Conmutación
El conmutador utiliza un mecanismo de filtrado y de conmutación que redirige el flujo de datos a los equipos más apropiados, en función de determinados elementos que se encuentran en los paquetes de datos.
Un conmutador de nivel 4, que funciona en la capa de transporte del modelo OSI, inspecciona las direcciones de origen y de destino de los mensajes y crea una tabla que le permite saber qué equipo está conectado a qué puerto del conmutador (en general, el proceso se realiza por autoaprendizaje, es decir automáticamente, aunque el administrador del conmutador puede realizar ajustes complementarios
Una vez que conoce el puerto de destino, el conmutador sólo envía el mensaje al puerto correcto y los demás puertos quedan libres para otras transmisiones que pueden llevarse a cabo de manera simultánea. Por consiguiente, cada intercambio de datos puede ejecutarse a la velocidad de transferencia nominal (más uso compartido de ancho de banda) sin colisiones. El resultado final será un aumento significativo en el ancho de banda de la red (a una velocidad nominal equivalente).
Los conmutadores más avanzados, denominados conmutadores de nivel 7 (que corresponden a la capa de aplicación del modelo OSI), pueden redirigir los datos en base a los datos de aplicación avanzada contenidos en los paquetes de datos, como las cookies para el protocolo HTTP, el tipo de archivo que se envía para el protocolo FTP, etc. Por esta razón, un conmutador de nivel 7 puede, por ejemplo, permitir un
equilibrio de carga al enrutar el flujo de datos que entra en la empresa hacia a los servidores más adecuados: los que poseen menos carga o que responden más rápido. Este documento intitulado «
Equipos de red - El conmutador » de
Kioskea (
es.kioskea.net) esta puesto a diposición bajo la licencia
Creative Commons. Puede copiar, modificar bajo las condiciones puestas por la licencia, siempre que esta nota sea visible.
¿Qué es un concentrador?
Un concentrador (hub) es un elemento de hardware que permite concentrar el tráfico de red que proviene de múltiples hosts y regenerar la señal. El concentrador es una entidad que cuenta con determinada cantidad de puertos (posee tantos puertos como equipos a conectar entre sí, generalmente 4, 8, 16 ó 32). Su único objetivo es recuperar los
datos binarios que ingresan a un puerto y enviarlos a los demás puertos. Al igual que un
repetidor, el concentrador funciona en el nivel 1 del
modelo OSI. Es por ello que a veces se lo denomina repetidor multipuertos.
El concentrador (hub) conecta diversos equipos entre sí, a veces dispuestos en forma de estrella, de donde deriva el nombre de HUB (que significa cubo de rueda en inglés; la traducción española exacta es repartidor) para ilustrar el hecho de que se trata del punto por donde se cruza la comunicación entre los diferentes equipos.
Tipos de concentradores
Existen diferentes categorías de concentradores (hubs):
· concentradores "activos": Están conectados a una fuente de alimentación eléctrica y permiten regenerar la señal que se envía a los diferentes puertos;
· puertos "pasivos": Simplemente envían la señal a todos los hosts conectados, sin amplificarla.
Conexión de múltiples concentradores
Es posible conectar varios concentradores (hubs) entre sí para centralizar un gran número de equipos. Esto se denomina conexión en cadena margarita(daisy chains en inglés). Para ello, sólo es necesario conectar los concentradores mediante un
cable cruzado, es decir un cable que conecta los puertos de entrada/salida de un extremo a aquéllos del otro extremo.
Los concentradores generalmente tienen un puerto especial llamado "enlace ascendente" para conectar dos concentradores mediante un cable de conexión. Algunos concentradores también pueden cruzar o descruzar automáticamente sus puertos, en función de que se encuentren conectados a un host o a un concentrador.
Firewall
Cada ordenador que se conecta a
internet (y, básicamente, a cualquier
red de ordenadores) puede ser víctima del ataque de un hacker. La
metodología que generalmente usan los
hackers consiste en analizar la red (mediante el envío aleatorio de paquetes de datos) en busca de un ordenador conectado. Una vez que encuentra un ordenador, el hacker busca un punto débil en el sistema de seguridad para explotarlo y tener acceso a los datos de la máquina.
Por muchas razones, esta amenaza es aún mayor cuando la máquina está permanente conectada a internet:
· Es probable que la máquina elegida esté conectada pero no controlada.
· Generalmente, la máquina conectada que se elige posee un ancho de banda más elevado.
· La máquina elegida no cambia
las direcciones IP o lo hace muy ocasionalmente.
Por lo tanto, es necesario que tanto las redes de las compañías como los usuarios de internet con conexiones por
cable o
ADSL se protejan contra intrusiones en la red instalando un dispositivo de protección.
¿Qué es un Firewall?
Un firewall es un sistema que protege a un ordenador o a una red de ordenadores contra intrusiones provenientes de redes de terceros (generalmente desde internet). Un sistema de firewall filtra paquetes de datos que se intercambian a través de internet. Por lo tanto, se trata de una
pasarela de filtrado que comprende al menos las siguientes interfaces de red:
· una interfaz para la red protegida (red interna)
· una interfaz para la red externa.
El sistema firewall es un sistema de software, a menudo sustentado por un hardware de red dedicada, que actúa como intermediario entre
la red local (u ordenador local) y una o más redes externas. Un sistema de firewall puede instalarse en ordenadores que utilicen cualquier sistema siempre y cuando:
· La máquina tenga capacidad suficiente como para procesar el tráfico
· El sistema sea seguro
· No se ejecute ningún otro servicio más que el servicio de filtrado de paquetes en el servidor
En caso de que el sistema de firewall venga en una caja negra (llave en mano), se aplica el término "aparato".
Cómo funciona un sistema Firewall
Un sistema firewall contiene un conjunto de reglas predeterminadas que le permiten al sistema:
· Autorizar la conexión (permitir)
· Bloquear la conexión (denegar)
· Rechazar el pedido de conexión sin informar al que lo envió (negar)
Todas estas reglas implementan un método de filtrado que depende de la política de seguridad adoptada por la organización. Las políticas de seguridad se dividen generalmente en dos tipos que permiten:
· la autorización de sólo aquellas comunicaciones que se autorizaron explícitamente:
"Todo lo que no se ha autorizado explícitamente está prohibido"
· el rechazo de intercambios que fueron prohibidos explícitamente
El primer método es sin duda el más seguro. Sin embargo, impone una definición precisa y restrictiva de las necesidades de comunicación.
Filtrado de paquetes Stateless
Un sistema de firewall opera según el principio del filtrado simple de paquetes, o filtrado de paquetes stateless. Analiza el encabezado de cada
paquete de datos (datagrama) que se ha intercambiado entre un ordenador de red interna y un ordenador externo.
Así, los paquetes de datos que se han intercambiado entre un ordenador con red externa y uno con red interna pasan por el firewall y contienen los siguientes encabezados, los cuales son analizados sistemáticamente por el firewall:
· La dirección IP del ordenador que envía los paquetes
· La dirección IP del ordenador que recibe los paquetes
· El tipo de paquete (
TCP,
UDP, etc.)
· El número de
puerto (recordatorio: un puerto es un número asociado a un servicio o a una aplicación de red).
Las direcciones IP que los paquetes contienen permiten identificar el ordenador que envía los paquetes y el ordenador de destino, mientras que el tipo de paquete y el número de puerto indican el tipo de servicio que se utiliza.
Los puertos reconocidos (cuyos números van del 0 al 1023) están asociados con servicios ordinarios (por ejemplo, los puertos 25 y 110 están asociados con el correo electrónico y el puerto 80 con la Web). La mayoría de los dispositivos de firewall se configuran al menos para filtrar comunicaciones de acuerdo con el puerto que se usa. Normalmente, se recomienda bloquear todos los puertos que no son fundamentales (según la política de seguridad vigente).
Por ejemplo, el puerto 23 a menudo se bloquea en forma predeterminada mediante dispositivos de firewall, ya que corresponde al protocolo
TELNET, el cual permite a una persona emular el acceso terminal a una máquina remota para ejecutar comandos a distancia. Los datos que se intercambian a través de TELNET no están
codificados. Esto significa que es probable que un hacker observe la actividad de la red y robe cualquier contraseña que no esté codificada. Generalmente, los administradores prefieren el
protocolo SSH, el cual tiene la reputación de ser seguro y brinda las mismas funciones que TELNET.
Filtrado Dinámico
El Filtrado de paquetes Stateless sólo intenta examinar los paquetes IP independientemente, lo cual corresponde al nivel 3 del
modelo OSI (Interconexión de sistemas abiertos). Sin embargo, la mayoría de las conexiones son admitidas por el protocolo TCP, el cual administra sesiones, para tener la seguridad de que todos los intercambios se lleven a cabo en forma correcta. Asimismo, muchos servicios (por ejemplo, FTP) inician una conexión en un puerto estático. Sin embargo, abren un puerto en forma dinámica (es decir, aleatoria) para establecer una sesión entre la máquina que actúa como servidor y la máquina cliente.
De esta manera, con un filtrado de paquetes stateless, es imposible prever cuáles puertos deberían autorizarse y cuáles deberían prohibirse Para solucionar este problema, el sistema de filtrado dinámico de paquetes se basa en la inspección de las capas 3 y 4 del modelo OSI, lo que permite controlar la totalidad de las transacciones entre el cliente y el servidor. El término que se usa para denominar este proceso es "inspección stateful" o "filtrado de paquetes stateful".
Un dispositivo de firewall con "inspección stateful" puede asegurar el control de los intercambios. Esto significa que toma en cuenta el estado de paquetes previos cuando se definen reglas de filtrado. De esta manera, desde el momento en que una máquina autorizada inicia una conexión con una máquina ubicada al otro lado del firewall, todos los paquetes que pasen por esta conexión serán aceptados implícitamente por el firewall.
El hecho de que el filtrado dinámico sea más efectivo que el filtrado básico de paquetes no implica que el primero protegerá el ordenador contra los hackers que se aprovechan de las vulnerabilidades de las aplicaciones. Aún así, estas vulnerabilidades representan la mayor parte de los riesgos de seguridad.
Filtrado de aplicaciones
El filtrado de aplicaciones permite filtrar las comunicaciones de cada aplicación. El filtrado de aplicaciones opera en el nivel 7 (capa de aplicaciones) del
modelo OSI, a diferencia del filtrado simple de paquetes (nivel 4). El filtrado de aplicaciones implica el conocimiento de los
protocolos utilizados por cada aplicación.
Como su nombre lo indica, el filtrado de aplicaciones permite filtrar las comunicaciones de cada aplicación. El filtrado de aplicaciones implica el conocimiento de las aplicaciones en la red y un gran entendimiento de la forma en que en ésta se estructuran los datos intercambiados (puertos, etc.).
Un firewall que ejecuta un filtrado de aplicaciones se denomina generalmente "
pasarela de aplicaciones" o ("proxy"), ya que actúa como relé entre dos redes mediante la intervención y la realización de una evaluación completa del contenido en los paquetes intercambiados. Por lo tanto, el proxy actúa como intermediario entre los ordenadores de la red interna y la red externa, y es el que recibe los ataques. Además, el filtrado de aplicaciones permite la destrucción de los encabezados que preceden los mensajes de aplicaciones, lo cual proporciona una mayor seguridad.
Este tipo de firewall es muy efectivo y, si se ejecuta correctamente, asegura una buena protección de la red. Por otra parte, el análisis detallado de los datos de la aplicación requiere una gran capacidad de procesamiento, lo que a menudo implica la ralentización de las comunicaciones, ya que cada paquete debe analizarse minuciosamente.
Además, el proxy debe interpretar una gran variedad de protocolos y conocer las vulnerabilidades relacionadas para ser efectivo.
Finalmente, un sistema como este podría tener vulnerabilidades debido a que interpreta pedidos que pasan a través de sus brechas. Por lo tanto, el firewall (dinámico o no) debería disociarse del proxy para reducir los riesgos de comprometer al sistema.
El concepto de Firewall personal
El término firewall personal se utiliza para los casos en que el área protegida se limita al ordenador en el que el firewall está instalado.
Un firewall personal permite controlar el acceso a la red de aplicaciones instaladas en el ordenador y prevenir notablemente los ataques de programas como los
troyanos, es decir, programas dañinos que penetran en el sistema para permitir que un hacker controle el ordenador en forma remota. Los firewalls personales permiten subsanar y prevenir intrusiones de aplicaciones no autorizadas a conectarse a su ordenador.
Limitaciones del Firewall
Por supuesto que los sistemas firewall no brindan seguridad absoluta; todo lo contrario. Los firewalls sólo ofrecen protección en tanto todas las comunicaciones salientes pasen sistemáticamente a través de éstos y estén configuradas correctamente. Los accesos a la red externa que sortean el firewall también son puntos débiles en la seguridad. Claramente, éste es el caso de las conexiones que se realizan desde la red interna mediante un
módem o cualquier otro medio de conexión que evite el firewall.
Asimismo, la adición de medios externos de almacenamiento a los ordenadores de sobremesa o portátiles de red interna puede dañar enormemente la política de seguridad general.
Para garantizar un nivel máximo de protección, debe ejecutarse un firewall en el ordenador y su registro de actividad debe controlarse para poder detectar intentos de intrusión o anomalías. Además, se recomienda controlar la seguridad (por ejemplo, inscribiéndose para recibir alertas de seguridad de CERT) a fin de modificar los parámetros del dispositivo de firewall en función de las alertas publicadas.
La instalación de un firewall debe llevarse a cabo de la mano de una política de seguridad real.
Repetidores
En una línea de transmisión, la señal sufre distorsiones y se vuelve más débil a medida que la distancia entre los dos elementos activos se vuelve más grande. Dos nodos en una red de área local, generalmente, no se encuentran a más de unos cientos de metros de distancia. Es por ello que se necesita equipo adicional para ubicar esos nodos a una distancia mayor.
Un repetidor es un dispositivo sencillo utilizado para regenerar una señal entre dos nodos de una red. De esta manera, se extiende el alcance de la red. El repetidor funciona solamente en el
nivel físico (capa 1 del modelo OSI), es decir que sólo actúa sobre la información binaria que viaja en la línea de transmisión y que no puede interpretar los paquetes de información.
Por otra parte, un repetidor puede utilizarse como una interfaz entre dos medios físicos de tipos diferentes, es decir que puede, por ejemplo, conectar un segmento de par trenzado a una línea de fibra óptica. Este documento intitulado «
Equipos de red - Repetidor » de
Kioskea (
es.kioskea.net) esta puesto a diposición bajo la licencia
Creative Commons. Puede copiar, modificar bajo las condiciones puestas por la licencia, siempre que esta nota sea visible.
Conmutadores
Un conmutador (switch) es un
puente con múltiples puertos, es decir que es un elemento activo que trabaja en el nivel 2 del
modelo OSI.
El conmutador analiza las tramas que ingresan por sus puertos de entrada y filtra los datos para concentrarse solamente en los puertos correctos (esto se denomina conmutación o redes conmutadas). Por consiguiente, el conmutador puede funcionar como puerto cuando filtra los datos y como concentrador (hub) cuando administra las conexiones. A continuación, encontrará el diagrama de un conmutador:
Conmutación
El conmutador utiliza un mecanismo de filtrado y de conmutación que redirige el flujo de datos a los equipos más apropiados, en función de determinados elementos que se encuentran en los paquetes de datos.
Un conmutador de nivel 4, que funciona en la capa de transporte del modelo OSI, inspecciona las direcciones de origen y de destino de los mensajes y crea una tabla que le permite saber qué equipo está conectado a qué puerto del conmutador (en general, el proceso se realiza por autoaprendizaje, es decir automáticamente, aunque el administrador del conmutador puede realizar ajustes complementarios
Una vez que conoce el puerto de destino, el conmutador sólo envía el mensaje al puerto correcto y los demás puertos quedan libres para otras transmisiones que pueden llevarse a cabo de manera simultánea. Por consiguiente, cada intercambio de datos puede ejecutarse a la velocidad de transferencia nominal (más uso compartido de ancho de banda) sin colisiones. El resultado final será un aumento significativo en el ancho de banda de la red (a una velocidad nominal equivalente).
Los conmutadores más avanzados, denominados conmutadores de nivel 7 (que corresponden a la capa de aplicación del modelo OSI), pueden redirigir los datos en base a los datos de aplicación avanzada contenidos en los paquetes de datos, como las cookies para el protocolo HTTP, el tipo de archivo que se envía para el protocolo FTP, etc. Por esta razón, un conmutador de nivel 7 puede, por ejemplo, permitir un
equilibrio de carga al enrutar el flujo de datos que entra en la empresa hacia a los servidores más adecuados: los que poseen menos carga o que responden más rápido.
Repetidores
En una línea de transmisión, la señal sufre distorsiones y se vuelve más débil a medida que la distancia entre los dos elementos activos se vuelve más grande. Dos nodos en una red de área local, generalmente, no se encuentran a más de unos cientos de metros de distancia. Es por ello que se necesita equipo adicional para ubicar esos nodos a una distancia mayor.
Un repetidor es un dispositivo sencillo utilizado para regenerar una señal entre dos nodos de una red. De esta manera, se extiende el alcance de la red. El repetidor funciona solamente en el
nivel físico (capa 1 del modelo OSI), es decir que sólo actúa sobre la información binaria que viaja en la línea de transmisión y que no puede interpretar los paquetes de información.
Por otra parte, un repetidor puede utilizarse como una interfaz entre dos medios físicos de tipos diferentes, es decir que puede, por ejemplo, conectar un segmento de par trenzado a una línea de fibra óptica.
Qué es un concentrador?
Un concentrador (hub) es un elemento de hardware que permite concentrar el tráfico de red que proviene de múltiples hosts y regenerar la señal. El concentrador es una entidad que cuenta con determinada cantidad de puertos (posee tantos puertos como equipos a conectar entre sí, generalmente 4, 8, 16 ó 32). Su único objetivo es recuperar los
datos binarios que ingresan a un puerto y enviarlos a los demás puertos. Al igual que un
repetidor, el concentrador funciona en el nivel 1 del
modelo OSI. Es por ello que a veces se lo denomina repetidor multipuertos.
El concentrador (hub) conecta diversos equipos entre sí, a veces dispuestos en forma de estrella, de donde deriva el nombre de HUB (que significa cubo de rueda en inglés; la traducción española exacta es repartidor) para ilustrar el hecho de que se trata del punto por donde se cruza la comunicación entre los diferentes equipos.
Tipos de concentradores
Existen diferentes categorías de concentradores (hubs):
· concentradores "activos": Están conectados a una fuente de alimentación eléctrica y permiten regenerar la señal que se envía a los diferentes puertos;
· puertos "pasivos": Simplemente envían la señal a todos los hosts conectados, sin amplificarla.
Conexión de múltiples concentradores
Es posible conectar varios concentradores (hubs) entre sí para centralizar un gran número de equipos. Esto se denomina conexión en cadena margarita(daisy chains en inglés). Para ello, sólo es necesario conectar los concentradores mediante un
cable cruzado, es decir un cable que conecta los puertos de entrada/salida de un extremo a aquéllos del otro extremo.
Los concentradores generalmente tienen un puerto especial llamado "enlace ascendente" para conectar dos concentradores mediante un cable de conexión. Algunos concentradores también pueden cruzar o descruzar automáticamente sus puertos, en función de que se encuentren conectados a un host o a un concentrador.
Pasarelas de aplicaciones
Una pasarela de aplicación (gateway) es un sistema de hardware/software para conectar dos redes entre sí y para que funcionen como una interfaz entre diferentes
protocolos de red.
Cuando un usuario remoto contacta la pasarela, ésta examina su solicitud. Si dicha solicitud coincide con las reglas que el administrador de red ha configurado, la pasarela crea una conexión entre las dos redes. Por lo tanto, la información no se transmite directamente, sino que se traduce para garantizar una continuidad entre los dos protocolos.
El sistema ofrece (además de una interfaz entre dos tipos de redes diferentes), seguridad adicional, dado que toda la información se inspecciona minuciosamente (lo cual puede generar demora) y en ocasiones se guarda en un registro de eventos.
La principal desventaja de este sistema es que debe haber una aplicación de este tipo disponible para cada servicio (
FTP,
HTTP,
Telnet, etc.).
Servidores proxy
Un servidor proxy es en principio un equipo que actúa como intermediario entre los equipos de una
red de área local (a veces mediante
protocolos, con excepción del protocolo
TCP/IP) e Internet.
Generalmente el servidor proxy se utiliza para la
Web. Se trata entonces de un proxy
HTTP. Sin embargo, puede haber servidores proxy para cada protocolo de aplicación (
FTP, etc.).
Principio operativo de un servidor proxy
El principio operativo básico de un servidor proxy es bastante sencillo: se trata de un servidor que actúa como "representante" de una aplicación efectuando solicitudes en Internet en su lugar. De esta manera, cuando un usuario se conecta a Internet con una aplicación del cliente configurada para utilizar un servidor proxy, la aplicación primero se conectará con el servidor proxy y le dará la solicitud. El servidor proxy se conecta entonces al servidor al que la aplicación del cliente desea conectarse y le envía la solicitud. Después, el servidor le envía la respuesta al proxy, el cual a su vez la envía a la aplicación del cliente.
