Informe de Configuracion de Un Proxy

25
REPUBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DE EDUCACION SUPERIOR ALDEA UNIVERSITARIA “FRANCISCO DE MIRANDA” MISION SUCRE FACILITADOR: PARTICIPANTE: TSU. NAUDY ESPINOZA TSU. RAMON MORENO Br ALFREDO MONTILLA TRAYECTO II PERIODO III SAN FERNANDO, NOVIEMBRE DEL 2012 Configuración de un proxy Los servidores proxy están presentes en muchas redes particulares y

Transcript of Informe de Configuracion de Un Proxy

Page 1: Informe de Configuracion de Un Proxy

REPUBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DE EDUCACION SUPERIOR

ALDEA UNIVERSITARIA “FRANCISCO DE MIRANDA”

MISION SUCRE

FACILITADOR: PARTICIPANTE:

TSU. NAUDY ESPINOZA TSU. RAMON MORENO

Br ALFREDO MONTILLA

TRAYECTO II

PERIODO III

SAN FERNANDO, NOVIEMBRE DEL 2012

Configuración de un proxy

Los servidores proxy están presentes en muchas redes particulares y sobre todo empresariales. Hacen de intermediarios. El cliente y el servidor (tú y un sitio web, por ejemplo) no se conectan de forma directa, sino a través del proxy. Eso tiene varias utilidades:

Page 2: Informe de Configuracion de Un Proxy

Servir como sistema de seguridad y filtrado. Un servidor proxy puede actuar como un firewall, capaz de filtrar ataques o contenidos indeseados desde el servidor. También es capaz de esconder tu IP para navegar anónimamente .

Permitir compartir recursos. En especial la conexión a Internet. Con un proxy pueden conectarse varios PCs sin necesidad de tener cada uno su propio acceso directo a Internet.

Mejorar la experiencia del usuario. Por ejemplo guardando una copia (caché) de sitios web visitados. Eso hace más rápido el acceso a sus páginas, la disponibilidad aunque la conexión no funcione y ahorra ancho de banda.

Es algo muy parecido a lo que hace Explorer con sus archivos temporales de Internet. Ellos y el historial de navegación tienen ciertos riesgos. Ve cuáles y cómo combatirlos en:Borrar el historial y la caché de Explorer

Configurar un proxy en Explorer

Lo primero que debes tener claro son los datos de conexión del proxy:

Dirección. Lo más normal es que el proxy se identifique mediante su IP. Es un número de cuatro cifras separadas por puntos (82.165.35.26, por ejemplo). Pero a veces utiliza un nombre.

Puerto. Es algo así como la vía de entrada que usa el proxy para conectarse. Se indica con un número (80, 6515, 3128, etc.).

Es habitual que los datos de un proxy se representen juntos. Primero la dirección y luego el puerto, separados por dos puntos. Un ejemplo, 89.188.141.51:80 quiere decir que la dirección es 89.188.141.51 y el puerto el 80.

Encontrar un proxy gratis

Cuando ya sepas qué proxy vas a usar:

1. Abre Explorer y haz clic en el botón Herramientas (puede poner eso o tener el icono de una rueda dentada). Luego pincha en el menú Opciones de Internet.

NOTA:Las imágenes de arriba son de Explorer 9, pero en Explorer 8 y 7 se hace igual.

2. Haz clic en la solapa Conexiones. Abajo encontrarás el botón Configuración de LAN. Púlsalo.

3. Comprueba que está seleccionada la casilla Usar un servidor proxy para la LAN…Pincha en ella para habilitarla si no lo está.

4. Rellena los campos de Dirección y Puerto del proxy (los de la imagen son sólo un ejemplo). Pulsa Aceptar. Y luego otra vez en la ventana de Opciones de Internet a la que regresas.

Qué es un firewall?

Page 3: Informe de Configuracion de Un Proxy

Un firewall es un programa o hardware diseñado para bloquear las conexiones no deseadas a través de una red (por ejemplo Internet) mientras que permite las conexiones autorizadas.

 

¿Qué firewalls hay disponibles?

Para sistemas operativos MS Windows hay varias alternativas, dos de las más comunes son:

ConSeal PC Firewall - es un programa comercial, puede adquirirse en www.signal9.com

ZoneAlarm - es un programa (freeware para uso personal, shareware para otros usos) que puede bajarse de la página oficial: www.zonelabs.com

eSafeDesktop - programa gratuito para uso personal, en español, incluye firewall, proxy, gestión de usuarios & políticas y antivirus ( www.esafe.com ).

Es importante destacar que el programa de firewall en si carece de utilidad si no tiene reglas de firewalling que aplicar. Los programas suelen venir con un juego de reglas que, sin ser de lo mejor, es mejor que nada.

Para sistemas Linux el mecanismo de firewalling viene incluido en el kernel, y es necesario configurarlo u obtener reglas de firewalling ya hechas desde Intenet.

Los mecanismos de configuración han variado con las diferentes versiones del kernel, y son los siguientes (en cada nuevo kernel se mantuvo compatibilidad con los mecanismos de las versiones anteriores):

Kernels 2.0.x - ipfwadm (IP Firewall Admin)

Kernels 2.2.x - ipchains (IP Chains)

Kernels 2.4.x - iptables (Net Filter o IP Tables)

Pueden obtenerse reglas prefabricadas de firewalling para Linux del proyecto Trinux, así como del Trinity OS. Ambos proyectos pueden buscarse en Freshmeat ( www.freshmeat.net ).

Para los nuevos kernels 2.4.x el sistema de firewalling es completamente distinto que para los anteriores. Ahora, es un sistema 'statefull', mientras que antes era sin estado.

Esto, resumiendo, significa que, mientras los sin estado analizan cada paquete independientemente, lo que permite colar paquetes si engañas al servidor  asiéndole creer que pertenecen a conexiones en puertos abiertos (esto lo hace nmap, por ejemplo), mientras que los statefull analizan cada paquete sabiendo a qué conexión pertenecen, por lo que este tipo de engaño ya no es posible.

iptables no es directamente compatible con ipchains, pero la conversión de ipchains a iptables no es difícil. Por otra parte los kernels 2.4.x tienen un módulo para soporte de ipchains que puede activarse durante la compilación, con el fin de seguir utilizando los scripts de firewalling creados con ipchains.

 

Page 4: Informe de Configuracion de Un Proxy

¿Cómo arranco mi firewall al iniciar el sistema?

En sistemas MS Windows crea un acceso directo al firewall en la carpeta Inicio del Menú de Inicio de Windows, dentro de la carpeta Programas.

En sistemas Linux puedes arrancar el script de firewalling desde el /etc./rc.d/rc.local, o bien crearle su propio link de arranque en la jerarquía /etc./rc.d/rcX.d adecuada (X indica el nivel de ejecución). El nivel de ejecución por defecto viene indicado en el archivo /etc./inittab, en la línea donde pone 'initdefault', y suele ser 2, 3 ó 5. En caso de utilizar una conexión telefónica el firewall no debe iniciarse con el sistema, sino con la conexión a Internet. Para ello, se debe colocar el script en el directorio /etc./PPP/ip-up/ En los casos de conexión continua, como ser ADSL y cable módem, debe activarse el firewall con el inicio del sistema.

¿Cómo configuro mi firewall si no sé nada de redes?

Para aquellos que no entienden de redes, una posible estrategia, de máxima seguridad, para configurar un firewall puede ser permitir sólo lo que quieres. Ir abriendo aplicaciones una a una, ver qué servicios, protocolos y puertos necesitan cada una de ellas y permitirlas.

Para que este método sea eficaz, es necesario estar seguro de que todo el flujo de información hacia el exterior es legítimo, es decir, que tienes el sistema limpio de troyanos y de spyware. Puedes usar programas shareware The Cleaner ( www.moosoft.com ) y freeware Como el Ad-aware ( www.lavasoft.de ).

Windows:

Tomando como ejemplo el Zone Alarm

a. En el panel "Security" colocas el nivel de seguridad en Internet en high de tal manera que solo circule lo permitido y que avise de todo.

b. En el panel "Alerts" activa las dos casillas "Log alerts to a text files" y "Show the alert popup Windows" para que te de información sobre su actividad y la grabe en un archivo log.

Con el botón Log properties --> Log files --> elige con qué periodicidad quieres que refresque el archivo log. Zone Alarm hace copia de seguridad de los log's anteriores con el nombre zalogaaaa.mm.dd.txt.

c. En el panel "Lock" activa "Show alert when Internet access is denied"d. En el panel "Programs" --> advanced --> pestaña "Alerts and functionality" --

> activa el botón "show alerts when Internet access is denied ", activa "deny access if permission is ...."

e. En el panel "Programs" --> advanced --> pestaña "Access Permission" --> activa "Always ask for permission", desiccative "Identify program by full path name only", desactiva "Allow the program to pass through the lock"

f. Te conectas a Internet y arranca una a una las diferentes aplicaciones que utilices. Cuando el firewall te muestre la alarma y petición, activa la casilla "Remember ..." y permite el acceso. Desconecta.

g. Activa el panel "Programs" y tendrás allí todas las aplicaciones que has lanzado. Para cada una de ellas pulsa "Options" y:

Asegúrate de que está desactivado "Identify program by full path name only"

--> Ports --> activa "Allow access ONLY for ...". Ahora permites el acceso a los puertos que quieras: Add --> y eliges el tipo de servicio (Web, FTP, Mail,

Page 5: Informe de Configuracion de Un Proxy

News, etc.). Si pulsas "Custom" puedes elegir el protocolo (TCP o UDP) y el puerto.

A cada aplicación añádele UDP port 53. En la pestaña "access permission" activa "Always allow access" para que no

te pregunte por las comunicacione permitidas.

Ejemplos de servicios, protocolos y puertos permitidos a algunos programas:

Gestor de news, por ejemplo Agent: News server (TCP 119 ), UDP 53, SMTP TCP 25.

Gestor de descargas, GetRight: FTP (TCP 21), UDP 53, TCP 80 Navegador, por ejemplo Netscape: Webs server TCP 80, 8080, 8000, UDP 53,

páginas seguras SSL (TCP 443), FTP (TCP 21) Gestor de correo, por ejemplo Netscape Messenger: Mail SMTP (TCP 25), Mail

POP (TCP 110), UDP 53 Internet Explorer: Webs server TCP 80,8080, 8000, UDP 53

Faltan muchos servicios importantes, así como el filtrado de paquetes ICMP (entre ellos el ping), pero alcanza para brindar una idea somera sobre el método de configuración.

Linux:

Existe un programa de Solsoft bastante interesante, con el que se puede configurar no solo firewalls de todo tipo (ipchains, ip-tables, etc.), si no también las ACL de routers y switches. En realidad puede ser un poco complicado de usar al principio, pero es una herramienta bastante potente. Además, la versión para Linux (NP Lite 4.1) es gratis.

Se puede bajar de www.solsoft.com/products/net_partitioner.html

 

¿Cómo puedo probar mi firewall para saber si es seguro?

Lo ideal es hacer un escaneo de puertos desde otro ordenador. En el caso de estar probando la seguridad de un ordenador conectado a Internet lo ideal es hacer el escaneo desde otro ordenador conectado a Internet (no desde la LAN interna).

Herramientas que ayudan en el escaneo son nmap (la versión de Linux puede encontrarse en www.insecure.org/nmap, la de Windows NT en www.eeye.com/html/Databases/Software/nmapnt.html, SAINT ( www.wwdsi.com/saint/ ) y Nessus ( www.nessus.org ) entre otras.

Alternativamente, si no se dispone de ninguna de estas herramientas, existen sites en Internet que permiten realizar el escaneo desde los mismos. Estos son algunos de ellos:

www.secure-me.net/scan https://grc.com/x/ne.dll?bh0bkyd2 http://scan.sygatetech.com/

 

Page 6: Informe de Configuracion de Un Proxy

Mi firewall da una alarma. ¿Se han metido en mi ordenador?

Ante todo no hay que dejarse llevar por el pánico. Cuando el cortafuegos avisa que estamos siendo "atacados" no significa que nos hayan metido un troyano (BO, Sub7 y compañía) ni mucho menos que alguien se haya introducido en nuestro sistema.

Ese aviso significa simplemente que el presunto ataque a sido bloqueado con éxito, ya que si dicho ataque hubiese tenido éxito, el cortafuegos no diría ni mu.

 

Pero es que me están escaneando los puertos continuamente. ¿Para qué lo hacen?

Normalmente esos escaneos sirven para saber que "puertas" están abiertas para poder introducirse por ellas en nuestro sistema. Tambien son usados para buscar troyanos a la escucha que esten instalados en nuestro ordenador.

 

¿Entonces me están atacando?

Ante todo hay que dejar bien claro que no todos los "ataques" de los que nos avisa el cortafuegos lo son en realidad. Existen servicios y programas que pueden hacer saltar la alarma. Algunos de los ejemplos más conocidos son los programas de Microsoft, Word, Visual C++, etc. Todos estos programas intentan crear una conexión con los servidores del tío Bill (y solo los dioses y Gates saben por qué).

También los servicios tipo "Messenger" (MS, Yahoo, AOL, etc.), clientes de ICQ/IRC, chequeos de actividad por parte del ISP e incluso el  chequeo del buzón de correo electrónico suelen provocar la alarma, dependiendo de qué firewall se utilice y de las reglas que hayan sido creadas y/o (des)activadas. Cualquier programa o servicio para el que no se haya creado una regla específica, provocará un aviso de ataque tipo BO, Sub7, Net bus, etc. dependiendo del puerto que intente usar dicho programa o servicio.

 

¿Cómo sé si la alarma es debida a un ataque o no?

Existen varios factores a tener en cuenta:

a. Los escaneos proceden siempre de la misma IP o de la misma "subred".b. Con "netstat" nos es posible averiguar: qué conexiones o servicios tenemos

abiertos, qué puertos son utilizados por estos y cuáles son las direcciones IP de dichas conexiones. Como alternativa se puede usar el programa para Windows "TCPView" ( http://www.sysinternals.com/ntw2k/utilities.shtml ). Estas informaciones nos ayudarán a determinar si estamos siendo atacados.

c. El nombre del host y el puerto utilizado dicen bastante a la hora de descartar posibilidades para determinar si se trata de un ataque o de algo más inofensivo.

Page 7: Informe de Configuracion de Un Proxy

Pongamos un par de ejemplos:

Msgr-ns16.msgr.hotmail.com

En este caso está claro que nuestro Messenger intenta chequear nuestro correo en Hotmail.com.

Pepito-dialup-7.nuestro-isp.espepito-dialin-7.nuestro-isp.es

Aquí existe un chequeo de actividad en la conexión por parte de nuestro proveedor para mantenerla en el caso de haber actividad o cortarla.

 

Se ha confirmado mi sospecha y es un ataque. ¿Qué hago?

Si el ataque procede de la misma IP resp. subred y además es constante, la forma mas elegante y menos complicada de acabar con dicho ataque es la siguiente:

En www.ripe.net o www.nic.com se puede averiguar (usando "whois")a quien pertenece esa IP. Normalmente será un ISP. Entre toda la información que obtenemos, se encuentra una dirección de e-mail para contactar con el ISP. Se le envía un mensaje explicándole la situación. Recomendable seria también enviarles una copia del log de la FW, donde este reflejado cuando y con que frecuencia a tenido lugar dicho ataque. Después se encargara el ISP de llamar al orden a nuestro "aspirante a hacker".

TCP Wrapper

("Envoltorio de TCP") es un sistema de red ACL que trabaja en terminales y que se usa para filtrar el acceso de red a servicios de protocolos de Internet que corren en sistemas operativos (tipo UNIX), como Linux o BSD. Permite que las direcciones IP, los nombres de terminales y/o respuestas de consultas ident de las terminales o subredes sean usadas como tokens sobre los cuales filtrar para propósitos de control de acceso.

El código original fue escrito por Wietse Venema de la Universidad Tecnológica de Eindhoven, Países Bajos, entre los años 1990 y 1995. Desde el 1 de junio de 2001, el programa es lanzado bajo su propia licencia tipo BSD.

El tarball incluye una biblioteca llamada libwrap que implementa la funcionalidad en sí. Inicialmente, solo aquellos servicios que se creaban a partir de cada conexión a un súper Servidor (como inetd) eran envueltos (de ahí su nombre) utilizando el programa 'tcpd'. Sin embargo, los demonios de servicio de red más comunes de hoy en día pueden ser enlazados contra libwrap en forma directa. Los demonios que operan sin crear descendientes de un súper servidor usan esto, o un proceso único que maneja conexiones múltiples. En caso contrario, solo el primer intento de conexión se chequearía contra sus ACLs.

Al compararse con las directivas de control de acceso de una terminal, que comúnmente se encuentran en los archivos de configuración de los demonios, TCP Wrappers tienen el beneficio de una reconfiguración de ACL en tiempo de ejecución (es decir, los servicios no necesitan ser cargados nuevamente o reiniciados) y de una aproximación genérica a la administración de redes. Esto facilita su uso en scripts anti-gusano, tales como DenyHosts o Fail2ban, para agregar y sacar reglas de bloqueo a clientes, cuando estos producen excesivos intentos de conexión o

Page 8: Informe de Configuracion de Un Proxy

varios errores en el proceso mismo. Si bien fue escrito para proteger servicios de aceptación de TCP y UDP, también existen ejemplos de uso para filtrado de ciertos paquetes ICMP (tales como 'pingd' – el contestador de pedidos de pings del espacio de usuario).

Configurar un servidor Kerberos

Cuando esté configurando Kerberos, debe instalar el servidor primero. Si necesita instalar servidores esclavos, los detalles para configurar las relaciones entre servidores maestro y esclavo se cubren en Manual de instalación de Kerberos 5 localizado en el directorio /usr/share/doc/krb5-server-<version-number> (reemplace <version-number> con el número de versión del paquete krb5-server instalado en su sistema).

Para configurar un servidor Kerberos básico, siga estos pasos:

1. Asegúrese de que tanto el reloj como el DNS funcionan correctamente en todas las máquinas servidores y clientes antes de configurar el Kerberos 5. Preste especial atención a la sincronización de la hora entre el servidor Kerberos y de sus clientes. Si la sincronización de los relojes del servidor y de los clientes se diferencia en más de cinco minutos ( la cantidad predeterminada es configurable en el Kerberos 5), los clientes de Kerberos no podrán autentificarse al servidor. La sincronización de los relojes es necesaria para evitar que un intruso use un ticket viejo de Kerberos para hacerse pasar como un usuario autorizado.

Se recomienda configurar una red cliente/servidor compatible con Network Time Protocol (NTP) aún si no está usando Kerberos. Red Hat Enterprise Linux incluye el paquete ntp para este propósito. Vea /usr/share/doc/ntp-<version-number>/index.htm para detalles sobre cómo configurar servidores Network Time Protocol y http://www.eecis.udel.edu/~ntp para información adicional sobre NTP.

2. Instale los paquetes krb5-libs, krb5-server, y krb5-workstation en una máquina dedicada que ejecutará el KDC. Esta máquina tiene que ser muy segura — si es posible, no debería ejecutar ningún otro servicio excepto KDC.

Si desea usar una utilidad de interfaz gráfica para administrar Kerberos, instale el paquete gnome-kerberos. Este contiene krb5, que es una herramienta tipo GUI para manejar tickets.

3. Modifique los archivos de configuración /etc/krb5.conf y /var/kerberos/krb5kdc/kdc.conf para que reflejen el nombre de su reino y las correspondencias (mappings) de dominio a reino. Se puede construir un reino simple sustituyendo las instancias de EXAMPLE.COM y example.com con el nombre correcto del dominio — siempre y cuando se respete el formato correcto de los nombres escritos en mayúscula y en minúscula — y se cambie el KDC del kerberos.example.com con el nombre de su servidor Kerberos. En general, los nombres de reinos se escriben en mayúscula y todos los nombre DNS de host y nombres de dominio se escriben en minúscula. Para más detalles sobre los formatos de estos archivos, vea sus respectivas páginas man.

4. Cree la base de datos usando la utilidad kdb5_util desde el intérprete de comandos del shell:

/usr/kerberos/sbin/kdb5_util create -s

Page 9: Informe de Configuracion de Un Proxy

5. El comando create crea la base de datos que será usada para almacenar las llaves para el reino Kerberos. La opción -s fuerza la creación de un archivo stash en el cual la llave maestra del servidor es guardada. Si no se presenta un archivo stash desde donde leer la llave, el servidor Kerberos (krb5kdc) le pedirá al usuario que ingrese la contraseña maestra del servidor (la cual puede ser usada para regenerar la llave) cada vez que arranca.

6. Modifique el archivo /var/kerberos/krb5kdc/kadm5.acl. Este archivo es usado por kadmind para determinar cuáles principales tienen acceso administrativo a la base de datos Kerberos y sus niveles de acceso. La mayoría de las organizaciones pueden resolverse con una sola línea:

*/[email protected]  *

7. La mayoría de los usuarios serán presentados en la base de datos por un principal simple (con una instancia NULL, o vacía, tal como [email protected]). Con esta configuración, los usuarios con un segundo principal con una instancia de admin (por ejemplo, joe/[email protected]) podrán tener todo el acceso sobre la base de datos del reino Kerberos.

8. Una vez que se arranca kadmind en el servidor, cualquier usuario puede accesar a sus servicios ejecutando kadmin en cualquiera de los clientes o servidores en el reino. Sin embargo, solamente los usuarios que aparecen en la lista del archivo kadm5.acl podrán modificar la base de datos, excepto por sus propias contraseñas.

Nota

 

La utilidad kadmin se comunica con el servidor kadmind por la red y usa Kerberos para llevar a cabo la autentificación. Por esta razón, el primer principal ya debe existir antes de conectarse al servidor sobre la red para poder administrarla. Puede crear esta primera entrada con el comando kadmin.local, el cual se ha creado específicamente para usarlo en la misma máquina que el KDC y no usa Kerberos para la autenticación.

9. Escriba el comando kadmin.local en una terminal KDC para crear la primera entrada como usuario principal:

/usr/kerberos/sbin/kadmin.local -q "addprinc username/admin"

10. Arranque Kerberos usando los siguientes comandos:

/sbin/service krb5kdc start/sbin/service kadmin start/sbin/service krb524 start

11. Agregue principals para sus usuarios con el comando addprinc y kadmin. kadmin y kadmin.local son interfaces de línea de comandos para el KDC. Como tales, muchos comandos están disponibles después de lanzar el programa kadmin. Vea la página del manual kadmin para más información.

12. Verifique que el servidor KDC esté creando tickets. Primero, ejecute kinit para obtener un ticket y guardarlo en un archivo de credenciales caché. Luego, use klist para ver la lista de credenciales en su caché y use kdestroy para eliminar el caché y los credenciales que contenga.

Nota  Por defecto, kinit intenta autenticar el usuario usando el nombre de

conexión (login) de la cuenta que usó cuando se conectó al sistema

Page 10: Informe de Configuracion de Un Proxy

(no al servidor Kerberos). Si ese nombre de usuario no se corresponde a un principal en la base de datos Kerberos, kinitemite un mensaje de error. Si estó ocurre, indique a kinit el nombre de su principal correcto como un argumento en la línea de comandos (kinit <principal>).

Consideraciones especiales acerca de IPSec

Las siguientes consideraciones especiales acerca de IPSec pueden ayudarle a simplificar la administración de las directivas IPSec.

Usos de IPSec recomendados y no recomendados

A continuación se comentan usos recomendados y no recomendados para la implementación de IPSec en la familia Windows Server 2003.

Usos de IPSec recomendados

Se recomienda usar la implementación de IPSec en la familia Windows Server 2003 como se indica a continuación:

Filtrado de paquetes. IPSec proporciona ciertas capacidades limitadas de servidor de seguridad para sistemas finales. También puede usar IPSec con Servidor de seguridad de conexión a Internet, Firewall de Windows y Enrutamiento y acceso remoto para permitir o bloquear el tráfico entrante o saliente.

Protección del tráfico entre hosts en rutas específicas. Puede usar IPSec para permitir la autenticación mutua y ofrecer un sistema de protección criptográfico para el tráfico entre servidores u otras direcciones IP o subredes. Por ejemplo, IPSec puede proteger el tráfico entre sitios o bosques de un controlador de dominio, o entre servidores Web y servidores de base de datos.

Protección del tráfico para servidores. Puede usar IPSec con el fin de requerir la autenticación mutua para todos los equipos clientes que tengan acceso a un servidor. Además, puede definir restricciones en la forma en que se permite a los equipos conectarse a un servidor donde se ejecuta algún producto de la familia Windows Server 2003.

Uso de túneles L2TP/IPSec para conexiones VPN. Puede usar la combinación del Protocolo de túnel de capa 2 (L2TP) e IPSec (L2TP/IPSec) para todos los usos de redes privadas virtuales (VPN).

Uso de IPSec en el modo de túnel para túneles entre puertas de enlace (o <i>gateways</i>). Para lograr la interoperabilidad con otros enrutadores, puertas de enlace o sistemas finales que no admiten túneles VPN L2TP/IPSec o PPTP, puede usar IPSec en el modo de túnel en túneles entre puertas de enlace.

Notas

Firewall de Windows no está incluido en la versión original de los sistemas operativos Windows Server 2003.

El Servidor de seguridad de conexión a Internet sólo se incluye en las versiones originales de Windows Server 2003, Standard Edition y Windows Server 2003, Enterprise Edition.

Page 11: Informe de Configuracion de Un Proxy

Usos de IPSec no recomendados

Al usar las características de autenticación y protección de datos de IPSec, el modelo de administración de directivas en Windows 2000, Windows XP y la familia Windows Server 2003 se presta mejor a usarse en topologías cliente-servidor y servidor-servidor en las que uno de los extremos tenga una dirección estática. En implementaciones de redes grandes, cuando una directiva implica el uso de direcciones dinámicas en ambos sistemas finales y en algunos casos que conllevan movilidad, la complejidad de la administración de directivas puede dificultar la implementación de IPSec. Por ello, no se recomienda usar IPSec como se indica a continuación:

En la protección de las comunicaciones entre miembros de un dominio y sus controladores de dominio. Debido a la complejidad de la configuración y administración de las directivas IPSec requeridas en este caso, no se recomienda el uso de IPSec para proteger las comunicaciones entre miembros de un dominio y sus controladores de dominio.

Para proteger todo el tráfico de una red. La configuración de las comunicaciones IPSec entre todos los equipos clientes y todos los servidores con el objeto de proteger muchos o todos los equipos de una red resulta compleja. IPSec no puede negociar la seguridad para el tráfico de multidifusión y difusión. IPSec podría ser incompatible con el tráfico correspondiente a las comunicaciones en tiempo real, las aplicaciones que requieren ICMP y las aplicaciones de igual a igual. Por estos motivos, no se recomienda el uso de IPSec para proteger todo el tráfico de una red.

Además, el protocolo y la implementación de IPSec tienen características que requieren una consideración especial en otras ocasiones:

La protección del tráfico sobre redes 802.11 inalámbricas. Las directivas IPSec no están optimizadas para la configuración de clientes móviles. Por ello, no se recomienda usar IPSec como único método para proteger el tráfico enviado a través de redes 802.11 inalámbricas. En cambio, se aconseja usar la autenticación IEEE 802.1X. IEEE 802.1X mejora la seguridad y facilita la implementación al ofrecer funciones destinadas a la identificación de usuarios, la autenticación, la administración de claves dinámicas y la creación de cuentas de manera centralizada. Cuando haya clientes que vayan de un punto de acceso a otro en la misma red, IPSec puede usarse en combinación con 802.11 y 802.1x. Si este traslado ocasiona que la dirección IP del cliente cambie, las asociaciones de seguridad de IPSec dejan de ser válidas y se renegocian otras nuevas.

El uso de IPSec en el modo de túnel para conexiones VPN de acceso remoto. El uso de IPSec en el modo de túnel no se recomienda cuando se utiliza VPN con acceso remoto. En cambio, para las conexiones VPN de acceso remoto debe utilizarse L2TP/IPSec o PPTP.

Las siguientes características sólo están disponibles en la implementación de IPSec en la familia Windows Server 2003:

Compatibilidad con nuevas opciones de direcciones de origen y de destino para la definición de filtros. Por ejemplo, ahora puede crear:

o Filtros con una dirección de origen y una dirección de destino del tipo Cualquier dirección IP.

o Filtros que usan una clase de subred no estándar como dirección de origen o dirección de destino.

o Filtros que usan una dirección de multidifusión o difusión como dirección de destino.

Page 12: Informe de Configuracion de Un Proxy

o Filtros con una dirección de origen o de destino que corresponde a la configuración IP local para los servidores DNS, los servidores WINS y la puerta de enlace predeterminada y el servidor DHCP para el equipo al que se aplica el filtro.

Capacidad para excluir de las solicitudes de certificados el nombre de la entidad emisora de certificados (CA).

Asignación de certificados a las cuentas para el control de acceso a redes. Compatibilidad con nombres de CA raíz representados en juegos de

caracteres ASCII extendidos. Un grupo Diffie-Hellman más seguro (intercambio de claves Diffie-Hellman

de 2048 bits).

En un equipo donde se ejecuta Windows XP o Windows 2000 no se puede usar estas nuevas opciones de directiva. Si va a aplicar directivas IPSec basadas en Active Directory que usan características disponibles únicamente en la familia Windows Server 2003, para administrarlas use la versión de la consola Administración de directivas de seguridad IP correspondiente a dichos sistemas. Si para administrar estas directivas usa la versión de la consola correspondiente a Windows XP o Windows 2000, las versiones anteriores de la consola Administración de directivas de seguridad IP eliminarán la configuración de las nuevas características.

Además, si desea aplicar la misma directiva IPSec a equipos donde se ejecutan diferentes versiones de Windows, pruebe la directiva para asegurarse de que funciona como debería tanto en servidores donde se ejecuta Windows Server 2003 como en equipos con Windows XP o Windows 2000.

Para obtener más información acerca de las nuevas características disponibles con la implementación de IPSec en la familia Windows Server 2003, vea Características nuevas de IPSec. Para obtener más información acerca de prácticas recomendadas para utilizar IPSec, vea Prácticas recomendadas de IPSec.

Filtros IP

Considere lo siguiente al configurar filtros IP:

Utilice filtros generales cuando desee aplicar un único filtro a un grupo de equipos. Por ejemplo, al configurar el filtro, utilice Mi dirección IP, Cualquier dirección IP o una dirección de subred en lugar de especificar las direcciones IP de origen y de destino de determinados equipos.

Defina filtros que le permitan agrupar y proteger el tráfico de segmentos o subredes asociados de forma lógica en la red.

Tenga en cuenta que al ver la directiva IPSec, el orden en que se aplican los filtros no coincide con el orden en que se muestran. Cuando el Agente de directivas IPSec lee una directiva IPSec, los filtros se procesan en una lista ordenada del más al menos específico. Puede usar la consola Monitor de seguridad IP para ver los filtros ordenados por peso. Los filtros con el mismo peso podrían aparecer en cualquier orden.Durante la actualización de directivas, el Agente de directivas IPSec vuelve a calcular el orden y actualiza el controlador de IPSec sólo con los cambios. Si se elimina un filtro o si la acción del filtro se cambia, se eliminan todas las asociaciones de seguridad relacionadas con ese filtro. En consecuencia, algunos paquetes se pierden cuando se negocia una nueva asociación de seguridad. Sin embargo, se debería volver a retransmitir los paquetes perdidos para recuperar de inmediato las conexiones TCP.

Si está configurando una directiva IPSec para proteger el tráfico Kerberos, IPSec sólo puede negociar asociaciones de seguridad si el método de autenticación no usa Kerberos. Si se requiere Kerberos para la autenticación entre los miembros de un dominio, se debe dar una consideración especial al

Page 13: Informe de Configuracion de Un Proxy

tráfico que Kerberos requiere entre los miembros del dominio y los controladores de dominio, y se deben cumplir los requisitos siguientes:

o Si el miembro de un dominio y un controlador de dominio son miembros de dominios diferentes, debe existir una confianza de dos sentidos entre los dominios o la reasignación de claves de Intercambio de claves de Internet (IKE, <i>Internet Key Exchange</i>) fallará.

o Si un equipo cliente o un servidor del dominio usan la autenticación Kerberos para negociar IPSec con todos sus iguales, debe crear filtros de admisión reflejados para todo el tráfico dependiente de Kerberos en todos los controladores de dominio. Se recomienda crear filtros de admisión para excluir todo el tráfico destinado a la dirección IP de cada controlador de dominio en el dominio del miembro. No tiene que crear filtros de admisión para excluir todo el tráfico destinado a las direcciones IP de todos los controladores de dominio. En su lugar, cree filtros de admisión para excluir sólo el tráfico de Kerberos y las consultas de la ubicación del sitio del controlador de dominio (LDAP) dirigido a las direcciones IP de todos los controladores de dominio de la ruta de confianzas entre los equipos. Si el controlador de dominio (para el que ya permitió todo el tráfico) no ofrece el servicio DNS, también tendría que excluir del tráfico DNS las direcciones IP del servidor DNS de modo que para el descubrimiento de controladores de dominio se pueda usar DNS.Para excluir estos tipos de tráfico en la directiva IPSec, cree los filtros siguientes, cada uno con una acción de filtro de admisión:

 

protocolos de red

Capa 1: Nivel físico o Cable coaxial o UTP categoría 5, categoría 5e, categoría 6, categoría

6a Cable de fibra óptica, Cable de par trenzado, Microondas, Radio, RS-232.

Capa 2: Nivel de enlace de datos o ARP , RARP, Ethernet, Fast Ethernet, Gigabit Ethernet, Token Ring,

FDDI, ATM, HDLC.,cdp

Capa 3: Nivel de red o IP (IPv4, IPv6), X.25, ICMP, IGMP, NetBEUI, IPX, Appletalk.

Capa 4: Nivel de transporte o TCP , UDP, SPX.

Capa 5: Nivel de sesión o NetBIOS , RPC, SSL.

Capa 6: Nivel de presentación o ASN.1 .

Capa 7: Nivel de aplicación o SNMP , SMTP, NNTP, FTP, SSH, HTTP, CIFS (también llamado SMB),

NFS, Telnet, IRC, POP3, IMAP, LDAP, Internet Mail 2000, y en cierto sentido, WAIS y el desaparecido GOPHER

Los protocolos de enrutamiento

Page 14: Informe de Configuracion de Un Proxy

proporcionan mecanismos distintos para elaborar y mantener las tablas de enrutamiento de los diferentes routers de la red, así como determinar la mejor ruta para llegar a cualquier host remoto. En un mismo router pueden ejecutarse protocolos de enrutamiento independientes, construyendo y actualizando tablas de enrutamiento para distintos protocolos encaminados.

Enrutamiento Estático . El principal problema que plantea mantener tablas de enrutamiento estáticas, además de tener que introducir manualmente en los routers toda la información que contienen, es que el router no puede adaptarse por sí solo a los cambios que puedan producirse en la topología de la red. Sin embargo, este método de enrutamiento resulta ventajoso en las siguientes situaciones:

o Un circuito poco fiable que deja de funcionar constantemente. Un protocolo de enrutamiento dinámico podría producir demasiada inestabilidad, mientras que las rutas estáticas no cambian.

o Se puede acceder a una red a través de una conexión de acceso telefónico. Dicha red no puede proporcionar las actualizaciones constantes que requiere un protocolo de enrutamiento dinámico.

o Existe una sóla conexión con un solo ISP. En lugar de conocer todas las rutas globales, se utiliza una única ruta estática.

o Un cliente no desea intercambiar información de enrutamiento dinámico.

Enrutamiento Predeterminado . Es una ruta estática que se refiere a una conexión de salida o Gateway de “último recurso”. El tráfico hacia destinos desconocidos por el router se envía a dicha conexión de salida. Es la forma más fácil de enrutamiento para un dominio conectado a un único punto de salida. Esta ruta se indica como la red de destino 0.0.0.0/0.0.0.0.

Enrutamiento Dinámico . Los protocolos de enrutamiento mantienen tablas de enrutamiento dinámicas por medio de mensajes de actualización del enrutamiento, que contienen información acerca de los cambios sufridos en la red, y que indican al software del router que actualice la tabla de enrutamiento en consecuencia. Intentar utilizar el enrutamiento dinámico sobre situaciones que no lo requieren es una pérdida de ancho de banda, esfuerzo, y en consecuencia de dinero.

Tipos de Direccionamiento y otros conceptos

Para el diseño de arquitectura de cualquier red, es también muy importante conocer y utilizar los siguientes conceptos, con el fin de optimizar y simplificar el direccionamiento y el tamaño de las tablas de enrutamiento. Gracias a la utilización de estas técnicas, los datos reales a principios de 2000 mostraban que el tamaño de la tabla de enrutamiento era aproximadamente de 76000 rutas.

Direccionamiento con Clase. Es también conocido como Direccionamiento IP básico. Siguiendo este modelo de direccionamiento, a una dirección IP únicamente se le puede asignar su máscara predeterminada o máscara natural. Esto supone muy poca flexibilidad, y no es recomendable salvo para redes locales muy pequeñas.

Subnetting. La técnica de subnetting, permite dividir una red en varias subredes más pequeñas que contienen un menor número de hosts. Esto nos permite adquirir, por ejemplo, un red de clase B, y crear subredes para aprovechar este espacio de direcciones entre las distintas oficinas de nuestra empresa. Esto se consigue alterando la máscara natural, de forma que al añadir unos en lugar de ceros, hemos ampliado el número de subredes y disminuido el número de hosts para cada subred.

Máscara de Subred de Longitud Variable (VLSM). Utilizar protocolos de enrutamiento y dispositivos que soporten VLSM, nos permite poder utilizar diferentes máscaras en los distintos dispositivos de nuestra red, lo cual no es

Page 15: Informe de Configuracion de Un Proxy

más que una extensión de la técnica de subnetting. Mediante VLSM, podemos dividir una clase C para albergar dos subredes de 50 máquinas cada una, y otra subred con 100 máquinas. Es importante tener en cuenta que RIP1 e IGRP no suportan VLSM.

Supernetting o Agregación. La técnica de supernetting o agregación, permite agrupar varias redes en una única superred. Para esto se altera la máscara de red, al igual que se hacía en subnetting, pero en este se sustituyen algunos unos por ceros. El principal beneficio es para las tablas de enrutamiento, disminuyendo drásticamente su tamaño. Un dominio al que se le ha asignado un rango de direcciones tiene la autoridad exclusiva de la agregación de sus direcciones, y debería agregar todo lo que sea posible siempre y cuando no introduzca ambigüedades, lo cual es posible en el caso de redes con interconexiones múltiples a distintos proveedores.

Notación CIDR. La notación CIDR, permite identificar una dirección IP mediante dicha dirección, seguida de una barra y un número que identifica el número de unos en su máscara. Así, se presenta una forma de notación sencilla y flexible, que actualmente es utilizada en la configuración de gran cantidad de dispositivos de red. Un ejemplo sería: 194.224.27.00/24.

Traducción de Dirección de Red (NAT). La tecnología NAT permite a las redes privadas conectarse a Internet sin recurrir a la renumeración de las direcciones IP. El router NAT se coloca en la frontera de un dominio, de forma que cuando un equipo de la red privada se desea comunicar con otro en Internet, el router NAT envía los paquetes a Internet con la dirección pública del router, y cuando le responden reenvía los paquetes al host de origen. Para realizar esto, basta con relacionar los sockets abiertos desde el equipo NAT a los equipos de la red privada, con los sockets abiertos desde el equipo NAT a los equipos de Internet, así como modificar las cabeceras de los paquetes reenviados. Al igual que Cisco provee NAT es su sistema operativo IOS, otros muchos routers también lo ofrecen, como también es el caso de paquetes de software como Windows 2000, Microsoft Proxy, WinGate, etc.

Convergencia. La convergencia se refiere al tiempo que tardan todos los routers de la red en actualizarse en relación con los cambios que se han sufrido en la topología de la red.

Todas las interfaces operativas conectadas al router se sitúan en la tabla de enrutamiento. Por ello, si sólo hay un router en la red, éste tiene información sobre todas las redes o subredes diferentes y no hay necesidad de configurar un enrutamiento estático o dinámico.

Algoritmos de enrutamiento por vector de distancia

El término vector de distancia se deriva del hecho de que el protocolo incluye un vector (lista) de distancias (número de saltos u otras métricas) asociado con cada destino, requiriendo que cada nodo calcule por separado la mejor ruta para cada destino. Los envían mensajes actualizados a intervalos establecidos de tiempo,pasando toda su tabla de enrutamiento al router vecino más próximo (routers a los que está directamente conectado), los cuales repetirán este proceso hasta que todos los routers de la red están actualizados. Si un enlace o una ruta se vuelve inaccesible justo después de una actualización, la propagación del fallo en la ruta se iniciará en la próxima propagación, ralentizándose la convergencia. Los protocolos de vector de distancia más nuevos, como EIGRP y RIP-2, introducen el concepto de actualizaciones desencadenadas. Éstas propagan los fallos tan pronto ocurran, acelerando la convergencia considerablemente. Los protocolos por vector de distancia tradicionales trabajan sobre la base de actualizaciones periódicas y contadores de espera: si no se recibe una ruta en un cierto periodo de tiempo, la ruta entra en un estado de espera, envejece y desaparece, volviéndose inalcanzable.

Page 16: Informe de Configuracion de Un Proxy

Bucles de Enrutamiento en Algoritmos por Vector de Distancia

Los bucles de enrutamiento producen entradas de enrutamiento incoherentes, debido generalmente a un cambio en la topología. Si un enlace de un router A se vuelve inaccesible, los routers vecinos no se dan cuenta inmediatamente, por lo que se corre el riego de que el router A crea que puede llegar a la red perdida a través de sus vecinos que mantienen entradas antiguas. Así, añade una nueva entrada a su tabla de enrutamiento con un coste superior. A su vez, este proceso se repetiría una y otra vez, incrementándose el coste de las rutas, hasta que de alguna forma se parase dicho proceso. Los métodos utilizados para evitar este caso son los que siguen:

Horizonte Dividido. La regla del horizonte dividido es que nunca resulta útil volver a enviar información acerca de una ruta a la dirección de dónde ha venido la actualización original.

Actualización Inversa. Cuando una red de un router falla, este envenena su enlace creando una entrada para dicho enlace con coste infinito. Así deja de ser vulnerable a actualizaciones incorrectas proveniente de routers vecinos, donde esté involucrada dicha red. Cuando los routers vecinos ven que la red ha pasado a un coste infinito, envían una actualización inversa indicando que la ruta no está accesible.

Definición de Máximo. Con este sistema, el protocolo de enrutamiento permite la repetición del bucle hasta que la métrica exceda el valor máximo permitido. Una vez que la red alcanza ese máximo, se considera inalcanzable.

Actualización desencadenada. Normalmente, las nuevas tablas de enrutamiento se envían a los routers vecinos a intervalos regulares. Una actualización desencadenada es una nueva tabla de enrutamiento que se envía de forma inmediata, en respuesta a un cambio. El router que detecta el cambio envía inmediatamente un mensaje de actualización a los routers adyacentes que, a su vez, generan actualizaciones desencadenadas para notificar el cambio a todos sus vecinos. Sin embargo surgen dos problemas:

o Los paquetes que contienen el mensaje de actualización podrían ser descartados o dañados por algún enlace de la red.

o Las actualizaciones desencadenadas no suceden de forma instantánea. Es posible que un router que no haya recibido aún la actualización desencadenada genere una actualización regular que cause que la ruta defectuosa sea insertada en un vecino que hubiese recibido ya la actualización.

Combinando las actualizaciones desencadenadas con los temporizadores se obtiene un esquema que permite evitar estos problemas

Algoritmos de enrutamiento de estado de enlace

Utiliza un modelo de base de datos distribuida y replicada. Los routers intercambian paquetes de estado de enlace que informa a todos los routers de la red sobre el estado de sus distintos interfaces. Esto significa que sólo se envía información acerca de las conexiones directas de un determinado router, y no toda la tabla de enrutamiento como ocurre en el enrutamiento por vector de distancia. Aplicando el algoritmo SPF (primero la ruta más corta), más conocido como algoritmo Dijkstra, cada router calcula un árbol de las ruta más cortas hacia cada destino, situándose a sí mismo en la raíz. Los protocolos de estado de enlace no pueden proporcionar una solución de conectividad global, como la que se requiere en grandes redes como Internet, pero si son utilizados por muchos proveedores como protocolo de enrutamiento en el interior de un SA. Los protocolos más conocidos son OSPF e IS-IS. Algunos de los beneficios de estos protocolos son:

Page 17: Informe de Configuracion de Un Proxy

No hay límite en el número de saltos de una ruta. Los protocolos del estado de enlace trabajan sobre la base de las métricas de enlace en lugar de hacerlo en función del número de saltos.

El ancho de banda del enlace y los retrasos puede ser factorizados cuando se calcule la ruta más corta hacia un destino determinado.

Los cambios de enlace y nodo son inmediatamente introducidos en el dominio mediante actualizaciones del estado de enlace.

Soporte para VLSM y CIDR, ya que intercambian información de máscara en las actualizaciones.

Enrutamiento IP

En términos generales, el enrutamiento es el proceso de reenviar paquetes entre dos redes conectadas. En cuanto a las redes basadas en TCP/IP, el enrutamiento forma parte del Protocolo Internet (IP) y se utiliza junto con otros servicios de protocolo de red para proporcionar capacidades de reenvío entre hosts que se encuentran en segmentos de red distintos dentro de una red basada en un TCP/IP más grande.

IP es la "oficina de correos" del protocolo TCP/IP, donde se ordenan y entregan los datos IP. Cada paquete entrante o saliente se denomina datagrama IP. Un datagrama IP contiene dos direcciones IP: la dirección de origen del host que realiza el envío y la dirección de destino del host receptor. A diferencia de las direcciones de hardware, las direcciones IP de un datagrama siguen siendo las mismas durante su transmisión a través de una red TCP/IP.

El enrutamiento es la función principal de IP. Los datagramas IP se intercambian y procesan en cada host mediante IP en el nivel de Internet.

Por encima del nivel IP, los servicios de transporte del host de origen transmiten los datos en forma de segmentos TCP o mensajes UDP al nivel IP. El nivel IP ensambla los datagramas IP con la información de las direcciones de origen y destino, que se utiliza para enrutar los datos a través de la red. A continuación, el nivel IP transmite los datagramas al nivel de interfaz de red. En este nivel, los servicios de vínculos de datos convierten los datagramas IP en tramas para la transmisión en una red física a través de medios específicos de la red. Este proceso se produce en el orden inverso en el host de destino.

Cada datagrama IP contiene una dirección IP de origen y de destino. En cada host, los servicios del nivel IP examinan la dirección de destino de cada datagrama, comparan esta dirección con una tabla de enrutamiento mantenida localmente y, después, deciden qué acción de reenvío se debe realizar. Los enrutadores IP están conectados a dos o más segmentos de red IP habilitados para reenviar paquetes entre ellos. Las siguientes secciones tratan con más detalle los enrutadores IP y el uso de tablas de enrutamiento.

Enrutadores IP

Los segmentos de red TCP/IP están conectados entre sí mediante enrutadores IP, que son los dispositivos que transmiten los datagramas IP desde un segmento de red a otro. Este proceso se conoce como enrutamiento IP y se muestra en la siguiente ilustración.

Page 18: Informe de Configuracion de Un Proxy

INTRODUCCION Y RAZONES PARA REALIZAR SUBREDES

Parara crear la estructura de subred, los bits de host se deben reasignar como bits de subred. Este proceso es a veces denominado "pedir bits prestados". Sin embargo, un término más preciso sería "prestar" bits. El punto de inicio de este proceso se encuentra siempre en el bit del Host del extremo izquierdo, aquel que se encuentra más cerca del octeto de red anterior.

Las direcciones de subred incluyen la porción de red Clase A, Clase B o Clase C además de un campo de subred y un campo de Host. El campo de subred y el campo de Host se crean a partir de la porción de Host original de la dirección IP entera. Esto se hace mediante la reasignación de bits de la parte de host a la parte original de red de la dirección.      La capacidad de dividir la porción de Host original de la dirección en nuevas subredes y campos de Host ofrece flexibilidad de direccionamiento al administrador de la red.

Además de la necesidad de contar con flexibilidad, la división en subredes permite que el administrador de la red brinde contención de broadcast y seguridad de bajo nivel en la LAN. La división en subredes ofrece algo de seguridad ya que el acceso a las otras subredes está disponible solamente a través de los servicios de un Router. Además, el uso de listas de acceso puede ofrecer seguridad en el acceso. Estas listas pueden permitir o negar el acceso a la subred, tomando en cuenta varios criterios, de esta manera brindan mayor seguridad. Más tarde se estudiarán las listas de acceso. Algunos propietarios de redes Clases A y B han descubierto que la división en subredes crea una fuente de ingresos para la organización a través del alquiler o venta de direcciones IP que anteriormente no se utilizaban

Una LAN se percibe como una sola red sin conocimiento de su estructura de red interna. Esta visión de la red hace que las tablas de enrutamiento sean pequeñas y eficientes. Dada una dirección de nodo local 147.10.43.14 de la subred 147.10.43.0, el mundo exteriorsólo puede ver la red mayor que se anuncia, la 147.10.0.0. Esto tiene su razón en que la dirección de la subred local 147.10.43.0 sólo es válida dentro de la LAN donde se aplica el subneteo..

Page 19: Informe de Configuracion de Un Proxy

PRUEBAS DE DISEÑOS DE REDES

Arquitectura de una red. La arquitectura de una red viene definida por su topología, el método de acceso a la red y los protocolos s de comunicación. Antes de que cualquier estación de trabajo pueda utilizar el sistema de cableado, debe definir se con cualquier otro no do de la red .Una red está formada por una serie de estaciones de trabajo y por un conjunto de dispositivos como impresoras,escáner,etc.,todos estos dispositivos se encuentran coordinados por máquinas denominadas servidores. Además, existen diferentes dispositivos que añaden funcionalidades alas redes, como los routers, switches y hubs. Cada dispositivo activo que intervienen la comunicación de forma autónomas denominan .Todos estos dispositivos que conforman la red se comunican entre sí por medios de transmisión físicos (cables coaxiales, de par trenzado, de fibra óptica, etc.) o basándose en ondas(redes inalámbricas),aun que si el tamaño de la red lo exige pueden hacer lo mediante líneas telefónicas ,de radio de largo alcanceo por satélite.Los sistemas de comunicación en red se basan en la arquitectura cliente-servidor.El cliente es el ordenador que se encarga de efectuar una petición o solicitar un servicio ,mientras que el servidor es el dispositivo remoto que

La topología de red es la disposición física en la que se conecta una red de ordenadores. Si una red tiene diversas topologías se la llama mixta.

2. - Topologías más comunes

2.1 - Red en anillo

Topología de red en la que las estaciones se conectan formando un anillo. Cada estación está conectada a la siguiente y la última está conectada a la primera. Cada estación tiene un receptor y un transmisor que hace la función de repetidor, pasando la señal a la siguiente estación del anillo.

En este tipo de red la comunicación se da por el paso de un token o testigo, que se puede conceptualizar como un cartero que pasa recogiendo y entregando paquetes de información, de esta manera se evita perdida de información debido a colisiones.

Cabe mencionar que si algún nodo de la red se cae (termino informático para decir que esta en mal funcionamiento o no funciona para nada) la comunicación en todo el anillo se pierde.

Page 20: Informe de Configuracion de Un Proxy

2.2 - Red en árbol

Topología de red en la que los nodos están colocados en forma de árbol. Desde una visión topológica, la conexión en árbol es parecida a una serie de redes en estrella interconectadas.

Es una variación de la red en bus, la falla de un nodo no implica interrupción en las comunicaciones. Se comparte el mismo canal de comunicaciones.

Cuenta con un cable principal (backbone) al que hay conectadas redes individuales en bus.

Page 21: Informe de Configuracion de Un Proxy