cifrado tcp seguras

download cifrado tcp seguras

of 190

description

cifrado tcp seguras cifrado tcp seguras cifrado tcp seguras cifrado tcp seguras cifrado tcp seguras cifrado tcp seguras cifrado tcp seguras

Transcript of cifrado tcp seguras

  • Contact Us:Lorem ipsum dolor, 109387, State, Country

    P. 123 456 7890 / [email protected]

    INGENIERA EN ELECTRONICA Y TELECOMUNICACIONES

    Gabriel Jimnez Angel Masaco Juan Torres Roberto Zambrano

    UNIVERSIDAD NACIONAL DE LOJA

  • 1. Cuando se utiliza la criptografa para mejorar los servicios de seguridad de TCP,incluyendo la confidencialidad, la integridad de los datos y la autenticacin del puntoterminal, nace un nuevo concepto es decir una versin mejorada de TCP la que seconoce comnmente como Capa de sockets seguros (SSL, Secure Sockets Layer).

    2. SSL versin 3, Seguridad de la capa de transporte (TLS) estandarizada IETF.

  • 1. Diseado originalmente por Netscape.

    2. SSL Soportado por todos los navegadores y servidores Webs ms populares de internet.

    3. Si el navegador en la URL est con Https: esta utilizando SSL.

  • Al no contar con SSL, se puede sufrir ataques de terceros. Ataques como Man in The Middle

    No se tiene, autenticacin, integridad de la informacin yconfidencialidad de esta informacin.

    Hoy en da este tipo de ataques son muy sencillos medianteherramientas libres disponibles en Internet.

    Herramientas como:

    Firesheep (2010), es una extensin para el Firefox navegadorweb que utiliza un analizador de paquetes para interceptar sincifrar las cookies (de sesin) de los sitios web como Facebook yTwitter o Google.

    WhatsappSniffer (2011).

  • - Estos incidentes hicieron que las compaas habilitaran el protocolo SSL, para acceder a sus servicios deuna forma segura.

    - Principalmente SSL proporciona seguridad a transacciones en HTTP, sin embargo ese puede serempleado en cualquier aplicacin que se ejecute sobre TCP.

    - Dicho todo esto cual es el concepto de SSL:

    SSL es un protocolo criptogrfico que proporciona autenticacin, integridad y confidencialidad de lainformacin en una comunicacin Cliente/Servidor a travs de una red.

    - Este se ejecuta en una capa entre los protocolos de aplicacin como HTTP, SMTPy el protocolo de transporte TCP.

    - SSL se compone de tres fases: Acuerdo, deduccin de clave y transferencia dedatos.

  • Panormica Genera

    1. Negociacin de parmetros entre el cliente y elservidor.(fase de acuerdo)

    2. Autenticacin tanto del cliente como delservidor.(deduccin de la clave)

    3. Comunicacin secreta.(transferencia de datos)

    4. Proteccin de la integridad de los datos.(registro SSL)

    Conexiones TCP seguras SSL

  • FASE DE ACUERDO

    (a) establecer una conexinTCP con Servidor

    (b) verificar que el servidores realmente servidor

    (c) enviar al Servidor unaclave secreta maestra, queambos emplearn paragenerar todas las clavessimtricas que necesitenpara la sesin SSL.

    Conexiones TCP seguras SSL

  • DEDUCCIN DE LAS CLAVES

    Ec = clave de cifrado de sesin para losdatos que EL CLIENTE enva AL SERVIDOR

    Mc = clave MAC de sesin para los datosque CLIENTE enva AL SERVIDOR.

    Es = clave de cifrado de sesin para losdatos que El SERVIDOR enva a ALCLIENTE

    Ms = clave MAC de sesin para los datosque SERVIDOR enva a Benito.

    Conexiones TCP seguras SSL

    Se fundamente en utilizar Claves criptogrficasdistintas y tambin que empleen clavesdistintas para el cifrado y las comprobacionesde integridad

  • Algoritmos de Criptologa El ms robusto utiliza triple DES con tres claves separadas para encriptacin y SHA-1 para la

    integridad de mensajes.

    Despus de recibir el mensaje, Cliente (Bob)

    calcula el hash SHA-1 l mismo y tambin aplica la

    clave pblica de Servodor al hash firmado para

    obtener el hash original, H. Si los dos concuerdan, el

    mensaje se considera vlido.

  • Para las aplicaciones comunes de comercioelectrnico, se utiliza RC4 con una clave de128 bits para encriptacin y MD5 se utilizapara la autenticacin de mensajes.RC4 toma la clave de 128 bits como semilla

    y la expande a un nmero mucho msgrande ara uso interno. Despus utilizaeste nmero interno para generar un flujode claves. A ste se le aplica un ORexclusivo con el texto llano paraproporcionar un cifrado clsico de flujo,como vimos en la figura 8-14. Las versionesde exportacin tambin utilizan RC4 conclaves de 128 bits, 88 de los cuales sehacen pblicos para que el cifrado sea fcilde romper.

    Algoritmos de CriptologaMD5Es un algoritmo que proporciona un cdigo asociado a unarchivo o un texto concretos. De esta forma, a la hora dedescargar un determinado archivo, como puede ser uninstalador, el cdigo generado por el algoritmo, tambinllamado hash, viene unido al archivo.

    Una vez tengamos disponibles los dos cdigos MD5, el denuestro archivo descargado y el del instalador o software de laweb oficial del desarrollador, podremos comparar ambos y versi coinciden y nuestro archivo es fiable o no.

  • Transferencia de datos

    Cuando se comparten las mismas claves de secion se puede enviar datos de forma segura a btravez de una conexin TCP

    No es necesario esperar que termine la secion TCP para verificar la integridad.

    Para resolver este problema, SSL divide el flujo de datos en registros, aade un cdigo MAC

    Para crear el cdigo MAC se agregan datos del registro, este paquete cifrado se pasa entonces a TCP para transportarlo a travez de internet

  • Transferencia de datos

    Aunque este mtodo permite resolver bastantes problemas sigue siendo un mtodo imperfecto en lo que refiere a proporcionar integridad para los datos.

    Un intruso puede atentar con la integridad de los mensajes (insertar, borrar y sustituir segmentos en el flujo de segmentos enviados) en la secuencia TCP que no ha sido cifrada

  • Transferencia de datos

    La solucin ha este problema consiste en utilizar nmeros de secuencias. SSL lo hace de la manera siguiente

    Se mantiene un contador de numero de secuencia que inicializa en cero y que aumenta cada vez que enva un registro SSL

    El emisor no incluye un numero se secuencia en el registro sino que se lo agrega en el calculo del cdigo MAC

    El receptor controla los nmeros de secuencias pudiendo verificar incluso la secuencia apropiada de la MAC

    Este uso impide que se logre un ataque en los paquetes

  • REGISTRO SSL

    El registro consta de:

    1. Campo tipo

    2. Campo de versin

    3. Campo de longitud

    4. Campo de datos

    5. Campo de MAC

    Los tres primeros campos no estn cifrados

  • REGISTRO SSL

  • Una panormica mas completa

    1. El cliente enva una lista de algoritmos que soporta, junto con un nmero de unicidad del cliente

    2. El servidor elige un algoritmo de la lista. El servidor enva su eleccin, el certificado y el nmero de unicidad del servidor.

    3. El cliente verifica el certificado, extrae la clave pblica del servidor, genera el pre-master secret, lo cifra con la clave pblica de servidor y lo enva al servidor.

    4. El cliente y el servidor calculan independientemente las claves de cifrado y MAC a partir del pre-master secret y los nmeros de unicidad (ambos comparten estas cuatro claves).

    5. El cliente enva un MAC de todos los mensajes de acuerdo.6. El servidor enva un MAC de todos los mensajes de acuerdo.

  • Una panormica mas completa

  • Una panormica mas completa

    En SSL los nmeros distintivos se emplean para defenderse de losataques por reproduccin dela conexin , mientras que los nmerosde secuencia se emplean para defenderse frente a la reproduccin depaquetes individuales durante un sesin activa.

  • Una panormica mas completa

    Para terminar la sesin SSL. Una tcnica fcil posible es enviar una mensaje TCP FIN.

    Una solucin consiste indicar en el campo de tipo si el registro sirve para terminar sesin SSL

    Si se recibe un segmento TCP FIN antes de recibir un registro SSL de cierre deducira inmediatamente que algo raro esta sucediendo.

  • Una panormica mas completa Servicios de seguridad ofrecidos por SSL/TLS

    Confidencialidad. Flujo normal: intercambio de mensajes cifrados con clavessimtricas

    Al inicio de la sesin/conexin cliente y servidor acuerdan las claves queusaran

    Dos claves, una por sentido: cliente servidor, servidor cliente

    Dilogo inicial: mecanismo seguro de intercambio de claves basado encriptografa asimtrica

    Autenticacin de entidades. Cliente puede verificar la identidad del servidormediante un mecanismo basado en firmas digitales.

    Exige conocer (y aceptar/confiar) la clave publica del servidor

    mediante el empleo de certificados digitales

    Esquema anlogo para la autenticacin del cliente frente al servidor (si esrequerida)

    Autenticacin de mensajes. Los paquetes SSL, adems de ir cifrados, incluyencdigos HMAC para garantizar integridad y autenticidad

    Dos claves secretas (una por sentido) acordadas al iniciar sesin/conexin

  • INTRODUCCIN La congestin en una red se puede producir cuando se intenta transmitir datos de

    bastantes emisores a grandes distancia

    La congestin normalmente ocurre en los enrutadores de una red

    El congestionamiento de la red produce un desbordamiento de los buffers de los

    router provocando la perdida o retraso de paquetes

  • El control de congestionamiento pretende resolver estos problemas

    El control de congestin es un proceso que es responsabilidad de la capa de Red yla capa de Transporte

    La retransmisin de paquetes al no

    recibir la seal ASK durante la

    temporizacin no es una manera de

    resolver la congestin de la red

  • Existen mecanismos que tratan de resolver el congestionamiento en la red

    El control de flujo de los emisores es una de las soluciones

    La congestin de una red puede provocar una mala QoS y menor

    rendimiento a la aplicaciones de capas superior

    Control de flujo vs Control de congestin

  • CAUSAS Y COSTES DE LA CONGESTIN

  • CAUSAS DE LA CONGESTIN

    Memoria insuficiente en los dispositivos de interconexin para almacenar los

    paquetes que llegan mientras son encaminados a su destino.

    Baja velocidad de procesamiento de los dispositivos de networking.

    Capacidad o ancho de banda insuficiente en los enlaces de la red.

  • CONSECUENCIAS DE LA CONGESTIN

    Retardos excesivamente largos.

    Prdida de paquetes.

    Desperdicio de los recursos de la red.

    Colapso de la red

  • CASO DE ESTUDIO 1 Dos transmisores comparten un mismo enlace de salida.

    Un router con un buffer de capacidad infinita.

    in datos enviados por la aplicacin (bytes/sec)

    out datos recibidos por la aplicacin (bytes/sec)

    La capacidad del enlace de salida es R.

  • CASO DE ESTUDIO 2 Dos transmisores comparten un mismo enlace de salida.

    Un router con un buffer de capacidad limitada.

    in datos enviados por la aplicacin (bytes/sec)

    'in carga ofrecida a la red.

    out datos recibidos por la aplicacin (bytes/sec)

    La capacidad del enlace de salida es R.

  • CASO DE ESTUDIO 3 Varios clientes comparten varios enlaces.

    Los enlaces tienen ms de un salto entre origen y destino.

    Los routers son de capacidad limitada.

    in datos enviados por la aplicacin (bytes/sec)

    'in carga ofrecida a la red.

    out datos recibidos por la aplicacin (bytes/sec)

    La capacidad de los enlaces es de R.

  • MTODOS PARA CONTROLAR LA CONGESTIN

    La presencia de congestin significa que la carga es (temporalmente) mayor de laque los recursos (en una parte de la red) pueden manejar. Se pueden dar 2soluciones: aumentar los recursos o reducir la carga.

  • MTODOS PARA CONTROLAR LA CONGESTIN

    AUMENTAR LOS RECURSOS

    La manera ms bsica de evitar la congestin es construir una red que coincida biencon el trfico que transmita. Algunas veces se pueden agregar recursos en formadinmica cuando hay un problema grave de congestin conocido comoaprovisionamiento.

    Las rutas se pueden ajustar a los patrones de trfico que cambian durante el da, amedida que los usuarios de la red entran y salen, a esto se conoce como enrutamientoconsciente del trfico (traffi-aware routing).

  • MTODOS PARA CONTROLAR LA CONGESTIN

    ENRUTAMIENTO CONSCIENTE DELTRFICO

    El objetivo al tener en cuenta la carga al calcular las rutas es desviar el trfico de lospuntos ms activos que sern los primeros lugares en la red en experimentar congestin.

    La manera ms directa de hacer esto es establecer la ponderacin de enlaces de maneraque sea una funcin del ancho de banda del enlace (fijo) y el retardo de propagacin msla carga medida (variable) o el retardo de encolamiento promedio.

  • MTODOS PARA CONTROLAR LA CONGESTINREDUCIR LACARGA

    Control de congestin terminal a terminal: La capa de red no proporciona soporteexplcito a la capa de transporte para propsitos de control de congestin. Incluso lapresencia de congestin en la red tiene que ser inferida por los sistemas terminalesbasndose nicamente en el comportamiento observado de la red.

    Control de congestin asistido por la red: Los componentes de la capa de redproporcionan una realimentacin explcita al emisor informando del estado decongestin en la red. Esta realimentacin puede ser tan simple como un nico bit queindica que existe congestin en un enlace.

    Realimentacin directa: Se conecta directamente al emisor e indica que existecongestin por medio de un paquete de asfixio o bloqueo.

    Realimentacin a travs del receptor: El receptor notifica al emisor que existecongestin en base al paquete que recibe.

  • MTODOS PARA CONTROLAR LA CONGESTINREDUCIR LACARGA

    Se pueden presentar 2 inconvenientes debido a estas realimentaciones:

    Identificar el comienzo de la congestin: Monitoreando la carga promedio, elretardo de encolamiento o la prdida de paquetes. Los nmeros crecientes indican unaumento en la congestin.

    Como informar a la fuente que necesita reducir su velocidad: Tener enrutadoresque enven ms mensajes cuando la red ya se encuentra congestionada.

    Por ltimo, cuando todo lo dems falla, la red se ve obligada a descartar los paquetes queno puede entregar. El nombre general para esto es desprendimiento de carga (loadshedding).

  • MTODOS PARA CONTROLAR LA CONGESTIN

    DESPRENDIMENTO DE CARGA

    Cuando se inunda a los enrutadores con paquetes que no pueden manejar, simplementese tiran. Para conocer que paquetes tirar la opcin puede depender del tipo deaplicaciones que utiliza la red. En una transferencia de archivos vale ms un paqueteviejo que uno nuevo a esto se le conoce comnmente como vino (wine) y as mismo msnuevo es mejor que ms viejo con frecuencia se le llama leche (milk), Undesprendimiento de carga ms inteligente requiere la cooperacin de los emisores.

    Para implementar una poltica inteligente de descarte, las aplicaciones deben marcar suspaquetes para indicar a la red qu tan importantes son. As, al tener que descartarpaquetes, los enrutadores pueden eliminar primero los paquetes de la clase menosimportante, luego los de la siguiente clase ms importante, y as en lo sucesivo.

  • MTODOS PARA CONTROLAR LA CONGESTIN

    DETECCIN TEMPRANAALEATORIA

    Es ms efectivo lidiar con la congestin cuando apenas empieza que dejar que dae lared y luego tratar de solucionarlo. De ello se considera descartar paquetes antes de quese agote realmente el espacio en el bfer.

    Un algoritmo popular para realizar esto se conoce como RED (Deteccin TempranaAleatoria), para determinar cundo hay que empezar a descartar paquetes, losenrutadores mantienen un promedio acumulado de sus longitudes de cola. Cuando lalongitud de cola promedio en algn enlace sobrepasa un umbral, se dice que el enlaceest congestionado y se descarta una pequea fraccin de los paquetes al azar.

  • MTODOS PARA CONTROLAR LA CONGESTIN

    En una red de circuitos virtuales, se podran rechazar las nuevas conexiones siprovocaran el congestionamiento de la red. A esto se le conoce como control deadmisin.

    CONTROLDEADMISIN

    Se utiliza en las redes de circuitos virtuales, no se debe establecer un nuevo circuitovirtual a menos que la red pueda transportar el trfico adicional sin congestionarse.

    Por analoga, en el sistema telefnico, cuando un conmutador se sobrecarga, practica elcontrol de admisin al no dar tonos de marcado.

  • Control de Congestin

    Enfoque: Control de congestin asistido por la red.

  • Ejemplo: Control de congestin en el servicio ABR de redes ATM .

    ABR, Available bit rate, Tasa de bits disponible: serviciotil en ATM cuando no se necesita sincronizacin,algoritmo que utiliza un mecanismo de control asistido porla red.

    ATM, Asynchronous Transfer Mode, Modo deTransferencia Asncrono:

    Emplea VC, circuitos virtuales.

    Mantiene informacin del estado de ruta (origen-destino)

    Conoce comportamiento del emisor (Vel. de tx)

    Realiza acciones de gestin de congestin especficas.

    Tecnologa detelecomunicacin.

    Gran demanda de capacidadde transmisin.

    servicios y aplicaciones

  • CONTROL DE CONGESTIN POR ABR

    Enva en el paquete de datos intercalados con paquetes de gestin de recursos(celdas RM, Resource-Management) - informacin relativa al control de

    congestin (host - conmutadores).

    ABR es basado en la velocidad de transmisin

    Emisor calcula una velocidad mx. de transmisin y se regula en base a este.

  • Mecanismos de Control.

    Bit EFCI:

    Cada celda de datos contiene un bit EFCI (Explicit ForwardCongestin Indication, Indicacin de congestin explcita directa).

    EFCI == 1, congestin al host de destino. Comprobar el bit EFCI de todas las celdas de datos recibidas. Si llega una RM y EFCI == 1 en una celda anterior, el host destino

    devuelve la celda RM al emisor con el bit CI (indicacin decongestin) = 1.

    Utilizando EFCI y CI es posible notificar a un emisor que existecongestin en un dispositivo de conmutacin.

  • Mecanismos de Control.

    Bit CI y NI:

    Intercalado de RM, configurable, default cada 32 celdas de datos.

    RM, contiene un bit indicativo de congestin (CI) y uno de no incremento(NI).

    Configurables por un dispositivo de conmutacin de la red.

    Si NI == 1, congestin leve; CI = 1, congestin severa.

    El receptor devuelve al emisor sin tocar estos bits. Excepto el CI si el creyeranecesario activarlo.

  • Mecanismos de Control.

    Configuracin de ER (Explicit Rate, velocidad explcita):

    Existe un campo de bits (2 bytes).

    El conmutador puede reducir el valor en el campo.

    Establecer una velocidad mnima soportable por todos losdispositivos.

    Esta configuracin aplica a todo dispositivo entre origendestino.

    En conclusin, ABR:

    Si el camino est descargado puede usar ms capacidad.

    Si el camino est cargado el emisor debe limitarse a una capacidad mnima

    garantizada.

  • UNIVERSIDAD NACIONAL DELOJA

    Gilda Alvarado

    Viviana Lojn

    Katherine Minga

    John Sigcho

    Electrnica y Telecomunicaciones

  • PRINCIPIOS DE LA CRIPTOGRAFA

  • Las tcnicas criptogrficas modernas, incluyendomuchas de las utilizadas en Internet, estn basadas enlos avances realizados en los ltimos 30 aos, aunquenos vamos a centrarnos en el uso de la criptografapara conseguir confidencialidad, las tcnicascriptogrficas estn inextricablemente unidas a laautenticacin, la integridad de los mensajes, el norepudio y otras muchas cuestiones.

    Las tcnicas criptogrficas permiten a un emisorocultar los datos de modo que los intrusos no puedanobtener ninguna informacin a partir de los datosinterceptados. El receptor, deber ser capaz derecuperar los datos originales a partir de los datosocultados.

  • Es interesante observar que, en muchos sistemascriptogrficos modernos, incluyendo los utilizados enInternet, la propia tcnica de cifrado es conocida, en elsentido de que es pblica, esta estandarizada y estdisponible para todo el mundo (por ejemplo, [RFC 1321;RFC 2437; RFC 2420; NIST 2001]), incluso para lospotenciales intrusos).

  • Ejemplo:

    Alicia proporciona una clave, KA, una cadena denmeros o caracteres como entrada para el algoritmode cifrado. El algoritmo de cifrado toma la clave y elmensaje de texto en claro, m, como entrada y genera eltexto cifrado como salida. La notacin KA(m) hacereferencia al formato en texto cifrado correspondienteal mensaje de texto en claro, m. El algoritmo de cifradoreal con el que se vaya a utilizar la clave KA resultaraevidente dentro del contexto.

  • En los sistemas de clave simtrica, las claves de Aliciay de Benito son idnticas y deben mantenerse ensecreto. En los sistemas de clave pblica, se empleauna pareja de claves. Una de las claves es conocidatanto por Benito como por Alicia (de hecho esconocida por todo el mundo). La otra clave solo esconocida por Benito o por Alicia, pero no por ambos.

  • Criptografa de clave simtrica

  • Todos los algoritmos criptogrficos implican sustituir unacosa por otra.

    ALGORITMO DE CLAVE SIMTRICA, se conoce con elnombre cifrado de Cesar

    Para un texto en espaol, el cifrado de Cesar funcionariatomando cada letra del mensaje en claro ysustituyndola por la letra que esta k posiciones pordetrs en el alfabeto Por ejemplo, si k = 3, entonces laletra a del texto en claro se convertir en la letra d en eltexto cifrado; la letra b de un texto en claro se convertiren la letra e en el texto cifrado, y as sucesivamente.

  • POR EJEMPLO

    el mensaje de texto en claro Benito, te quiero, alicia setransformara en

    ehqlwr, wh t x l h u r. d o l f l d en el texto cifrado.

    Aunque el texto cifrado parece una sucesin de letras sinsentido, en realidad no se tardara mucho en romper elcdigo si se sabe que se est utilizando el cifrado deCesar, ya que solo hay 25 posibles valores de clave.

  • Una mejora del cifrado de Cesar

    sustituye una letra del alfabeto por otra. Sin embargo,en lugar de efectuar esas sustituciones segn unapatrn regular cualquier letra puede sustituirse porcualquier otra, siempre que cada una tenga una nicaletra y viceversa.

    El mensaje de texto en claro Benito, te quiero, aliciase convierte en ncjsuk , ucp y sco k . mgsbsm.

  • El cifrado monoalfabtico desde luego esmejor que el cifrado de Cesar, en el sentidode que existen 26! (del orden de 1026)posibles parejas de letras en lugar de las25 posibles parejas que el cifrado de Cesarproporciona. Un ataque por fuerza brutaque consistiera en probar todas las 1026posibles parejas requerira demasiadotrabajo como para considerarlo una formafactible de romper el algoritmo de cifradoy decodificar el mensaje.

  • Ataque de solo texto cifrado

    En algunos casos, el intruso puede tener acceso nicamente al texto cifrado interceptado, sin disponer de informacin segura acerca del contenido del mensaje en claro.

    Ataque de texto en claro conocido

    Anteriormente hemos visto que si Tomas estuviera seguro, de alguna manera, de que las palabras Benito y Alicia aparecen en el mensaje de texto cifrado, entonces podra haber determinado las parejas (texto en claro, texto cifrado) para las letras a, l, i, c, b, e, n, t y o.

    Ataque de texto en claro seleccionado

    En un ataque de texto en claro seleccionado, el intruso tiene la posibilidad de elegir el mensaje de texto en claro y obtener su correspondiente texto cifrado.

    Escenarios distintos dependiendo de la informacin de la que disponga el

    intruso.

  • Tcnica cifrado polialfabtico

    Podramos decidir utilizar estos dos cifrados de Cesar,C1 y C2, segn el patrn repetitivo C1, C1, C2, C1, C2.De este modo, la primera y la segunda letras del textoen claro se codificaran utilizando C1, la terceraaplicando C2, la cuarta utilizando C1, y la quintautilizando C2. A continuacin el patrn se repite, lo quehara que la sexta letra se codificara utilizando C1, lasptima con C1, y as sucesivamente

  • Ejemplo:

    Benito, te quiero. tendra el equivalente de textocifrado gjgnmt, yx vnnjkt . Observe que la primera edel mensaje de texto en claro se cifra utilizando C1,mientras que la segunda e se cifra utilizando C2. Eneste ejemplo, la clave de cifrado y de descifrado esel propio conocimiento de los dos cifrados de Cesar (k= 5, k = 19) y del patrn C1, C1, C2, C1 C2

  • CIFRADO DE BLOQUE

  • Los cifrados de bloque se emplean en muchos protocolosseguros de Internet como PGP (para correo electrnicoseguro), SSL (para dotar de seguridad a las conexionesTCP) e IPsec (para dotar de seguridad al transporte de lacapa de red).

    Para codificar un bloque, el sistema de cifrado asigna unacorrespondencia uno-a-uno.

  • Suponga que k = 3, de modo que el cifrado de bloqueasigna a cada entrada de 3 bits (texto en claro) una salidade 3 bits (texto cifrado)

    La correspondencia de la tabla es una asignacin de entrelas muchas posibles.

  • Cuantas posibles correspondencias existen?

    Existen 2^3= 8 posibles entradas.

    Estas ocho entradas pueden permutarse en:

    8! = 40.320 formas distintas.

    Cada una de estas permutaciones es unacorrespondencia, habr entonces 40.320 posiblescorrespondencias.

  • El emisor y receptor conocen simultneamente lacorrespondencia (la clave), podrn cifrar y descifrar losmensajes que se intercambien.

    Deben conocer la correspondencia para poder comunicarse.

  • Para evitar los ataques por fuerza bruta, los sistemas decifrado de bloque normalmente utilizan bloques demucho mayor tamao, compuestos de k = 64 bits oincluso mayores.

    El nmero de correspondencias posibles para un cifradocualquiera de bloques de k bits es de 2^k!

    Para k= 64 y una correspondencia determinada, el emisory receptor necesitaran mantener una tabla con 2^64valores de entrada, lo que es una tarea imposible.Adems, si el emisor y receptor quisieran cambiar declave, ambos tendran que volver a generar la tabla.Resulta simplemente impracticable.

    En lugar de ello, los sistemas de cifrado de bloque suelenutilizar funciones que simulan la generacin de tablasaleatoriamente permutadas. Es decir se utilizan bloquesque realizan el proceso de aleatorizacin (permutacin)

  • En el cifrado de bloque el mensaje es agrupado enfragmentos fijos de bits para luego ser operados en elalgoritmo y con clave.

    El tamao ideal del bloque no es una decisin trivial: si esmuy pequeo se hara fcil un ataque estadstico y si es muygrande bajara en rendimiento (tardara ms en procesarcada bloque). Lo que en la prctica lleva a que sean de entre64 y 128 bits.

  • Hoy da existen varios sistemas de cifrado de bloquepopulares, incluyendo DES (Estndar de cifrado de datos),3DES y AES (Estndar avanzado de cifrado). Cada uno deestos estndares utiliza funciones en lugar de tablaspredeterminadas.

  • ENCADENAMIENTO DE BLOQUES CIFRADOS

    En las aplicaciones de redes de computadoras, normalmente esnecesario cifrar mensajes de gran tamao (o largos flujos de datos).

    Si aplicamos un cifrado de bloques descomponiendo simplementeel mensaje en bloques de k bits y cifrando independientementecada bloque aparece un problema

    Dos o ms de los bloques del texto en claro podran seridnticos Para estos bloques idnticos, el cifrado de bloqueproducira, el mismo texto cifrado.

    De ese modo, un atacante podra posiblemente adivinar el texto enclaro cuando viera bloques de texto cifrado idnticos y podraincluso ser capaz de descifrar el mensaje completo identificandobloques de texto cifrado idnticos.

  • ENCADENAMIENTO DE BLOQUES CIFRADOSPara resolver este problema, podemos introducir cierta aleatoriedad en eltexto cifrado, de modo que idnticos bloques de texto en claro produzcanbloques de texto cifrado diferentes.

    Sea m(i) el i-esimo bloque de texto en claro

    Sea c(i) el i-esimo bloque de texto cifrado

    Designaremos mediante Ks al algoritmo de encriptacin debloque cifrado con clave S.

    Entonces

    El emisor genera un numero aleatorio de k bits r(i) para el i-simo bloque ycalcula

    c(i) = Ks (m(i) NOR r(i)).

    Se selecciona un nuevo nmero aleatorio r(i) de k bits para cada bloque.

    El emisor enva entonces c(1), r(1), c(2), r(2), c(3), r(3), etc.

    Puesto que el receptor recibe c(i) y r(i) puede recuperar cada bloque del textoen claro calculando

    m(i) = Ks(c(i)) NOR r(i).

  • ENCADENAMIENTO DE BLOQUES CIFRADOS

    Aunque r(i) se envi sin cifrar y por tanto podra ser husmeado porun intruso, este no podr obtener el texto en claro m(i), ya que noconoce la clave Ks.

    Tambin si dos bloques de texto en claro m(i) y m(j) son iguales, loscorrespondientes bloques en texto cifrado c(i) y c(j) serndiferentes siempre y cuando los nmeros aleatorios r(i) y r(j) seandistintos, lo que ocurre con una muy alta probabilidad.

  • ENCADENAMIENTO DE BLOQUES CIFRADOS

    EJEMPLO:

    Considerando el sistema de cifradode bloques de 3 bits de la siguientetabla:

    Si el emisor cifra esta secuenciadirectamente sin incluir ningunaaleatoriedad, utilizando la tabla eltexto cifrado resultante ser:

    101101101. Texto en claro: 010010010.

    Si un intruso captura el texto cifrado, dado que cada uno de los tresbloques de cifrado es igual, podr suponer correctamente que cada unode los tres bloques del texto en claro son tambin coincidentes.

  • ENCADENAMIENTO DE BLOQUES CIFRADOS

    Ahora en lugar de ello el emisor genera los bloques aleatorios:

    r( 1 ) = 001

    r(2) = 111

    r(3) 100

    Y aplica la tcnica para generar el texto cifrado.

    c(i) = Ks (m(i) NOR r(i)).

    Sea Ks= 110

    c(1) = 010

    c(2) = 100

    c(3) = 010

    Se observa que ahora lostres bloques de textocifrado son distintos inclusoaunque los bloques detexto en claro son iguales.Se enva entonces:

    c(1), r(1), c(2) y r(2).

    El receptor podr obtenerel texto en claro originalutilizando la clavecompartida Ks. Con laformula:

    m(i) = Ks(c(i)) NOR r(i).

  • ENCADENAMIENTO DE BLOQUES CIFRADOS

    Al introducir la aleatoriedad se resuelve un problema, pero secrea otro:

    Se tiene que transmitir el doble de bits que antes.

    Por cada bit de cifrado, se debe ahora enviar tambin un bitaleatorio, duplicando as el ancho de banda requerido.

    Entonces los sistemas de cifrado de bloque suelen utilizar unatcnica denominada:

    Encadenamiento de bloques cifrados (CBC, Cipher BlockChaining). La idea bsica consiste en enviar solo un valoraleatorio junto con el primer mensaje, y hacer que el emisor yel receptor utilicen los bloques codificados calculados, en lugarde los subsiguientes nmeros aleatorios.

  • ENCADENAMIENTO DE BLOQUES CIFRADOS

    Especficamente, CBC opera de la siguiente manera:

    1. Antes de cifrar el mensaje (o el flujo de datos), el emisor genera unacadena aleatoria de bits, denominada Vector de inicializacin (IV,Initialization Vector).

    Se denota a este vector de inicializacin mediante c(0). El emisor enva elvector IV al receptor sin cifrar.

    2. Para el primer bloque, el emisor calcula m(1) NOR c(0), es decir, calcula laoperacion OR exclusiva del primer bloque de texto en claro con IV.

    A continuacin, introduce el resultado en el algoritmo de cifrado de bloque,para obtener el correspondiente bloque de texto cifrado; es decir, c(1) = Ks (m(1) NOR c(0) ). El emisor enva despus el bloque cifrado c(1) al receptor.

    3. Para el i-simo bloque, el emisor genera el i-simo bloque de textocifrado utilizando la formula c(i) = Ks ( m(i) NOR c(i 1) ).

  • ENCADENAMIENTO DE BLOQUES CIFRADOS

    Algunas de las consecuencias de este mtodo.

    El receptor continuara pudiendo recuperar el mensaje original. De hecho, cuando elreceptor reciba c(i). Descifrara el mensaje con Ks para obtener s(i) = m(i) NOR c(i -1); puesto que el receptor tambin conoce c(i - 1), puede entonces obtener elbloque de texto en claro a partir de la frmula m(i) = s(i) NOR c(i - 1).

    En segundo lugar, incluso si dos bloques de texto en claro son idnticos, los textoscifrados correspondientes sern casi siempre diferentes.

    En tercer lugar, aunque el emisor envi el vector IV sin cifrar, ningn intruso podrdescifrar los bloques de texto cifrado dado que no conocen la clave secreta, S.

    El emisor solo enva un bloque de sobrecarga que es el vector IV, con lo que el usode ancho de banda solo se incrementa de una forma prcticamente despreciable,asumiendo que estemos utilizando mensajes de gran longitud compuestos decentenares de bloques.

  • ENCADENAMIENTO DE BLOQUES CIFRADOS

    EJEMPLO:

    Texto en claro: 010010001

    Vector de inicializacin: IV = c(0) = 001

    Clave: Ks= 110

    Calcular : c(1) = Ks (m(1) NOR c(0))

    c(1) = Ks (010 NOR 001)

    c1= 010

    c(2) = Ks (m(2) NOR c(1)) = Ks (010 NOR 010)

    c(2) = 000

    c(3) = Ks(m(3) NOR c(2)) = KS(010 c 000)

    c(3)= 000

    Se verifica que el receptor, conociendo el vector IV y la clave Ks, puederecuperar el texto en claro original.

    La tcnica CBC disea protocolos de red seguros.

  • CIFRADO DE CLAVE PUBLICA

    En 1976 Diffie y Hellman [Difne1976] inventaron un algoritmoque ahora se conoce comoalgoritmo de intercambio declaves de Diffie-Hellmah parahacer que dos partes secomuniquen de forma cifradasin conocer de antemano unaclave secreta compartida.

    Suponga que un emisor quiere comunicarse con receptor. Como se muestra enla Figura en lugar de que ellos compartan una nica clave secreta como es en elcaso de los sistemas de clave simtrica, el receptor de los mensajes dispone ensu lugar de dos claves: una clave pblica KB

    + que est disponible para todo elmundo incluyendo a intrusos y una clave privada KB

    - que solo el receptorconoce.

  • CIFRADO DE CLAVE PUBLICAPara poder comunicarse con el receptor,el emisor consulta primero la clavepblica de este y luego cifra su mensaje(m), destinado al receptor utilizando esaclave publica y un algoritmo de cifradoconocido como un algoritmoestandarizado, es decir el emisor calculaKB

    + (m).

    El receptor recibe el mensaje cifrado delemisor y utiliza su clave privada y unalgoritmo de descifrado conocido paradescifrar el mensaje cifrado del emisor. Esdecir, receptor calcula KB

    -(KB+ (m)).

    Existen tcnicas y algoritmos de cifrado/descifrado para seleccionar clavespblicas y privadas tales que KB

    -(KB+(m))=m; es decir, tales que al aplicar la clave

    pblica del receptor KB+ a un mensaje, y aplicar luego la clave privada del

    receptor, a la versin cifrada de (m) es decir, calcular KB-(KB

    +(m)) se vuelve aobtener m. De esta manera, el emisor puede utilizar la clave del receptor queesta pblicamente disponible con el fin de enviar un mensaje secreto alreceptor, sin que ninguno de los dos tenga que distribuir ninguna clave secreta.

  • ENCADENAMIENTO DE BLOQUES CIFRADOS

    Un problema que se presenta es que, aunque un intruso que intercepte elmensaje de cifrado del emisor solo obtendr datos sin sentido, ese intrusoconoce tanto la clave pblica, como el algoritmo que el emisor hautilizado para el cifrado.

    El intruso podra entonces montar un ataque de texto claro conocido,utilizando ese algoritmo de cifrado estandarizado y la clave de cifrado delreceptor, pblicamente disponible, para codificar cualquier mensaje quedesee.

    Este intruso tambin podra intentar, por ejemplo, codificar mensajes, opartes de mensajes, que piense que el receptor podra enviar, con el fin desuplantarla. Obviamente, para que la criptografa de clave pblica puedafuncionar, la seleccin de claves y el cifrado/descifrado deben hacerse deforma tal que sea imposible para un intruso determinar la clave privadadel receptor o descifrar o adivinar de alguna otra manera el mensaje queel emisor le ha enviado a este receptor.

  • ALGORITMO RSA

  • Caractersticas

    Fue creado en 1978 por Rivest, Shamir y Adlman

    Es un algoritmo de clave pblica.

    Ha estado bajo patente de los Laboratorios RSA hasta el 20 deseptiembre de 2000, por lo que su uso comercial estuvo restringidohasta esa fecha.

  • Cmo Funciona

    Se basa en el hecho matemtico de la dificultad de factorizar nmerosmuy grandes.

    Hace un extenso uso de las operaciones aritmticas mdulo n.

    Cifrar un mensaje con RSA es equivalente a cifrar el nmero enteronico que representa a dicho mensaje.

  • Cmo Funciona

    En RSA existen dos componentes interrelacionados:

    La eleccin de las claves pblica y privada.

    El algoritmo de cifrado y descifrado.

  • Para generar las claves RSA pblica y privada, se siguen los siguientes pasos:

    Se elige dos nmeros primos grandes, p y q. Cuanto ms grandes seanestos valores, ms difcil ser romper el algoritmo RSA, pero tambinse tardar ms en realizar la codificacin y la decodificacin.

    Se calcula = y = ( 1)( 1)

    Elige un nmero, e, menor que n, que no tiene ningn factor comn(distinto de 1) con z.

  • Para generar las claves RSA pblica y privada, se siguen los siguientes pasos: Determinamos un nmero, d, tal que ( 1) es divisible de forma

    exacta por z. Dicho de otra forma, dado e, seleccionamos d tal que = 1.

    La clave pblica que se pone a disposicin de todo el mundo, + ,es la pareja de nmeros , ; la clave privada, , es la pareja denmeros , .

  • El Cifrado del Emisor y el descifrado del receptor se realizan de la siguiente manera:

    Supongamos que el emisor enva un patrn de bits representado porel nmero entero < . Para realizar la codificacin, elemisor lleva a cabo la operacin de exponenciacin , y luegocalcula el resto entero que se obtiene al dividir entre . En otraspalabras, el valor cifrado, c, del mensaje de texto en claro del emisor,m, es

    =

    El patrn de bits correspondiente a este texto cifrado c se enva alreceptor.

  • El Cifrado del Emisor y el descifrado del receptor se realizan de la siguiente manera:

    Para descifrar el mensaje de texto cifrado recibido, c, el transmisor hace el clculo siguiente:

    =

    Que requiere el uso de su clave privada (n, d).

  • Ejemplo de RSA

    Suponga que el Juan elige p = 5 y q = 7.

    Entonces, n = 35 y z = 24. Juan selecciona e = 5, ya que 5 y 24 notienen factores comunes. Por ltimo, Juan elige d = 29, dado que 5*29 -1 (es decir, ed - 1) es divisible de forma exacta por 24. Juan hacepblicos los dos valores, n=35 y e = 5, y mantiene en secreto el valor d= 29. Observando estos dos valores pblicos, supongamos ahora queMara quiere enviar a Juan las letras L,O,V,E. Interpretando cada letracomo un nmero comprendido entre 1 y 26 (correspondindose la acon el 1 y la z con el 26), Mara y Juan llevan a cabo las operaciones decifrado y descifrado mostradas en las Tablas respectivamente.

  • DESARROLLOLetra de texto en

    claro

    m: Representacin

    numrica

    Texto cifrado

    =

    L 12 248832 17

    O 15 759375 15

    V 22 5153632 22

    E 5 3125 10

    Texto cifrado C = Letra de texto en claro

    17 4.8 exp. 35 12 L

    15 1.27 exp. 34 15 O

    22 8.5 exp. 38 22 V

    10 1 exp. 29 5 E

  • SEGURIDAD

    La seguridad del algoritmo RSA se basa en el hecho de que no existenalgoritmos conocidos para factorizar rpidamente un nmero, en estecaso el valor pblico n, con el fin de obtener los nmeros primos p y q.Si alguien conociera p y q, entonces podra calcular fcilmente a partirdel valor pblico e la clave secreta d. Por otro lado, no se conoce conseguridad si existen o no algoritmos rpidos para factorizar un nmero,por lo que, en este sentido, la seguridad de RSA no est garantizada.

  • CONCLUSIONES Muchos sistemas criptogrficos modernos, incluyendo los utilizados en

    Internet, la propia tcnica de cifrado es conocida, en el sentido de que espblica, est estandarizada y est disponible para todo el mundo (porejemplo, [RFC 1321; RFC 2437; RFC 2420; NIST 2001]), incluso para lospotenciales intrusos).

    Para mejorar la eficiencia de los cifrados de bloque en lugar de tablas depermutacin se utilizan diferentes algoritmos para realizar ese proceso peropara una mayor cantidad de bits, de modo que no resulte impracticablehacerlo por el primer mtodo.

    RSA es un algoritmo muy interesante puesto que no slo permite cifrar unmensaje, sino tambin autenticar el mismo, puesto que las dos claves quegenera este algoritmo, me permiten realizar lo mencionado.

    En el caso del cifrado de clave pblica dado que la clave de cifrado delreceptor es pblica, cualquiera puede enviar un mensaje cifrado a estereceptor. Sin embargo, en el caso de una nica clave secreta compartida,este ya no ser el caso puesto que nadie puede enviar un mensaje cifrado alemisor utilizando la clave pblicamente disponible de este.

  • INTEGRIDAD DE LOS MENSAJES Y AUTENTIFICACION DE PUNTOS TERMINALES

    INTEGRATES:

    LEONEL ARMIJOS

    SANTIAGO RAMIREZ

  • INTEGRIDAD DE LOS MENSAJES Y AUTENTIFICACION DE PUNTOS TERMINALES

    Cuando dos entidades se quieren comunicar, entre las exigencias que ellos requieren:

    Que sean ellos al quien se les esta enviado los mensajes.

    Que la informacin que ellos generan no haya sido modificada.

    Que no sea interceptada la informacin que ellos generan.

    Que siempre puedan comunicase, es decir que no se les niegue el servicio.

  • Propiedades deseables en una comunicacin segura.

    Confidencialidad

    Solo el emisor y receptor pueden entender el contenido de los mensajes transmitidos.

    Autentificacin del Punto Terminal

    Tanto el emisor como el receptor debern confirma la identidad del otro.

    Integridad de mensajes

    Asegurar que el mensaje no ha sido alterada o modificada durante la transmisin, ni maliciosamente ni accidentalmente.

  • Mecanismos

    Criptografa

    AutentificacionFirma digital

  • FUNCIONES HASH CRIPTOGRAFAS

    Los hash o funciones deresumen son algoritmos queconsiguen crear a partir de unaentrada m (mensaje) ya sea untexto, una contrasea o unarchivo, una salida alfanumricade longitud normalmente fijaque representa un resumen detoda la informacin que se le hadado s=H(m)

  • FUNCIONES HASH CRIPTOGRAFAS

    Tiene varias aplicaciones:

    Asegurar que no se ha modificado un archivo en una transmisin

    Proteger la confidencialidad de una contrasea

    Firmar digitalmente un documento.

  • FUNCIONES HASH CRIPTOGRAFAS

    Entonces las funciones Hash es uno de los tipos de funciones que existen para poder hacer uso del procedimiento de integracin de mensajes. Tiene las siguientes propiedades

    Todos los hashes generados con una funcin de hash tienen el mismo tamao, sea cual sea el mensaje utilizado como entrada.

    Dado un mensaje, es fcil y rpido mediante una computadora calcular su hash.

    Es imposible reconstruir el mensaje original a partir de su hash.

    Es imposible generar un mensaje con un hash determinado.

  • Firma digital

    La firma digital es un mecanismo criptogrfico que permite al receptorcon mensaje firmado digitalmente determinar la entidad de origen dedicho mensaje (autenticacin de origen), y confirmar que el mensajeno ha sido modificado (integridad en los mensajes).

    Al igual que ocurre con las firmas manuscritas, la firma digital se deberealizar de forma que sean:

    Verificables: demostrar que un documento firmado por una persona ha sidode hecho firmado por esa persona.

    No falsificable: que solo esa persona podra haber firmado el documento.

  • Firma digital

    Cmo funciona la firma digital?:Este sistema cifra los mensajesgracias a dos contraseas, unapblica y otra privada, vinculadasentre s (lo que cifra una, slo puedeser descifrado por la otra). La contrasea privada debe

    permanecer bajo el exclusivocontrol de su propietario.

    La contrasea pblica, es enviadajunto al mensaje y posibilita aldestinatario verificar quin es elautor del mensaje.

  • Firma digital

    Cuando se firma digitalmente undocumento m, se utilizasimplemente una contraseaprivada kB- para calcular kB-(m).En el receptor para verificar,se toma la contrasea publica dekB+ y se aplica a la firma digital,es decir se calcular kB+(kB-(m)),para obtener que es eldocumento original.

  • Firma digital

    Una tcnica ms eficienteconsiste es introducir funcioneshash en el mecanismo de firmadigital. Utilizando una funcinhash, se firma el valor hash deun mensaje en lugar de firmar elpropio mensaje, es decir, secalcula kB-(H(m)).

  • SEGURIDAD EN REDES DE COMPUTADORAS

  • POR QUE ES TAN IMPORTANTE LA SEGURIDAD? Por la existencia de personas ajenas a la informacin, tambin conocidas

    como piratas informticos o hackers, que buscan tener acceso a la red empresarial para modificar, sustraer o borrar datos.

    Tales personajes pueden, incluso, formar parte del personal administrativo o de sistemas, de cualquier compaa; de acuerdo con expertos en el rea, ms de 70 por ciento de las Violaciones e intrusiones a los recursos informticos se realiza por el personal interno, debido a que ste conoce los procesos, metodologas y tiene acceso a la informacin sensible de su empresa, es decir, a todos aquellos datos cuya prdida puede afectar el buen funcionamiento de la organizacin.

    El resultado es la violacin de los sistemas, provocando la prdida o modificacin de los datos sensibles de la organizacin, lo que puede representar un dao con valor de miles o millones de dlares.

  • Que es la seguridad en redes?

    Confidencialidad: solo el transmisor y el receptor deseado pueden entender los contenidos de los mensajes

    Autenticacin: el transmisor y el receptor quieren confirmar la identidad de el otro

    Integridad de los mensajes: el transmisor y el receptor quieren asegurar que el mensaje no es alterado (en transito ni despus) sin deteccin

    Acceso y disponibilidad: servicios tienen que ser accesibles y disponibles a los usuarios

  • Amigos y enemigos: Alice, Bob, Trudy

    Conocidos en el mundo de la seguridad

    Bob, Alice (amigos!) quieren comunicarse en forma segura

    Trudy (intrusa) puede interceptar, borrar, e insertar mensajes

  • Quienes pueden ser Bob y Alice?

    Gente como Bob y Alice!

    Browser/servidor web usados para transacciones electrnicas (e.g. compras en lnea)

    Cliente/servidor bancario en lnea (e.g. Redbank)

    Servidores DNS

    Routers intercambiando actualizaciones de tablas

  • Que puede hacer un intruso?

    escuchar: interceptar mensajes

    activamente insertar mensajes en una conexin

    impersonar: puede cambiar (spoof) direccin de origen de un paquete (o cualquier campo en un paquete)

    secuestrar: apoderarse de conexion activa al remover transmisor o receptor, insertandose a cambio

    negacin de servicio: prevenir que el servicio sea usado por otros (e.g., al sobrecargar recursos, mandando informacin errnea que haga que un servidor muera)

  • El lenguaje de la criptografa

    criptografa de llaves simtricas: transmisor, receptor tienen llaves idnticas

    criptografa de llaves publicas (public-keys): llave de encriptacin es publica, llave de decriptacin es secreta (privada)

  • Modelo general

    Alice inicia enviando un mensaje ya sea a Bob o a un KDC confiable.

    Conforme se envia este mensaje un tercer personaje denominado Trudy puede interceptar estos mensajes.

    Si algun protocolo existe y trabaja en esa comunicacin y su autenticacion. Alice y Bob pueden estar seguros de que se estancomunicando los dos.

    Para autenticacin algunos protocolos usa claves de sesin secreta.

  • autenticacion

    Protocol ap1.0 Alice dice Soy Alice

  • Autenticacion otra forma

    Protocol ap3.0: Alice dice Yo soy Alice y manda su password secreta para comprobarlo.

  • Autenticacion basada en clave secreta compartida Alice y bob ya compartieron una clave secreta KAB.

    Estos protocolos se los conoce como desafio respuesta.

  • Autenticacion otra forma

    Protocol ap3.1: Alice dice Yo soy Alice y envia su password secreta encryptada para comprobarlo.

  • Autenticacion otro intento

    Objetivo: evitar ataque de grabacin Nonce: numero (R) usado solamente una vez

    ap4.0: para probar que Alice esta en linea, Bob envia a Alice el nonce, R. Alice debe retorn

    ar R, encryptado con su llave simetrica compartida

  • Reglas Generales

    Obligue al iniciador a que pruebe que es quien dice ser antes de que el contestador tenga que hacerlo.

    Tanto el iniciador como el contestador tiene que tener claves diferentes.

    Iniciador y terminador usen conjuntos diferentes para eleborar sus desafios.

    Hacer que el protocolo resista a ataques que involucre una segunda sesion.

    Si se viola alguna de esta reglas el protocolo puede romperse con frecuencia.

  • Protocolo de autenticacion

    Alice inicia enviando a Bob una marca aleatoria, RA como mensaje 1.

    Bob responde seleccionando su propia marca aleatoria, RB, y envindola junto con un HMAC (estructura de datos que consiste en la marca aletaoria de Alice, mara aleatoria de Bob,. Sus identidades y la clave secreta compartida).

    Alioce recibe el ,mensaje dos y clacula el HMAC, si corresponde al HMAC del mensaje, . Alice sabe que esta hablando con Bob.

    Alice contesta a Bob con un Hmac que contiene solo las dos marcas aletaorias

  • UNIVERSIDAD NACIONAL DE LOJAREA DE LA ENERGA, LAS INDUSTRIAS, Y LOS

    RECURSOS NATURALES NO RENOVABLES.

    CARRERA DE INGENIERIA EN ELECTRNICA Y TELECOMUNICACIONES

    SEGURIDAD EN LA CAPA DE Red IPsec

    DOCENTE: ING JOHN TUCKER

    MDULO: IX

  • IP sec Estndar que proporciona servicios de seguridad a la

    capa IP.

    Puesto que la seguridad es un requisito indispensable para el desarrollo de las redes IP, IPSec est recibiendo un apoyo considerable:

    Estndar abierto.

  • IPSec es, un conjunto de estndares para integrar en IP funciones de seguridad basadas en criptografa.

    Proporciona confidencialidad, integridad y autenticidad de datagramas IP, combinando varias tecnologias Clave pblica (RSA),

    Algoritmos de cifrado (DES, 3DES, IDEA, Blowfish),

    Algoritmos de hash (MD5, SHA-1)

    Certificados digitales X509v3.

  • Tecnologas de clave pblica (RSA)

    1977 por ingenieros estadounidenses.

    Es vlido tanto para cifrar como para firmar digitalmente.

    Los mensajes enviados se representan mediante nmero

    En este sistema cada usuario posee dos claves de cifrado: una pblica y otra privada.

  • Algoritmos de cifrado (DES, 3DES, IDEA, Blowfish) Mtodo criptografico en el cual se usa una misma clave para cifrar y

    descifrar mensajes.

    Es importante que sea muy difcil adivinar el tipo de clave.

    DES usa una clave de 56 bits, lo que significa que hay 256 claves posibles (72.057.594.037.927.936 claves).

    3DES , Blowfish e IDEA usan claves de 128 bits, lo que significa que existen 2128 claves posibles.

  • Algoritmos de HASH

    Entre los algoritmos de hash ms comunes estn: SHA-1: algoritmo de hash seguro

    Algoritmo de sntesis que genera un hash de 160 bits. Se utiliza, por ejemplo, como algoritmo para la firma digital.

    MD2 y MD4Algoritmos de hash que generan un valor de 128 bits.

    MD5Esquema de hash de hash de 128 bits muy utilizado para autenticacin cifrada. Gracias al MD5 se consigue, por ejemplo, que un usuario demuestre que conoce una contrasea sin necesidad de enviar la contrasea a travs de la red.

  • Certificados digitales Permite garantizar tcnica y legalmente la identidad de

    una persona en Internet.

    El certificado digital permite la firma electrnica de documentos

    El certificado digital permite cifrar las comunicaciones. Solamente el destinatario de la informacin podr acceder al contenido de la misma. Un Certificado Digital consta de una pareja de claves criptogrficas, una pblica y una privada, creadas con un algoritmo matemtico, de forma que aquello que se cifra con una de las claves slo se puede descifrar con su clave pareja.

  • El protocolo IPSec ha sido diseado de forma modular, de modo que se pueda seleccionar el conjunto de algoritmos deseados sin afectar a otras partes de la implementacin.

    Adems es perfectamente posible usar otros algoritmos que se consideren ms seguros o ms adecuados para un entorno especfico

  • Protocolos IPsec

    Dentro de IPSec se distinguen los siguientes componentes:

    Dos protocolos de seguridad que proporcionan mecanismos de seguridad para proteger trfico IP IP Authentication Header (AH)

    IP Encapsulating Security Payload (ESP).

    Un protocolo de gestin de claves Internet Key Exchange (IKE) que permite a dos nodos negociar las claves y todos los parmetros necesarios para establecer una conexin AH o ESP

  • PROTOCOLOS IPsecIPsec utilizan un nmero de protocolos de seguridad paraproporcionar encriptacin de la transmisin, integridad,validacin y autenticacin de origen de datos. Estos protocolos sepueden dividir en dos tipos:

    protocolos de paquetes (ESP), (AH), (IKE).

    protocolos de servicio.

  • Protocolo AH

    Encabezado de autenticacin (AH):proporciona servicios de validacin,autenticacin e integridad de datos. AH noadmite cifrado como ESP (por lo tantoconsume menos recursos del router) peroproporciona una mayor seguridad de la capaIP. AH se refiere principalmente a la identidadde los socios de intercambio de datos y generafirmas hash para asegurarse de que ningunamodificacin de los datos ha tenido lugardurante la transmisin.

  • Protocolo ESP

    Carga de seguridad encapsuladora (ESP):proporciona proteccin de contenido delmensaje y manipulacin de datos mtodos demitigacin, asegurando confidencialidad,autenticacin e integridad de paquetes.

  • Protocolo IKE

    Internet Key Exchange (IKE):proporciona administracin declaves y administracin de laAsociacin (SA) de seguridad conintercambio de claves Diffie-Hellman. Con IKE, claves pueden servalidadas y renovadas entre losusuarios para asegurar que slollaveros pueden acceder a los datosgarantizados.

  • Ventajas de IPsec prestaciones: paquetes IP que atraviesan redes pblicas(inseguras) estn cifrados. Esto proporciona un alto rendimientosolo cifrando los datos necesarios entre redes inseguras.

    Seguridad de capa de red: IPsec opera en la capa de red y norequiere modificacin de aplicaciones TCP/IP para asegurarlos.

    Escalabilidad: Las VPN con IPsec pueden aplicarse sobrecualquier red troncal compatible con IP como Internet. Suimplementacin simple tambin proporciona beneficios dereduccin de costos operacionales.

    Verstil: implementa diversos mecanismos de seguridadcomo autenticacin de datos, encriptacin, digital integridad yproteccin de repeticin, que evita la duplicacin deoperaciones antiguas y mitiga ataques denegacin de servicio.

    Aceptacin Universal : IPsec es un estndar IETF reconocidosen la industria y es apoyado por la mayora de sistemasoperativos.

    Independencia de aplicacin : IPsec es transparente para lasaplicaciones (y capas superiores de OSI) y no se asigna acualquier una aplicacin especfica.

  • Desventajas de IPsec Funcionamiento: IPsec puede requerir grandes cantidades de potencia de

    procesamiento en los extremos de la VPN (gateways) para cifrar, descifrar yautenticar el trfico.

    Seguridad: IPsec porque se basa en claves pblicas, y la disminucion de seguridaddepende de una gestin segura de claves. Adems, las vulnerabilidades existentesen la capa IP de la red remota pueden ser heredadas por la red corporativa a travsdel tnel IPsec.

    Complejidad: las opciones de configuracin de IPsec son muy flexibles, pero tambinexcesivamente complejas. Errores de configuracin pueden exponer la red de laempresa a riesgos de seguridad innecesarios e introducir debilidades en la VPN

    Restricciones de Firewall : La conexin a una red de la organizacin desde unaubicacin fuera del sitio puede no ser posible debido a las restricciones del firewallcorporativo (bloqueo de puertos UDP de IPsec especficas).

    Gestin: IPsec emplea autenticacin de firma digital, que se basa en unainfraestructura de clave pblica (PKI). PKI requiere gestin de planificacin yadministrativa de ejecucin considerable. La mayora de las soluciones de VPN IPsectienen requisitos de instalacin de software y hardware de terceros. Software decliente de IPsec es necesaria en cada equipo que necesita acceso a un VPN basadasen IPsec. Esto es una ventaja (mayor seguridad) y una desventaja (costo financiero yadministracin de VPN adicional).

  • Estrategia para una adecuada implementacin de IPsec en VPN

    Establecer un plan de implementacin de IPsec. Crear y probar cada polticacompletamente antes de implementar en un entorno de produccin.

    La codificacin debe estar habilitada para proporcionar proteccin de la confidencialidadpara el trfico atraviesa VPNs.

    Para una autenticacin ms robusta, utilice certificados en lugar de claves pre-compartidas.

    Las VPNs siempre deben proporcionar proteccin de integridad de datos mediante laimplementacin de un algoritmo de integridad de datos tal como HMAC-SHA-1 o HMAC-MD5.

    Una VPN debe utilizar un algoritmo de cifrado como AES de 128 bits o 168-bit 3DES paraproporcionar mitigacin de seguridad VPN. 56-bit DES estndar es vulnerable al ataque ygeneralmente no se recomienda.

    No permita que las comunicaciones publicas sin garanta ,con sitios remotos VPN.Asegrese de que las polticas de seguridad estn ajustadas tanto como sea posible.

    Una VPN debe contar con proteccin de repeticin, que permite a cada transaccin (opaquetes) que se procesar una sola vez, independientemente del nmero de veces quese recibe.

    El valor mximo de configuracin de asociaciones de seguridad IKE vida debe ser 24 horas.Valores de mxima SA de IPsec deben ser 8 horas.

  • Seguridad de la capa de red: IPsec y redes privadas virtuales VPNs.

    Una red privada virtual (VPN) es una red privada construida dentro de una infraestructura de redpblica, tal como la red mundial de Internet. Las empresas pueden usar redes privadas virtualespara conectar en forma segura oficinas y usuarios remotos a travs de accesos a Interneteconmicos proporcionados por terceros, en vez de costosos enlaces WAN dedicados o enlacesde marcacin remota de larga distancia.

  • Las redes privadas virtuales proporcionan el mayor nivel posible de seguridad medianteseguridad IP (IPsec) cifrada o tneles VPN de Secure Sockets Layer (SSL) y tecnologas deautenticacin. Estas tecnologas protegen los datos que pasan por la red privada virtualcontra accesos no autorizados. Las empresas pueden aprovechar la infraestructura estiloInternet de la red privada virtual, cuya sencillez de abastecimiento permite agregarrpidamente nuevos sitios o usuarios. Tambin pueden aumentar drsticamente elalcance de la red privada virtual sin expandir significativamente la infraestructura.

  • Los dos tipos de redes virtuales privadas cifradas VPN IPsec de sitio a sitio: permite a las empresas extender los recursos de la red

    a las sucursales, oficinas en el hogar y sitios de los partners comerciales.

    VPN de acceso remoto: Esto extiende prcticamente todas las aplicaciones dedatos, voz o video a los escritorios remotos, emulando los escritorios de la oficinacentral. Las redes VPN de acceso remoto pueden desplegarse usando redes VPNSSL, IPsec o ambas, dependiendo de los requisitos de implementacin.

  • Eleccin de un mtodo de implementacin de VPN

    Los administradores de TI suelen tener dos opciones a tener en cuenta al decidirsobre un mtodo de aplicacin de VPN, a saber, IPsec y Secure Socket Layer (SSL).VPNs basadas en IPSec permite el cifrado en cualquier aplicacin mediante lainstalacin de software de cliente por separado en cada dispositivo remotorequiere acceso VPN. SSL VPN no requieren software cliente y el trabajo concualquier navegador Web HTTP estndar. IPsec se utiliza ms para las VPN de sitioa sitio, mientras que SSL es ms adecuado para VPNs de acceso de clienteremoto.

  • VPNs cuentan criptografa simtrica y asimtrica. La criptografa simtrica solo utiliza una clave para cifrar y descifrar el mensaje, que tiene que conocer el

    emisor y el receptor previamente y este es el punto dbil del sistema, la comunicacin de las claves entreambos sujetos, ya que resulta ms fcil interceptar una clave que se ha transmitido sin seguridad (dicindolaen alto, mandndola por correo electrnico u ordinario o haciendo una llamada telefnica).

  • La criptografa asimtrica se basa en el usode dos claves: la pblica (que se podr difundirsin ningn problema a todas las personas quenecesiten mandarte algo cifrado) y la privada(que no debe de ser revelada nunca).

  • El modo transporte:

    En este modo el contenido transportado dentro del datagrama AH o ESP son

    datos de la capa de transporte (por ejemplo, datos TCP o UDP). Por tanto, la

    cabecera IPSec se inserta inmediatamente a continuacin de la cabecera IP y

    antes de los datos de los niveles superiores que se desean proteger

    El modo tnel

    En ste el contenido del datagrama AH o ESP es un datagrama IP completo,

    incluida la cabecera IP original. As, se toma un datagrama IP al cual se aade

    inicialmente una cabecera AH o ESP, posteriormente se aade una nueva

    cabecera IP que es la que se utiliza para encaminar los paquetes a travs de la

    red.

  • UNIVERSIDAD NACIONAL DE LOJA

    A.E.I.R.N.R.

    C.I.E.Y.T

    Francisco Narvez.

    Jayro Arias

    Luis Jaramillo

    Eduardo Tandazo

  • INTRODUCCINTIPOS DE ENLACES DE RED

    ENLACES PUNTO A PUNTO ENLACES DE DIFUSIN

    Un solo emisor y

    receptor

    -PPP

    -HDLC

    Mltiples emisores y

    receptores

    conectados al mismo

    canal

    Protocolos de Acceso

    Mltiple

    -CDMA

    -CSMA

    -Paso de testigo

  • TIPOS

  • TDMA

  • Se divide el tiempo para cada estacin y se asigna todo el espectro a cada estacin.

    Elimina las colisiones.

    Cada estacin tendr una tasa de transmisin de X/N bps.

    Cada estacin debe conocer el comienzo y posicin de su ranura.

    Se utiliza tiempos de guarda para compensar los retardos de propagacin.

  • FDMA

  • Se divide el ancho de banda para cada estacin y se asigna todo el tiempo a cada estacin.

    Se utilizan bandas de guarda para evitar interferencias.

    Cada estacin debe tener un filtro pasabandapara poder seleccionar su banda de frecuencia.

  • CDMACada estacin multiplica sus datos por su

    cdigo.

    Lo que se enva por el canal es la suma de esos trminos de multiplicacin.

    Entonces si una estacin quiere recibir datos de otra, multiplica los datos del canal por el cdigo de la estacin transmisora.

  • PROPIEDADES

    Cada chips est formada por X (nmero de estaciones) elementos. Multiplicacin de una secuencia por un escalar:

    Si se multiplica un chips por un escalar, cada elemento de chip es multiplicado por ese escalar. Ej.: 2 x [+1 +1 -1 -1] = [+2 +2 -2 -2]

    Producto interno:Si se multiplican dos chips iguales, elemento a elemento y se suma el resultado, se obtiene N. Ej.: [+1 +1 -1 -1] . [+1 +1 -1 -1] = +1 +1 +1 +1 = 4

    Si se multiplican dos chips diferentes, elemento a elemento y se suma el resultado, se obtiene 0. Ej.: [+1 +1 -1 -1] . [+1 +1 +1 +1] = +1 +1 -1 -1 = 0

    Sumar dos chips significa sumar los elementos correspondientes y obtener una nueva secuencia.

  • Protocolos de Acceso aleatorio De manera general podemos definir a este tipo de protocolos como accesoaleatorio en aquellos que relativamente controlan el acceso al canal ms no aquien va a transmitir y aquellos que no restringen ninguna de estas dossituaciones.

  • Aloha con Particiones o RanuradaProtocolo que utiliza un mecanismo de control de acceso al canal ypermite un acceso aleatorio del nodo o estacin que deseetransmitir, por lo que se deben cumplir los siguientes principios ensistema que lo haya implementado.

    Todas las tramas constan de exactamente L bits.

    El tiempo est dividido en particiones de L/R segundos (es decir, cada particinequivale al tiempo que se tarda en transmitir una trama).

    Eficiencia de 36,8%

  • Aloha con Particiones o Ranurada

  • Aloha normal Es la versin original de Aloha Ranurado, por lo que es pocoutilizada, adems que cuenta con una eficiencia mucho menor quesu posterior versin.

    Si una trama transmitida experimenta una colisin con una o mstransmisiones de otros nodos, el nodo (despus de transmitircompletamente la trama que ha sufrido la colisin) retransmitir latrama de forma inmediata con una probabilidad p.

    En caso contrario, el nodo esperar durante un tiempo equivalenteal tiempo total de retransmisin de una trama.

    Eficiencia de 18,4%

  • Figura 2. Transmisiones que interfieren en el protocolo ALOHA puro.

    Aloha con Particiones o Ranurada

  • CSMA CSMA (Carrier sense multiple access) Acceso mltiple con deteccin de portadora, es un protocolode gran relevancia sobre todo en tecnologas Ethernet, a diferencia de Aloha sus prestaciones yeficiencia son mayores, permitiendo ofrecer un sistemas relativamente ptimo.

    Para aplicaciones en la industria se dio la necesidad de agregarlecaractersticas adicionales a su estructura o formato de funcionamiento,denominando a estas variaciones como: CSMA No persistente CSMA 1 persistente CSMA p-persistente CSMA/CD CSMA/AC

  • Figura 3. Diagrama espacio-tiempo para dos nodos CSMA con transmisiones que entran en colisin

    CSMA

  • PROTOCOLOS DE TOMA DE TURNOS

    En la actualidad las redes Ethernet hanlogrado extinguir casi en su totalidad a lastecnologas que utilizan protocolos de tomade turnos.

  • PROTOCOLO DE SONDEO (POLLING)

    Protocolo de sondeo (polling). Este protocolo asigna a uno de los nodos comonodo maestro. El nodo maestro sondea a cada uno de los otros nodos a la manerade turno rotatorio (round robin). En particular, el nodo maestro enva primero unmensaje al nodo que desea transmitir, dicindole que puede empezar hasta uncierto nmero mximo de tramas. Despus de que el nodo 1 transmita una serie detramas, el nodo maestro le dir al nodo 2 que puede transmitir hasta el mximonmero de tramas. El procedimiento contina de esta forma ininterrumpidamente,encargndose el nodo maestro de sondear a cada uno de los otros nodos de formacclica.

  • TOKENEn este protocolo existe una trama de pequeo tamao yde propsito especial conocida con el nombre de testigo(token) que va siendo intercambiada entre los nodos en undeterminado orden fijo.

    Cuando un nodo recibe el testigo, lo retiene si dispone dealguna trama para transmitir; en caso contrario, reenvainmediatamente el testigo al siguiente nodo. Si un nodotiene tramas que transmitir cuando recibe el testigo, envauna trama detrs de otra, hasta el nmero mximo detramas permitido y luego reenva el testigo al siguientenodo. El mecanismo de paso de testigo es descentralizado yextremadamente eficiente, aunque tambin tiene suspropios problemas. Como es el fallo de un nodo puedehacer que todo el canal quede inutilizable.

  • REDES TOKEN

    TOKEN RING 802.5 FDDI

  • TOKEN RING 802.5

    El control de acceso al medio funciona as:

    Se tiene un Testigo que circula de una estacin a otra y queincluyen en su interior un indicador para sealar si la red estaocupada o no.

    Si una estacin desea transmitir y el testigo esta libre, lo captura ylo transforma en ocupado y enva una trama por el canal.

    Cada estacin recibe la trama, la regenera y la pasa a su vecino.Hasta llegar al destino (direccionado en la Trama) copia lainformacin para su direccionamiento, modifica algunos bits paraindicar que ha sido copiada y la pasa de nuevo al anillo.

    Cuando la trama llega de nuevo al estacin de origen, ste retirarla trama y, puede seguir transmitiendo si aun no ha terminado sutiempo de posesin del testigo; de lo contrario genera un nuevotestigo hacia el anillo.

  • CARATERISTICAS

    TOKEN(secuencia de bits con un formato predefinido)

    Token Ring define al par trenzado (UTP o STP) como el medio primario de transmisin, velocidades binarias de 4 a 16 Mbps y transmisin en banda base utilizando codificacin Manchester Diferencial.

    El anillo se implementa con una topologa fsica en estrella utilizando un hub multipuerto (MAU).

  • Dispositivos intermedios MAU

    Activos.-Necesitan energa parasincronizacin y regeneracin de laseal.

    Pasivos.- No requieren energa soloproveen los rels en cada puerto.

    Inteligentes.-Incorporan funciones deadministracin de red.

  • FORMATO DE LA TRM TOKEN RING

    Delimitador de Inicio: 1 byte con secuencia de violacin del cdigo Manchester Diferencial que determina el inicio de TRM

    Control de Acceso: 1 byte. Control de TRM (FC): 1 byte que indica si se trata de una TRM de informacin o de control y el tipo de TRM de

    control. Direccin de destino (DA): 6 bytes que corresponden a la direccin de la tarjeta de red del estacin de

    destino. Direccin origen (SA): 6 bytes que corresponden a la direccin de la tarjeta de red del estacin de origen. Datos: Informacin del protocolo de la capa superior que esta usando la TRM. FCS: 4 bytes que utilizan CRC sobre los campos FC, DA, SA y datos. Delimitador de Fin (ED): 1 byte que determina el fin de la TRM. Estatus de TRM: 1 byte que contiene los bits A y C (por duplicado para aumentar la confiabilidad) que son

    utilizados por el estacin destino para informar al estacin origen que ha reconocido su direccin y esta activo y ha copiado la TRM.

  • VENTEJAS.-

    Maneja TRM de diferente tamao limitadas nicamente por el tiempo de posesin del testigo

    No existen colisiones

    Es determinstico

    Puede manejar prioridades y mantiene un rendimiento excelente en condiciones de alta utilizacin de la red.

    DESVENTAJAS.-

    Su eficiencia es baja en condiciones de baja carga

    Su protocolo es complicado, tarjetas de red costosas

    Naturaleza centralizada, monitor activo defectuoso afecta la operacin de la red.

  • FDDI (FIBER DISTRIBUTED DATA INTERFACE)

    Son diseadas para redes LAN geogrficamente ms amplias, incluyendo las redes de rea metropolitana (MAN, Metropolitan Area Network). Especifica una red de 100Mbps con Tokeng Passing sobre un anillo dual de fibra ptica.

  • Parmetros

    Opera sobre FO multimodo o monomodo

    Codificacin de lnea 4B5B NRZI

    Separacin mxima entre estaciones: 2 Km 60 km

    Nmero mximo de estaciones 1000

    Alcance mximo de la red 100 Km

  • FDDI especificaciones

    MAC. Define como el medio es accesado incluyendo formato de trama.

    PHY. Define los procesos de codificacin/decodificacin de datos.

    PMD. Define las caractersticas del medio de transmisin.

    SMT. Define las configuraciones de las estaciones FDDI y el anillo.

  • SE DEFINEN DOS TIPOS DE ESTACIONES

    Clase A o DAS:

    Clase B o SAS:

    TRES TIPOS DE TOLERANCIA A FALLASDUAL RINGOPTICAL BYPASS SWTICHDUAL HOMING

  • DUAL RING

  • Optical Bypass Switch /DUAL HOMING

  • REDES DE REA LOCAL (LAN)

  • Una red LAN es una telaraa de computadoras que se encuentran en una determinada concentracin geogrfica, por ejemplo sea este un edificio, un campus universitario, etc. El acceso de un usuario al internet desde un campus universitario o corporativo, siempre es realizado a travs de una red LAN.

  • ETHERNET

    Norma IEEE 802.3.

    Una topologa en estrella en la que los nodos individuales (dispositivos) estn conectados unos con otros a travs de un equipo de red activo como un conmutador.

    El nmero de dispositivos conectados a una LAN puede oscilar entre dos y varios miles.

  • ETHERNET

    Ethernet utiliza una tcnica de contencin MAC, llamada: Carrier sensemultiple access/collision detection (CSMA/CD).

    El medio de transmisin fsico para una LAN por cable implica cables, principalmente de par trenzado, o bien, fibra ptica.

    En funcin del tipo de cables de par trenzado o de fibra ptica que se utilicen, actualmente las velocidades de datos pueden oscilar entre 100 Mbit/s y 10.000 Mbit/s.

    Por regla general, las redes siempre deben tener ms capacidad de la que se necesita. Para preparar una red para el futuro es una buena idea disear una red que solamente utilice el 30% de su capacidad.

    Las redes se basan en el mecanismo de acceso aleatorio

  • TOKEN RING

    Los N nodos de la LAN (host yrouters, su conexin va en anillocon un acceso directo. Usa unatopologa donde cada computadoraest conectada a la siguienteformando un anillo, con velocidadesde 4 a 16 Mbps.

  • TOKEN RING

    Cuando la red se pone en marcha un token libre es generado y pasade computadora en computadora. Cuando una computadora deseatransmitir, espera a que este token libre pase por ella, le adhiere eldato y el token pasa de ser libre ha ocupado.

    El token sigue su viaje viajando de computadora en computadorahasta llegar a su destino.

    Si la recepcin en la computadora de destino es satisfactoria se enva(con el token ocupado)

    Cuando el proceso ha terminado, el computador origen cambia eltoken de nuevo a token libre y lo pasa al siguiente computador.

  • FDDI (Fiber Distributed Data Interface)

    El FDDI es una interfaz de datosdistribuidos para fibra. Diseado pararedes LAN geogrficamente ampliasincluidas las redes de reametropolitana (MAN Metropolitanrea Network)

  • FDDI (Fiber Distributed Data Interface)

    Uso para equipos que requieran velocidades mayores que los 10Mbps disponibles de Ethernet o los 4Mbps del Token Ring.

    Las Redes FDDI pueden soportar varias LANs de baja capacidad que requieren un BackBone de alta velocidad.

    El FDDI est formado por dos hilos o flujos de datos que fluyen en direcciones opuestas por dos anillos.

    En caso de haber problema con el anillo primario como podra ser una ruptura del cable, este se reconfigura a si mismo transfiriendo datos al secundario que continuara la transmisin.

    Su acceso es por medio de paso del testigo de la token ring y puede transmitir tantos paquetes como pueda producir en un tiempo predeterminado antes de liberar el testigo. Como un equipo libera el testigo cuando finaliza la transmisin, varios paquetes pueden circular por el anillo al mismo tiempo.

  • FDDI TOKEN RING

    Arquitectura half-duplex y manipulacin a nivel de smbolo. (O bytes). Arquitectura full-dplex y manipulacin a nivel de bit.

    El Token se enva inmediatamente detrs del paquete. El Token se enva solo despus de que la direccin origen ha regresado.

    Trafico regulado a travs del Token elegido. El trfico es regulado a travs de bits de reserva y paridad de cada paquete.

    Usa grupos de cdigo 4 de 5, hasta 10 % componentes dc. Usa cdigos diferenciales Manchester. No componentes DC.

    El anillo esta descentralizado, relojes individuales limitan el tamao de los paquetes. Control centralizado con un reloj monitor activo, permitiendo paquetes muy largos.

    Medio de fibra ptico. Medio: par de cables.

    CARACTERSTICA DESCRIPCIN

    Mtodo de acceso Paso de testigo

    Velocidad de Transferencia FO de 155 Mbps a 622 Mbps