PRINCIPIOS FIREWALL, STATEFULL, STATELESSUn firewall es un dispositivo de seguridad, veamos exactamente lo que hace y en que se basa su funcionamiento. Un firewall es un dispositivo que funciona como cortafuegos entre redes, permitiendo o denegando las transmisiones de una red a la otra. Un uso típico es situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar que los intrusos puedan acceder a información confidencial. Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en función de lo que sean permite o deniega su paso. Para permitir o denegar una comunicación el firewall examina el tipo de servicio al que corresponde, como pueden ser el web, el correo o el IRC. Dependiendo del servicio el firewall decide si lo permite o no. Además, el firewall examina si la comunicación es entrante o saliente y dependiendo de su dirección puede permitirla o no. De este modo un firewall puede permitir desde una red local hacia Internet servicios de web, correo y ftp, pero no a IRC que puede ser innecesario para nuestro trabajo. También podemos configurar los accesos que se hagan desde Internet hacia la red local y podemos denegarlos todos o permitir algunos servicios como el de la web, (si es que poseemos un servidor web y queremos que accesible desde Internet). Dependiendo del firewall que tengamos también podremos permitir algunos accesos a la red local desde Internet si el usuario se ha autentificado como usuario de la red local. Un firewall puede ser un dispositivo software o hardware, es decir, un aparatito que se conecta entre la red y el cable de la conexión a Internet, o bien un programa que se instala en la máquina que tiene el modem que conecta con Internet. Incluso podemos encontrar ordenadores computadores muy potentes y con softwares específicos que lo único que hacen es monitorizar las comunicaciones entre redes. TCP/UDP El protocolo UDP UDP es un protocolo no orientado a conexión. Es decir cuando una maquina A envía paquetes a una maquina B, el flujo es unidireccional. La transferencia de datos es realizada sin haber realizado previamente una conexión con la maquina de destino (maquina B), y el destinatario recibirá los datos sin enviar una confirmación al emisor (la maquina A). Esto es debido a que la encapsulación de datos enviada por el protocolo UDP no permite transmitir la información relacionada al emisor. Por ello el destinatario no conocerá al emisor de los datos excepto su IP. El protocolo TCP Contrariamente a UDP, el protocolo TCP está orientado a conexión. Cuando una máquina A envía datos a una máquina B, la máquina B es informada de la llegada de datos, y confirma su buena recepción. Aquí interviene el control CRC de datos que se basa en una ecuación matemática que permite verificar la integridad de los datos transmitidos. De este modo, si los datos recibidos son corruptos, el protocolo TCP permite que los destinatarios soliciten al emisor que vuelvan a enviar los datos corruptos. 3WAY HANDSHAKE Protocolo de acuerdo a 3 vías El mecanismo es el siguiente 0. El host receptor, que en el caso de más común será un servidor, espera pasivamente una conexión ejecutando las primitvas LISTEN y ACCEPT. 1. En primer lugar, el host que deséa iniciar la conexión ejecuta una primitiva CONNECT especificando la dirección IP y el puerto con el que se deséa conectar, el tamaño máximo del segmento que está dispuesto a aceptar y opcionelmente otros datos, como alguna contraseña de usuario. Entonces la primitiva CONNCET hace una apertura activa, enviando al otro host un paquete que tiene el bit SYN (ver formato de un segmento TCP más abajo) activado, indicándole también el número de secuencia inicial "x" que usará para enviar sus mensajes. 2. El host receptor recibe el segmento revisa si hay algún proceso activo que haya ejecutado un LISTEN en el puerto solicitado, es decir, preparado para recibir datos por ese puerto. Si lo hay, el proceso a la escucha recibe el segmento TCP entrante, registra el número de secuencia "x" y, si deséa abrir la conexión, responde con un acuse de recibo "x + 1" con el bit SYN activado e incluye su propio número de secuencia inicial "y", dejando entonces abierta la conexión por su extremo. El número de acuse de recibo "x + 1" significa que el host ha recibido todos los octetos hasta e incluyendo "x", y espera "x + 1" a continuación. Si no deséa establecer la conexión, envía un contestación con el bit RST activado, para que el host en el otro extremo lo sepa. 3. El primer host recibe el segmento y envía su confirmación, momento a partir del cual puede enviar datos al otro extremo, abriendo entonces la conexión por su extremo. 4. La máquina receptora recibe la confirmación y entiende que el otro extremo ha abierto ya su conexión, por lo que a partir de ese momento también puede ella enviar datos. Con ésto, la conexión ha quedado abierta en ambos sentidos RUTEO LINK STATE A los protocolos de enrutamiento de link-state (como OSPF) también se les conoce como protocolos de shortest path first y se desarrollan en torno al algoritmo shortest path first (SPF) de Edsger Dijkstra. Los protocolos de estado de enlace son protocolos de enrutamiento de gateway interior, se utilizan dentro de un mismo AS (sistema autónomo) el cual puede dividirse en sectores más pequeños como divisiones lógicas llamadas Áreas. PAQUETES ESTADO-ENLACE: La información acerca del estado de dichos enlaces se conoce como link-states. esta información incluye: La dirección IP de la interfaz y la máscara de subred. El tipo de red, como Ethernet (broadcast) o enlace serial punto a punto. El costo de dicho enlace. Cualquier router vecino en dicho enlace. CARACTERÍSTICAS LINK-STATE Mediante los paquetes de saludo, los routers conocerán a sus vecinos. Posteriormente enviarán paquetes LSP Con información sobre el estado enlace de las redes conectadas directamente ;Los vecinos son bombardeados con estos paquetes LSP y los almacenan en una base de datos . Gracias a esta base de datos de paquetes LSP ,los routers crean el mapa topológico completo y así pueden calcular la mejor ruta para cada red de destino . Los protocolos de enrutamiento de link-state normalmente requieren más memoria, más procesamiento de CPU y, en ocasiones, un mayor ancho de banda que los protocolos de enrutamiento vector distancia. UNCIONAMIENTO LINK-STATE 1. Cada router obtiene información sobre sus propios enlaces, sus propias redes conectadas directamente. 2. Cada router es responsable de reunirse con sus vecinos en redes conectadas directamente. (Paquetes de saludo) 3. Cada router crea un Paquete de link-state (LSP) que incluye el estado de cada enlace directamente conectado. ( ID de vecino, el tipo de enlace y el ancho de banda). 4. Cada router satura con el LSP a todos los vecinos, que luego almacenan todos los LSP recibidos en una base de datos. Los vecinos luego saturan con los LSP a sus vecinos hasta que todos los routers del área hayan recibido los LSP. Cada router almacena una copia de cada LSP recibido por parte de sus vecinos en una base de datos local. (Después de la inundación LSP Inicial generalmente requieren menos ancho de banda para comunicar cambios en una topología) . 5. Cada router utiliza la base de datos para construir un mapa completo de la topología y calcula el mejor camino hacia cada red de destino. El algoritmo SPF se utiliza para construir el mapa de la topología y determinar el mejor camino hacia cada red – IS-IS y OSPF utilizan el algoritmo Dijkastra. – Al recibir un LSP de un router vecino. – La base de datos de estado de enlace en los routers de enlace de datos dentro de un área . Este algoritmo acumula costos a lo largo de cada ruta.debe ser idéntica para construir un árbol SPF preciso. – El último paso en el proceso de enrutamiento de estado de enlace es: SPFcalcula la mejor ruta a cada red destino – Afirmaciones que describen correctamente el proceso de enrutamiento de link state: Todos los Routers en el área tienen bases de datos de link-state Cada router en el área inunda los LSP hacia todos los vecinos – ¿Qué función proporcionan los protocolos de estado de enlace modernos para minimizar el procesamiento y los requisitos de memoria ? Dividir topologías de enrutamiento en áreas más pequeñas – Para alcanzar la convergencia de red cuáles son los tres pasos que realiza cada router de link-state? : Construir un paquete de Link. – Cada router determina de manera independiente la ruta a cada red. desde el origen hasta el destino. Construir un mapa completo de la topología y calcular el mejor camino hacia cada red destino . los cuales luego almacenan todos los LSP recibidos en una base de datos .State (LSP) que contiene el estado de cada enlace directamente conectado . Inundar el LSP a todos los vecinos.Otros detalles de su comportamiento y respuestas de exámen Cisco CCNA2: – Mandan paquetes de estado-enlace cuando un enlace se activa o se desactiva. – Eventos que hacen que el router de estado de enlace envíe el LSP a todos los vecinos : Cada vez que la topología de red cambia. un router de estado de enlace inmediatamente saturará el LSP a los vecinos. – Lo que agiliza la convergencia en una red que usa el Enrutamiento de estado de enlace es: Las actualizaciones se desencadenan cuando se producen cambios en la red – ¿Por qué es difícil que se produzcan routing loops en redes que usan enrutamiento de estado de enlace? Cada router desarrolla una visión completa y sincronizada de la red . En la puesta en marcha inicial del router o del protocolo de enrutamiento . es decir para la parte interna de la red. la que no está conectada al backbone de Internet. Cada router conoce los routers cercanos y las direcciones que posee cada router de los cercanos. OSPF (Open shortest path first.OSPF: Protocolo de enrutamiento de gateway Interior por estado de enlace. en este caso significa que los algoritmos que usa son de disposición pública. Además de esto cada router sabe a que distancia (medida en routers) está cada router. la ruta que tenga el menor numero de saltos es la mas optima y la que se publicará. El paquete iría por B sin tener en cuenta la saturación de la linea o el ancho de banda de la linea. es decir la cantidad de routers por los que tiene que pasar el paquete para llegar a la red destino. Desde la red local va un paquete a W que esta por A a tres saltos y por B a dos saltos. . protocolo de información de RIP es un protocolo de encaminamiento interno. RIP RIP (Routing information encaminamiento) protocolo. La O de OSPF viene de abierto. otra (A) una red rápida frame relay de 48Mbps y una línea (B) RDSI de 64Kbps. como RIP. . Así por ejemplo un router que tenga tres conexiones a red. . en el que muchos usuarios se conectan a una red y pueden acceder por lugares distintos.RIP : Protocolo de enrutamiento de gateway Interior por vector distancia. .BGP: Protocolo de enrutamiento de gateway exterior por vector ditancia. del cual es propietario CISCO. Así podemos ver que RIP es un protocolo usado por distintos routers para intercambiar información y así conocer por donde deberían enrutar un paquete para hacer que éste llegue a su destino. su forma de funcionar es bastante sencilla.EIGRP: Protocolo de enrutamiento de gateway Interior por vector distancia. es una versión mejorada de IGRP. Es muy usado en sistemas de conexión a internet como infovia.VECTOR DISTANCIA Vector Distancia: Su métrica se basa en lo que se le llama en redes “Numero de Saltos”. Cuando un usuarios se conecta el servidor de terminales (equipo en el que finaliza la llamada) avisa con un mensaje RIP al router más cercano advirtiendo de la dirección IP que ahora le pertenece. El camino más corto primero) OSPF se usa. . lgunos protocolos de enrutamiento dinámicos son: . en la parte interna de las redes. una a una red local en la que hay puesto de trabajo.IGRP: Protocolo de enrutamiento de gateway Interior por vector distancia. Así cuando tiene que enviar un paquete lo envía por la ruta por la que tenga que dar menos saltos. IPsec utiliza el índice de parámetro de seguridad (SPI). los flujos son asegurados por un par de asociaciones de seguridad. (2) garantizar la autenticación mutua y (3) establecer parámetros criptográficos. y por ello permitiendo múltiples niveles y conjuntos de seguridad dentro de un grupo. La decisión final de los algoritmos de cifrado y autenticación (de una lista definida) le corresponde al administrador de IPsec. no utiliza RIP. Por ejemplo una empresa (A) tiene alquilada una línea a telefónica-data. Para un paquete entrante se realiza un procedimiento similar. incluyendo TCP y UDP. cada remitente puede tener múltiples asociaciones de seguridad. y se duplica para todos los receptores autorizados del grupo. denegación de paso de paquetes. Para decidir qué protección se va a proporcionar a un paquete saliente. Para que una aplicación pueda usar IPsec no hay que hacer ningún cambio. Una asociación de seguridad es simplemente el paquete de algoritmos y parámetros (tales como las claves) que se está usando para cifrar y autenticar un flujo particular en una dirección. Esto hace que IPsec sea más flexible. en este caso IPsec coge las claves de verificación y descifrado de la base de datos de asociaciones de seguridad. junto con la dirección de destino de la cabecera del paquete. los protocolos de capa de transporte más usados. IPsec IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. Puede haber más de una asociación de seguridad para un grupo. ya que puede ser utilizado para proteger protocolos de la capa 4. permitiendo . mientras que para usar SSL y otros protocolos de niveles superiores. como SSL. La arquitectura de seguridad IP utiliza el concepto de asociación de seguridad (SA) como base para construir funciones de seguridad en IP. las aplicaciones tienen que modificar su código. para enviar un paquete por una ruta o por otra. De hecho. TLS y SSH operan de la capa de transporte (capas OSI 4 a 7) hacia arriba. IPsec está implementado por un conjunto de protocolos criptográficos para (1) asegurar el flujo de paquetes. la capa 3 del modelo OSI. BGP es usado por grandes proveedores de conectividad a internet. Este protocolo usa parámetros como ancho de banda. utilizando diferentes SPIs. un índice a la base de datos de asociaciones de seguridad (SADB). En el caso de multicast. en el tráfico normal bidireccional. se proporciona una asociación de seguridad al grupo. etc. saturación de la red. BGP tiene su propios mensajes entre routers.Otros protocolos de seguridad para Internet de uso extendido. Un router BGP da a conocer sus direcciones IP a los routers BGP y esta información se difunde por los routers BGP cercanos y no tan cercanos. La empresa A no hace BGP y posiblemente los routers más cercanos no utilizarán BGP pero si los que interconecten Telefónica-Data con Hispanix (punto neutro de interconexión en España). que juntos identifican de forma única una asociación de seguridad para dicho paquete. IPsec tiene una ventaja sobre SSL y otros métodos que operan en capas superiores.BGP es un protocolo muy complejo que se usa en la interconexión de redes conectadas por un backbone de internet. precio de la conexión. Los protocolos de IPsec actúan en la capa de red. IPsec también incluye protocolos para el establecimiento de claves de cifrado. Por lo tanto. en octetos. sin embargo. incluyendo el tamaño de la cabecera y el de los datos. todo el paquete IP (datos más cabeceras del mensaje) es cifrado y/o autenticado. Algunas redes ofrecen prioridades de servicios. en palabras de 32 bits. El modo transporte se utiliza para comunicaciones ordenador a ordenador. considerando determinado tipo de paquetes “más importantes” que otros (en particular estas redes solo admiten los paquetes con prioridad alta en momentos de sobrecarga). Este ejemplo ilustra esto: Modo tunel En el modo túnel. las direcciones IP no pueden ser traducidas. TOS Indica una serie de parámetros sobre la calidad de servicio deseada durante el tránsito por una red. ya que un receptor sólo puede saber que alguien que conoce las claves ha enviado los datos. Este ejemplo ilustra esto: Cabeceras Cabecera IP La cabecera del paquete IP es la siguiente: Donde: ver Es la versión del protocolo IP. para VPNs) o comunicaciones ordenador a red u ordenador a ordenador sobre Internet. p. ya que no se modifica ni se cifra la cabecera IP. ya que eso invalidaría el hash.autenticación. El tamaño de la cabecera nunca incluye el tamaño del payload o de la cabecera siguiente. El tamaño máximo de los datagramas usados . Su valor mínimo es de 5 para una cabecera correcta.e. y el máximo de 15. IPsec se monta sobre IPv4. entre dos hosts y sobre un canal inseguro. cuando se utiliza la cabecera de autenticación (AH). del datagrama. Debe ser entonces encapsulado en un nuevo paquete IP para que funcione el enrutamiento. pkt len Es el tamaño total. de forma que no pueden ser modificadas de ninguna manera (por ejemplo traduciendo los números de puerto TCP y UDP). hlen Longitud de la cabecera. Las capas de transporte y aplicación están siempre aseguradas por un hash. Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definido por RFCs que describen el mecanismo de NAT-T El propósito de este modo es establecer una comunicación segura punto a punto. El enrutamiento permanece intacto. Modos de funcionamiento Modo transporte En modo transporte. Hay que observar que el estándar pertinente no describe cómo se elige y duplica la asociación a través del grupo. El modo túnel se utiliza para comunicaciones red a red (túneles seguros entre routers. se asume que un interesado responsable habrá hecho la elección. sólo la carga útil (los datos que se transfieren) del paquete IP es cifrada y/o autenticada. El propósito de este modo es establecer una comunicación segura entre dos redes remotas sobre un canal inseguro. no el del datagrama original. Por otro lado. calcula un Hash Message Authentication Code (HMAC) a través de algún algoritmo hash operando sobre una clave secreta. Este proceso restringe la posibilidad de emplear NAT. AH protege la carga útil IP y todos los campos de la cabecera de un datagrama IP . Los más utilizados son: Codigo 1 2 4 6 17 41 47 50 51 Descripción ICMP — Internet Control Message Protocol IGMP — Internet Group Management Protocol IP en IP (una encapsulación IP) TCP — Transmission Control Protocol UDP — User Datagram Protocol IPv6 — next-generation TCP/IP GRE — Generic Router Encapsulation (usado por PPTP) IPsec: ESP — Encapsulating Security Payload IPsec: AH — Authentication Header Otros códigos se encuentran en la web de IANA Cabecera IPsec AH (authentication only) AH está dirigido a garantizar integridad sin conexión y autenticación de los datos de origen de los datagramas IP. El primer paquete de una serie de fragmentos contendrá en este campo el valor 0. En caso de fragmentación este campo contendrá el tamaño del fragmento. Cada vez que algún nodo procesa este paquete disminuye su valor en uno por cada router que pase. Una máquina no debería envíar datagramas mayores a no ser que tenga la certeza de que van a ser aceptados por la máquina destino. que puede ser implementada con NAT transversal. Si el paquete necesitara ser fragmentado. proto Indica el protocolo de siguiente nivel utilizado en la parte de datos del datagrama. frag offset En paquetes fragmentados indica la posición. no se enviará. el paquete no será reenviado. AH puede proteger opcionalmente contra ataques de repetición utilizando la técnica de ventana deslizante y descartando paquetes viejos. debe ser 0 bit 1: 0 = Divisible. Para ello. 1 = No Divisible (DF) bit 2: 0 = Último Fragmento.normalmente es de 576 octetos (64 de cabeceras y 512 de datos). en unidades de 64 bits. que ocupa el paquete actual dentro del datagrama original. TTL Indica el máximo número de enrutadores que un paquete puede atravesar. 1 = Fragmento Intermedio (le siguen más fragmentos) (MF) La indicación de que un paquete es indivisible debe ser tenida en cuenta bajo cualquier circunstancia. el contenido del paquete IP y las partes inmutables del datagrama. ID Indica el identificador del fragmento actual en caso de que el paquete estuviera fragmentado fgls Actualmente utilizado sólo para especificar valores relativos a la fragmentación de paquetes: bit 0: Reservado. Cuando llegue a ser 0. Esto pone al datagrama es su estado original. Flags.excepto los campos mutantes. Debe estar a 0 Security parameters index (SPI) Indica los parametros de seguridad. AH en Modo Transporte La manera más fácil de entender el modo transporte es que protege el intercambio de información entre dos usuarios finales. UDP. TTL y suma de verificación de la cabecera. Un cabecera AH mide 32 bits. los campos de la cabecera IP mutantes (y por lo tanto no autenticados) incluyen TOS. se despojan las cabeceras IPsec y la carga a transmitir (TCP. cuál es el payload. En AH en Modo Transporte. donde un paquete IP es encapsulado dentro de otro y enviado a su destino. el paquete se tira. El que recibe calcula otra vez el hash. etc). aquellos que pueden ser alterados en el tránsito. cuando las cabeceras IPsec han sido validadas en el receptor. Puede contener relleno. Offset de fragmentos. No es una vpn. etc) es guardada nuevamente en la cabecera IP. AH opera directamente por encima de IP. UDP. es decir. es decir. etc) y después se requiere un proceso “de arrastre” que interconecta las distintas cabeceras entre ellas. utilizando el protocolo IP número 51. UDP. Cuando el paquete llega a su siguiente destino y pasa el test de autenticidad. La protección puede ser autentificación o encriptación (o las dos). cual es el protocolo que será autentificado. y puede ser enviado al proceso original. he aquí un diagrama de cómo se organizan: * next hdr Identifica cuál es el siguiente protocolo. incluidas la mayoría de las cabeceras. así que cualquier alteración será detectada Authentication Data Contiene el valor de identificación de integridad. identifican la asociación de seguridad del paquete Sequence Number Es un número creciente usado para prevenir ataques por repetición. es una simple conexión segura entre dos usuarios finales. AH en Modo Túnel El modo túnel es el más común para dar una funcionalidad de VPN. Este proceso “de arrastre” se necesita para que el paquete original IP sea reconstituido cuando llegue a su destino. RESERVED Reservado para futuras aplicaciones. . AH len El tamaño del paquete AH. y si este no coincide. el paquete IP es modificado ligeramente para incluir una nueva cabecera AH entre la cabecera IP y la información transmitida (TCP.Se calcula sobre el paquete entero. El número está incluido en los datos encriptados. la cabecera AH es quitada y el campo proto=AH es reemplazado con el siguiente protocolo de la carga transmitida (TCP. pero no se hace usando un tunel (para eso está el modo túnel). que en combinación con los parámetros IP. En IPv4. A partir de allí es tratado como un datagrama IP normal. como en caso de funciones de administración de red.etc). . y los routers inmediatos tratan todo tipo de tráfico IPsec/AH de la misma manera que el tráfico normal.en contraposición a una pasarela . Cuando el valor de “siguiente cabecera” es IP. firewall.Igual que en el modo transporte. Cuando un paquete en modo túnel llega a su destino. etc) significa que estamos usando el modo transporte y se trata de una conexión segura extremo a extremo. El paquete reconstituido puede ser entregado a la máquina local o enrutado donde sea (dependiendo de la dirección IP encontrada en el paquete encapsulado). luego nos queda el datagrama original.es necesario que soporte los dos modos. pasa el mismo proceso de autentificación igual que cualquier paquete AH-IPsec. Así se comporta el modo túnel.) tiene que tener soporte únicamente para modo túnel. Esta finaliza al final del túnel. el modo túnel encapsula todo el paquete IP. Además. no hay un campo explícito “Modo” en IPsec que distinga entre el modo de transporte y el modo túnel. UDP. el modo túnel es usado normalmente entre pasarelas (routers. Pero a diferencia del modo de transporte. sin embargo tener soporte para el modo transporte es útil sólo cuando la pasarela se considera como destino ella misma. que es enrutado mediante un proceso normal. pero de ninguna manera vuelve a estar sujeto a las protección de IPsec. Esto hace que el destinatario del paquete sea uno diferente al destinatario original. Tal como el modo de transporte es usado estrictamente para asegurar conexiones de extremo a extremo entre dos ordenadores. una pasarela (router. Lo que los distingue es el campo *siguiente cabecera (next head)* en la cabecera AH. firewalls o dispositivos VPN) para proveer una Red Privada Virtual (VPN) ¿Transporte o Túnel? Curiosamente. no sólo la carga util (TCP. de transporte y túnel. Otro valor cualquiera (TCP. sin una inspección más profunda. el paquete es “sellado” con un ICV para autentificar al que envia la información para prevenir modificaciones durante el tránsito. Hay que darse cuenta que un host . pero en una conexión host-to-host parece superfluo usar el modo túnel. El nivel superior de un datagrama IP es estructurado de la misma manera. UDP . Esto ayuda a la formación de un túnel.y el tráfico entrante y saliente de él está sujeto a todas las decisiones normales de enrutamiento. sin tener en cuenta el modo. Este proceso hace que se despoje de sus cabeceras IP y AH. La mayoria de las implementaciones tratan el final del túnel como una interfaz de red virtual -exactamente igual que una Ethernet o localhost . ICMP. significa que este paquete encapsula un datagrama IP entero (incluyendo los campos de destino y origen IP que nos permiten saber donde va el paquete que va encapsulado después de la desencapsulación. etc. Más que usar un checksum convencional.AH . Dado que el valor del control de integridad contiene una llave secreta que sólo la saben el host origen y el host destino. la cabecera IP se modifica “al vuelo” por el dispositivo NAT para cambiar las direcciones IP de origen y destino. el cual traza múltiples direcciones IP en una en una sola dirección IP externa. Esto se tiene que hacer a parte. Huelga decir que IPsec no define ni obliga como debe hacerse la autentificación. En este proceso. El valor de ese campo está dado por algoritmos de encriptación tales como MD5 o SHA-1.en el modo Túnel o Transporte . . AH sabe que tiene que excluirlos de su protección. se fuerza a recalcular el checksum de la cabecera. pero no tiene que excluir a las direcciones IP. Estas están incluidas en el constrol de integridad. simplemente ofrece un marco de seguridad en la que los dos hosts que realizan la comunicación se ponen de acuerdo sobre que sistema usar. No solo se modifican las direcciones IP “al vuelo”.es totalmente incompatible con NAT y sólo se puede emplear AH cuando las redes de origen y destino son alcanzables sin traducción. Por esta razón. sino además los números de los puertos UDP y TCP (a veces hasta la carga úlil que se transfiere. y esta situación requiere decrementar el campo TTL(Time to Live). Las mismas se aplican también al PAT(Port Address Translation). que incorpora una clave secreta mienstras se crea el hash. Esto requiere una sistema más sofisticado por parte del dispositivo NAT. pero es obligatorio que ambos los conozcan y sepan como usarlos NAT y AH AH da una protección muy fuerte a los paquetes porque cubre todas las partes que se consideran inmutables. Cuando es cambiada la dirección de origen de la cabecera IP. NAT se usa para trazar un rango de direcciones privadas (192. el dispositivo NAT no puede recalcular el ICV. Dado que el campo TTL y el checksum de la cabecera siempre son modificados “al vuelo”.1. Aunque un atacante puede recalcular un hash fácilmente.168. Pero esta protección tiene un coste: AH es incompatible con NAT (Network Address Translation).X) de una conjunto (normalmente más pequeño) de direcciones públicas. para reducir la demanda de direcciones IP públicas. porque el dispositivo NAT es como un “agujero” en el camino del origen al destino. el cual podría no proveer una securidad real contra una manipulación intencional. y cualquier cambio en las direcciones ip de origen y destino va a hacer que el control de integridad falle cuando llegue al destinatario.Algoritmos de autentificación AH lleva un campo (Integrity Check Value) para comprobar la integridad del paquete y que nadie lo ha manipulado durante el trayecto. este usa una Hashed Message Authentication Code (HMAC). sin la clave secreta no sería capaz de crear el ICV apropiado. Pueden usarse firmas digitales o funciones de encriptación. y unas modificaciones más extensas en todo el datagrama IP. pero nos da algunos beneficios importantes. El tamaño del relleno viene dado por el campo pad len. Los parámetros de seguridad Index y Sequence Number tienen el mismo propósito que en AH. esto no hace que la seguridad de la autentificación más débil. también la llave usada. A diferencia de AH.Hay que decir que esta dificultad no se aplica al ESP. sin embargo estructura el paquete de la misma forma. ESP (Encapsulating Security Payload) Añadir encriptacion hace que ESP sea un poco más complicado. esta autentifica sólo la cabecera ESP y la carca útil encriptada. ESP rodea la carga útil con su protección. ESP puede proveer autentificación con la misma HMAC de AH. dado que tenemos que crear una carga a encriptar que tenga un tamaño múltiplo de su tamaño de bloque. . pero también guarda un registro de que conexiones siguen el camino traducido y así poder enviar las respuestas al origen de manera correcta. pero normalmente se utiliza DES. El atacante va a saber casi seguro que son datos ESP (está en la cabecera que son datos ESP). pero nos encontramos como relleno en la cola del paquete el campo “siguiente campo” y el opcional “Authentication data”. NAT también impone algunos desafíos incluso en ESP (explicado más adelante). UDP.etc) de la carga útil. es prácticamente imposible adivinar que es lo que tiene dentro. y sólo tiene sentido usarlo con una la autentificación ESP. Las RFCs de IPsec no insisten demasiado en un sistema particular de encriptación. El relleno sirve para poder usar algoritmos de encriptación orientados a bloques. A diferencia de AH. y esta SA incluye no sólo la el algoritmo. No tiene sentido usar ESP sin encriptación o autentificación (a no ser que estemos simplemente probando el protocolo). Es posible usar ESP sin ninguna encriptación (usar el algoritmo NULL). provee los modos de transporte y túnel. que da una pequeña cabecera antes de la carga útil. ya que la encapsulación rodea a la carga útil es algo más que precederla con AH: ESP incluye cabecera y campos para dar soporte a la encriptacion y a una autentificación opcional. Además de la encriptación. Sorprendentemente. AES o Blowfish para asegurar la carga útil de “ojos indiscretos”. NAT traduce las direcciones IP al vuelo. excepto por los datos encontrados en la cabecera IP (siendo interesantes las direcciones IP de origen y destino). esto se hace mediante los números de los puertos (que pueden ser reescritos al vuelo o no). aunque esto sea usado como un punto para volver hacia atras en el paquete para ver que hay en el AH. pero no va a saber de que tipo es la carga útil. pero IPsec no da ninguna interfaz para hacer esto. no todo el paquete IP. No nos da ninguna confidencialidad a los datos que estamos transmitiendo. triple-DES. Además. El algoritmo usado para una conexión en particular es definido por la Security Association (SA). Cuando se usa TCP o UDP. los cuales nos son ya familiares. Cuando un forastero examina un paquete IP que contiene datos ESP. Aún asi. TCP. ya que su autentificación y encriptación no incorpora la cabecera IP modificada por NAT. El campo next hdr nos da el tipo (IP. El objetivo de la VPN es juntar dos redes seguras a través de una red insegura. Esta parte se trata en la siguiente sección. usando ESP eso no ocurre. ESP+Auth es usado en modo Túnel para encapsular completamente el tráfico a traves de una red no segura. ESP en Modo Transporte Al igual que en AH. Construyendo una VPN real Con la explicación de AH y ESP ahora somos capaces de habilitar la encriptación y la autentificación para construir una VPN real. tenemos que añadir autentificación. el modo transporte encapsula justamente la carga la carga útil del datagraya y está diseñado justamente para comunicaciones extremo-a-extremo. tal como sería tirar un cable Ethernet muy grande entre las dos redes seguras. y es lo que se nos viene a la cabeza a la mayoría cuando pensamos acerca de IPsec. donde un forastero puede ver fácilmente que es lo que sse transmite en modo Túnel o Transporte. pero ESP y AH pueden proveer autentificacióN: ¿cuál de las dos usar? La solución obvia de envolver ESP dentro de AH es tecnicamente posible. y no será visible para nadie que no pueda desencriptar el paquete. el datagrama IP entero original es parte de la carga útil encriptada. protegiendo este trafico con encriptación y autentificación. y esto hace además de otras cosas . ESP en Modo Túnel El ESP en modo Túnel encapsula el datagrama IP entero y lo encripta: Proveer una conexión encriptada en modo túnel es dar una forma muy cercana a como se crea una VPN. tales como documentos secretos. En cambio. ya que los dos hosts que se comunican están conectados a través de una VPN. El tráfico protegido de esta manera produce información inútil para un intruso. El caso es que en el modo túnel (poniendo next=IP). Sabemos que la única manera de conseguir encriptación es ESP. Esta resolucion está hecha por la Security Parameters Index. Claramente. dando a los usuarios acceso a recursos que no pueden caer en manos indebidas. una red VPN segura requiere las dos cosas: autentificación y encriptación. pero nunca revela el contenido del tráfico. Esta información puede ayudar al atacante a entender que los dos hosts se comunican por un canal seguro. Incluso el tipo de tráfico . Usar AH+ESP puede hacer que no podamos atravesar el dispositivo NAT. La cabecera IP original se deja (excepto por el campo cambiado Protocol). Es una tecnología muy usada para juntar por ejemplo filiales de compañias con la sede central de la compañia.que las direcciones IP de origen y destino se quedan como están. pero en la práctica no es muy usada por las limitaciones de AH respecto al NAT. A diferencia de AH. esa información no está disponible para el forastero.Incluso la presencia de Authentication Data no puede ser determina solamente con mirar al paquete. Además de esto. que hace referencia al conjunto de parámetros precompartidos para esta conexión. pero sólo podemos tocar una parte de esta: AH: algoritmo de autenticación AH: secreto de autenticación ESP: algoritmo de encriptación ESP: clave secreta de encriptación ESP: autenticación activada si/no Algunos parámetros de intercambio de llaves . y para los propósitos de esta guía vamos a suponer que han llegado “mágicamente” a su lugar. Este paquete-en-paquete puede ser anidado a más niveles: Host A y Host B pueden establecer su propia conexión autenticada (via AH) y comunicarse sobre una VPN. Estos parámetros son especificados por la Security Association (SA). y tenemos que tener un gobernador que lleve todo este proceso. cada una con un diferente conjunto de claves y algoritmos. y cada pareja pueden tener uno o más colecciones de parámetros específicos de conexión. el cual está denotado de forma única por la dirección IP. una colección de parametros específicos de conexión. En la SADB tenemos una cantidad ingente de información. cada protocolo (ESP/AH) tiene su propia SA en cada dirección. UDP o ICMP) está oculto para las personas de fuera. así que una conexión en los dos sentidos (el caso típico) requiere al menos dos. algoritmo y políticas)? Un host puede tener varias conversaciones simultáneas.llega a una una interfaz.AH o ESP . se requiere algún tipo de clave secreta compartida para llevar a cabo la función de autentificación o la y/o la clave del algoritmo de encriptación. protocolo y el número del puerto Una SA es de sentido único. y enruta el traico que va a otra parte como normalmente lo haría.encapsulado en el protocolo (TCP. Todas ellas están en la Security Associations Database. La cuestión es como esos “secretos” son establecidos a para poder ser dirigidos desde cualquier sitio. por tanto una conexión completa AH+ESP VPN requiere 4 SAs. Dirección IP de la pareja (el usuario con el que nos estamos comunicando) Protocolo IPsec (AH o ESP) Security Parameter Index Hay muchas maneras para asociar este triplete a un socket IP. Cuando un datagrama IPsec . Cuando llega el datagrama son usadas tres piezas de los datos para localizar dentro de la base de datos o Security Associations Database (SADB) la SA correcta. Esto pondría un paquete AH dentro de un paquete con una cobertura ESP+Auth. ¿cómo sabe la interfaz que conjunto de parámetros usar (clave. Lo particularmente bonito de este modo de operación es que los usuarios finales no saben nada de la VPN o las medidas de seguridad tomadas. Desde que una VPN está implementada por una pasarela. Security Association y SPI Es obvio que si los dos hosts o pasarelas van a establecer una conexión segura. este trata la VPN como otra interfaz. Además. In instalaciones más grandes con más dispositivos usando una clave precompartidas. Supone una alternativa al intercambio manual de claves.1 . Administración de claves secretas Finalmente. incluyendo las directivas de seguridad que van a usar. etc. Todas las personas implicadas en la comunicación segura instalan esas directivas como Security Association en la SPD. y este hecho requiere que las llaves que se usan sólo las sepan los participantes en la comunicación y nadie más. especificar el tiempo de vida de la sesión IPSEC. otras con GUIs y otras proveen una interfaz basada en web sobre la red. IKE . IPsec sería casi inútil sin las facilidades criptográficas de autenticación y encriptación. Fases IKE La negociación IKE está compuesta por dos fases: fase 1 y fase 2.Internet Key Exchange . Se suelen usar sistemas de clave pública o clave pre-compartida. Restricciones de enrutamiento Política de filtración de IPs Algunas implementaciones mantienen la SPD (Security Policy Database) con herramientas de tipo consola. siendo Oakley el mas usado. Su objetivo es la negociación de una Asociación de Seguridad para IPSEC. así como si está en modo Host o modo Pasarela (Gateway). vamos a cubrir brevemente el asunto de la administración de claves. La forma más obvia y sencilla de establecer las directivas de securidad es de forma manual: un grupo genera ese conjunto de directivas de securidad y las hace llegar a los otros compañeros. Huelga decir que el intercambio de claves de IPSec tiene lugar normalmente en el puerto 500 de UDP IKE V1 Y V2 Internet key exchange (IKE) es un protocolo usado para establecer una Asociación de Seguridad (SA) en el protocolo IPsec. El grado de detalle mantenido por cualquier implementación en particular depende de las facilidades ofrecidas. a su SPD puede exponer esas directivas a personas ajenas a la comunicación en el tránsito.existe para que los puntos terminales del túnel puedan montar de manera apropiada sus Security Associations. Permite. IKE usa el ISAKMP (Internet Security Association Key Management Protocol) como un framework para dar soporte al establecimiento de una SA compatible con los dos extremos Existe un soporte para múltiples protocolos de intercambio de claves. ya que no es del todo seguro: el mero hecho de hacer llegar las directivas de seguridad a otro lado. además. IKE emplea un intercambio secreto de claves de tipo Diffie-Hellman para establecer el secreto compartido de la sesión. Este área incluye varios protocolos y muchas opciones. esas claves pueden transigir un despliegue perjudicial para las nuevas claves. autenticación dinámica de otras máquinas. Este proceso no es muy recomendado. aunque ambos extremos aparecieran como correctamente configurados. con objeto de soportar la movilidad y el multihoming para IKE y ESP. NAT transversal: La encapsulación de IKE y ESP por UDP en el puerto 4500 permite a estos protocolos atravesar cortafuegos que usan NAT5 Soporte SCTP: IKEv2 permite el uso del protocolo SCTP usado en telefonía IP VoIP. o cifrado de clave pública. ambos extremos debían estar de acuerdo en implementar exactamente el mismo tipo de asociación de seguridad (SA) (parámetro a parámetro) o la conexión no se establecería. pero carecía de sencillez general para la negociación automática en los entornos donde se implementaba de forma universal. más si incluimos NAT transversal y otras extensiones comunes. Se añadía a este problema la dificultad de interpretar la salida de depuración (debug).1 Problemas de IKE Originalmente IKE poseía numerosas opciones de configuración. haciendo que no fuera posible establecer una asociación de seguridad dependiendo de las opciones que se eligieran. además de incorporar mejoras al NAT transversal y en general al método de atravesar cortafuegos. firmas digitales. Mejoras introducidas con IKEv2 La necesidad de una revisión del protocolo IKE fue incorporada en el apéndice A del RFC 4306. provocando que diferentes implementaciones de IKE no fueran compatibles entre sí. lo que se interpretaba como fallos en su diseño (Dead-Peer-Detection es un ejemplo). de forma muy parecida a los que hace el protocolo ESP para proteger los paquetes IPsec.4 Phase 2 opera sólo en Quick Mode. IKEv2 combina todas estas descripciones en un solo RFC.2 bidireccional. Menor número de mecanismos criptográficos: IKEv2 emplea mecanismos criptográficos para proteger los paquetes que envía. Las especificaciones de IKE estaban abiertas a diferentes interpretaciones. mientras que IKE necesitaba de ocho. Esto repercute en implementaciones y certificaciones más sencillas y para Common . Soporte estándar en movilidad: Existe una extensión para IKEv2 llamada MOBIKE. Usando esta extensión. en caso de que existiese.3 La fase 1 opera tanto en modo principal como agresivo. El modo principal protege la identidad de los extremos. De esta forma. La negociación consiste en un mínimo de dos SAs unidireccionales. Intercambio simple de mensajes: IKEv2 necesita cuatro mensajes para el mecanismo de intercambio inicial. El objetivo de la primera fase IKE es establecer un canal de comunicación seguro usando el algoritmo de intercambio de claves Diffie-Hellman para generar una clave de secreto compartido y así cifrar la comunicación IKE. los extremos usan el canal seguro establecido en la primera fase para negociar una Asociación de Seguridad (SA) en nombre de otros servicios como IPsec. Esta negociación establece una única SA ISAKMP Security Association (SA). Los siguientes problemas fueron detallados: Menor número de RFCs: Las especificaciones IKE estaban descritas en al menos tres RFCs. IKEv2 y IPsec puede ser usada por usuarios móviles. La autenticación puede ser realizada usando tanto una clave compartida (pre-shared key) (secreto compartido). mientras que el modo agresivo no lo hace.1 En la segunda fase IKE. El punto de acceso (o la antena conectada al punto de acceso) es normalmente colocado en alto pero podría colocarse en cualquier lugar en que se obtenga la cobertura de radio deseada. que requieren que cada implementación criptográfica sea validada de forma independiente. Funcionamiento Se utilizan ondas de radio para llevar la información de un punto a otro sin necesidad de un medio físico guiado.Criteria and FIPS 140-2. El usuario final accede a la red WLAN a través de adaptadores. Confiabilidad y administración de estado: IKEv2 usa números de secuencia y acuses de recibo para proporcionar confiabilidad. Un único punto de acceso puede soportar un pequeño grupo de usuarios y puede funcionar en un rango de al menos treinta metros y hasta varios cientos. WIRELESS LAN Una red de área local inalámbrica. muy utilizado como alternativa a las redes de área local cableadas o como extensión de éstas. Estas redes van adquiriendo importancia en muchos campos. en los que se transmite la información en tiempo real a una terminal central. ya que realizan la función de llevar la energía a un receptor remoto. la almacena y la transmite entre la WLAN y la LAN cableada. sobre las que va la información. El punto de acceso recibe la información. Esto implica que diferentes implementaciones de este tipo de soluciones no eran siempre compatibles entre sí. Se descubrió que IKE podría finalizar la conexión debido a la falta de sistemas que intormen sobre el estado. A este proceso se le llama modulación de la portadora por la información que está siendo transmitida. Los datos a transmitir se superponen a la portadora de radio y de este modo pueden ser extraídos exactamente en el receptor final. también conocida como WLAN (del inglés wireless local area network). Estos proporcionan una interfaz entre el sistema de operación de red del cliente (NOS: Network Operating System) y las ondas. En una configuración típica de LAN (con cable) los puntos de acceso (transceiver) conectan la red cableada de un lugar fijo mediante cableado normalizado. pero no se llegaron a estandarizar. ignorando el resto. Para extraer los datos el receptor se sitúa en una determinada frecuencia. Resistencia al ataque de denegación de servicio (DoS): IKEv2 no realiza procesamiento hasta que determina si el extremo que realiza la petición realmente existe. como almacenes o para manufactura. mediante una antena. varias portadoras pueden existir en igual tiempo y espacio sin interferir entre ellas. . Al hablar de ondas de radio nos referimos normalmente a portadoras de radio. Se desarrollaron algunas soluciones como Dead-Peer-Detection. También son muy populares en los night-clubs para compartir el acceso a Internet entre varias computadoras. al estar ambos extremos a la espera de la otra parte para iniciar una acción que nunca se produciría. Si las ondas son transmitidas a distintas frecuencias de radio. También provee sistemas de procesamiento de errores y compartición del estado. Usan tecnologías de radiofrecuencia que permite mayor movilidad a los usuarios al minimizar las conexiones cableadas. Esto permite evitar el gasto en procesamiento realizado en cifrado/descifrado que se producía al sufrir un ataque desde IP falsas. es un sistema de comunicación inalámbrico flexible. frecuencia portadora. La meta es cubrir el área con células que solapen sus áreas de modo que los clientes puedan moverse sin cortes entre un grupo de puntos de acceso. Configuraciones de red para radiofrecuencia Pueden ser de muy diversos tipos y tan simples o complejas como sea necesario. de modo que funcionan como tales pero no están enganchados a la red cableada como los puntos de acceso. En este caso. Igualmente en el segundo edificio se conecta un punto de acceso.La naturaleza de la conexión sin cable es transparente a la capa del cliente. Desde que el punto de acceso se conecta a la red cableada cualquier cliente tiene acceso a los recursos del servidor y además gestionan el tráfico de la red entre los terminales más próximos. En zonas grandes como por ejemplo un campus universitario o un edificio es probablemente necesario más de un punto de acceso. Sin embargo. La más básica se da entre dos ordenadores equipados con tarjetas adaptadoras para WLAN. Esto es llamado roaming. . de modo que pueden poner en funcionamiento una red independiente siempre que estén dentro del área que cubre cada uno. el diseñador de la red puede elegir usar un Punto de Extensión (EPs) para aumentar el número de puntos de acceso a la red. pues los “clientes” automáticamente detectan el canal. Esta asignación de canales usualmente se hace sólo en el punto de acceso. pues en Europa. Cada cliente tendría únicamente acceso a los recursos del otro cliente pero no a un servidor central. se pueden utilizar 4 canales no-adyacentes (1. ya que estos actúan como repetidores. los cuales pueden configurarse de acuerdo a necesidades particulares.11a y 802. 9 y 13).11g utilizan la banda de 2. Asignación de canales Los estándares 802. el ETSI ha definido 13 canales. Los puntos de extensión funcionan como su nombre indica: extienden el alcance de la red retransmitiendo las señales de un cliente a un punto de acceso o a otro punto de extensión. Este tipo de redes no requiere administración o preconfiguración. salvo en los casos en que se forma una red ad hoc o punto a punto cuando no existe punto de acceso. Instalando un Punto de Acceso se puede doblar la distancia a la cuál los dispositivos pueden comunicarse.4 – 2. 6 y 11). Los puntos de extensión pueden encadenarse para pasar mensajes entre un punto de acceso y clientes lejanos de modo que se construye un puente entre ambos. lo cual permite una conexión sin cable en esta aplicación. Para resolver problemas particulares de topologías. 5.5 Ghz. Cada punto de acceso puede servir a varias máquinas. los 11 canales no son completamente independientes (canales contiguos se superponen y se producen interferencias) y en la práctica sólo se pueden utilizar 3 canales en forma simultánea (1. Una solución puede ser instalar una antena en cada edificio con línea de visión directa. Uno de los últimos componentes a considerar en el equipo de una WLAN es la antena direccional. Por ejemplo: si se quiere una Lan sin cable a otro edificio a 1 km de distancia. En esta banda. Esto es llamado red de igual a igual (peer to peer). del orden de 150 m en lugares o zonas abiertas. según el tipo y el número de transmisiones que tienen lugar. Esto es correcto para USA y muchos países de América Latina. Los puntos de acceso tienen un alcance finito. por ejemplo en España. se definieron 11 canales utilizables por equipos WIFI. La antena del primer edificio está conectada a la red cableada mediante un punto de acceso. en relación con el apartado de seguridad. por lo que incluso se reduce la velocidad de transmisión de datos útiles y no se llega a tener un buen acceso. el tener que cifrar toda la información supone que gran parte de la información que se transmite sea de control y no información útil para los usuarios. Para la autenticación se ha tomado como base el protocolo de verificación EAP (Extensible Authentication Protocol). En el caso del cifrado se están realizando diversas investigaciones ya que los sistemas considerados inicialmente se han conseguido descifrar.1 Es un método para distribuir la carga de trabajo en varias computadoras separadas o agrupadas en un clúster. Además. tal como su nombre lo indica. . pero igualmente importante. Formas de implementar el balanceo de carga Balanceo de carga basado en DNS. Velocidad Otro de los problemas que presenta este tipo de redes es que actualmente (a nivel de red local) no alcanzan la velocidad que obtienen las redes de datos cableadas. que es bastante flexible y permite el uso de diferentes algoritmos. Se hace por medio de registros DNS para que una URL apunte a más de una dirección IP. se considera la autenticación entre los diversos usuarios de la red. Evitar la saturación. Dichas medidas van encaminadas en dos sentidos: por una parte está el cifrado de los datos que se transmiten y en otro plano.2 Para que se considere exitoso un balanceador de carga: Debe minimizar tiempos de respuesta. Es fácil su implementación. asigna o balancea las solicitudes que llegan de los clientes a los servidores usando algún algoritmo (desde un simple Round Robin hasta algoritmos más sofisticados).Seguridad Uno de los problemas de este tipo de redes es precisamente la seguridad ya que cualquier persona con una terminal inalámbrica podría comunicarse con un punto de acceso privado si no se disponen de las medidas de seguridad adecuadas. Mejorar el desempeño del servicio. BALANCEADOR DE CARGA Un balanceador de carga fundamentalmente es un dispositivo de hardware o software que se pone al frente de un conjunto de servidores que atienden una aplicación y. Métodos de Balanceo de Carga De petición Basado en sesión De métodos Métodos de Conexiones Round-Robin. Por medio de los servidores WEB comparten una dirección IP. Estos servidores negocian entre ellos cual responderá a la siguiente petición. la cual resuelve el dominio. Balanceo de carga dedicado. . LeastConnection. Balanceo de carga basado en software. Las peticiones se hacen dependiendo del número de conexiones que tenga cada servidor. Cualquier hardware que contenga una aplicación de balanceo de carga de código libre o comercial. Weighted Round-Robin Las peticiones se entregan dependiendo del peso que se le de a cada servidor. Las peticiones se entregan uno a uno en los servidores. LVS Contras Pros Para enrutamiento directo se tiene que parchar el kernel Ultra Parche solo disponible para versiones 2. Las peticiones se entregan dependiendo del peso y el número de conexiones que se tengan.4 Soporte limitado Observaciones Nativo de Linux Soporta varios algoritmos de distribución Failover protection El bug solo se presenta para el modo de (con ldirector) enrutamiento directo Documentación extensa Failover protection . Ejemplos de balanceadores A continuación se presenta una tabla de comparación con diferentes balanceadores de carga. Transparente para el usuario. Weighted LeastConnection. Ventajas del Balanceo de Carga Se puede ampliar su capacidad fácilmente. Es de bajo costo. Evita la saturación de servidores. Funcionalidad permanente. Fácil configuración Zen Load Appliance Balancer Apache No es principalmente un balanceador No es principalmente un balanceador No es sencillo configurarlo Pfsense Pirhana Solo disponible redhat en varios de varios de Interfaz web Extensa documentación Failover protection Soporta varios algoritmos de distribución Failover protection Cuenta con soporte Soporta balanceo en varias capas Interfaz web Interfaz web Fácil configuración Documentación extensa Failover protection Soporta algoritmos varios IPS Un sistema de prevención de intrusos (o por sus siglas en inglés IPS) es un software que ejerce el control de acceso en una red informática para proteger a los . no TCP funciona. si el algoritmos a nivel sitio no entra directo. Monkey Pound No parece tener actualizaciones para kernel 3.x Fork de LVS Custom kernel Poca documentación Poco conocido Difícil encontrar un paquete pre compilado Soporta algoritmos distribución Failover protection Soporta algoritmos distribución Documentación extensa Cuenta con soporte Balancea en varias capas La petición http parece Soporta varios que la hace directa. en busca de actividad maliciosa. . sino la de intentar detener esta actividad. 2. También es importante destacar que los IPS pueden actuar al nivel de equipo. que a su vez fue adquirida por Juniper Networks en 2004. al situar sistemas de detecciones en la vía del tráfico.sistemas computacionales de ataques y abusos. la cual fue finalmente adquirida por NetScreen Technologies. continúan en relación. mientras que es exclusivo de un Sistema de Prevención de Intrusos (IPS) establecer políticas de seguridad para proteger al equipo o a la red de un ataque. como ataques de denegación de servicio ciertas formas de malware y violaciones a políticas de red. Basados en Host (HIPS): Se efectúa mediante la instalación de paquetes de software que monitoran un host único en busca de actividad sospechosa Los IPS categorizan la forma en que detectan el tráfico malicioso: Detección basada en firmas: como lo hace un antivirus. Dado que los IPS fueron extensiones literales de los sistemas IDS. se encuentran no sólo la de identificar la actividad maliciosa. Siendo ésta última una característica que distingue a este tipo de dispositivos de los llamados Sistemas de Detección de Intrusos o Intrusion Detection Systems ("IDS" en sus siglas en inglés). De ahí que se diga que un IPS protege a una red o equipo de manera proactiva mientras que un IDS lo hace de manera reactiva. pero en realidad es otro tipo de control de acceso. son las de grabar información histórica de esta actividad y generar reportes. Basados en Red Lan (NIPS): monitorean la red lan en busca de tráfico de red sospechoso al analizar la actividad por protocolo de comunicación lan. Los IPS se clasifican en cuatro difrentes tipos: 1. Entre sus principales funciones. Basados en Red Wireless (WIPS): monitorean la red inalámbrica en busca de tráfico sospechoso al analizar la actividad por protocolo de comunicación inalámbrico. al tomar decisiones de control de acceso basados en los contenidos del tráfico. Análisis de comportamiento de red (NBA): Examina el tráfico de red para identifica amenazas que generan tráfico inusual. Funcionamiento Un Sistema de Prevención de Intrusos o Intrusion Prevention System ("IPS" en sus siglas en inglés). algunos IPS fueron comercializados por la empresa One Secure. Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon para resolver ambigüedades en la monitorización pasiva de redes de computadoras. más cercano a las tecnologías cortafuegos. en lugar de direcciones IP o puertos. 4. Otras funciones importantes de estos dispositivos de red. es un dispositivo de seguridad de red que monitorea el tráfico de red y/o las actividades de un sistema. Los IPS presentan una mejora importante sobre las tecnologías de cortafuegos tradicionales. La tecnología de prevención de intrusos es considerada por algunos como una extensión de los sistemas de detección de intrusos (IDS). Tiempo después. para combatir actividades potencialmente maliciosas. 3. Entre otras funciones (como en el caso del IDS) se tiene que puede alertar al administrador ante la detección de intrusiones o actividad maliciosa. debido a que con este enfoque no se realiza un análisis dinámico y real del uso de la red. es el administrador quien define el patrón «normal» de tráfico. Se asigna como honey pot un dispositivo que pueda lucir como atractivo para los atacantes. los ataques contra los servidores Web generalmente toman la forma de URLs. el IPS requiere que se declaren muy específicamente las políticas de seguridad. Los atacantes utilizan sus recursos para tratar de ganar acceso en el sistema y dejan intactos los verdaderos sistemas. Detección no estadística de anormalidades: En este tipo de detección. En este tipo de detección tenemos dos opciones: 1. Sin embargo. Detección basada en políticas: el IPS requiere que se declaren muy específicamente las políticas de seguridad. . entrando en esta clasificación los honey pots. y de esa forma implementar políticas de seguridad acordes en nuestros sistemas de uso real. El IPS reconoce el tráfico fuera del perfil permitido y lo descarta. ya que es sumamente difícil determinar y medir una condición ‘normal’. se puede monitorizar los métodos utilizados por el atacante e incluso identificarlo. Detección honey pot (jarra de miel) Aquí se utiliza un distractor. Cuando el tráfico varía demasiado con respecto a la línea base de comportamiento. Detección basada en políticas En este tipo de detección. Mediante esto. Detección honey pot (jarra de miel): funciona usando un equipo que se configura para que llame la atención de los hackers. Por lo tanto se puede buscar utilizando un cierto patrón de cadenas que pueda identificar ataques al servidor web. el administrador debe verificar que las firmas estén constantemente actualizadas. Detección basada en firmas Una firma tiene la capacidad de reconocer una determinada cadena de bytes en cierto contexto. Por ejemplo. y entonces lanza una alerta. Sin embargo. Se podría mencionar un apartado a cerca de las estraegias utilizadas a fin de decubrir nuevos tipos de ataque. es susceptible a generar muchos falsos positivos. Detección estadística de anormalidades: El IPS analiza el tráfico de red por un determinado periodo de tiempo y crea una línea base de comparación. Detección basada en anomalías: en función con el patrón de comportamiento normal de tráfico. 2. Por ejemplo. se genera una alarma. Detección basada en anomalías Este tipo de detección tiende a generar muchos falsos positivos. determinar que hosts pueden tener comunicación con determinadas redes. como este tipo de detección funciona parecido a un antivirus. Los WAF son elementos complementarios a las medidas de seguridad que soportan los Firewall clásicos. Fue definido en el RFC 2821 y es un estándar oficial de Internet. . es un protocolo de red utilizado para el intercambio de mensajes de correo electrónico entre computadoras u otros dispositivos (PDA. Como alternativa a esta limitación se asocia normalmente a este protocolo con otros. . Se controlan las transacciones al servidor web de nuestro negocio. y recibirlos empleando los otros protocolos antes mencionados (POP O IMAP) Modelo de procesamiento de correo Modelo de procesamiento del correo. otorgando a SMTP la tarea específica de enviar correo. Una gran parte de los abastecedores de caja permiten la sumisión. agente de sumisión de correo) usando SMTP. Sin embargo. Hay 2 tipos de WAF: Los que se residen en la red (es decir son un elemento más de la red) y los que se basan en el servidor de aplicaciones (residen en el servidor). Desde allí.SQL injection que consiste en introducir un código SQL que vulnere la Base de Datos de nuestro servidor.1 El funcionamiento de este protocolo se da en línea. teléfonos móviles.Cross-site scripting que consiste en la inclusión de código script malicioso en el cliente que consulta el servidor web. etcétera). Básicamente nos permite evitar (entre otras) los siguientes ataques: . el MSA entrega el correo a su agente de transferencia postal mejor conocido como el .Denial-of-service que consiste en que el servidor de aplicación sea incapaz de servir peticiones correctas de usuarios. este protocolo posee algunas limitaciones en cuanto a la recepción de mensajes en el servidor de destino (cola de mensajes recibidos). El correo electrónico es presentado por un cliente de correo (MUA.WAF Un WAF (Web Application Firewall) es un dispositivo hardware o software que permite proteger los servidores de aplicaciones web de determinados ataques específicos en Internet. agente de usuario de correo) a un servidor de correo (MSA. como el POP o IMAP. de manera que opera en los servicios de correo electrónico. SMTP El Simple Mail Transfer Protocol (SMTP) o “protocolo para transferencia simple de correo”. y la recepción de correo puede ser realizada usando muchas computadoras. dicho correo es almacenado para la recuperación de la hornada. aquí SMTP es usado para la transferencia de mensajes internamente. los procesos implicados pueden compartir archivos. 475. Para lograr la localización del servidor objetivo. Esto significa que no es posible para sus usuarios acceder a un servidor SMTP fuera de la red del ISP a través del puerto 25. este a su vez se lo da a un agente de entrega de correo (MDA) para luego ser llevado a la entrega de correo local. este protocolo que facilita tanto el acceso para enviar.MTA (Mail Transfer Agent. es preferible utilizar los puertos estándar y comandos ESMTP estándar de acuerdo con RFC 3207. Puertos Los administradores de servidor pueden elegir si los clientes utilizan TCP puerto 25 (SMTP) o el puerto 587 (Presentación) para retransmitir el correo saliente a una inicial del servidor de correo. pero 587 es el puerto estándar y ampliamente apoyada por los usuarios enviar correo nuevo. en función de servidor y si los roles se combinan en un solo servidor. Los puertos 25. y 2525. independientemente de la dirección de destino. Hay dos formas en que un MDA puede entregar mensajes: ya sea enviándolos directamente al almacenamiento. Agente de Transferencia de Correo). como el manejo de correo almacenado. con cada uno de los hosts configurados para usar la siguiente aplicación como un anfitrión elegante. estos dos agentes son casos diferentes aunque hay que destacar que provienen del mismo software de donde fueron lanzados sólo que presentan opciones diferentes dentro de la misma máquina. incluso si el puerto 25 está bloqueado. o expedirlos sobre una red usando SMTP. 465 y 475 son utilizados por el . En algunas ocasiones. 465. El MDA. Es en ese instante cuando el registro de MX devuelto contiene el nombre del anfitrión objetivo.3 Las especificaciones y muchos servidores soportan ambos. Una vez entregado al servidor de correo local.[cita requerida] Luego el MTA se une al servidor de cambio como un cliente SMTP. usando el Protocolo de Acceso de Mensaje de Internet (IMAP). Una vez que MX acepta el mensaje entrante. pero los usuarios válidos de autenticación en el puerto 587 pueden retransmitir correo a cualquier dirección válida. Algunos servidores SMTP soportan el acceso autenticado en otro puerto que no sea 587 o 25 para permitir a los usuarios conectarse a ellos. el MTA divisorio tiene que usar el sistema de nombre de dominio (DNS) para lograr la búsqueda del registro interno de cambiado de correo conocido como registro MX para la esfera del recipiente (la parte de la dirección a la derecha). en este segundo caso.[cita requerida] Los puertos 25 y 587 se utilizan para proporcionar la conectividad del cliente con el servicio de transporte en la parte delantera de la función de servidor de acceso de cliente (CAS). [cita requerida] Algunos proveedores de servicios de Internet interceptan el puerto 25. volviendo a dirigir el tráfico a su propio servidor SMTP. Algunos servidores están configurados para rechazar toda la retransmisión en el puerto 25. Su recuperación se logra por medio de las aplicaciones de usuario final. Microsoft Exchange Server 2013 SMTP puede escuchar en los puertos 25. 587. conocidas como clientes de correo electrónico. Aunque algunos servidores soportan el puerto 465 para el legado SMTP seguro en violación de las especificaciones. El procesamiento local que se presenta puede ser realizado en una sola máquina o partido entre varias aplicaciones. si se debe utilizar una sesión segura entre el cliente y el servidor. además de entregar mensajes es también capaz de salvar mensajes en un buzón de formato. 4 Descripción del Protocolo SMTP es un protocolo orientado a la conexión basado en texto. Con ello el servidor se identifica. para establecer un destinatario de este mensaje.servicio de transporte de buzón de correo. Este mandato puede emitirse varias veces. DATA es en realidad un grupo de comandos. Luego si el servidor comprueba que el origen es válido. la transferencia de correo entre el servicio de envío de transporte de buzón de correo y el servicio de entrega de transporte buzón. Una transacción de SMTP se compone de tres secuencias de comando / respuesta (véase el ejemplo a continuación). o receptor) para que la sesión se abra y se intercambian los parámetros de la sesión. si no encuentra al destinatario. Estas direcciones son también parte de la envolvente. y el servidor responde dos veces: una vez para el comando de datos adecuada. Se compone de una cabecera de mensaje y el cuerpo del mensaje separado por una línea en blanco. Sin embargo. ahora hay que comunicarle a quien. el servidor responde “250 OK”. Una sesión puede incluir cero o más transacciones SMTP. Este es el contenido del mensaje. en el que un remitente de correo se comunica con un receptor de correo electrónico mediante la emisión de secuencias de comandos y el suministro de los datos necesarios en un canal de flujo de datos ordenado fiable. una para cada destinatario. Esto puede usarse para comprobar si se conectó con el servidor SMTP correcto. Puerto 475 es utilizado por la función de buzón para comunicarse directamente con otras funciones de buzón. en lugar de su envoltura. cuando la función de buzón se combina con la función de CAS en un único servidor. Se envía un HELO desde el cliente. Esta es la dirección para mensajes de despedida. DATA: para enviar el mensaje de texto. Como argumento de esta orden se puede pasar la dirección de correo al que el servidor notificará cualquier fallo en el envío del correo (Por ejemplo. RCPT: comando. MAIL FROM:<fuente@host0>). para reconocer que está listo para recibir el texto. el servidor contestará “250 OK” o bien “550 No such user here”. normalmente un protocolo de control de transmisión de conexión (TCP). y la segunda vez después de la secuencia final de los datos. remitente o sobre. espera a que éste envíe un mensaje “220 Service ready” o “421 Service non available”. mientras que continúa para utilizar el puerto 25. Ellos son: MAIL: comando para establecer la dirección de retorno. El cliente comienza la transacción del correo con la orden MAIL FROM. Ya le hemos dicho al servidor que queremos mandar un correo. . La orden para esto es RCPT TO:<destino@host>. CAS. el puerto 2525 se utiliza por la función de buzón de SMTP desde el servicio de transporte de extremo delantero del CAS. Una sesión SMTP consiste en comandos originados por un cliente SMTP (el agente de inicio. emisor o transmisor) y las respuestas correspondientes del SMTP del servidor (el agente de escucha. para aceptar o rechazar todo el mensaje. Resumen simple del funcionamiento del protocolo SMTP Cuando un cliente establece una conexión con el servidor SMTP. Puerto 465 es utilizado por el servicio de transporte de buzón de correo para recibir las conexiones de cliente proxy de la función CAS. Por cada destinatario. Se pueden mandar tantas órdenes RCPT como destinatarios del correo queramos. también conocido como Return-Path. si no tiene que enviar más correos. SOML El mensaje se entrega a un terminal o a un buzón. Finalmente. o un mensaje de error apropiado. estando definidas las siguientes categorías: 2XX. QUIT. por lo que no debe repetirse la orden Una vez que el servidor recibe el mensaje finalizado con un punto puede almacenarlo si es para un destinatario que pertenece a su dominio. si tiene más mensajes que enviar. para indicar el comienzo del mensaje. la orden ha sido aceptada. TURN Solicita al servidor que intercambien los papeles. end with <CRLF>. En el ejemplo pueden verse las órdenes básicas de SMTP: HELO. VRFY Solicita al servidor la verificación de todo un argumento. Si el servidor no soporta las extensiones. para cerrar la sesión RSET Aborta la transacción en curso y borra todos los registros. para abrir una sesión con el servidor MAIL FROM. El servidor responde “354 Start mail input. EXPN Solicita al servidor la confirmación del argumento. command unrecognized".<CRLF>” Esto indica al cliente como ha de notificar el fin del mensaje. la operación solicitada mediante el comando anterior ha sido concluida con éxito 3XX. Tras el envío. para una respuesta de error. Una vez enviados todos los RCPT. a lo que el servidor contestará “250 OK”. y el servidor se convierte en cliente. el cliente envía una orden DATA para indicar que a continuación se envían los contenidos del mensaje. en este caso. pero el servidor esta pendiente de que el cliente le envíe nuevos datos para terminar la operación 4XX. para indicar quien envía el mensaje RCPT TO. HELP Permite solicitar información sobre un comando. la orden HELO puede ser sustituida por la orden EHLO. éste finalizará cuando haya una línea únicamente con un punto. para indicar el destinatario del mensaje DATA. pero se espera a que se repita la instrucción 5XX. Puede que el servidor SMTP soporte las extensiones definidas en el RFC 1651. contestará con un mensaje "500 Syntax error. o bien retransmitirlo a otro servidor para que finalmente llegue a un servidor del dominio del receptor. SAML El mensaje se entrega a un terminal y a un buzón. Ahora el cliente envía el cuerpo del mensaje. SEND Inicia una transacción en la cual el mensaje se entrega a una terminal. NOOP Se emplea para reiniciar los temporizadores. repite el proceso hasta completarlos. para indicar una condición de error permanente. se termina con un <CRLF>. También puede usar la orden TURN. el primero indica la categoría de la respuesta.<CRLF> (la última línea será un punto). con lo que el cliente pasa a ser el servidor. el cliente. . con la orden QUIT corta la conexión. De los tres dígitos del código numérico. línea a línea. con lo que el servidor contestará con una lista de las extensiones admitidas. Una vez finalizado. C: Hasta luego. y finalizado con una línea en la que el único carácter es un punto. el mensaje es enviado por el cliente después de que éste manda la orden DATA al servidor. please to meet you C: MAIL FROM: <yo@midominio. En un ambiente común el mensaje es enviado a un servidor de correo de salto siguiente a medida que llega a su destino. S: 220 Servidor SMTP C: HELO miequipo. Los más típicos son subject (asunto). Estos campos ayudan a los clientes de correo a organizarlos y mostrarlos. pero no al formato del mensaje. Esto puede hacerse automáticamente con un programa cliente de correo o mediante un cliente telnet.com C: C: Hola. El correo se enlaza basado en el servidor de destino. En el SMTP básico está compuesto únicamente por texto.com> S: 250 Ok C: RCPT TO: <destinatario@sudominio.<CR><LF> C: Subject: Campo de asunto C: From: yo@midominio. que pertenecen al protocolo.com C: To: destinatario@sudominio. C: <CR><LF>. Éstos dos últimos campos no hay que confundirlos con las órdenes MAIL FROM y RCPT TO. C: C: . SMTP vs Recuperación de correo El protocolo de transferencia de correo simple (SMTP) solo se encarga de entregar el mensaje.com S: 250 Hello.midominio. Otros protocolos como el protocolo de oficina de correos (POP) y . En el siguiente ejemplo se muestra una conexión típica. En ellas se usan unas palabras clave para definir los campos del mensaje. C: Esto es una prueba.com> S: 250 Ok C: DATA S: 354 End data with <CR><LF>. from (emisor) y to (receptor). Se nombra con la letra C al cliente y con S al servidor.<CR><LF> S: 250 Ok: queued as 12345 C: quit S: 221 Bye Formato del mensaje Como se muestra en el ejemplo anterior.Ejemplo de una comunicación SMTP En primer lugar se ha de establecer una conexión entre el emisor (cliente) y el receptor (servidor). Cuerpo del mensaje: es el mensaje propiamente dicho. El mensaje está compuesto por dos partes: Cabecera: en el ejemplo las tres primeras líneas del mensaje son la cabecera. Este servidor enviará mensajes salientes en nombre del usuario. El IMAP y el POP son protocolos inadecuados para la retransmisión de correo de máquinas de forma intermitente-conectados. RFC 6531 proporciona soporte para caracteres de varios bytes y no para ASCII en las direcciones de correo electrónico. Petición de Reenvío de Correo Bajo Demanda (ODMR) On-Demand Mail Relay (ODMR por sus siglas en Inglés) es una extensión de SMTP estandarizada en la RFC 2645 que permite que el correo electrónico sea transmitido al receptor después de que él ha sido aprobado. sino que están diseñados para funcionar después de la entrega final. Esta característica se considera insegura pero usando el comando ETRN en la extensión RFC 1985 funciona de forma más segura. El cliente publica EHLO y órdenes de AUTH de servicios ODMR de correo. Usa la orden de SMTP ampliada ATRN.el protocolo de acceso a mensaje de internet (IMAP) su estructura es para usuarios individuales. sólo estaba permitido su uso por aquellos clientes cuya dirección IP es una de las controladas por los administradores del servidor. Los servidores SMTP modernos se caracterizan por . RFC 6531 fue creado para resolver ese problema. gestión de buzones de correo. Anteriormente. recuperación de mensajes. Esto permite implementar seguridad frente a posibles amenazas. RFC en países como en china. que tiene una gran base de usuarios en América. la extensión SMTPUTF8. disponible para la direcciones de IP dinámicas. debe escuchar las sesiones SMTP en una dirección de IP fija. Restricción de acceso y salida al servidor de correo En un ambiente de servidores. ODMR comienza a actuar como un cliente SMTP y comienza a enviar todos los mensajes dirigidos a un cliente usando el protocolo SMTP. proporcionando características de internacionalización de SMTP. Internacionalización Muchos usuarios cuyo lenguaje base no es el latín han tenido dificultades con el requisito de correo electrónico en América. El soporte del internacionalización actualmente es limitada pero hay un gran interés en la ampliación de el RFC 6531. al iniciar sesión el cortafuegos o el servidor pueden bloquear la sesión entrante debido a IP dinámicas. permite que un servidor de correo de forma intermitente conectado a mandar mensajes desde un servidor remoto. el proveedor del servicio. la mayoría de los sistemas imponían restricciones de uso de acuerdo a la ubicación del cliente. Correo saliente con SMTP Un cliente de correo electrónico tiene que saber la dirección IP de su servidor SMTP inicial y esto tiene que ser dado como parte de su configuración (usualmente dada como un nombre DNS). SMTP usa una función. Sólo el servidor ODMR. los administradores deben tomar medidas de control en donde los servidores estén disponibles para los clientes. Inicio remoto de mensaje en cola Es una característica de SMTP que permite a un host remoto para iniciar el procesamiento de la cola de correo en el servidor por lo que puede recibir mensajes destinados a ella mediante el envío del comando TURN. el procesamiento de colas de correo en un servidor remoto. y luego descubrir que el envío de correo electrónico falla porque la elección del servidor SMTP configurado ya no es accesible. A pesar de esto. así que se definió la extensión SMTP-AUTH en RFC 2554. Este sistema tiene distintas variaciones. los administradores de servidores pueden reconocer fácilmente la dirección IP de cualquier agresor. Seguridad y spam Artículo principal: Antispam Una de las limitaciones del SMTP original es que no facilita métodos de autenticación a los emisores. Internet Mail 2000 es una de las propuestas para reemplazarlo. el cual requiere de una autenticación mediante credenciales por parte de los clientes antes de permitir el acceso. O puede que el servicio realice comprobaciones de alcance en la dirección IP del cliente. por ejemplo. El servicio web utiliza ClamAV para escanear los archivos adjuntos en busca de virus y devuelve los resultados al cliente. el servidor SMTP de la organización sólo puede proporcionar servicio a los usuarios en la misma red. como las universidades que proporcionan un servidor SMTP para el correo saliente solo para su uso interno dentro de la organización. el servidor solo puede permitir el acceso de aquellos usuarios cuya dirección IP fue proporcionada por el ISP. Restringir el acceso por ubicación Mediante este sistema.ofrecer un sistema alternativo. lo cual es equivalente a exigir que estén conectados a internet mediante el mismo ISP. Estos métodos son utilizados normalmente por empresas e instituciones. Sender Policy Framework (SPF) y desde el 2012 Domain-based Message Authentication. el spam es aún el mayor problema.[cita requerida] Diferentes metodologías han aparecido para combatir el spam. Reporting and Conformance (DMARC). la mayoría de estos organismos utilizan ahora métodos de autenticación de cliente. y puede utilizar diferentes proveedores para conectarse a internet. esto se hace cumplir mediante cortafuegos para bloquear el acceso de los usuarios en general a través de Internet.5 GATEWAY ANTIVIRUS Gateway Anti-Virus permite a las aplicaciones en toda la empresa para comprobar los archivos en busca de virus. el servidor SMTP relativo al ISP no permitirá el acceso de los usuarios que están fuera de la red del ISP. Es altamente deseable poder utilizar la información de configuración del cliente de correo electrónico que no necesita cambiar. los administradores pueden hacer frente a la máquina o usuario sospechoso. Específicamente. tal como se describe a continuación. y la alteración de la configuración perteneciente a la dirección de correo electrónico del servidor SMTP saliente resulta ser poco práctica. Un usuario móvil suele estar a menudo en una red distinta a la normal de su ISP. Entre ellas destacan DKIM. No se cree que las extensiones sean una forma práctica para prevenirlo. Sin embargo. este tipo de restricción de uso es costoso. proporcionando una JABÓN detección de virus basada en servicios web. Cuando un usuario es móvil. Las aplicaciones cliente adjuntar archivos a los mensajes SOAP y someterlos al servicio Web Gateway Anti-Virus. Como esta representa una dirección significativa para ellos. Al restringir el acceso a determinadas direcciones IP. . Puede ser difícil evitar estos tipos de ataques cuando se utilizan distintos productos y proveedores para cada tarea de seguridad específica. El encanto de la solución se basa en la simplicidad. no lo hace sin algunas desventajas. Algunas unidades también ofrecen servicios como enrutamiento remoto. Un producto UTM generalmente incluye funciones como antivirus. por lo que las organizaciones que puedan haber tenido proveedores o productos para cada tarea de seguridad por separado. que ofrece varias funciones de seguridad en un solo punto en la red. A través de la creación de un único punto de defensa y el uso de una sola consola. filtrado de contenido y prevención de fugas. anti-spyware. network address translation) y compatibilidad para redes privadas virtuales (VPN. Aunque la gestión unificada de amenazas sí resuelve algunos problemas de seguridad de red. traducción de direcciones de red (NAT. Debido a esto. siendo la más grande que el único punto de defensa que proporciona un producto UTM también crea un punto único de falla. con el apoyo de un único equipo o segmento de TI. que son el resultado de la combinación de diferentes tipos de malware y ataques que apuntan a partes separadas de la red de forma simultánea. es un término de seguridad de la información que se refiere a una sola solución de seguridad. y que se ejecuta en una sola consola. anti-spam.UTM La gestión unificada de amenazas. firewall de red. ya que cada aspecto tiene que administrarse y actualizarse de forma individual a fin de permanecer actualizado de cara a las últimas formas de malware y cibercrimen. que comúnmente se abrevia como UTM. muchas organizaciones optan por complementar su dispositivo UTM con un segundo perímetro basado en software para detener cualquier malware que pase por el firewall UTM. De qué manera los productos UTM bloquean un virus informático o muchos virus Los productos de gestión unificada de amenazas han ganado fuerza en el sector debido a la aparición de amenazas combinadas. y por lo general un único producto de seguridad. ahora los pueden tener todos en una sola solución. las soluciones UTM facilitan en gran medida la tarea de tratar con amenazas variadas. PRODUCTOS FORTINET . prevención y detección de intrusiones. virtual private network).