las empresas en conjunto que estn en los terminales de los
La extranet al comprender usuarios locales y remotos distribuidos por todo el mundo y en diversas
empresas, se complica las medidas de seguridad. Hoy da, un gran nmero de empresas utiliza plataformas
heterogneas, lo que dificulta el despliegue de las aplicaciones y la informacin para todos los usuarios. 7
Con la Extranet, la seguridad es responsabilidad de todas las empresas en conjunto que estn en los
terminales de los tneles que enlaza a un grupo de intranets o de usuarios que acceden a la red. La
recomendacin ms importante consiste en que los routers de los extremos sean ms seguros.
adoptando estndares entre los socios. Los ruteadores de Extranets donde se combina encriptacin,
autentificacin,y la seguridad de firewall basado en estandares. Como cada socio tiene una direccin IP, el
firewall se debe programar de modo que solo acepte paquetes de mensajes de esas direcciones
agregndole un servidor. Teniendo de esa manera un sistema de rastreo y control de acceso personalizado.
Si se trata de informacin muy delicada se debe optar por un dispositivo en forma de tarjeta de crdito de
seis dgitos que cambia cada dos minutos. Cuando el usuario inicia una sesin debe utilizar la contrasea
que aparezca en ese momento. Los ruteadores que se elijan deben tener un software de seguridad, tnel y
encriptacin, que acaten los estndares, ya que deben interoperar con interfaces de usuario y software de
El proceso de la traduccin de direcciones de red (NAT, por sus siglas en ingls) se desarroll en respuesta
a la falta de direcciones de IP con el protocolo IPv4 (el protocolo IPv6 propondr una solucin a este
problema).
En efecto: en la asignacin de direcciones IPv4, no hay suficientes direcciones IP enrutables (es decir,
nicas en el mundo) para permitir que todas las mquinas que necesiten conectarse a internet puedan
hacerlo.
El concepto de NAT consiste en utilizar una direccin IP enrutable (o un nmero limitado de direcciones IP)
para conectar todas las mquinas a travs de la traduccin, en la pasarela de internet, entre la direccin
Una de las razones ms conocidas para utilizar la tecnologa NAT es la escasez de direcciones IP. Si por
alguna razn una compaa que necesita conectarse a Internet no puede recibir el nmero requerido de
direcciones IP globales del proveedor, puede emplear la tecnologa NAT. En este caso, se usan direcciones
Para habilitar los hosts con direcciones privadas con el fin de comunicarse utilizando Internet o para
conectar a los hosts que tienen direcciones globales, es necesario emplear la tecnologa NAT. La tecnologa
NAT prueba su utilidad cuando una compaa necesita ocultar las direcciones de los hosts dentro de sus
redes internas por consideraciones de seguridad. Esto evita que los intrusos aprendan la estructura y escala
NAT tradicional
La tecnologa NAT tiene diversas variantes, entre las cuales la ms conocida es la NAT tradicional, que
permite que los hosts de la red privada tengan acceso a los hosts localizados en redes externas de una
forma transparente para los usuarios. Cabe destacar que esta variante de NAT resuelve el problema de
organizacin slo en sesiones de conexin salientes. La direccin de la sesin en este caso se halla
el intercambio de datos se inicia con la aplicacin realizada en algn host localizado en la red interna, esta
sesin se denominar saliente aunque los datos del exterior se entreguen dentro de la red interna durante
esta sesin.
La idea de NAT est basada en el enfoque siguiente: supngase que una red corporativa forma un dominio
pequeo, cuyos hosts tienen asignadas direcciones privadas. El soft ware NAT se halla instalado en el
ruteador de conectar la red de la compaa con la red externa. NAT mapea dinmicamente el conjunto de
direcciones privadas IP {IP*} al conjunto de direcciones IP globales {IP}, obtenidas por la compaa desde el
http://es.ccm.net/contents/591-nat-traduccion-de-direcciones
El NAT tradicional permite sesiones en direccin inversa solamente como una excepcin. Para este
propsito, utiliza mapeo de direccin esttica destinado a algn conjunto limitado de hosts para el cual se
Una propiedad importante de la operacin de NAT es la regla de acuerdo con la cual los anuncios de la ruta
se propagan a travs de las fronteras de las redes privadas. Los anuncios de protocolos de enrutamiento
acerca de las redes externas son pasados por los ruteadores fronterizos hacia las redes internas y los
procesan los ruteadores internos. Sin embargo, la afrmacin inversa no es verdadera. Los ruteadores de
redes externas no reciben anuncios acerca de redes internas, pues tales anuncios son fi ltrados cuando
pasan informacin hacia interfases externas. Por lo tanto, los ruteadores internos conocen las rutas hacia
todas las redes externas, mientras que los ruteadores externos no tienen informacin acerca de la
La NAT tradicional se subdivide en traduccin bsica de las direcciones de la red (NAT bsica), el mtodo
que utiliza solamente direcciones IP para el mapeo, y traduccin del puerto de las direcciones de la red
(NAPT, Network Address Port Translation), el mtodo para mapear direcciones e identifi cadores de
transporte que se usan. Con mucha frecuencia, los puertos TCP/UDP se utilizan como identifi cadores de
transporte.
NAT bsica
Si el nmero de hosts locales para el que es necesario asegurar el acceso a la red externa no xcede la
cantidad de direcciones globales disponibles, se podr garantizar el mapeo nico entre direcciones privadas
y globales. En cualquier momento, el nmero de hosts internos que tienen la posibilidad de interactuar con
la red externa est limitado por la cantidad de direcciones globales disponibles. En esta situacin, el uso de
NAT es dirigido principalmente para garantizar la seguridad, ms que para resolver el problema de la
escasez de direcciones.
Las direcciones privadas de algunos hosts pueden mapearse estticamente a direcciones globales.
Asimismo, se podr tener acceso a tales hosts desde el exterior si se utiliza la direccin global asignada a
ellos. El mapeo de las direcciones internas y externas est especifi cado por la tabla soportada por el
ruteador de red o cualquier otro dispositivo (por ejemplo, un muro de fuego) en el que se encuentra
Esttica
Una direccin IP privada se traduce siempre en una misma direccin IP pblica. Este modo de
funcionamiento permitira a un host dentro de la red ser visible desde Internet. (Ver imagen anterior)
Dinmica
El router tiene asignadas varias direcciones IP pblicas, de modo que cada direccin IP privada se mapea
usando una de las direcciones IP pblicas que el router tiene asignadas, de modo que a cada direccin IP
Cada vez que un host requiera una conexin a Internet, el router le asignar una direccin IP pblica que no
est siendo utilizada. En esta ocasin se aumenta la seguridad ya que dificulta que un host externo ingrese
Sobrecarga
La NAT con sobrecarga o PAT (Port Address Translation) es el ms comn de todos los tipos, ya que es el
utilizado en los hogares. Se pueden mapear mltiples direcciones IP privadas a travs de una direccin IP
pblica, con lo que evitamos contratar ms de una direccin IP pblica. Adems del ahorro econmico,
tambin se ahorran direcciones IPv4, ya que aunque la subred tenga muchas mquinas, todas salen a
10 Olifer, N., Olifer V. (1993).Redes de computadoras. Principios, tecnologa y protocolos para el diseo de
redes. Mxico: McGraw-Hill.
Internet a travs de una misma direccin IP pblica.
Para poder hacer esto el router hace uso de los puertos. En los protocolos TCP y UDP se disponen de
65.536 puertos para establecer conexiones. De modo que cuando una mquina quiere establecer una
conexin, el router guarda su IP privada y el puerto de origen y los asocia a la IP pblica y un puerto al azar.
Cuando llega informacin a este puerto elegido al azar, el router comprueba la tabla y lo reenva a la IP
Solapamiento
Cuando una direccin IP privada de una red es una direccin IP pblica en uso, el router se encarga
Ventajas de la NAT
Ahorro de direcciones IPv4 que supone, recordemos que podemos conectar mltiples mquinas de una
Seguridad. Las mquinas conectadas a la red mediante NAT no son visibles desde el exterior, por lo
que un atacante externo no podra averiguar si una mquina est conectada o no a la red.
Mantenimiento de la red. Slo sera necesario modificar la tabla de reenvo de un router para desviar
todo el trfico hacia otra mquina mientras se llevan a cabo tareas de mantenimiento.
Desventajas de la NAT
Checksums TCP y UDP: El router tiene que volver a calcular el checksum de cada paquete que modifica.
No todas las aplicaciones y protocolos son compatibles con NAT. Hay protocolos que introducen el
puerto de origen dentro de la zona de datos de un paquete, por lo que el router no lo modifica y la aplicacin
no funciona correctamente.11
https://seguridadenredesleonardochaparro.wordpress.com/2014/11/23/vulnerabilidades-mas-comunes-
de-las-distintas-capas-del-modelo-tcpip/
https://es.wikipedia.org/wiki/Modelo_TCP/IP
Olifer, N., Olifer V. (1993).Redes de computadoras. Principios, tecnologa y protocolos para el diseo de
Capa de enlace de datos: Control de acceos al medio. (2012). Recuperado el 7 de Mayo del 2017 de
http://solucionesinformatica.wordpress.com/2012/09/21/capa-enlace-de-datos-control-de-acceso-al-
medio
https://es.wikipedia.org/wiki/Seguridad_en_Internet
Mancilla, C. (2010). Capa de internet del modelo TCP/IP. Recuperado el 7 de Mayo del 2017 de
https://es.scribd.com/doc/43425408/Capa-de-Internet-Del-Modelo-TCP
http://www.geocities.ws/yennyqm/hwct/ii/Seguridad.html
https://marubarrenechea.files.wordpress.com/2010/05/seguridad-extranets.pdf
http://es.ccm.net/contents/591-nat-traduccion-de-direcciones
como-funciona.