REPUBLICA BOLIVARIANA DE VENEZUELAMINISTERIO DEL PODER POPULAR PARA LA

EDUCACIÓN UNIVERSITARIAINSTITUTO UNIVERSITARIO DE TECNOLOGIA DEL OESTE

“MARISCAL SUCRE”Caracas

Cátedra: RedesTrayecto II, Trimestre IV

Profesor: Angel Daniel Fuentes

Presentado:

Milagros Hurtado C.I. 08.323.474Adonis Mijares C.I 23.944.771

Alexander Marcano C.I 23.644.784Jose Pineda C.I 17.160.041

Zuleyka castillo C.I.12.259.276

CARACAS, Junio de 201

Introducción

Internet es un lugar inseguro. Muchos de los protocolos utilizados actualmente

carecen de seguridad. Además, existen crackers que con frecuencia interceptan contraseñas,

razón por la cual aplicaciones que mandan una contraseña no cifrada en la red son

extremadamente vulnerables. Peor aún, algunas aplicaciones cliente/servidor asumen que el

cliente proveerá su identificación correctamente, y otras confían en que el cliente restringirá

sus actividades a aquellas que están autorizadas sin ningún otro refuerzo del servidor.

Esquema De Seguridad

Internet es un lugar inseguro. Muchos de los protocolos utilizados actualmente

carecen de seguridad. Además, existen crackers que con frecuencia interceptan contraseñas,

razón por la cual aplicaciones que mandan una contraseña no cifrada en la red son

extremadamente vulnerables. Peor aún, algunas aplicaciones cliente/servidor asumen que el

cliente proveerá su identificación correctamente, y otras confían en que el cliente restringirá

sus actividades a aquellas que están autorizadas sin ningún otro refuerzo del servidor.

Algunos sitios intentan solucionar los problemas de seguridad de la red con

cortafuegos. Desafortunadamente, el uso exclusivo de cortafuegos se basa en la suposición

de que los "villanos" están en el exterior, lo que es a menudo una suposición incorrecta y

peligrosa.

Aún en este caso, una vez que la red se conecte a la Internet, ya no puede asumir

que la red es segura. Cualquier intruso del sistema con acceso a la red y un analizador de

paquetes pueden interceptar cualquier contraseña enviada de este modo, comprometiendo

las cuentas de usuarios y la integridad de toda la infraestructura. Kerberos nace como una

solución a esta problemática planteada en la seguridad de las redes.

Kerberus

El Instituto Tecnológico de Massachusetts (MIT) desarrolló Kerberos para proteger

los servicios de red proporcionados por el proyecto Athena. El proyecto recibió el nombre

debido al personaje mitológico griego Kerberos (o Can Cerberos), el perro guardián de tres

cabezas de Hades. Existen varias versiones del protocolo. Las versiones 1 a 3 se

desarrollaron sólo dentro del ambiente del MIT.

Steve Miller y Clifford Neuman, los principales diseñadores de la versión 4 de

Kerberos, publicaron esa versión al final de la década de 1980, aunque la había orientado

principalmente para el proyecto Athena.

La versión 5, diseñada por John Kohl y Clifford Neuman, apareció como la RFC 1510 en

1993 (que quedó obsoleta por la RFC 4120 en 2005), con la intención de eliminar las

limitaciones y problemas de seguridad presentes en la versión 4. Actualmente, el MIT

distribuye una implementación de Kerberos libremente bajo una licencia similar a la de

BSD.

Autoridades de los Estados Unidos clasificaron a Kerberos como munición y

prohibieron su exportación porque usa el algoritmo de cifrado DES (con clave de 56 bits).

Una implementación no estadounidense de Kerberos 4, KTH-KRB, desarrollada en Suecia,

puso el sistema a disposición fuera de los Estados Unidos antes de que éste cambiara

sus políticas de exportación de criptografía (alrededor del año 2000). La implementación

sueca se basó en una versión llamada eBones, la cual se basaba en la versión exportada

MIT Bones (a la que se le habían quitado las funciones de cifrado y las llamadas a ellas),

basada a su vez en Kerberos 4, nivel de corrección 9. El australiano Eric Young, autor de

numerosas librerías criptográficas, puso nuevamente las llamadas a funciones y usó su

librería de cifrado libdes. Esta versión algo limitada de Kerberos se llamó versión eBones.

Una implementación de Kerberos en su versión 5, Heimdal, se lanzó por básicamente el

mismo grupo de gente que lanzó KTH-KRB.

Windows 2000, Windows XPy Windows Server 2003 usan una variante de

Kerberos como su método de autenticación por defecto. Algunos agregados de Microsoft al

conjunto de protocolos de Kerberos están documentados en la RFC 3244 "Microsoft

Windows 2000 Kerberos Change Password and Set Password Protocols" (Protocolos

de cambio y establecimiento de clave de tipo Kerberos en Microsoft Windows 2000). Mac

OS X de Apple también usa Kerberos tanto en sus versiones de cliente y de servidor.

Kerberos es un protocolo de autenticación de redes de ordenador creado por Gerard

Fillip Kominek que permite a dos computadores en una red insegura haciendo demostrar su

identidad mutuamente de manera segura. Sus diseñadores se concentraron primeramente en

un modelo de cliente-servidor, y brinda autenticación mutua tanto cliente como servidor

verifican la identidad uno del otro.

Kerberos se basa en criptografía de clave simétrica y requiere un tercero de confianza.

Además, existen extensiones del protocolo para poder utilizar criptografía de clave

asimétrica.

Es un protocolo de seguridad muy difundido en entornos Unix, aunque adoptado

también por otros sistemas operativos como Windows 2000. Kerberos es un sistema de

autentificación de usuarios, que posee un doble objetivo:

Impedir que las claves sean enviadas a través de la red, con el

consiguiente riesgo de su divulgación.

Centralizar la autentificación de usuarios, manteniendo una única base de datos de

usuarios para toda la red.

¿Qué es un protocolo?

Un protocolo es un método estándar que permite la comunicación entre procesos

(que potencialmente se ejecutan en diferentes equipos), es decir, es un conjunto de reglas y

procedimientos que deben respetarse para el envío y la recepción de datos a través de una

red. Existen diversos protocolos de acuerdo a cómo se espera que sea la comunicación.

Algunos protocolos, por ejemplo, se especializarán en el intercambio de archivos (FTP);

otros pueden utilizarse simplemente para administrar el estado de la transmisión y los

errores (como es el caso de ICMP), etc.

¿Qué es un protocolo de seguridad?

Un protocolo de seguridad es la parte visible de una aplicación, es el conjunto de

programas y actividades programadas que cumplen con un objetivo específico y que usan

esquemas de seguridad criptográfica. Define las reglas que gobiernan estas

comunicaciones. Diseñadas para que el sistema pueda soportar ataques de carácter

maliciosos. Los protocolos son diseñados bajo ciertas primicias con respecto a los riesgos.

¿Para qué sirven?

Servicios de seguridad:

– Manejo de claves (negociación y almacenamiento de claves)

– Confidencialidad / Privacidad

– No repudio

– Integridad

– Autenticación

– Autorización

Los ataques más frecuentes son:

Utilización de claves que hemos descubierto.

Contestar al autor de un mensaje con el mismo mensaje en lugar de darle una

respuesta adecuada.

Suplantación o alegar una personalidad falsa.

Actuar de Intermediario, es decir, suplantar doblemente, situándose en el medio de

dos usuarios legales e intervenir activamente el tráfico de ambos.

Construir Diccionarios con nombres de usuarios y sus claves.

Aseguramiento de Protocolos de acuerdo a su nivel.

Seguridad en el nivel de red: 1. Se busca garantiza que el tráfico que envían los

protocolos de nivel superior (TCP, UDP) se transmita protegido.2. Un Inconveniente:

puede ser necesario adaptar/reconfigurar la infraestructura de red (routers) para gestionar la

nueva información añadida al protocolo IP.

Seguridad en el nivel de transporte: 1. Ventaja: solo precisa actualizar las

implementaciones de TCP y/o UDP en los extremos de la comunicación.2. Supone un

cambio a nivel de software (S.O. o librerías de sistema).

Seguridad en el nivel de aplicación: 1. Ventaja: mayor flexibilidad 2. Se puede

responder mejor a las necesidades específicas de protocolos concretos (HTTPS, SSH, SET).

Protocolo SSL/TLS (Secure Socket Layer / Transport Security Layer). Secure

Sockets Layer (SSL; en español «capa de conexión segura») y su sucesor Transport Layer

Security (TLS; en español «seguridad de la capa de transporte») son protocolos

criptográficos que proporcionan comunicaciones seguras por una red, comúnmente

Internet.

SSL proporciona autenticación y privacidad de la información entre extremos sobre

Internet mediante el uso de criptografía. Habitualmente, sólo el servidor es autenticado (es

decir, se garantiza su identidad) mientras que el cliente se mantiene sin autenticar.

SSL implica una serie de fases básicas:

Negociar entre las partes el algoritmo que se usará en la comunicación.

Intercambio de claves públicas y autenticación basada en certificados digitales.

Cifrado del tráfico basado en cifrado simétrico.

Protocolos criptográficos que proporcionan confidencialidad e integridad a las

comunicaciones en redes TCP/IP.

Protegen del nivel de transporte hacia arriba.

Protegen la comunicación end-to-end.

Son la base de las comunicaciones seguras con navegadores web.

Ventajas:

Proporciona a una comunicación:

Confidencialidad (cifrado).

Integridad (mediante HMAC).

Autenticidad de servidor (y en algunos casos, de cliente, mediante certificados).

Protocolo de registros SSL/TLS. Crea los mensajes protegidos (cifrados +

autenticados) en el origen y los recupera y comprueba en el destino.

Protocolo de negociación SSL/TLS. Establece de forma segura los parámetros de la

sesión/conexión (combinaciones de algoritmos a usar + claves)

SSH (Secure Shell)

Es un protocolo de nivel de aplicación para crear conexiones seguras entre dos

sistemas sobre redes no seguras (SSH2) alternativa a programas de acceso remoto no

seguros, como telnet, ftp, rlogin, rsh y rcp (slogin, ssh y scp). Proporciona terminal de

sesión cifrada con autenticación fuerte del servidor y el cliente, usando criptografía de clave

pública.

Incluye características como:

Una variedad de mecanismos de autenticación de usuarios

Conexiones TCP arbitrarias de tunneling a través de la sesión SSH,

Protegiendo protocolos inseguros como IMAP y permitiendo el pasoo Seguro a

través de cortafuegos

Reenvío automático de conexiones X Windows

Soporte para métodos de autenticación externa, incluyendo Kerberos

SSH está basado en protocolos documentados por el IETF

Otros tipos de protección que proporciona SSH:

Después de la conexión inicial, el cliente puede verificar que se está conectando

al mismo servidor durante sesiones posteriores.

El cliente puede transmitir su información de autentificación al servidor, como

el nombre de usuario y la contraseña, en formato cifrado.

El cliente tiene la posibilidad de usar X11 en aplicaciones lanzadas desde el

indicador de comandos de la shell. Esta técnica proporciona una interfaz gráfica segura

(llamada reenvío por X11).

Si el servidor usa la técnica del reenvío de puerto, los protocolos considerados

como inseguros (POP, IMAP...), se pueden cifrar para garantizar una comunicación

segura.

Transferencias seguras de ficheros.

Se crea una capa de transporte segura para que el cliente sepa que está

efectivamente comunicando con el servidor correcto. Luego se cifra la comunicación

entre el cliente y el servidor por medio de un código simétrico.

Con la conexión segura al servidor en su lugar, el cliente se autentifica ante el

servidor sin preocuparse de que la información de autentificación pudiese exponerse a

peligro. OpenSSH usa claves DSA o RSA y la versión 2.0 del protocolo SSH para

autenticaciones predeterminadas.

Con el cliente autentificado ante el servidor, se pueden usar varios servicios

diferentes con seguridad a través de la conexión, como una sesión shell interactiva,

aplicaciones X11 y túneles TCP/IP.

IP SEC

Es uno de los más empleado es un grupo de extensiones de la familia del

protocolo IP pensado para proveer servicios de seguridad a nivel de red,(GRE 47) el

protocolo de Encapsulación de Enrutamiento Genérico. Se emplea en combinación con

otros protocolos de túnel para crear redes de internet virtuales. Conjuntó de protocolos

definido como parte de IPv6 (nueva versión), permite cifrar y/o autentificar todo el

tráfico a nivel IP. Es un conjunto de protocolos cuya función es asegurar las

comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada

paquete IP en un flujo de datos.

Fue proyectado para proporcionar seguridad en modo transporte (extremo a

extremo) del tráfico de paquetes, en el que los ordenadores de los extremos finales

realizan el procesado de seguridad, o en modo túnel (puerta a puerta) en el que la

seguridad del tráfico de paquetes es proporcionada a varias máquinas (incluso a toda la

red de área local) por un único nodo.

PROXY

Un proxy, en una red informática, es un programa o dispositivo que realiza una

acción en representación de otro, esto es, si una hipotética máquina A solicita un recurso a

una C, lo hará mediante una petición a B; C entonces no sabrá que la petición procedió

originalmente de A. Esta situación estratégica de punto intermedio suele ser aprovechada

para soportar una serie de funcionalidades: proporcionar caché, control de acceso, registro

del tráfico, prohibir cierto tipo de tráfico, etc.

Su finalidad más habitual es la de servidor proxy, que consiste en interceptar las

conexiones de red que un cliente hace a un servidor de destino, por varios motivos posibles

como seguridad, rendimiento, anonimato, etc. Esta función de servidor proxy puede ser

realizada por un programa o dispositivo.

Características

La palabra proxy significa intermediario en inglés.

El uso más común es el de servidor proxy, que es un ordenador que intercepta las

conexiones de red que un cliente hace a un servidor de destino.

De ellos, el más famoso es el servidor proxy web (comúnmente conocido solamente

como «proxy»). Intercepta la navegación de los clientes por páginas web, por varios

motivos posibles: seguridad, rendimiento, anonimato, etc.

También existen proxy para otros protocolos, como el proxy de FTP.

El proxy ARP puede hacer de enrutador en una red, ya que hace de intermediario

entre ordenadores.

Proxy (patrón de diseño)  también es un patrón de diseño (programación) con el

mismo esquema que el proxy de red.

Un componente hardware también puede actuar como intermediario para otros.

Como se ve, proxy tiene un significado muy general, aunque siempre es sinónimo

de intermediario. Cuando un equipo de la red desea acceder a una información o recurso, es

realmente el proxy quien realiza la comunicación y a continuación traslada el resultado al

equipo que la solicitó.

Hay dos tipos de proxys atendiendo a quien es el que quiere implementar la política

del proxy:

proxy local: En este caso el que quiere implementar la política es el mismo que hace

la petición. Por eso se le llama local. Suelen estar en la misma máquina que el

cliente que hace las peticiones. Son muy usados para que el cliente pueda controlar

el tráfico y pueda establecer reglas de filtrado que por ejemplo pueden asegurar que

no se revela información privada (Proxys de filtrado para mejora de la privacidad).

proxy externo: El que quiere implementar la política del proxy es una entidad

externa. Por eso se le llama externo. Se suelen usar para implementar cacheos,

bloquear contenidos, control del tráfico, compartir IP, etc.

Ventajas

Control: sólo el intermediario hace el trabajo real, por tanto se pueden limitar

y restringir los derechos de los usuarios, y dar permisos sólo al proxy.

Ahorro. Sólo uno de los usuarios (el proxy) ha de estar preparado para hacer

el trabajo real. Con estar preparado queremos decir que es el único que necesita los

recursos necesarios para hacer esa funcionalidad. Ejemplos de recursos necesarios para

hacer la función pueden ser la capacidad y lógica de cómputo o la dirección de red

externa (IP).

Velocidad. Si varios clientes van a pedir el mismo recurso, el proxy puede

hacer caché: guardar la respuesta de una petición para darla directamente cuando otro

usuario la pida. Así no tiene que volver a contactar con el destino, y acaba más rápido.

Filtrado. El proxy puede negarse a responder algunas peticiones si detecta

que están prohibidas.

Modificación. Como intermediario que es, un proxy puede falsificar

información, o modificarla siguiendo un algoritmo.

Desventajas

Anonimato: Si todos los usuarios se identifican como uno sólo, es difícil que el recurso

accedido pueda diferenciarlos. Pero esto puede ser malo, por ejemplo cuando hay que

hacer necesariamente la identificación.

Abuso: Al estar dispuesto a recibir peticiones de muchos usuarios y responderlas, es

posible que haga algún trabajo que no toque. Por tanto, ha de controlar quién tiene

acceso y quién no a sus servicios, cosa que normalmente es muy difícil.

Carga: Un proxy ha de hacer el trabajo de muchos usuarios.

Intromisión: Es un paso más entre origen y destino, y algunos usuarios pueden no

querer pasar por el proxy. Y menos si hace de caché y guarda copias de los datos.

Incoherencia: Si hace de caché, es posible que se equivoque y dé una respuesta antigua

cuando hay una más reciente en el recurso de destino. En realidad este problema no

existe con los servidores proxy actuales, ya que se conectan con el servidor remoto para

comprobar que la versión que tiene en caché sigue siendo la misma que la existente en

el servidor remoto.

Irregularidad: El hecho de que el proxy represente a más de un usuario da problemas en

muchos escenarios, en concreto los que presuponen una comunicación directa entre 1

emisor y 1 receptor (como TCP/IP).

Proxy Caché

Su método de funcionamiento es similar al de un proxy HTTP o HTTPs. Su función

es precargar el contenido web solicitado por el usuario para acelerar la respuesta Web en

futuras peticiones de la misma información de la misma máquina u otras.

Proxy de web 

Se trata de un proxy para una aplicación específica el acceso a la web

(principalmente los protocolos HTTP y HTTPS). Aparte de la utilidad general de un proxy

a veces proporciona una caché para las páginas web y los contenidos descargados. Cuando

esto sucede se dice que el proxy web está haciendo un servicio de proxy-cache.

Esta caché es compartida por todos los usuario del proxy, con la consiguiente mejora en los

tiempos de acceso para consultas coincidentes. Al mismo tiempo libera la carga de los

enlaces hacia Internet.

Funcionamiento:

El cliente realiza una petición (p. ej. mediante un navegador web) de un recurso

de Internet (una página web o cualquier otro archivo) especificado por una URL.

Cuando el proxy caché recibe la petición, busca la URL resultante en su caché local. Si la

encuentra, contrasta la fecha y hora de la versión de la página demanda con el servidor

remoto. Si la página no ha cambiado desde que se cargo en caché la devuelve

inmediatamente, ahorrándose de esta manera mucho tráfico pues sólo intercambia un

paquete para comprobar la versión. Si la versión es antigua o simplemente no se encuentra

en la caché, lo captura del servidor remoto, lo devuelve al que lo pidió y guarda o actualiza

una copia en su caché para futuras peticiones.

Los proxys web pueden aportar una serie de funcionalidades interesantes en

distintos ámbitos:

Reducción del tráfico mediante la implementación de caché en el proxy. Las

peticiones de páginas Web se hacen al servidor Proxy y no a Internet directamente. Por lo

tanto se aligera el tráfico en la red y descarga los servidores destino, a los que llegan menos

peticiones.

El caché utiliza normalmente un algoritmo configurable para determinar cuándo un

documento está obsoleto y debe ser eliminado de la caché. Como parámetros de

configuración utiliza la antigüedad, tamaño e histórico de acceso. Dos de esos algoritmos

básicos son el LRU (el usado menos recientemente, en inglés "Least Recently Used") y

el LFU (el usado menos frecuentemente, "Least Frequently Used").

Mejora de la velocidad en tiempo de respuesta mediante la implementación

de caché en el proxy. El servidor Proxy crea un caché que evita transferencias idénticas de

la información entre servidores durante un tiempo (configurado por el administrador) así

que el usuario recibe una respuesta más rápida. Por ejemplo supongamos que tenemos un

ISP que tiene un servidor Proxy concaché. Si un cliente de ese ISP manda una petición por

ejemplo a Google esta llegará al servidor Proxy que tiene este ISP y no irá directamente a

la dirección IP del dominio de Google. Esta página concreta suele ser muy solicitada por un

alto porcentaje de usuarios, por lo tanto el ISP la retiene en su Proxy por un cierto tiempo y

crea una respuesta en mucho menor tiempo. Cuando el usuario crea una búsqueda en

Google el servidor Proxy ya no es utilizado; el ISP envía su petición y el cliente recibe su

respuesta ahora sí desde Google.

El proxy puede servir para implementar funciones de filtrado de contenidos. Para

ello es necesaria la configuración de una serie restricciones que indiquen lo que no se

permite. Observar que esta funcionalidad puede ser aprovechada no sólo para que ciertos

usuarios no accedan a ciertos contenidos sino también para filtrar ciertos ficheros que se

pueden considerar como peligrosos como pueden ser virus y otros contenidos hostiles

servidos por servidores web remotos.

Un proxy puede permitir esconder al servidor web la identidad del que solicita

cierto contenido. El servidor web lo único que detecta es que la ip del proxy solicita cierto

contenido. Sin embargo no puede determinar la ip origen de la petición. Además, si se usa

una caché, puede darse el caso de que el contenido sea accedido muchas más veces que las

detectadas por el servidor web que aloja ese contenido.

Los proxys pueden ser aprovechados para dar un servicio web a una demanda de

usuarios superior a la que sería posible sin ellos.

El servidor proxy puede modificar los contenidos que sirven los servidores web

originales. Puede haber diferentes motivaciones para hacer esto. Veamos algunos ejemplos:

Algunos proxys pueden cambiar el formato de las páginas web para un propósito o

una audiencia específicos (Ej. mostrar una página en un teléfono móvil o

una PDA) traduciendo los contenidos.

Hay proxys que modifican el tráfico web para mejorar la privacidad del tráfico web

con el servidor. Para ello se establecen unas reglas que el proxy tiene que cumplir. Por

ejemplo el proxy puede ser configurado para bloquear direcciones y Cookies, para

modificar cabeceras de las peticiones o quitar javascript que se considere peligroso.

Es frecuente el uso de este tipo de proxys en las propias máquinas de los usuarios

(proxys locales) para implementar un paso intermedio y que las peticiones no sean

liberadas/recibidas a/de la red sin haber sido previamente limpiadas de información o

contenido peligroso o privado. Este tipo de proxys es típico en entornos donde hay mucha

preocupación sobre la privacidad y se suele usar como paso previo a la petición del

contenido a través de una red que persiga el anonimatocomo puede ser Tor. Los programas

más frecuentes para hacer este tipo de funcionalidad son:

Privoxy: Se centra en el contenido web. No presta servicio de cache. Analiza el

tráfico basándose en reglas predefinidas que se asocian a direcciones especificadas con

expresiones regulares y que aplica a cabeceras, contenido, etc. Es altamente configurable.

Tiene extensa documentación.

Polipo: Tiene características que lo hacen más rápido que privoxy (cacheo, pipeline,

uso inteligente de rango de peticiones). Su desventaja es que no viene configurado por

defecto para proveer anonimicidad a nivel de la capa de aplicación.

El servidor proxy proporciona un punto desde el que se puede gestionar de forma

centralizada el tráfico web de muchos usuarios. Eso puede aprovecharse para muchas

funciones adicionales a las típicas vistas anteriormente. Por ejemplo puede usarse para el

establecimiento de controlar el tráfico de web de individuos concretos, establecer cómo se

va a llegar a los servidores web de los cuales se quiere obtener los contenidos (por ejemplo,

el proxy puede configurarse para que en lugar de obtener los contenidos directamente, lo

haga a través de la red Tor).

Web Proxy

Su funcionamiento se basa en el de un Proxy HTTP y HTTPs, pero la diferencia

fundamental es que la petición se realiza mediante una Aplicación Web servida por un

servidor HTTP al que se accede mediante una URL, esto es, una página web que permite

estos servicios.

Proxy SOCKS

Los proxy SOCKS son muy diferentes de los proxys 'normales'. Cuando por

ejemplo usas un proxy HTTP lo que éste hace es coger las peticiones HTTP y hace la

petición por ti y te devuelve los resultados. Haciendo un símil con la vida real es como si

alguien nos pidiera que le pasáramos la sal de la mesa y el proxy la cogiera y nos la diera.

Sin embargo lo que hace el protocolo SOCKS, es casi equivalente a establecer un

túnel IP con un cortafuegos y a partir de ahí las peticiones del protocolo son entonces

realizadas desde el cortafuegos.

El cliente negocia una conexión con el servidor proxy SOCKS usando el protocolo

SOCKS, nivel 5 del modelo OSI (capa de sesión). Una vez establecida la conexión todas

las comunicaciones entre el cliente y proxy se realizan usando el protocolo SOCKS. El

cliente le dice al proxy SOCKS que es lo que quiere y el proxy se comunica con el servidor

externo y obtiene los resultados y se los manda al cliente. De esta forma el servidor externo

sólo tiene que estar accesible desde el proxy SOCKS que es el que se va a comunicar con

él.

El cliente que se comunica con SOCKS puede estar en la propia aplicación

(Ej. Firefox, putty), o bien en la pila de protocolos TCP/IP a donde la aplicación enviará los

paquetes a un túnel SOCKS.

En el proxy SOCKS es habitual implementar, como en la mayoría de proxys,

autenticación y loggeo de las sesiones.

Proxies transparentes

Muchas organizaciones (incluyendo empresas, colegios y familias) usan los proxies

para reforzar las políticas de uso de la red o para proporcionar seguridad y servicios de

caché. Normalmente, un proxy Web o NAT no es transparente a la aplicación cliente: debe

ser configurada para usar el proxy, manualmente. Por lo tanto, el usuario puede evadir el

proxy cambiando simplemente la configuración. Una ventaja de tal es que se puede usar

para redes de empresa.

Un proxy transparente combina un servidor proxy con NAT (Network Address

Translation) de manera que las conexiones son enrutadas dentro del proxy sin

configuración por parte del cliente, y habitualmente sin que el propio cliente conozca de su

existencia. Este es el tipo de proxy que utilizan los proveedores de servicios de internet

(ISP).

Reverse Proxy / Proxy inverso

Un reverse proxy es un servidor proxy instalado en el domicilio de uno o más

servidores web. Todo el tráfico entrante de Internet y con el destino de uno de esos

servidores web pasa a través del servidor proxy. Hay varias razones para instalar un

"reverse proxy":

Seguridad: el servidor proxy es una capa adicional de defensa y por lo tanto protege

los servidores web.

Cifrado / Aceleración SSL: cuando se crea un sitio web seguro, habitualmente el

cifrado SSL no lo hace el mismo servidor web, sino que es realizado por el "reverse

proxy", el cual está equipado con un hardware de aceleración SSL (Security Sockets

Layer).

Distribución de Carga: el "reverse proxy" puede distribuir la carga entre varios

servidores web. En ese caso, el "reverse proxy" puede necesitar reescribir las URL

de cada página web (traducción de la URL externa a la URL interna

correspondiente, según en qué servidor se encuentre la información solicitada).

Caché de contenido estático: Un "reverse proxy" puede descargar los servidores

web almacenando contenido estático como imágenes u otro contenido gráfico.

Proxy NAT (Network Address Translation) / Enmascaramiento

Otro mecanismo para hacer de intermediario en una red es el NAT.

La traducción de direcciones de red (NAT, Network Address Translation) también

es conocida como enmascaramiento de IPs. Es una técnica mediante la cual las direcciones

fuente o destino de los paquetes IP son reescritas, sustituidas por otras (de ahí el

"enmascaramiento").

Esto es lo que ocurre cuando varios usuarios comparten una única conexión

a Internet. Se dispone de una única dirección IP pública, que tiene que ser compartida.

Dentro de la red de área local (LAN) los equipos emplean direcciones IP reservadas para

uso privado y será el proxy el encargado de traducir las direcciones privadas a esa única

dirección pública para realizar las peticiones, así como de distribuir las páginas recibidas a

aquel usuario interno que la solicitó. Estas direcciones privadas se suelen elegir en rangos

prohibidos para su uso en Internet como 192.168.x.x, 10.x.x.x, 172.16.x.x y 172.31.x.x

Esta situación es muy común en empresas y domicilios con varios ordenadores en

red y un acceso externo a Internet. El acceso a Internet mediante NAT proporciona una

cierta seguridad, puesto que en realidad no hay conexión directa entre el exterior y la red

privada, y así nuestros equipos no están expuestos a ataques directos desde el exterior.

Mediante NAT también se puede permitir un acceso limitado desde el exterior, y

hacer que las peticiones que llegan al proxy sean dirigidas a una máquina concreta que haya

sido determinada para tal fin en el propio proxy.

La función de NAT reside en los Cortafuegos y resulta muy cómoda porque no

necesita de ninguna configuración especial en los equipos de la red privada que pueden

acceder a través de él como si fuera un mero encaminador.

Proxy abierto

Este tipo de proxy es el que acepta peticiones desde cualquier ordenador, esté o no

conectado a su red.

En esta configuración el proxy ejecutará cualquier petición de cualquier ordenador

que pueda conectarse a él, realizándola como si fuera una petición del proxy. Por lo que

permite que este tipo de proxy se use como pasarela para el envío masivo de correos

de spam. Un proxy se usa, normalmente, para almacenar y redirigir servicios como

el DNS o la navegación Web, mediante el cacheo de peticiones en el servidor proxy, lo que

mejora la velocidad general de los usuarios. Este uso es muy beneficioso, pero al aplicarle

una configuración "abierta" a todo internet, se convierte en una herramienta para su uso

indebido.

Debido a lo anterior, muchos servidores, como los de IRC, o correo electrónicos,

deniegan el acceso a estos proxys a sus servicios, usando normalmente listas negras

("BlackList").

Cross-Domain Proxy 

Típicamente usado por Tecnologías web asíncronas (flash, ajax, comet, etc) que

tienen restricciones para establecer una comunicación entre elementos localizados en

distintos dominios.

En el caso de AJAX, por seguridad sólo se permite acceder al mismo dominio

origen de la página web que realiza la petición. Si se necesita acceder a otros servicios

localizados en otros dominios, se instala un Cross-Domain proxy2 en el dominio origen que

recibe las peticiones ajax y las reenvia a los dominios externos.

En el caso de flash, también han solucionado creando la revisión de

archivos xml de Cross-Domain, que permiten o no el acceso a ese dominio o subdominio.

Firewall / Cortafuegos

Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce

una política de seguridad establecida. Es el mecanismo encargado de proteger una red

confiable de una que no lo es (por ejemplo Internet).

Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos:

Todo el tráfico desde dentro hacia fuera, y viceversa, debe pasar a través de él.

Sólo el tráfico autorizado, definido por la política local de seguridad, es permitido.

Como puede observarse, el Muro Cortafuegos, sólo sirven de defensa perimetral de

las redes, no defienden de ataques o errores provenientes del interior, como tampoco puede

ofrecer protección una vez que el intruso lo traspasa.

Algunos Firewalls aprovechan esta capacidad de que toda la información entrante y

saliente debe pasar a través de ellos para proveer servicios de seguridad adicionales como la

encriptación del tráfico de la red. Se entiende que si dos Firewalls están conectados, ambos

deben "hablar" el mismo método de encriptación-desencriptación para entablar la

comunicación.

Routers y Bridges

Cuando los paquetes de información viajan entre su destino y origen, vía TCP/IP,

estos pasan por diferentes Routers (enrutadores a nivel de Red).

Los Routers son dispositivos electrónicos encargados de establecer comunicaciones

externas y de convertir los protocolos utilizados en las LAN en protocolos de WAN y

viceversa.En cambio, si se conectan dos redes del tipo LAN se utilizan Bridges, los cuales

son puentes que operan a nivel de Enlace.

La evolución tecnológica les ha permitido transformarse en computadoras muy

especializadas capaz de determinar, si el paquete tiene un destino externo y el camino más

corto y más descongestionado hacia el Router de la red destino. En caso de que el paquete

provenga de afuera, determina el destino en la red interna y lo deriva a la máquina

correspondiente o devuelve el paquete a su origen en caso de que él no sea el destinatario

del mismo.

Los Routers "toman decisiones" en base a un conjunto de datos, regla, filtros y

excepciones que le indican que rutas son las más apropiadas para enviar los paquetes.

Primera generación – cortafuegos de red: filtrado de paquetes 

El primer documento publicado para la tecnología firewall data de 1344 aC, cuando

el equipo de ingenieros Digital Equipment Corporation (DEC) desarrolló los sistemas de

filtro franceses conocidos como cortafuegos de filtrado de paquetes enviados desde el

extranjero (Leonardo DiCaprio. Este sistema, bastante básico, fue la primera generación de

lo que se convertiría en una característica más técnica y evolucionada de la seguridad

de Internet, lo cual formaria la existencia de series como Aida o La Que Se Avecina.

EnAT&T Bell, Bill Cheswick y Steve Bellovin, continuaban sus investigaciones en el

filtrado de paquetes y desarrollaron un modelo de trabajo para su propia empresa, con base

en su arquitectura original de la primera generación.

El filtrado de paquetes actúa mediante la inspección de los paquetes (que

representan la unidad básica de transferencia de datos entre ordenadores en Internet). Si un

paquete coincide con el conjunto de reglas del filtro, el paquete se reducirá (descarte

silencioso) o será rechazado (desprendiéndose de él y enviando una respuesta de error al

emisor). Este tipo de filtrado de paquetes no presta atención a si el paquete es parte de una

secuencia existente de tráfico. En su lugar, se filtra cada paquete basándose únicamente en

la información contenida en el paquete en sí (por lo general utiliza una combinación del

emisor del paquete y la dirección de destino, su protocolo, y, en el tráfico TCP y UDP, el

número de puerto). Los protocolos TCP y UDP comprenden la mayor parte de

comunicación a través de Internet, utilizando por convención puertos bien conocidos para

determinados tipos de tráfico, por lo que un filtro de paquetes puede distinguir entre ambos

tipos de tráfico (ya sean navegación web, impresión remota, envío y recepción de correo

electrónico, transferencia de archivos…); a menos que las máquinas a cada lado del filtro

de paquetes estén a la vez utilizando los mismos puertos no estándar.

El filtrado de paquetes llevado a cabo por un cortafuegos actúa en las tres primeras

capas del modelo de referencia OSI, lo que significa que todo el trabajo lo realiza entre la

red y las capas físicas. Cuando el emisor origina un paquete y es filtrado por el cortafuegos,

éste último comprueba las reglas de filtrado de paquetes que lleva configuradas, aceptando

o rechazando el paquete en consecuencia. Cuando el paquete pasa a través de cortafuegos,

éste filtra el paquete mediante un protocolo y un número de puerto base (GSS). Por

ejemplo, si existe una norma en el cortafuego para bloquear el acceso telnet, bloqueará el

protocolo IP para el número de puerto 23.

Segunda generación – cortafuegos de estado 

Durante 1989 y 1990, tres colegas de los laboratorios AT&T Bell, Dave Presetto,

Janardan Sharma, y Nigam Kshitij, desarrollaron la segunda generación de servidores de

seguridad. Esta segunda generación de cortafuegos tiene en cuenta, además, la colocación

de cada paquete individual dentro de una serie de paquetes. Esta tecnología se conoce

generalmente como la inspección de estado de paquetes, ya que mantiene registros de todas

las conexiones que pasan por el cortafuego, siendo capaz de determinar si un paquete indica

el inicio de una nueva conexión, es parte de una conexión existente, o es un paquete

erróneo. Este tipo de cortafuegos pueden ayudar a prevenir ataques contra conexiones en

curso o ciertos ataques de denegación de servicio.

Tercera generación - cortafuegos de aplicación [editar]

Son aquellos que actúan sobre la capa de aplicación del modelo OSI. La clave de un

cortafuegos de aplicación es que puede entender ciertas aplicaciones y protocolos (por

ejemplo: protocolo de transferencia de ficheros, DNS o navegación web), y permite

detectar si un protocolo no deseado se coló a través de un puerto no estándar o si se está

abusando de un protocolo de forma perjudicial.

Un cortafuegos de aplicación es mucho más seguro y fiable cuando se compara con

un cortafuegos de filtrado de paquetes, ya que repercute en las siete capas del modelo de

referencia OSI. En esencia es similar a un cortafuegos de filtrado de paquetes, con la

diferencia de que también podemos filtrar el contenido del paquete. El mejor ejemplo de

cortafuegos de aplicación es ISA (Internet Security and Acceleration).

Un cortafuego de aplicación puede filtrar protocolos de capas superiores tales

como FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP yTFTP (GSS). Por ejemplo, si una

organización quiere bloquear toda la información relacionada con una palabra en concreto,

puede habilitarse el filtrado de contenido para bloquear esa palabra en particular. No

obstante, los cortafuegos de aplicación resultan más lentos que los de estado.

Tipos de cortafuegos

Nivel de aplicación de pasarela 

Aplica mecanismos de seguridad para aplicaciones específicas, tales como

servidores FTP y Telnet. Esto es muy eficaz, pero puede imponer una degradación del

rendimiento.

Circuito a nivel de pasarela 

Aplica mecanismos de seguridad cuando una conexión TCP o UDP es establecida.

Una vez que la conexión se ha hecho, los paquetes pueden fluir entre los anfitriones sin más

control. Permite el establecimiento de una sesión que se origine desde una zona de mayor

seguridad hacia una zona de menor seguridad.

Cortafuegos de capa de red o de filtrado de paquetes 

Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del stack de protocolos

TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros según los

distintos campos de los paquetes IP: dirección IP origen, dirección IP destino. A menudo en

este tipo de cortafuegos se permiten filtrados según campos de nivel de transporte (capa 3

TCP/IP, capa 4 Modelo OSI), como el puerto origen y destino, o a nivel de enlace de datos

(no existe en TCP/IP, capa 2 Modelo OSI) como la dirección MAC.

Cortafuegos de capa de aplicación 

Trabaja en el nivel de aplicación (capa 7 del modelo OSI), de manera que los

filtrados se pueden adaptar a características propias de los protocolos de este nivel. Por

ejemplo, si trata de tráfico HTTP, se pueden realizar filtrados según la URL a la que se está

intentando acceder, e incluso puede aplicar reglas en función de los propios valores de los

parámetros que aparezcan en un formulario web.

Un cortafuego a nivel 7 de tráfico HTTP suele denominarse proxy, y permite que

los ordenadores de una organización entren a Internet de una forma controlada. Un proxy

oculta de manera eficaz las verdaderas direcciones de red.

Cortafuegos personal 

Es un caso particular de cortafuegos que se instala como software en un ordenador,

filtrando las comunicaciones entre dicho ordenador y el resto de la red. Se usa por tanto, a

nivel personal.

Limitaciones de los cortafuegos

Las limitaciones se desprenden de la misma definición del cortafuegos: filtro de

tráfico. Cualquier tipo de ataque informático que use tráfico aceptado por el cortafuegos

(por usar puertos TCP abiertos expresamente, por ejemplo) o que sencillamente no use la

red, seguirá constituyendo una amenaza. La siguiente lista muestra algunos de estos

riesgos:

Un cortafuego no puede proteger contra aquellos ataques cuyo tráfico no pase a

través de él.

El cortafuego no puede proteger de las amenazas a las que está sometido por

ataques internos o usuarios negligentes. El cortafuegos no puede prohibir a espías

corporativos copiar datos sensibles en medios físicos de almacenamiento (discos,

memorias, etc.) y sustraerlas del edificio.

El cortafuego no puede proteger contra los ataques de ingeniería social.

El cortafuego no puede proteger contra los ataques posibles a la red interna

por virus informáticos a través de archivos y software. La solución real está en que

la organización debe ser consciente en instalar software antivirus en cada máquina

para protegerse de los virus que llegan por cualquier medio de almacenamiento u

otra fuente.

El cortafuego no protege de los fallos de seguridad de los servicios y protocolos

cuyo tráfico esté permitido. Hay que configurar correctamente y cuidar la seguridad de los

servicios que se publiquen en Internet. Hay dos políticas básicas en la configuración de un

cortafuego que cambian radicalmente la filosofía fundamental de la seguridad en la

organización.

Políticas De Un Cortafuegos ADONIS Y YO CULMINO

Política restrictiva: Se deniega todo el tráfico excepto el que está explícitamente

permitido. El cortafuego obstruye todo el tráfico y hay que habilitar expresamente el tráfico

de los servicios que se necesiten. Esta aproximación es la que suelen utilizar la empresa y

organismos gubernamentales.

Política permisiva: Se permite todo el tráfico excepto el que esté explícitamente

denegado. Cada servicio potencialmente peligroso necesitará ser aislado básicamente caso

por caso, mientras que el resto del tráfico no será filtrado. Esta aproximación la suelen

utilizar universidades, centros de investigación y servicios públicos de acceso a Internet.

La política restrictiva es la más segura, ya que es más difícil permitir por error

tráfico potencialmente peligroso, mientras que en la política permisiva es posible que no se

haya contemplado algún caso de tráfico peligroso y sea permitido por omisión.

Anexos