CAPÍTULO 1

EL PELIGRO

Personas Secuestradas
Un término para los puntos de acceso inalámbricos no fiables es los puntos de acceso
"gemelos malvados".
En sus términos más simples, un “gemelo malvado” es un punto de acceso no autorizado
que se hace pasar por un punto de acceso que forma parte de su infraestructura corporativa.
Esto a veces también se conoce como “honeypot”. Hay varias formas en que un dispositivo
puede actuar como un gemelo malvado:
Suplantación de identidad: Cuando un punto que no forma parte de su infraestructura
corporativa se disfraza como un punto de acceso que forma parte de su infraestructura
corporativa. Esto puede hacerse “falsificando” la dirección MAC (BSSID) de los SSID
anunciados en su red inalámbrica.
Honeypot: Cuando una estación inalámbrica escucha tramas de baliza de clientes
inalámbricos en su vecindad y luego falsificó el SSID que esos clientes están buscando.
Esto aprovecha el hecho de que los clientes 802.11 con sus adaptadores WLAN habilitados,
pero no conectados a una red inalámbrica, recibirán periódicamente balizas para todos los
SSID a los que se han conectado previamente y que recuerdan.

Agentes de Amenazas
Los actores maliciosos incluyen, entre otros, a aficionados, hacktivistas, grupos del crimen
organizado, agentes patrocinados por el estado y grupos terroristas. Los actores maliciosos
son individuos o un grupo de personas que realizan ciberataques. Los ciberataques son
actos intencionales y maliciosos que tienen como objetivo afectar negativamente a otra
persona u organización.
Aficionados. - Los aficionados, también conocidos como script kiddies, tienen poca o
ninguna habilidad. A menudo utilizan herramientas ya existentes o instrucciones que
encuentran en Internet para iniciar ataques. Algunos solo son curiosos, mientras que otros
intentan provocar daños para demostrar sus habilidades.
Hacktivistas. - Los hacktivistas son hackers que protestan contra una variedad de ideas
políticas y sociales. Protestan públicamente contra las organizaciones o los gobiernos
mediante la publicación de artículos y videos, la filtración de información confidencial y la
interrupción de servicios web con tráfico ilegítimo mediante ataques de denegación de
servicio distribuido (DDoS).
Beneficio Financiero. - Estos ciberdelincuentes quieren obtener acceso a nuestras cuentas
bancarias, datos personales y cualquier otro dato que pueda utilizar para generar flujo de
efectivo.
Secretos Comerciales y la Política Global. - Los estados de una nación también están
interesados en utilizar el ciberespacio para el espionaje industrial.

Internet de las Cosas (IoT)

Se encuentra a nuestro alrededor y se expande con rapidez. Apenas estamos comenzando a
aprovechar los beneficios de IoT. Constantemente se están desarrollando nuevas maneras
de utilizar elementos conectados. IoT ayuda a los individuos a conectar elementos para
mejorar la calidad de vida. Por ejemplo, muchas personas utilizan actualmente dispositivos
portátiles conectados para realizar el seguimiento de su actividad física.

PII, PHI y PSI

La información que permite identificar personas (Personally Identifiable Information, PII)
es cualquier dato que pueda utilizarse para identificar inequívocamente a una persona. Las
PII robadas pueden utilizarse para crear cuentas financieras falsas, como tarjetas de crédito
y préstamos a corto plazo. Algunos ejemplos de PII son los siguientes:
- Nombre
- Número de seguridad social
- Fecha de nacimiento
- Números de tarjetas de crédito
- Números de cuentas bancarias
- Identificación emitida por el gobierno
- Información sobre dirección (calle, correo electrónico, números de teléfono)
La Información confidencial sobre la salud (Protected Health Information, PHI) es un
subconjunto de la PII. La comunidad médica crea y mantiene registros médicos
electrónicos (EMR) que contienen PHI. En los Estados Unidos, la manipulación de la PHI
está regulada por la Ley de Transferibilidad y Responsabilidad del Seguro Médico
(HIPAA).
La información de seguridad personal (Personal Security Information, PSI) es otro tipo de
información personal. Esta información incluye nombres de usuario, contraseñas y otra
información relacionada con la seguridad que los individuos utilizan para acceder a
información o servicios de la red.
 CAPÍTULO 2
COMBATIENTES EN LA GUERRA CONTRA
LA CIBERDELINCUENCIA

Elementos de un SOC
Defenderse contra las amenazas actuales requiere un enfoque formalizado, estructurado y
disciplinado. Las organizaciones suelen utilizar los servicios de profesionales en un Centro
de operaciones de seguridad (SOC). Los SOC pueden ser totalmente en casa, perteneciente
y operado por la empresa o es posible contratar los elementos de un SOC a proveedores de
seguridad, como los Servicios de seguridad administrados de Cisco Managed Security
Services.

Las Personas en el SOC

Los roles de trabajo en un SOC están evolucionando rápidamente. Tradicionalmente, los
SOC asignan roles de trabajo por niveles, de acuerdo con la experiencia y las
responsabilidades que requiere para cada uno. Los trabajos de primer nivel son más
básicos, mientras que los trabajos de tercer nivel requieren una amplia experiencia.
Analistas de alertas nivel 1.- Estos profesionales monitorean las alertas entrantes,
verifican que sea un incidente verdadero haya ocurrido y reenvían los tickets al nivel 2, si
es necesario
Respuesta de incidentes nivel 2.- Estos profesionales son responsables de realizar una
investigación profunda de los incidentes y aconsejar soluciones o acciones para ser
tomadas.
Cazador de amenazas de nivel 3.- Estos profesionales tienen un nivel experto de habilidad
en la red, punto terminal, inteligencia de amenazas e ingeniería inversa de malware Son
especialistas en seguir los procesos del malware para determinar su impacto y cómo
eliminarlo. También están profundamente involucrados en la búsqueda de posibles
amenazas y la implementación de herramientas de detección de amenazas.
Administrador del SOC.- Este profesional administra todos los recursos del SOC y sirve
como punto de contacto con el resto de la organización o el cliente.
Los Procesos en el SOC
El día de un analista de ciberseguridad comienza con el monitoreo de colas de alertas de
seguridad. El sistema de tickets es frecuentemente utilizado para asignar alertas a la cola
para que un analista las investigue. Dado que el software que genera alertas puede activar
falsas alarmas, una de las tareas del analista de ciberseguridad puede ser verificar que una
alerta sea realmente un incidente de seguridad.
Si el ticket no puede ser resuelto, el analista de ciberseguridad lo envía al encargado de
respuesta de nivel 2 para una investigación más profunda y una solución. Si el encargado de
respuesta no puede resolver el ticket, será reenviado al personal de nivel 3 con el
conocimiento profundo y habilidades de caza de amenazas.

Tecnologías en el SOC: SIEM

Un SOC necesita un sistema de administración de información y eventos de seguridad
(Security Information and Event Management System, SIEM) o equivalente. SIEM da
sentido a todos los datos que generan los firewalls, dispositivos de red, sistemas de
detección de intrusiones y otros dispositivos.
Los sistemas SEIM se utilizan para recopilar y filtrar datos, detectar y clasificar amenazas y
analizar e investigar amenazas. Los sistemas SIEM también pueden administrar recursos
para implementar medidas preventivas y hacer frente a amenazas futuras.
Tecnologías en el SOC: ROAR
Los grandes equipos de operaciones de seguridad (SECops) utilizan ambas tecnologías para
optimizar su SOC. Las plataformas SOAR son similares a los SIEM en el sentido de que
agregan, relacionan y analizan alertas. Sin embargo, la tecnología SOAR va un paso más
allá al integrar la inteligencia de amenazas y automatizar los flujos de trabajo de
investigación y respuesta de incidentes basados en playbooks desarrollados por el equipo de
seguridad.
Los sistemas SIEM producen necesariamente más alertas de las que la mayoría de los
equipos de SECOps pueden investigar de manera realista con el fin de capturar de forma
conservadora el mayor número posible de amenazas. El SOAR procesará muchas de estas
alertas automáticamente y permitirá al personal de seguridad centrarse en amenazas más
complejas y potencialmente dañinos.

Métricas de los SOC

Varias métricas comunes compiladas por los administradores de SOC son:
Tiempo de permanencia: el tiempo que los actores de amenazas tienen acceso a una red
antes de ser detectados y su acceso se detiene.
Tiempo medio de detección (MTTD): el tiempo medio que tarda el personal de SOC en
identificar incidentes de seguridad válidos se han producido en la red.
Tiempo medio de respuesta (MTTR): el tiempo medio que se tarda en detener y corregir
un incidente de seguridad.
Tiempo medio para contener (MTTC): el tiempo necesario para evitar que el incidente
cause más daños a los sistemas o datos.
Tiempo de control: el tiempo necesario para detener la propagación de malware en la red.

Seguridad Empresarial y Administrada

Para redes medianas y grandes, la organización se beneficiará de implementar un SOC de
nivel empresarial. El SOC puede ser una solución interna completa. Sin embargo, muchas
organizaciones importantes tercerizan, al menos en parte, las operaciones del SOC a un
proveedor de soluciones de seguridad.
Comparación Entre Seguridad y Disponibilidad
Cada empresa o industria tiene una tolerancia limitada al tiempo de inactividad de la red.
Esa tolerancia suele basarse en una comparación entre el costo del tiempo de inactividad y
el costo de protección contra el tiempo de inactividad. El tiempo de actividad preferido a
menudo se mide en la cantidad de minutos de inactividad en un año, como se muestra en la
tabla.

Sin embargo, el nivel de seguridad no debe ser tan alto como para interferir en las
necesidades de los empleados o las funciones empresariales. El secreto es lograr siempre un
equilibrio entre un buen nivel de seguridad y la posibilidad de que la empresa funcione con
eficacia.
 CAPÍTULO 3
HISTORIA DE WINDOWS

Sistema Operativo de Disco

Las primeras computadoras no tenían dispositivos de almacenamiento modernos, como
discos duros, unidades ópticas o unidades de memoria flash. Los primeros métodos de
almacenamiento utilizaban tarjetas perforadas, cinta de papel, cinta magnética y hasta
casetes de audio. El Sistema Operativo de Disco (DOS) es un sistema operativo que utiliza
la computadora para habilitar estos dispositivos de almacenamiento de datos para leer y
escribir archivos. DOS provee un sistema de archivos que organiza los archivos en una
forma específica en el disco Microsoft compró DOS y desarrolló MS-DOS.
Con MS-DOS, la computadora tenía conocimientos básicos sobre cómo acceder a la unidad
de disco y cargar los archivos del sistema operativo directamente desde el disco como parte
del proceso de arranque. Cuando se cargaba, MS-DOS podía tener acceso al disco
fácilmente porque estaba incorporado en el sistema operativo.
Versiones de Windows
A partir de Windows XP, comenzó a estar disponible una edición de 64 bits. El sistema
operativo de 64 bits era una arquitectura totalmente nueva. Esto no significa solamente el
doble de espacio, ya que estos bits son números binarios. Mientras que Windows de 32 bits
tiene espacio para un poco menos de 4 GB de RAM, Windows de 64 bits puede tener,
teóricamente, espacio para 16,8 millones de terabytes. Las computadoras y los sistemas
operativos de 64 bits son compatibles con programas más antiguos de 32 bits, pero los
programas de 64 bits no pueden ejecutarse en el hardware más antiguo de 32 bits.
GUI de Windows
Windows tiene una interfaz gráfica de usuario (Graphical User Interface, GUI) para que los
usuarios trabajen con software y archivos de datos. La interfaz gráfica de usuario tiene un
área principal que es conocida como El Escritorio.
A menudo, al hacer clic derecho sobre un icono se presentan funciones adicionales que
pueden utilizarse. Esta lista se conoce como menú contextual, que se muestra en la figura.

El menú contextual permite tener acceso a muchas de las funciones más utilizadas con
apenas un clic. 

Vulnerabilidades en el Sistema Operativo

Los sistemas operativos consisten en millones de líneas de código. El software instalado
también puede contener millones de líneas de código. Todo este código acarrea
vulnerabilidades. Una vulnerabilidad es una imperfección o debilidad que puede ser
aprovechada por un atacante para reducir la viabilidad de la información de una
computadora.
Capa de Abstracción de Hardware
Una capa de abstracción de hardware (HAL) es un software que maneja toda la
comunicación entre el hardware y el kernel. El kernel es el núcleo del sistema operativo y
controla toda la computadora.

Modo Usuario y Modo Kernel

Las aplicaciones instaladas se ejecutan en el modo de usuario, y el código del sistema
operativo lo hace en el modo de kernel. El código que se ejecuta en el modo de núcleo tiene
acceso ilimitado al hardware subyacente y es capaz de ejecutar cualquier instrucción de la
CPU.
Todo el código que se ejecuta en el modo de núcleo usa el mismo espacio para la dirección
postal. Los controladores en modo de núcleo no están aislados del sistema operativo. Si se
produce un error con el controlador en el modo de núcleo y escribe en el espacio para la
dirección postal incorrecta, el sistema operativo u otro controlador del modo de núcleo
podrían verse afectados negativamente. En este sentido, el controlador podría dejar de
funcionar e interrumpir el funcionamiento de todo el sistema operativo.
Cuando se ejecuta código en el modo de usuario, el núcleo le otorga su propio espacio para
la dirección postal limitado, junto con un proceso creado específicamente para la
aplicación.

Sistema de Archivos de Windows

Un sistema de archivos determina cómo se organiza la información en los medios de
almacenamiento. Algunos sistemas de archivos pueden ser una mejor opción que otros,
según el tipo de medios que se utilice. La tabla enumera los sistemas de archivos que
admite Windows.
Antes de poder usar un dispositivo de almacenamiento, como un disco, se debe formatear
con un sistema de archivos. A su vez, antes de poder implementar un sistema de archivos
en un dispositivo de almacenamiento, se debe particionar dicho dispositivo. Los discos
duros se dividen en áreas llamadas particiones. Cada partición es una unidad lógica de
almacenamiento que se puede formatear para almacenar información, como archivos de
datos o aplicaciones. Durante el proceso de instalación, la mayoría de los sistemas
operativos particionan y formatean automáticamente el espacio disponible de la unidad con
un sistema de archivos, como NTFS.
Sector de Partición de Arranque. - Estos son los primeros 16 sectores de la unidad.
contiene la ubicación de la tabla maestra de archivos (MFT, Master File Table). Los
últimos 16 sectores contienen una copia del sector de arranque.
Tabla Maestra de Archivos (MFT). - Esta tabla contiene la localización de todos los
archivos y los directorios de la partición, incluyendo los atributos de los archivos como la
información de seguridad y las marcas de tiempo.
Archivos del sistema. - Estos son archivos ocultos que almacenan información sobre otros
volúmenes y atributos de archivo.
Área de Archivos. - El área principal de la partición donde los archivos y los directorios
son guardados.
Nota. - Cuando se formatea una partición, los datos previos posiblemente puedan ser
recuperados por que no todos los datos son completamente eliminados. Este espacio libre
puede ser examinado y se pueden recuperar archivos que pueden comprometer la
seguridad. Si se va a reutilizar una unidad, se recomienda realizar un borrado seguro. El
borrado seguro escribirá datos en toda la unidad varias veces para garantizar que no queden
datos anteriores.

Flujos de Datos Alternativos

NTFS guarda los archivos como una serie de atributos. Con NTFS, es posible conectar
flujos de datos alternativos al archivo. En ocasiones, las aplicaciones aprovechan esta
función para almacenar información adicional sobre el archivo. Los ADS son un factor
importante en relación con el malware. Esto se debe a que resulta sencillo ocultar datos en
ADS. Un atacante podría almacenar código malicioso dentro de ADS y otro archivo podría
invocar este contenido posteriormente.
En el sistema de archivos NTFS, un archivo con ADS se identifica después del nombre del
archivo y dos puntos, por ejemplo, Textfile.txt:ADS.

Proceso de Arranque de Windows

Ocurren muchas acciones entre el tiempo que se presiona el botón de poder y Windows
siendo cargado completamente, como es mostrado en la figura.
Existen dos tipos de firmware de computadora:
Basic Input-Output System (BIOS) - BIOS firmware se creó a principios de la década de
1980 y funciona de la misma manera desde entonces. A medida que las computadoras
evolucionaron, BIOS firmware comenzó a tener problemas para admitir todas las nuevas
funciones que solicitaban los usuarios.
Unified Extensible Firmware Interface (UEFI) - UEFI se diseñó para reemplazar el
BIOS y admitir las nuevas funciones.
En BIOS firmware, el proceso comienza con la fase de inicialización del BIOS. Esto ocurre
cuando se inicializan los dispositivos de hardware y se realiza una prueba automática de
encendido (POST, Power-On Self Test) para garantizar que todos estos dispositivos se
estén comunicando. La POST finaliza cuando se detecta el disco del sistema.
El MBR contiene un pequeño programa que se encarga de localizar y cargar el sistema
operativo. La BIOS ejecuta este código y el sistema operativo comienza a cargarse.
A diferencia de BIOS firmware, UEFI firmware tiene mucha visibilidad en el proceso de
arranque. El arranque con UEFI se realiza cargando los archivos de programa de EFI,
almacenados como archivos. efi en una partición especial de la disco conocida como la
partición de sistema EFI (ESP, EFI System Partition).
Nota: Una computadora que utiliza UEFI almacena el código de arranque en el firmware.
Esto ayuda a aumentar la seguridad de la computadora al momento del arranque, ya que
entra directamente en el modo protegido.
Bootmgr.exe lee la base de datos de configuración de arranque (BCD). La BCD contiene
cualquier código adicional necesario para iniciar la computadora, junto con una indicación
que señala si la computadora está saliendo de una hibernación o si es un arranque en frío. Si
la computadora está saliendo de una hibernación, el proceso de arranque continúa con
Winresume.exe. Esto permite que la computadora lea el archivo Hiberfil.sys que contiene
el estado de la computadora cuando ingresó en la hibernación.
Si se inicia la computadora con un arranque en frío, se carga el archivo Winload.exe. El
archivo Winload.exe crea un registro de la configuración de hardware en el registro. El
registro es una lista de todos los ajustes, las opciones, el hardware y el software de la
computadora. El registro se explorará en profundidad más adelante en este capítulo.
Winload.exe también utiliza la firma de código en modo kernel (KMCS) para asegurarse de
que todos los controladores estén firmados digitalmente. Esto garantiza que los
controladores son seguros para cargarlos al iniciar la computadora.
Después de que se analizan los controladores, Winload.exe ejecuta Ntoskrnl.exe, que
arranca el núcleo de Windows y configura la HAL. Finalmente, Session Manager
Subsystem (SMSS) lee el registro para crear el entorno de usuario, iniciar el servicio de
Winlogon y preparar el escritorio de cada usuario a medida que inician sesión.
Inicio de Windows
Hay dos elementos importantes del registro que se utilizan para iniciar automáticamente
aplicaciones y servicios:
HKEY_LOCAL_MACHINE - muchos aspectos de la configuración de Windows se
almacenan en esta clave, incluida la información sobre los servicios que se inician con cada
arranque.
HKEY_CURRENT_USER - En esta clave se almacenan varios aspectos relacionados con
el usuario que ha iniciado sesión, incluida la información sobre los servicios que se inician
solo cuando el usuario inicia sesión en la computadora.
Estos tipos son Run, RunOnce, RunServices, RunServicesOnce y Userinit. Estas entradas
se pueden ingresar manualmente en el registro, pero es mucho más seguro usar la
herramienta Msconfig.exe. Esta herramienta se utiliza para ver y cambiar todas las opciones
de inicio de la computadora.

Apagado de Windows
Los archivos que quedan abiertos, los servicios que se cierran de manera desordenada y las
aplicaciones que se bloquean pueden sufrir daños si se apaga la computadora sin informar
primero al sistema operativo. La computadora necesita tiempo para cerrar cada aplicación,
apagar cada servicio y registrar cualquier cambio de configuración antes de interrumpir la
alimentación.
Hay tres opciones diferentes entre las que elegir al apagar el equipo:
Apagar - apaga el equipo (apaga).
Reiniciar - reinicia la computadora (apaga y enciende).
Hibernación - registra el estado actual del equipo y el entorno de usuario y lo almacena en
un archivo. La hibernación le permite al usuario continuar su trabajo rápidamente justo
desde donde lo dejó, con todos sus archivos y programas aún abiertos.

Procesos, Subprocesos y Servicios

La aplicación puede tener uno o varios procesos exclusivos. Un proceso es cualquier
programa que se esté ejecutando. Cada proceso en ejecución está compuesto de, al menos,
un subproceso.
Debido a que Windows realiza múltiples tareas simultáneamente, es posible ejecutar varios
subprocesos al mismo tiempo. La cantidad de subprocesos que se pueden ejecutar al mismo
tiempo depende del número de procesadores de la computadora.
Algunos de los procesos que ejecuta Windows son servicios. Son programas que se
ejecutan en segundo plano para respaldar el funcionamiento del sistema operativo y de las
aplicaciones. Pueden configurarse para iniciarse automáticamente cuando Windows arranca
o es posible iniciarlos manualmente. También pueden detenerse, reiniciarse o
deshabilitarse.
Los servicios proporcionan funcionalidades de duración prolongada, como la conexión
inalámbrica o el acceso a un servidor FTP.

Asignación de la memoria e identificadores

Una computadora funciona almacenando las instrucciones en la memoria RAM hasta que la
CPU las procesa. El espacio para la dirección postal virtual de un proceso es el conjunto de
direcciones virtuales que puede utilizar el proceso. La dirección virtual no es la ubicación
física real en la memoria, sino una entrada en una tabla de página que se utiliza para
traducir la dirección virtual a una dirección física.
Cada proceso en una computadora con Windows de 32 bits admite un espacio para la
dirección postal virtual que hace posible manipular hasta 4 GB. Cada proceso en una
computadora con Windows de 64 bits admite un espacio para la dirección postal virtual de
8 TB.
Una poderosa herramienta para ver la asignación de memoria es RamMap. RAMMap
forma parte del conjunto de herramientas de Windows Sysinternals. Se puede descargar
desde Microsoft. RAMMap proporciona una gran cantidad de información acerca de cómo
Windows ha asignado la memoria del sistema al kernel, los procesos, los controladores y
las aplicaciones.

El Registro de Windows
Windows almacena toda la información sobre el hardware, las aplicaciones, los usuarios y
la configuración del sistema en una extensa base de datos conocida como el Registro. Las
maneras en que interactúan estos objetos también se registran, por ejemplo, qué archivos
abre una aplicación y todos los detalles de propiedad de carpetas y aplicaciones. El registro
es una base de datos jerárquica donde el nivel más alto se conoce como subárbol, debajo
están las claves y, luego, las subclaves. Los valores almacenan datos y se almacenan en las
claves y subclaves. Una clave de registro puede tener hasta 512 niveles de profundidad.
No es posible crear nuevos subárboles. Las claves y los valores de registro en los
subárboles pueden crearse, modificarse o eliminarse usando una cuenta con privilegios de
administrador. Como es mostrado en la figura, la herramienta regedit.exe es usada para
modificar el registro.
Las claves de registro pueden contener una subclave o un valor. Los diferentes valores que
pueden contener las claves son los siguientes:
REG_BINARY - números o valores booleanos
REG_DWORD - números superiores a 32 bits o datos sin procesar
REG_SZ - Valores de String
Debido a que el registro mantiene casi toda la información del usuario y del sistema
operativo, es fundamental asegurarse de no ponerlo en riesgo. Las aplicaciones
potencialmente maliciosas pueden agregar claves de registro para que se inicien cuando se
inicia la computadora. Durante un arranque normal, el usuario no verá el programa iniciarse
porque la entrada está en el registro y la aplicación no muestra ninguna ventana ni indicio
de inicio durante el arranque de la computadora.
El registro también contiene la actividad que realiza un usuario durante el uso diario
habitual de la computadora. Esto abarca el historial de los dispositivos de hardware,
incluidos todos los dispositivos que se han conectado a la computadora con el nombre, el
fabricante y el número de serie.
Ejecutar como Administrador
Como mejor práctica de seguridad, no es recomendable iniciar sesión en Windows
utilizando la cuenta de administrador o una cuenta con privilegios administrativos. Esto se
debe a que cualquier programa que se ejecute cuando inicie sesión con esos privilegios los
heredará. El malware con privilegios administrativos tiene acceso completo a todos los
archivos y carpetas en la computadora.

Usuario y dominios locales

Cuando se inicia una nueva computadora por primera vez, o al instalar Windows, el sistema
solicita la creación de una cuenta de usuario. Esta se conoce como “usuario local”. Esta
cuenta contiene todos los ajustes de personalización, los permisos de acceso, las
ubicaciones de archivos y muchos otros datos específicos del usuario. Hay también otras
dos cuentas: de invitado y de administrador. Ambas están deshabilitadas de manera
predeterminada.
Como una mejor práctica de seguridad, no debe habilitarse la cuenta de administrador ni
otorgar privilegios administrativos a los usuarios estándar. Requerir la contraseña de
administrador protege la computadora al evitar que cualquier software que no esté
autorizado instale, ejecute o acceda a archivos.
No debe habilitarse la cuenta de invitado. La cuenta de invitado no tiene una contraseña, ya
que se crea cuando una computadora será utilizada por muchas personas diferentes que no
tienen cuentas propias. Cada vez que se inicia sesión con la cuenta de invitado, se
proporciona un entorno predeterminado con privilegios limitados.
Windows utiliza grupos. Un grupo tendrá un nombre y un conjunto específico de permisos
asociados con él. Cuando se coloca a un usuario en un grupo, los permisos de ese grupo se
le otorgan a ese usuario. Los usuarios y grupos locales se administran con el applet del
panel de control lusrmgr.msc.
Un dominio es un tipo de servicio de red en el que todos los usuarios, grupos,
computadoras, periféricos y ajustes de seguridad se almacenan en una base de datos, que
también los controla. Esta base de datos se almacena en computadoras o grupos de
computadoras especiales que se denominan controladores de dominio (DC, Domain
Controller). Cada usuario y computadora en el dominio deben autenticarse con el DC para
iniciar sesión y tener acceso a los recursos de red.
CLI y PowerShell
La interfaz de línea de comandos (Command Line Interface, CLI) de Windows se puede
utilizar para ejecutar programas, navegar por el sistema de a
Para abrir el CLI de Windows, busque cmd.exe y haga clic en el programa. Es necesario
recordar que haciendo clic derecho el programa ofrece la opción de ejecutar como
administrador, lo que les otorga mucho más poder a los comandos que se
utilizarán.archivos y administrar archivos y carpetas.
A pesar de que la CLI tiene muchos comandos y características, no puede trabajar en
conjunto con el núcleo de Windows o la GUI. Se puede utilizar otro entorno, llamado
Windows PowerShell, para crear script con el fin de automatizar tareas que la CLI común
no puede crear.
Estos son los tipos de comandos que puede ejecutar PowerShell:
- cmdlets - Estos comandos realizan una acción y envían un resultado u objeto al
siguiente comando que se ejecutará.
- Scripts de PowerShell - Estos son archivos con una **.ps1** extensión que
contienen comandos de PowerShell que se ejecutan.
- Funciones de PowerShell - Estas son fragmentos de código a los que se puede
hacer referencia en un script.
Hay cuatro niveles de ayuda de Windows PowerShell:
- get-help PS command - Muestra ayuda básica para un comando
- get-help PS command [-examples] - Muestra una ayuda con ejemplos básica para
un comando
- get-help PS command [-detailed] - Muestra ayuda con ejemplos detallada para un
comando
- get-help PS command [-full] - Muestra toda la información de ayuda con ejemplos
para un comando

Instrumentación de Administración Windows

La Instrumentación de Administración Windows (WMI) se utiliza para administrar
computadoras remotas. Puede recuperar información sobre componentes de la
computadora, brindar estadísticas de hardware y software, y monitorear el estado de
computadoras remotas. Para abrir el control WMI desde el Panel de control, haga doble
clic en Herramientas administrativas > Administración de equipos para abrir la ventana
Administración de equipos, expanda el árbol Servicios y aplicaciones y haga clic con el
botón derecho en el icono Control WMI > Propiedades.
Estas son las cuatro fichas en la ventana Propiedades de Control WMI:
General - Resumen de información sobre la computadora local y WMI
Copia de seguridad y/o restauración - Permite realizar la copia de respaldo manual de las
estadísticas recopiladas por WMI
Seguridad - Ajustes para configurar quién tiene acceso a las diferentes estadísticas de
WMI
Opciones avanzadas - Ajustes para configurar el espacio de nombres predeterminado para
WMI
Actualmente, algunos ataques utilizan WMI para conectarse con sistemas remotos,
modificar el registro y ejecutar comandos. WMI ayuda a los atacantes a evitar la detección
porque el tráfico es común, los dispositivos de seguridad de red suelen confiar y los
comandos de WMI remotos no suelen dejar rastro en el host remoto. Debido a esto, el
acceso a WMI debe limitarse al máximo.

El Comando Net
Windows tiene muchos comandos que se pueden introducir en la línea de comando. Un
comando importante es el comando net, que se usa en la administración y el mantenimiento
del sistema operativo. El comando net puede soportar muchos otros comandos, que siguen
el net y puede combinarse con switches para concentrarse en resultados específicos.
Para ver una lista de los numerosos net comandos, escriba net help en el command prompt.
El comando output muestra los comandos que puede utilizar el comando net. Para ver
ayuda detallada sobre cualquiera de los comandos net, escriba C:\> net help.
Administrador de Tareas y Monitor de Recursos
Administrador de tareas
El Administrador de tareas ofrece mucha información sobre el software que se está
ejecutando y el rendimiento general de la computadora.
Monitor de recursos
Cuando se necesita información más detallada sobre el uso de recursos, es posible utilizar
el Monitor de recursos. Si la computadora se comporta de manera extraña, el Monitor de
recursos puede ayudar a encontrar el origen del problema.
Redes
Para configurar las propiedades de redes de Windows y probar la configuración de redes, se
emplea el Centro de redes y recursos compartidos.
Esta vista permite ver si hay acceso a Internet y si la red es privada, pública o para
invitados. También se ve el tipo de red (por cable o inalámbrica). Desde esta ventana, es
posible ver el Grupo Hogar al que pertenece la computadora o crear uno si todavía no
forma parte de uno. Esta herramienta también puede usarse para cambiar la configuración
del adaptador o la configuración de uso compartido avanzado, establecer una nueva
conexión o solucionar problemas. Tenga en cuenta que se eliminó HomeGroup de
Windows 10 en la versión 1803.
Cambiar configuración del adaptador.
Para configurar un adaptador de red, es necesario seleccionar Cambiar configuración del
adaptador en centro de redes y recursos compartidos a fin de ver todas las conexiones de
red que están disponibles.
nslookup and netstat.
El Sistema de Nombres de Dominio (DNS) debe ser probado porque es esencial para
encontrar la dirección de los hosts traduciéndose de un nombre, a una URL. Utilice el
comando nslookup para probar DNS Escriba nslookup cisco.com en la petición de ingreso
de comando para encontrar la dirección del servidor web de Cisco. Si se devuelve la
dirección, significa que el DNS funciona correctamente. También es posible comprobar qué
puertos están abiertos, donde están conectados y cuál es su estado actual. Escriba netstat en
la línea de comando para ver los detalles de las conexiones de red activas, como se muestra
en la salida del comando. Más adelante en este capítulo, el comando netstat se analizará en
más detalle.

Acceso a los Recursos de Red

Al igual que otros sistemas operativos, Windows utiliza una red para varias aplicaciones
diferentes, como web, correo electrónico y servicios de archivo. Microsoft ayudó en el
desarrollo del protocolo bloque de mensajes del servidor (SMB, Server Message Block),
originalmente diseñado por IBM, para compartir recursos de red. Principalmente, SMB se
utiliza para tener acceso a archivos de hosts remotos. Para conectar recursos, se utiliza el
formato de convención de nomenclatura universal (UNC, Universal Naming Convention).
En la UNC, servername es el servidor que aloja el recurso. Puede ser un nombre de DNS,
un nombre de NetBIOS o, simplemente, una dirección IP. El elemento sharename
corresponde a la raíz de la carpeta del sistema de archivos en el host remoto, mientras que
file es el recurso que el host local intenta encontrar.
Al compartir recursos en la red, se deberá identificar el área del sistema de archivos que se
compartirá. Es posible aplicar el control de acceso a las carpetas y archivos para limitar a
usuarios y grupos a funciones específicas, tales como leer, escribir o denegar. Un recurso
compartido administrativo se identifica con el signo de dólar ($) que aparece después de su
nombre.
La manera más sencilla de conectarse a un recurso compartido es escribir su UNC en el
explorador de archivos de Windows. Recuerde que, dado que el recurso está en una
computadora remota, las credenciales deben ser las de la computadora remota, no las de la
computadora local.
También puede iniciar sesión en un host remoto y manipular esa computadora, como si
fuera local. En Windows, esta función se conoce como Protocolo de escritorio remoto
(Remote Desktop Protocol, RDP).

Windows Server
La mayoría de las instalaciones de Windows se realizan como instalaciones de escritorio en
equipos de escritorio y portátiles. En centros de datos se utiliza principalmente otra versión
de Windows: Windows Server.
Nota: Aunque hay un Windows Server 2000, se considera una versión de cliente de
Windows NT 5.0. Windows Server 2003 es un servidor basado en NT 5.2 y es el precursor
de una nueva familia de versiones de Windows Server.
Estos son algunos de los servicios que provee Windows Server:
- Servicios de red- DNS, DHCP, Terminal Services, controladora de red y
virtualización de red en Hyper-V
- Servicios de archivo- SMB, NFS y DFS
- Servicios web- FTP, HTTP y HTTPS
- Administración- política de grupo y control de servicios de dominio de Active
Directory

El Comando Netstat
Cuando hay malware en una computadora, suele abrir puertos de comunicación en el host
para enviar y recibir datos. El comando netstat puede usarse para buscar conexiones
entrantes o salientes no autorizadas. Cuando se usa solo, el comando netstat permite ver
todas las conexiones de TCP activas disponibles.
Al analizar estas conexiones, es posible determinar cuál de los programas está activado para
escuchar conexiones no autorizadas. Cuando se cree que un programa puede ser malware,
se puede investigar un poco para determinar su legitimidad.
Después, el proceso se puede deshabilitar con el Administrador de tareas y es posible usar
software de eliminación de malware para limpiar la computadora.
Es posible vincular las conexiones con los procesos en ejecución en el Administrador de
tareas. Para hacer esto, abra un command prompt con privilegios administrativos y use el
comando netstat -abno, como se muestra en la salida del comando.

Visor de Eventos
El Visor de eventos de Windows registra el historial de eventos del sistema, de aplicaciones
y de seguridad. Estos archivos de registro constituyen una valiosa herramienta de
resolución de problemas, debido a que proporcionan información necesaria para identificar
un problema. Para abrir el Visor de eventos, búsquelo y haga clic en el icono del programa.
Windows incluye dos categorías de registros de eventos: registros de Windows y registros
de aplicaciones y servicios. Cada una de estas categorías tiene varios tipos de registros. Los
eventos que aparecen en estos registros tienen un nivel: información, advertencia, error o
crítico. También tienen la fecha y hora en que se produjo el evento, junto con su origen y
un identificador relacionado con el tipo de evento.
Los registros de sucesos de seguridad se encuentran en Registros de Windows. Utilizan ID
de evento para identificar el tipo de evento.

Administración de Actualizaciones de Windows

Para garantizar el máximo nivel de protección contra ataques, siempre es necesario
asegurarse de que Windows esté actualizado con los paquetes de servicio y parches de
seguridad más recientes.
Los parches son actualizaciones de códigos que proporcionan los fabricantes para evitar
que un virus o gusano recientemente descubierto logre atacar con éxito.
También hay opciones para no permitir que la computadora se reinicie en determinados
horarios.

Política de Seguridad Local

Una política de seguridad es un conjunto de objetivos de seguridad que garantiza la
seguridad de una red, los datos y los sistemas informáticos en una organización. La
directiva de seguridad es un documento en constante evolución según los cambios
tecnológicos, negocios, y los requisitos de los empleados.
En la mayoría de las redes que usan computadoras Windows, Active Directory se configura
con los dominios en un servidor Windows. Las computadoras con Windows se unen al
dominio. El administrador configura una política de seguridad de dominio que se aplica a
todas las computadoras que se unen al dominio. Las políticas de cuentas se configuran
automáticamente cuando un usuario inicia sesión en una computadora que es miembro de
un dominio.
Las pautas para crear contraseñas son un componente importante de las políticas de
seguridad. Todo usuario que deba iniciar sesión en una PC o conectarse a un recurso de red
debe tener una contraseña.
Utilice la Directiva de bloqueo de cuenta en Directivas de cuenta para evitar los intentos de
inicio de sesión forzosos.
Las políticas de seguridad deben incluir una regla que exija que el PC se bloquee al
activarse el protector de pantalla.
Si la configuración de Directiva de seguridad local en cada computadora independiente es
la misma, es necesario usar la función de Directiva de exportación. Guarde la política con
un nombre, como workstation.inf. Luego, copia el archivo de la política a un medio de
almacenamiento externo o una unidad de red para utilizarlo en otras computadoras
independientes. Esto es especialmente útil si el administrador debe configurar directivas
locales extensas para los derechos de usuario y las opciones de seguridad.
El applet Directiva de seguridad local contiene muchas otras configuraciones de seguridad
que se aplican específicamente a la computadora local. Puede configurar derechos de
usuario, reglas de firewall y hasta la capacidad de limitar la cantidad de archivos que los
usuarios o grupos pueden ejecutar con AppLocker.

Windows Defender
El malware incluye virus, gusanos, troyanos, registradores de teclado, spyware y adware.
Estos están diseñados para invadir la privacidad, robar información y dañar la computadora
o los datos. Es importante proteger las computadoras y los dispositivos móviles mediante
un software antimalware reconocido. Los siguientes tipos de software antimalware se
encuentran disponibles:
 ● Protección antivirus - Este programa monitorea continuamente en busca de virus.
Cuando se detecta un virus, se advierte al usuario y el programa intenta eliminar el
virus o ponerlo en cuarentena.
● Protección contra adware - Este programa busca constantemente programas que
muestran anuncios publicitarios en la computadora.
● Protección contra suplantación de identidad - Este programa bloquea las direcciones
IP de sitios web conocidos por realizar suplantación de identidad y advierte al
usuario acerca de sitios sospechosos.
● Protección contra spyware - Este programa analiza la computadora en busca de
programas que registren claves y otro tipo de spyware.
● Fuentes confiables o no confiables - Este programa le advierte si está por instalar
programas inseguros o visitar sitios web inseguros.
Varias organizaciones con experiencia en seguridad, como McAfee, Symantec y
Kaspersky, ofrecen protección contra malware integral para computadoras y dispositivos
móviles. Windows tiene protección antivirus y antispyware incorporada llamada Windows
Defender.

Firewall de Windows Defender

Un firewall deniega selectivamente el tráfico a una PC o a un segmento de red. Los
firewalls suelen actuar abriendo y cerrando los puertos que utilizan diversas aplicaciones.
Al abrir solo los puertos requeridos en un firewall, se implementa una política de seguridad
restrictiva. Se rechaza todo paquete que no esté explícitamente permitido. En cambio, una
política de seguridad permisiva permite el acceso a través de todos los puertos, excepto
aquellos que estén explícitamente denegados.
Para permitir el acceso al programa a través del Firewall de Windows Defender, busque
Paneles de control. En Sistemas y seguridad, busque Firewall de Windows Defender. Haga
clic en Permitir una aplicación o una función a través del Firewall de Windows Defender.
 CAPÍTULO 4
SISTEMA OPERATIVO LINUX

Qué es Linux
Linux es un sistema operativo creado en 1991. Linux es de código abierto, rápido, confiable
y pequeño. Requiere muy pocos recursos de hardware para ejecutarse y tiene muchas
opciones para ser personalizado.
Una distribución de Linux es el término que se utiliza para describir paquetes creados por
distintas organizaciones. Las distribuciones de Linux (o distros) incluyen el kernel de Linux
con herramientas y paquetes de software personalizados.

El Valor de Linux
Linux es, a menudo, el sistema operativo elegido en el Centro de Operaciones de Seguridad
(SOC). Estos son algunos de los motivos para elegir Linux:
● Linux es de código abierto - Cualquier persona puede adquirir Linux sin cargo y
modificarlo según sus necesidades específicas.
● La CLI de Linux es muy potente - La interfaz de línea de comandos (CLI) de
Linux es extremadamente potente y permite a los analistas realizar tareas no solo
directamente en la terminal sino que también de manera remota.
● El usuario tiene más control sobre el sistema operativo - El usuario de
administrador en Linux, conocido como el usuario root o superusuario, tiene poder
absoluto sobre la computadora.
● Permite mejorar el control de comunicación de la red - Debido a que es posible
ajustar el sistema operativo en cualquier aspecto, es una gran plataforma para crear
aplicaciones de red.
Linux en el SOC
La figura muestra Sguil, que es la consola de analista de ciberseguridad en una versión
especial de Linux llamada Cebolla de Seguridad. La Cebolla de Seguridad es un conjunto
de herramientas de código abierto que trabajan juntas para el análisis de seguridad de red. 

La tabla enlista algunas herramientas que suelen encontrarse en un SOC

Herramientas de Linux
Además de herramientas específicas para el SOC, las computadoras de Linux utilizadas en
el SOC suelen tener herramientas de pruebas de penetración. También conocida como
PenTesting, una prueba de penetración es el proceso de atacar una red o computadora en
busca de vulnerabilidades.

El Shell de Linux
En Linux, el usuario se comunica con el sistema operativo mediante la CLI o GUI. Una
manera de tener acceso a la CLI desde la GUI es mediante una aplicación de emulación de
terminales. Estas aplicaciones permiten que el usuario tenga acceso a la CLI y,
generalmente, se denominan con alguna variación de la palabra “terminal”. En Linux, los
emuladores de terminal comunes son Terminator, eterm, xterm, konsole y gnome-terminal.
Fabrice Bellard ha creado JSLinux que permite ejecutar una versión emulada de Linux en
un navegador.

Comandos Básicos
Los comandos de Linux son programas creados para realizar una tarea específica. Usar el
comando man (manual corto) para obtener documentación sobre los comandos.
Dado que los comandos son programas almacenados en el disco, cuando un usuario escribe
un comando, el shell debe encontrarlo en el disco antes de poder ejecutarlo. El shell busca
comandos escritos por el usuario en directorios específicos e intenta ejecutarlos. La lista de
directorios en la que busca el shell se denomina ruta. Si un comando no está en la ruta, el
usuario debe especificar su ubicación, o el shell no podrá encontrarlo. Los usuarios pueden
agregar fácilmente directorios a la ruta si es necesario.

Comandos de Archivo y de Directorio

Trabajando con Archivos de Texto
Linux tiene muchos editores de texto diferentes, con diversas características y funciones.
Algunos editores de texto incluyen interfaces gráficas, mientras que otros son solamente
herramientas de líneas de comando. Cada editor de texto incluye un conjunto de
características diseñado para admitir una tarea específica.
El principal beneficio de los editores de texto basados en la línea de comando es que
permiten editar un archivo de texto desde una computadora remota. Los editores de texto
suelen utilizarse para la configuración del sistema y el mantenimiento en Linux.

La Importancia de los Archivos de Texto en Linux

En Linux, todo se trata como un archivo. Esto incluye la memoria, los discos, el monitor y
los directorios. Prácticamente todo depende de archivos de configuración para funcionar.
Algunos servicios no tienen solo uno, sino varios archivos de configuración.
Los usuarios pueden especificar exactamente cómo quieren que se comporte cualquier
aplicación o servicio determinado. Cuando se abren, los servicios y las aplicaciones
comprueban el contenido de archivos de configuración específicos para ajustar su
comportamiento en consecuencia.

Una Introducción a las comunicaciones entre clientes y

servidores
Los servidores son computadoras con software instalado que les permite ofrecer servicios a
los clientes a través de la red. Existen muchos tipos de servicios. Algunos proporcionan
recursos externos a los clientes cuando lo solicitan, como archivos, mensajes de correo
electrónico o páginas web. Otros servicios ejecutan tareas de mantenimiento, como la
administración de registros y de la memoria, análisis de disco y mucho más. Cada servicio
requiere un software de servidor independiente. Por ejemplo, el servidor en la figura utiliza
un software para proporcionar al cliente la capacidad de recuperar y enviar archivos

Servidores, Servicios y sus Puertos

En orden para que una computadora pueda ser el servidor para múltiples servicios, se
utilizan los puertos. Un puerto es un recurso de red reservado utilizado por un servicio.
Es habitual dejar el servicio ejecutándose en su puerto predeterminado. La tabla enlista
algunos puertos utilizados comúnmente y sus servicios. A estos también se los denomina
“puertos conocidos”.

Clientes
Los clientes son programas o aplicaciones cuyo objetivo es comunicarse con un tipo de
servidor específico. También conocidos como aplicaciones cliente, los clientes usan un
protocolo bien definido para comunicarse con el servidor. Los Navegadores Web son
clientes web utilizados para comunicarse con servidores web mediante el Protocolo de
Transferencia Hyper (HTTP) en el Puerto 80. El cliente del Protocolo de Transferencia de
Archivos (FTP) es un software utilizado para comunicarse con un servidor FTP. 
Archivos de Configuración de Servicios
En Linux, los servicios se administran por medio de archivos de configuración. Las
opciones frecuentes en la configuración de archivos son números de puertos, localización
de los recursos alojados y detalles de autorización del cliente. Cuando el servicio se inicia,
busca sus archivos de configuración, los carga en la memoria y se ajusta conforme a la
configuración presente en los archivos.
Debido a que los servicios suelen requerir privilegios de superusuario para ejecutar, los
archivos de configuración del servicio suelen requerir privilegios de superusuario para
editar.
No existe ninguna regla de formato para el archivo de configuración; es decisión del
desarrollador del servicio.

Fortalecimiento de Dispositivos
El fortalecimiento de dispositivos consiste en implementar métodos probados para proteger
el dispositivo y su acceso administrativo. Algunos de estos métodos implican
mantenimiento de contraseñas, la configuración de características de inicio de sesión
remoto mejorado y la implementación de seguridad al iniciar sesión por medio de SSH.
Detener servicios y garantizar que no se inicien automáticamente al momento del arranque
constituye otra técnica de fortalecimiento de dispositivos. Las actualizaciones del sistema
operativo también son fundamentales para mantener un dispositivo fortalecido.
Las siguientes son las mejores prácticas básicas para fortalecer un dispositivo.
● Garantizar la seguridad física
● Minimizar la cantidad de paquetes instalados
● Deshabilitar servicios que no se utilizan
● Utilizar SSH y deshabilitar el inicio de sesión en cuentas raíz a través de SSH
● Mantener el sistema actualizado
● Deshabilitar la detección automática de USB
● Aplicar contraseñas seguras
● Forzar cambios de contraseña periódicamente
● Impedir que los usuarios vuelvan a utilizar contraseñas antiguas
Monitoreo de los Registros de Servicio
Los archivos de registro son los datos que almacena una computadora para llevar un
registro de eventos importantes. Todos los eventos del Kernel, los servicios y las
aplicaciones se registran en los archivos de registro. Mediante el monitoreo de archivos de
registro de Linux, un administrador obtiene un panorama claro del desempeño de la
computadora, el estado de la seguridad y cualquier problema subyacente.
En Linux, los archivos de registro pueden clasificarse del siguiente modo:
● Registros de aplicaciones
● Registros de eventos
● Registros de servicios
● Registros del sistema
Algunos registros contienen información acerca de daemons que se están ejecutando en el
sistema Linux. Un daemon es un proceso en segundo plano que se ejecuta sin necesidad de
interactuar con el usuario.
La tabla enlista algunos archivos de registro de Linux populares y sus funciones.
Los Tipos de Sistemas de Archivos en Linux
Hay muchos tipos diferentes de sistemas de archivos, que varían en términos de velocidad,
flexibilidad, seguridad, tamaño, estructura, lógica y mucho más.
La tabla enlista algunos tipos de sistemas de archivos comúnmente encontrados y
respaldado por Linux
El término que se utiliza para el proceso de asignación de un directorio a una partición es
montaje. Después de una operación de montaje exitosa, el sistema de archivos contenido en
la partición es accesible a través del directorio especificado.
Cuando se emite sin opciones, mount devuelve la lista de sistemas de archivos actualmente
montados en una computadora Linux.

Roles de Linux y Permisos de Archivo

En Linux, se trata a la mayoría de las entidades de sistema como archivos. Con el objetivo
de organizar el sistema y reforzar los límites dentro de la computadora, Linux usa permisos
de archivos. Los permisos de archivos están integrados en la estructura del sistema de
archivos y proporcionan un mecanismo para definir los permisos de cada archivo. Cada
archivo en Linux trae sus permisos de archivo, los cuales definen las acciones que el
propietario, el grupo y otros pueden hacer con el archivo. Los posibles permisos son leer,
escribir y ejecutar. El comando ls con el parámetro -l enlista información adicional acerca
del archivo.

El primer campo del resultado permite ver los permisos asociados con space.txt(-rwxrw-r--)
Los permisos de archivo siempre aparecen en el siguiente orden: Usuario, Grupo y Otros.
El archivo space.txt en tiene los siguientes permisos:
● El guión (-) indica que se trata de un archivo. En el caso de los directorios, el primer
guión se reemplazaría por una “d”.
● The first set of characters is for user permission (rwx). The user, analyst, who owns
the file can Read, Write and eXecute the file.
● The second set of characters is for group permissions (rwx). The group, analyst,
who owns the file can Read and WXecute the file.
● The third set of characters is for any other user or group permissions (rwx). Any
other user or group on the computer can only analystRWXecute the file.
El segundo campo define la cantidad de enlaces rígidos hacia el archivo (el número 1
después de los permisos). Un enlace físico crea otro archivo con un nombre diferente
vinculado al mismo lugar en el sistema de archivos (denominado inodo).
El tercer y cuarto campo muestran el usuario (analyst) y el grupo (staff) que poseen el
archivo, respectivamente.
El quinto campo muestra el tamaño del archivo en bytes. El archivo space.txt tiene 253
bytes.
El sexto campo muestra la fecha y hora de la última modificación.
El séptimo campo muestra el nombre del archivo.

Usar valores octales para definir los permisos

Los permisos de archivos son una parte fundamental de Linux y no se pueden eliminar. Un
usuario tiene tantos derechos sobre un archivo como se lo permiten los permisos de
archivo. El único usuario que puede anular el permiso de archivo en una computadora con
Linux es el usuario raíz.Debido a la potencia del usuario raíz, las credenciales root deben
usar contraseñas seguras y no compartirse con nadie más que los administradores del
sistema y otros usuarios de alto nivel.

Enlaces Físicos y Enlaces Simbólicos

Un enlace rígido es otro archivo que apunta a la misma ubicación que el archivo original.
Usar el comando ln para crear un enlace rígido El primer argumento es el archivo existente
y, el segundo, el archivo nuevo.
Ambos archivos apuntan a la misma ubicación en el sistema de archivos. Si cambia un
archivo, el otro también cambia. El comando echo es usado para añadir un texto a
space.txt. Observar que el tamaño del archivo para ambos space.txt y space.hard.txt
incremento a 257 bytes. Si elimina space.hard.txt con el comando rm (remover), el
archivo space.txt sigue existiendo, se puede verificar con el comando more space.txt.
Un enlace simbólico, también llamado enlace suave o symlink, es similar a un enlace físico
en el sentido en que aplicar cambios a un enlace simbólico también cambia el archivo
original. Como se muestra en la salida del comando, usar el comando ln con la opción -s
para crear un enlace simbólico.
Observe que al añadir una línea de texto a test.txt también añade la línea en mytest.txt. Sin
embargo, a diferencia de un enlace rígido, eliminar el archivo original text.txt implica que
mytext.text está vinculado a un archivo que ya no existe, como se muestra con el comando
more mytest.txt y ls -l mytest.txt.
Aunque los enlaces simbólicos tienen un punto único de falla (el archivo subyacente), los
enlaces simbólicos tienen varios beneficios respecto de los enlaces físicos:
● Encontrar enlaces físicos es más difícil. Los enlaces simbólicos muestran la
ubicación del archivo original en el comando ls -l como se muestra en la última
línea de salida en la salida del comando anterior ( mytest.txt -> test.txt ).
● Los enlaces físicos se limitan al sistema de archivos en el que se crean. Los enlaces
simbólicos pueden estar vinculados a un archivo en otro sistema de archivos.
● Los enlaces físicos no pueden estar vinculados a un directorio porque el propio
sistema utiliza enlaces físicos para definir la jerarquía de la estructura de directorios.
Sin embargo, los enlaces simbólicos pueden estar vinculados a directorios.

Sistema de Ventanas X
La interfaz gráfica presente en la mayoría de las computadoras Linux tiene como base el
sistema X Window. También conocido como X o X11, X Window es un sistema de
ventanas diseñado para proporcionar el marco de trabajo básico para una GUI. X incluye
funciones para dibujar y mover ventanas en el dispositivo de visualización, e interactuar
con un mouse y un teclado.
X funciona como un servidor, el cual le permite a un usuario remoto utilizar la red para
conectarse, iniciar una aplicación gráfica y mantener la ventana de gráficos abierta en el
terminal remoto. Mientras la aplicación propiamente dicha se ejecuta en el servidor, la
apariencia gráfica se envía por X a través de la red y se ve en la computadora remota.

La GUI de Linux
Aunque un sistema operativo no necesita una GUI para funcionar, las GUI se consideran
más fáciles de usar que la CLI.
Ubuntu Linux utiliza Gnome 3 como la GUI predeterminada. El objetivo de Gnome 3 es
hacer que Ubuntu sea todavía más fácil de usar. La tabla muestra los principales
componentes de la interfaz de usuario de Unity.
Instalación y Ejecución de Aplicaciones en un Host Linux
Linux suele incluir programas llamados administradores de paquetes. El uso de un
administrador de paquetes para instalar un paquete permite colocar todos los archivos
necesarios en la ubicación correcta en el sistema de archivos. Los administradores de
paquetes varían dependiendo de las distribuciones de Linux.
El comando apt-get update es usado para obtener la lista de paquetes desde el repositorio y
actualizar la base de datos de paquetes locales. El comando apt-get upgrade es usado para
actualizar todos los paquetes actualmente instalados a sus versiones más recientes.

Mantener el Sistema Actualizado

También conocidas como parches, las actualizaciones del sistema operativo son publicadas
periódicamente por empresas de sistemas operativos para abordar cualquier vulnerabilidad
conocida en sus sistemas operativos.
La siguiente tabla compara los comandos de distribución de Archlinux y Debian/Ubuntu
Linux para realizar operaciones básicas del sistema de paquetes.

Procesos y Bifurcaciones
Un proceso es una instancia en ejecución de un programa informático. Los sistemas
operativos multitarea pueden ejecutar varios procesos al mismo tiempo.
Los procesos necesitan una manera de crear nuevos procesos en los sistemas operativos
multitarea. La bifurcación es la única manera de lograr esto en Linux.
La bifurcación es importante por muchas razones. Una de ellas se relaciona con la
escalabilidad de los procesos. Apache, un servidor web muy conocido, es un buen ejemplo
de ello. Gracias a que puede bifurcarse a sí mismo.
Cuando un proceso solicita la bifurcación, el proceso que realiza la solicitud se convierte en
el proceso principal, y el proceso recién creado se denomina subproceso.
La tabla muestra tres comandos que se utilizan para administrar procesos.

Malware en un Host de Linux

El malware de Linux incluye virus, troyanos, gusanos y otros tipos de malware que pueden
afectar el sistema operativo. Debido a una serie de componentes del diseño, como la
estructura del sistema de archivos, los permisos de archivos y las restricciones de las
cuentas de usuario, es habitual considerar que los sistemas operativos Linux tienen mejor
protección contra malware.
Con frecuencia, las vulnerabilidades se detectan en el código de servidores y procesos
ejecutándose en computadoras conectadas a la red. Al igual que con la mayoría de las
vulnerabilidades, mantener la computadora actualizada y cerrar todos los servicios y
puertos no utilizados es una buena manera de reducir las posibilidades de ataque en una
computadora con Linux.
El comando output muestra un atacante usando el comando Telnet para probar la naturaleza
y versión de un servidor web (Puerto 80).
El atacante descubrió que el servidor en cuestión está ejecutando nginx versión 1.12.0. El
siguiente paso sería investigar vulnerabilidades conocidas en el código de nginx 1.12.0.

Comprobación de Rootkit
Un rootkit es un tipo de malware diseñado para aumentar los privilegios de un usuario no
autorizado u otorgar acceso a partes del software que no suelen estar disponibles. Los
rootkit también suelen usarse para asegurar el ingreso a una puerta trasera de una
computadora atacada.
Es posible automatizar la instalación de un rootkit (como parte de una infección) o un
atacante puede instalarlo manualmente después de atacar una computadora. Un rootkit es
destructivo porque cambia el código del kernel y sus módulos, lo que afecta las operaciones
más fundamentales del sistema operativo propiamente dicho.
Dado que se ve afectada la naturaleza misma de la computadora, la detección de rootkits
puede ser muy difícil. Los métodos de detección típicos suelen incluir arrancar la
computadora desde medios confiables, como un CD con el sistema operativo de
diagnóstico ejecutado en directo. Se monta la unidad afectada y, desde el conjunto seguro
de herramientas del sistema, es posible iniciar herramientas de diagnóstico confiables para
inspeccionar el sistema de archivos atacado. Los métodos de inspección incluyen métodos
basados en el comportamiento, y análisis de firmas, diferencias y volcado de memoria.
La eliminación de rootkits puede ser complicada y, a menudo, es imposible, especialmente
en casos en los que el rootkit reside en el kernel. La reinstalación del sistema operativo
suele ser la única solución real. Normalmente, los rootkits de firmware requieren la
sustitución de hardware.
Chkrootkit es un popular programa basado en Linux diseñado para comprobar la
computadora en busca de rootkits conocidos. Es un script de shell que utiliza herramientas
de Linux comunes, como strings y grep, para comparar las firmas de los programas
principales. También busca discrepancias mientras atraviesa el sistema de archivos /proc
comparando las firmas detectadas con el resultado de ps.

Comandos de Tuberías
Aunque las herramientas de línea de comando suelen diseñarse para realizar una tarea
específica bien definida, muchos comandos se pueden combinar para realizar tareas más
complejas mediante una técnica conocida como tuberías. El carácter que define el proceso
de tuberías es la barra vertical (|), y es un procedimiento que consiste en vincular comandos
entre sí, de manera que el resultado de un comando alimente la entrada de otro.
Por ejemplo, el comando ls se utiliza para mostrar todos los archivos y directorios de un
directorio específico. El comando grep compara las búsquedas a través de un archivo de
texto buscando por el carácter específico. si la encuentra, grep muestra todo el contenido de
las carpetas donde se encuentre la cadena.
 CAPÍTULO 5
PROTOCOLOS DE RED

Redes de Muchos Tamaños

Hay redes de todo tamaño. Las redes domésticas sencillas le permiten compartir recursos,
como impresoras, documentos, imágenes y música, entre unos pocos dispositivos finales
locales.
Las redes de oficinas pequeñas y oficinas domésticas (SOHO) permiten a las personas
trabajar desde casa o desde una oficina remota.
Las empresas y las grandes organizaciones usan redes para proporcionar consolidación,
almacenamiento y acceso a la información en los servidores de red.
Internet es la red más extensa que existe. De hecho, el término Internet significa “red de
redes”. Es una colección de redes privadas y públicas interconectadas.
En pequeñas empresas y hogares, muchos PC funcionan como servidores y clientes en la
red. Este tipo de red se denomina red entre pares.

Comunicaciones entre Cliente y Servidor

Todas las computadoras conectadas a una red que participan directamente en las
comunicaciones de la red se clasifican como hosts. Los hosts también se denominan
terminales o nodos. Gran parte de la interacción entre dispositivos terminales es el tráfico
entre cliente y servidor.
Los servidores son simplemente computadoras con software especializado. Este software
les permite a los servidores brindar información a otros terminales de la red. Un servidor
puede tener un solo propósito y brindar un solo servicio, como páginas web. Un servidor
puede ser multipropósito y brindar una variedad de servicios, como páginas web, correo
electrónico y transferencias de archivos.
Las computadoras cliente tienen software instalado, como navegadores web, correo
electrónico y herramientas de transferencia de archivos. Este software les permite solicitar
y mostrar la información obtenida desde el servidor.
Servidor de archivos - El servidor de archivos almacena archivos de usuario y
empresariales en una ubicación central.
Servidor web - El servidor web ejecuta un software de servidor web que permite a muchos
equipos acceder a páginas web.
Servidor de correo electrónico - El servidor de correo electrónico ejecuta un software de
servidor que permite enviar y recibir mensajes de este mismo.

Sesiones Típicas
Un usuario típico de red en la escuela, en casa o en la oficina, utilizará normalmente algún
tipo de dispositivo informático para establecer muchas conexiones con los servidores de la
red. Estos servidores pueden estar en la misma habitación o en cualquier lugar del mundo. 

Seguir la Ruta
Una combinación de cables de cobre y fibra óptica que van sobre la tierra y bajo el mar
transportan el tráfico de datos. También se usan tecnologías inalámbricas y por satélite de
alta velocidad. Estos ISP mundiales de nivel 1 y nivel 2 conectan partes de Internet entre sí,
generalmente mediante un punto de intercambio de Internet. Las redes de mayor tamaño se
conectan a redes de capa 2 mediante un punto de presencia (PoP, Point of Presence), que
suele ser un lugar en el edificio donde se realizan las conexiones físicas al ISP. Los ISP de
nivel 3 conectan hogares y empresas a Internet.
El tráfico de Internet de un usuario puede recorrer muchos cientos de millas en una
dirección solamente para dirigirse en un sentido totalmente diferente para llegar a su
destino. Parte del tráfico puede recorrer ciertas rutas para llegar a su destino y, luego, rutas
totalmente diferentes para regresar.
Los analistas de ciberseguridad deben ser capaces de determinar el origen del tráfico que
ingresa en la red y el destino del tráfico que sale de ella.

Qué son los Protocolos

Realizar simplemente la conexión física por cable o inalámbrica entre los terminales no es
suficiente para habilitar la comunicación. Para que se produzca la comunicación, los
dispositivos deben saber “cómo” comunicarse. La comunicación, ya sea cara a cara o por
una red, está regida por reglas denominadas protocolos. Estos protocolos son específicos
del tipo de método de comunicación en cuestión.
Protocolos de Red
Los protocolos de red ofrecen los medios para que las computadoras se comuniquen en las
redes. Los protocolos de red determinan la codificación, el formato, la encapsulación, el
tamaño, la distribución y las opciones de entrega del mensaje. Los protocolos de red
definen un formato y un conjunto de reglas comunes para intercambiar mensajes entre
dispositivos. Algunos de los protocolos de red más comunes son Hypertext Transfer
Protocol (HTTP), el protocolo de control de transmisión (TCP) y el protocolo de Internet
(IP).

La Suite de Protocolos TCP/IP

Hoy en día, el conjunto de protocolos TCP/IP incluye muchos protocolos y continúa
evolucionando para admitir nuevos servicios.

TCP/IP es el conjunto de protocolos utilizado por Internet y las redes de hoy. TCP/IP tiene
dos aspectos importantes para proveedores y fabricantes:
● Suite de protocolo estándar abierto - Esto significa que está disponible
gratuitamente para el público y puede ser utilizado por cualquier proveedor en su
hardware o en su software.
● Suite de protocolo basado en estándares - Esto significa que ha sido respaldado
por la industria de redes y aprobado por una organización de estándares. Esto
asegura que productos de distintos fabricantes puedan interoperar correctamente.
Formato y Encapsulamiento del Mensaje
Cuando se envía un mensaje desde el origen hacia el destino, se debe utilizar un formato o
estructura específicos. Los formatos de los mensajes dependen del tipo de mensaje y el
canal que se utilice para entregar el mensaje.
Analogía
El proceso que consiste en colocar un formato de mensaje dentro de otro formato de
mensaje se denomina encapsulamiento. La desencapsulación ocurre cuando el destinatario
invierte el proceso y la carta se saca del sobre.
Red
Protocolo de Internet (IP) es un protocolo con una función similar a la del ejemplo sobre.
En la figura, los campos del paquete de Protocolo de Internet versión 6 (IPv6) identifican el
origen del paquete y su destino. IP es responsable de enviar un mensaje desde el origen del
mensaje al destino a través de una o más redes.

Tamaño del Mensaje

Cuando se envía un mensaje largo de un host a otro a través de una red, es necesario
separarlo en partes más pequeñas. Las reglas que controlan el tamaño de las partes, o
tramas que se comunican a través de la red, son muy estrictas. También pueden ser
diferentes, de acuerdo con el canal utilizado. Las tramas que son demasiado largas o
demasiado cortas no se entregan.
Las restricciones de tamaño de las tramas requieren que el host de origen divida un mensaje
largo en fragmentos individuales que cumplan los requisitos de tamaño mínimo y máximo.
El mensaje largo se enviará en tramas independientes, cada trama contendrá una parte del
mensaje original. Cada trama también tendrá su propia información de direccionamiento.
En el host receptor, las partes individuales del mensaje se vuelven a unir para reconstruir el
mensaje original.

Sincronización del Mensaje

El tiempo de los mensajes incluye lo siguiente:
Control de flujo - Este es el proceso de gestión de la velocidad de transmisión de datos. La
sincronización también afecta la cantidad de información que se puede enviar y la
velocidad con la que puede entregarse.
Tiempo de espera de respuesta (Response Time Out) - Si una persona hace una pregunta
y no escucha una respuesta antes de un tiempo aceptable, la persona supone que no habrá
ninguna respuesta y reacciona en consecuencia. La persona puede repetir la pregunta o
puede continuar la conversación.

Métodos de acceso - Determina en qué momento alguien puede enviar un mensaje. Haga
clic en Reproducir en la figura para ver una animación de dos personas hablando al mismo
tiempo, luego se produce una "colisión de información" y es necesario que las dos
retrocedan y comiencen de nuevo. Del mismo modo, cuando un dispositivo desea transmitir
en una LAN inalámbrica, es necesario que la tarjeta de interfaz de red (NIC) WLAN
determine si el medio inalámbrico está disponible.

Unidifusión, Multidifusión y Difusión

Unicast.- Una opción de entrega de uno a uno se denomina unicast, que significa que el
mensaje tiene solo un destinatario.
Multidifusión.- Si un host necesita enviar mensajes utilizando una opción de uno a varios,
se denomina multicast.
Difusion.- Si es necesario que todos los hosts de la red reciban el mensaje a la vez, se
utiliza el método de broadcast. La broadcast representa una opción de entrega de mensaje
de uno a todos.

Beneficios del Uso de un Modelo en Capas

Un modelo en capas se utiliza para modularizar las operaciones de una red en capas
manejables.
Los beneficios por el uso de un modelo en capas para describir protocolos de red y
operaciones incluyen lo siguiente:
● Asistencia en el diseño de protocolos porque los protocolos que operan en una capa
específica tienen información definida sobre la que actúan y una interfaz definida
para las capas superiores e inferiores.
● Fomenta la competencia, ya que los productos de distintos proveedores pueden
trabajar en conjunto.
● Evita que los cambios en la tecnología o en las funcionalidades de una capa afecten
otras capas superiores e inferiores.
● Proporciona un lenguaje común para describir las funciones y capacidades de red.
Hay dos modelos en capas que se utilizan para describir las operaciones de red:
● Modelo de Referencia de Interconexión de Sistemas Abiertos
● Modelo de referencia TCP/IP

El Modelo de Referencia OSI

El modelo de referencia OSI proporciona una amplia lista de funciones y servicios que se
pueden presentar en cada capa. Este tipo de modelo es coherente con todos los tipos de
servicios y protocolos de red al describir qué es lo que se debe hacer en una capa
determinada, pero sin regir la forma en que se debe lograr.
También describe la interacción de cada capa con las capas directamente por encima y por
debajo de él.

Nota: tenga en cuenta que, mientras las capas del modelo TCP/IP se mencionan solo por el
nombre, las siete capas del modelo OSI se mencionan con frecuencia por número y no por
nombre. Por ejemplo, la capa física se conoce como Capa 1 del modelo OSI, la capa de
enlace de datos es la Capa 2, y así sucesivamente.
Modelo de Protocolo TCP/IP
El modelo de protocolo TCP/IP para comunicaciones de internetwork se creó a principios
de la década de los setenta y se conoce con el nombre de modelo de Internet. Este tipo de
modelo coincide con precisión con la estructura de una suite de protocolos determinada. El
modelo TCP/IP es un protocolo modelo porque describe las funciones que ocurren en cada
capa de protocolos dentro de una suite de TCP/IP. TCP/IP también es un ejemplo de un
modelo de referencia. La tabla muestra detalles sobre cada capa del modelo OSI.

Las definiciones del estándar y los protocolos TCP/IP se explican en un foro público y se
definen en un conjunto de documentos de petición de comentarios (RFC) disponibles al
público. Un RFC es creado por ingenieros de redes y enviado a otros miembros de IETF
para comentarios.

Segmentación del Mensaje

Un método mejor es dividir los datos en partes más pequeñas y manejables para enviarlas
por la red. La segmentación es el proceso de dividir un flujo de datos en unidades más
pequeñas para transmisiones a través de la red. La segmentación es necesaria porque las
redes de datos utilizan el conjunto de protocolos TCP/IP para enviar datos en paquetes IP
individuales. Cada paquete se envía por separado, similar al envío de una carta larga como
una serie de postales individuales. Los paquetes que contienen segmentos para el mismo
destino se pueden enviar a través de diferentes rutas.
La segmentación de mensajes tiene dos beneficios principales.
Aumenta la velocidad - Debido a que un flujo de datos grande se segmenta en paquetes, se
pueden enviar grandes cantidades de datos a través de la red sin atar un enlace de
comunicaciones. Esto permite que muchas conversaciones diferentes se intercalen en la red
llamada multiplexación.
Aumenta la eficiencia - Si un solo segmento no llega a su destino debido a una falla en la
red o congestión de la red, solo ese segmento necesita ser retransmitido en lugar de volver a
enviar toda la secuencia de datos.

Secuenciación
La desventaja de utilizar segmentación y multiplexión para transmitir mensajes a través de
la red es el nivel de complejidad que se agrega al proceso. Supongamos que tuviera que
enviar una carta de 100 páginas, pero en cada sobre solo cabe una. Por lo tanto, se
necesitarían 100 sobres y cada sobre tendría que dirigirse individualmente. Es posible que
la carta de 100 páginas en 100 sobres diferentes llegue fuera de pedido. En consecuencia, la
información contenida en el sobre tendría que incluir un número de secuencia para
garantizar que el receptor pudiera volver a ensamblar las páginas en el orden adecuado.
En las comunicaciones de red, cada segmento del mensaje debe seguir un proceso similar
para asegurar que llegue al destino correcto y que puede volverse a ensamblar en el
contenido del mensaje original. TCP es responsable de secuenciar los segmentos
individuales.

Unidades de Datos de Protocolo

Nota: Aunque la UDP PDU es denominada datagrama, los paquetes IP son a veces también
conocidos como datagramas IP.
La manera que adopta una porción de datos en cualquier capa se denomina unidad de datos
del protocolo (PDU). Durante el encapsulamiento, cada capa encapsula las PDU que recibe
de la capa inferior de acuerdo con el protocolo que se utiliza.
 Datos: término general que se utiliza en la capa de aplicación para la PDU
 Segmento: PDU de la capa de transporte
 Paquete: PDU de la capa de red
 Trama: PDU de la capa de enlace de datos
 Bits: PDU de capa física que se utiliza cuando se transmiten datos físicamente por
el medio
Nota: Si el encabezado de transporte es TCP, entonces es un segmento. Si el encabezado de
transporte es UDP, entonces es un datagrama.
Tres Direcciones
Los protocolos de red exigen el uso de direcciones para la comunicación de red. El cliente
usa el direccionamiento para enviar solicitudes y otros datos a un servidor. El servidor
utiliza la dirección del cliente para regresar los datos solicitados al cliente que los pidió.

Encapsulamiento
Cuando se envían mensajes en una red, el proceso de encapsulamiento opera desde las
capas superiores hacia las capas inferiores. En cada capa, la información de la capa superior
se considera como datos en el protocolo encapsulado.

Desencapsulamiento
Este proceso se invierte en el host receptor, y se conoce como desencapsulamiento. El
desencapsulamiento es el proceso que utilizan los dispositivos receptores para eliminar uno
o más de los encabezados de protocolo. Los datos se desencapsulan mientras suben por la
pila hacia la aplicación del usuario final.
 CAPITULO 6
PROTOCOLO DE INTERNET (IP) Y ETHERNET

Encapsulamiento de Ethernet
Ethernet y las redes inalámbricas (WLAN) son las dos tecnologías LAN más utilizadas. A
diferencia de las redes inalámbricas, Ethernet utiliza comunicaciones por cable, incluyendo
par trenzado, enlaces de fibra óptica y cables coaxiales.
Ethernet funciona en la capa de enlace de datos y en la capa física. Es una familia de
tecnologías de redes definidas en los estándares IEEE 802.2 y 802.3. Ethernet soporta los
siguientes anchos de banda de datos:
10 Mbps
100 Mbps
1000 Mbps (1 Gbps)
10.000 Mbps (10 Gbps)
40,000 Mbps (40 Gbps)
100,000 Mbps (100 Gbps)

Campos de trama de Ethernet

El tamaño mínimo de trama de Ethernet es de 64 bytes, y el máximo es de 1518 bytes. Esto
incluye todos los bytes del campo de dirección MAC de destino a través del campo de
secuencia de verificación de trama (FCS). El campo preámbulo no se incluye al describir el
tamaño de una trama.
Cualquier trama de menos de 64 bytes de longitud se considera un fragmento de colisión o
una trama corta, y es descartada automáticamente por las estaciones receptoras. Las tramas
de más de 1500 bytes de datos se consideran “jumbo” o tramas bebés gigantes.
Las interfaces Fast Ethernet y Gigabit Ethernet de algunos switches Catalyst de Cisco se
pueden configurar para admitir tramas jumbo más grandes.
Formato de Direcciones MAC
Una dirección MAC de Ethernet es un valor binario de 48 bits expresado como 12 dígitos
hexadecimales (4 bits por dígito hexadecimal). Los dígitos hexadecimales usan los números
del 0 al 9 y las letras desde la A a la F.

La Capa de Red
La capa de red, o Capa OSI 3, proporciona servicios para permitir que los dispositivos
finales intercambien datos a través de redes. Como se muestra en la figura, IP versión 4
(IPv4) e IP versión 6 (IPv6) son los principales protocolos de comunicación de la capa de
red. Otros protocolos de capa de red incluyen protocolos de enrutamiento como Open
Shortest Path First (OSPF) y protocolos de mensajería como Internet Control Message
Protocol (ICMP).
Para lograr comunicaciones punto a punto a través de los límites de la red, los protocolos de
la capa de red realizan cuatro operaciones básicas:
Direccionamiento de dispositivos finales: los dispositivos finales deben configurarse con
una dirección IP única para la identificación en la red.
Encapsulación: La capa de red encapsula la unidad de datos de protocolo (PDU) de la
capa de transporte en un paquete. El proceso de encapsulamiento agrega información del
encabezado IP, como la dirección IP de los hosts de origen (emisores) y de destino
(receptores). El proceso de encapsulación lo realiza la fuente del paquete IP.
Enrutamiento: La capa de red proporciona servicios para dirigir los paquetes a un host de
destino en otra red. Para transferir un paquete a otras redes, debe procesarlo un router. La
función del router es seleccionar la mejor ruta y dirigir los paquetes al host de destino en un
proceso que se denomina "enrutamiento". Un paquete puede cruzar muchos routers antes de
llegar al host de destino. Se denomina "salto" a cada router que cruza un paquete antes de
alcanzar el host de destino.
Desencapsulación: Cuando el paquete llega a la capa de red del host de destino, el host
verifica el encabezado IP del paquete. Si la dirección IP de destino dentro del encabezado
coincide con su propia dirección IP, se elimina el encabezado IP del paquete. Una vez que
la capa de red desencapsula el paquete, la PDU de capa 4 que se obtiene se transfiere al
servicio apropiado en la capa de transporte. El proceso de desencapsulación lo realiza el
host de destino del paquete IP.
A diferencia de la capa de transporte (Capa OSI 4), que gestiona el transporte de datos
entre los procesos que se ejecutan en cada host, los protocolos de comunicación de la capa
de red (es decir, IPv4 e IPv6) especifican la estructura de paquetes y el procesamiento
utilizado para transportar los datos de un host a otro host. La capa de red puede transportar
paquetes de varios tipos de comunicación entre varios hosts porque funciona sin tener en
cuenta los datos que contiene cada paquete.

Encapsulación IP
IP encapsula el segmento de la capa de transporte (la capa justo por encima de la capa de
red) u otros datos agregando un encabezado IP. El encabezado IP se usa para entregar el
paquete al host de destino.
El encabezado IP es examinado por dispositivos de Capa 3 (routers y switches de Capa 3) a
medida que viaja a través de una red a su destino. Es importante tener en cuenta que la
información de direccionamiento IP permanece igual desde el momento en que el paquete
sale del host de origen hasta que llega al host de destino, excepto cuando se traduce por el
dispositivo que realiza la traducción de direcciones de red (NAT) para IPv4.
Nota: NAT se discute en módulos posteriores.
En todos los casos, la porción de datos del paquete, es decir, la PDU de la capa de
transporte encapsulada u otros datos, permanece sin cambios durante los procesos de la
capa de red.

Características de IP
IP se diseñó como un protocolo con sobrecarga baja. Provee solo las funciones necesarias
para enviar un paquete de un origen a un destino a través de un sistema interconectado de
redes. El protocolo no fue diseñado para rastrear ni administrar el flujo de paquetes. Estas
funciones, si es necesario, están a cargo de otros protocolos en otras capas, principalmente
TCP en la capa 4.
Estas son las características básicas de la IP:
Sin conexión: No hay conexión con el destino establecido antes de enviar paquetes de
datos.
Mejor esfuerzo: La IP es inherentemente poco confiable porque no se garantiza la entrega
de paquetes.
Medios independientes: La operación es independiente del medio (cobre, fibra óptica o
inalámbrico) que transporta los datos.

Sin Conexión
IP sin conexión, significa que el protocolo IP no crea una conexión de extremo a extremo
dedicada antes de enviar los datos. La comunicación sin conexión es conceptualmente
similar a enviar una carta a alguien sin notificar al destinatario por adelantado. La figura
resume este punto clave.

Mejor Esfuerzo
El protocolo IP tampoco necesita campos adicionales en el encabezado para mantener una
conexión establecida. Este proceso reduce en gran medida la sobrecarga del protocolo IP.
Sin embargo, sin una conexión completa preestablecida, los remitentes no saben si los
dispositivos de destino están presentes y en funcionamiento cuando envían paquetes, ni
tampoco si el destinatario recibe el paquete o si puede acceder al paquete y leerlo.
Independiente de los Medios
Que sea poco confiable significa que el protocolo IP no tiene la capacidad para administrar
y recuperar paquetes no recibidos o dañados. Esto se debe a que, si bien los paquetes IP se
envían con información sobre la ubicación de la entrega, no contienen información que
pueda procesarse para informar al remitente si la entrega fue exitosa. Es posible que los
paquetes lleguen dañados o fuera de secuencia al destino o que no lleguen en absoluto.
Las aplicaciones que utilizan los datos o los servicios de capas superiores deben solucionar
problemas como el envío de paquetes fuera de orden o la pérdida de paquetes. En el
conjunto de protocolos TCP / IP, la confiabilidad es la función del protocolo TCP en la
capa de transporte.
Los paquetes IP pueden ser señales electrónicas que se transmiten por cables de cobre,
señales ópticas que se transmiten por fibra óptica o inalámbricamente como las señales de
radio.
La capa de enlace de datos OSI es responsable de tomar un paquete IP y prepararlo para la
transmisión a través del medio de comunicaciones. Esto significa que la entrega de
paquetes IP no se limita a ningún medio en particular.
La capa de red tiene en cuenta una de las características más importantes del medio, que es
el tamaño máximo de PDU que cada medio puede transportar. Esta característica se conoce
como "unidad de transmisión máxima" (MTU). Parte del control de la comunicación entre
la capa de enlace de datos y la capa de red consiste en establecer el tamaño máximo del
paquete. La capa de enlace de datos pasa el valor de MTU a la capa de red. La capa de red
luego determina qué tamaño pueden tener los paquetes.
En algunos casos, un dispositivo intermedio, generalmente un router, debe dividir un
paquete IPv4 cuando lo reenvía de un medio a otro con una MTU más pequeña. Este
proceso se denomina “fragmentación de paquetes” o “fragmentación”. La fragmentación
provoca latencia. El router no puede fragmentar los paquetes IPv6.

Encabezado de Paquetes IPv4

IPv4 es uno de los protocolos de comunicación de la capa de red principal. El encabezado del
paquete IPv4 se utiliza para garantizar que este paquete se entrega en su siguiente parada en
el camino a su dispositivo final de destino.

El encabezado de paquetes IPv4 consta de campos que contienen información importante

sobre el paquete. Estos campos tienen números binarios que examinan el proceso de capa 3.
Campos de Encabezado de Paquete IPv4
Los campos significativos en el encabezado IPv4 incluyen lo siguiente:
 Versión - Contiene un valor binario de 4 bits establecido en 0100 que identifica esto
como un paquete IPv4.
 Servicios diferenciados o DiffServ (DS) - Este campo, formalmente conocido
como Tipo de servicio (ToS), es un campo de 8 bits que se utiliza para determinar la
prioridad de cada paquete. Los seis bits más significativos del campo DiffServ son
los bits de punto de código de servicios diferenciados (DSCP) y los dos últimos bits
son los bits de notificación de congestión explícita (ECN).
 Suma de comprobación de encabezado - Se utiliza para detectar daños en el
encabezado IPv4.
 Tiempo de duración (Time to Live,TTL) - TTL contiene un valor binario de 8 bits
que se utiliza para limitar la vida útil de un paquete. El dispositivo de origen del
paquete IPv4 establece el valor TTL inicial. Se reduce en uno cada vez que el
paquete es procesado por un router. Si el campo TTL llega a cero, el router descarta
el paquete y envía a la dirección IP de origen un mensaje de tiempo superado del
protocolo de mensajes de control de Internet (ICMP). Debido a que el router
disminuye el TTL de cada paquete, el router también debe volver a calcular la suma
de comprobación del encabezado.
 Protocolo - Este campo se utiliza para identificar el protocolo del siguiente nivel.
Este valor binario de 8 bits indica el tipo de carga de datos que lleva el paquete, lo
que permite que la capa de red transmita los datos al protocolo de la capa superior
apropiado. ICMP (1), TCP (6) y UDP (17) son algunos valores comunes.
 Dirección IPv4 de origen - Contiene un valor binario de 32 bits que representa la
dirección IPv4 de origen del paquete. La dirección IPv4 de origen es siempre una
dirección unicast.
 Dirección IPv4 de destino - Contiene un valor binario de 32 bits que representa la
dirección IPv4 de destino del paquete. La dirección IPv4 de destino es una dirección
unicast, multicast o de difusión.
Los campos Longitud de encabezado de Internet (IHL), Longitud total y Suma de
comprobación del encabezado se utilizan para identificar y validar el paquete.
Para reordenar un paquete fragmentado, se usan otros campos. Específicamente, el paquete
IPv4 utiliza los campos de identificación, señaladores y desplazamiento de fragmentos para
llevar un control de los fragmentos.
Porciones de Red y de Host
Los bits dentro de la porción de red de la dirección deben ser idénticos para todos los
dispositivos que residen en la misma red. Los bits dentro de la porción de host de la
dirección deben ser únicos para identificar un host específico dentro de una red. 

La Máscara de Subred
Asignar una dirección IPv4 a un host requiere lo siguiente:
 DirecciónIPv4 - Esta es la dirección IPv4 única del host.
 Máscara de subred\ - Se usa para identificar la parte de red/host de la dirección
IPv4.
Nota: Se requiere una dirección IPv4 de puerta de enlace (Gateway) predeterminada para
llegar a redes remotas y se requieren direcciones IPv4 del servidor DNS para traducir
nombres de dominio a direcciones IPv4.
La máscara de subred IPv4 se usa para diferenciar la porción de red de la porción de host de
una dirección IPv4. Cuando se asigna una dirección IPv4 a un dispositivo, la máscara de
subred se usa para determinar la dirección de red del dispositivo. La dirección de red
representa todos los dispositivos de la misma red.
Tenga en cuenta que la máscara de subred en realidad no contiene la porción de red o host
de una dirección IPv4, solo le dice a la computadora dónde buscar la parte de la dirección
IPv4 que es la porción de red y qué parte es la porción de host.
El proceso real que se usa para identificar la porción de red y la porción de host se
denomina AND.

La Longitud del Prefijo

La longitud del prefijo es el número de bits establecidos en 1 en la máscara de subred. Está
escrito en "notación de barra", que se observa mediante una barra diagonal (/) seguida del
número de bits establecidos en 1. Por lo tanto, cuente el número de bits en la máscara de
subred y anteponga una barra diagonal.
Nota: Una dirección de red también se conoce como prefijo o prefijo de red. Por lo tanto, la
longitud del prefijo es el número de bits "1" en la máscara de subred.
Al representar una dirección IPv4 utilizando una longitud de prefijo, la dirección IPv4 se
escribe seguida de la longitud del prefijo sin espacios. Por ejemplo, 192.168.10.10
255.255.255.0 se escribiría como 192.168.10.10/24.

Determinación de la red: Lógica AND

Un AND lógico es una de las tres operaciones booleanas utilizadas en la lógica booleana o
digital. Las otras dos son OR y NOT. La operación AND se usa para determinar la
dirección de red.
El AND lógico es la comparación de dos bits que producen los resultados que se muestran a
continuación. Observe que solo mediante 1 AND 1 se obtiene 1. Cualquier otra
combinación da como resultado un 0.
Para identificar la dirección de red de un host IPv4, se recurre a la operación lógica AND
para la dirección IPv4, bit por bit, con la máscara de subred. El uso de la operación AND
entre la dirección y la máscara de subred produce la dirección de red.
  Dirección de hostIPv4 (192.168.10.10) - La dirección IPv4 del host en formato
decimal y binario punteados.
 Máscara de subred (255.255.255.0) - La máscara de subred del host en formatos
decimales y binarios punteados.
 Dirección de red (192.168.10.0): La operación AND lógica entre la dirección IPv4
y la máscara de subred da como resultado una dirección de red IPv4 que se muestra
en formato decimal y binario punteados.

Esta es una operación IPv4 importante, ya que le dice al host a qué red pertenece.

División en Subredes de los Dominios de Difusión

Un problema con un dominio de difusión grande es que estos hosts pueden generar
difusiones excesivas y afectar la red de manera negativa. LAN 1 conecta 400 usuarios, cada
uno con capacidad para generar tráfico de difusión. Esa cantidad de tráfico de difusión
puede ralentizar las operaciones de red. Puede reducir las operaciones de los dispositivos,
debido a que cada dispositivo debe aceptar y procesar cada paquete de difusión.
La solución es reducir el tamaño de la red para crear dominios de difusión más pequeños
mediante un proceso que se denomina división en subredes. Estos espacios de red más
pequeños se denominan subredes.
La división en subredes disminuye el tráfico de red general y mejora su rendimiento.
También permite a un administrador implementar políticas de seguridad que controlan qué
subredes pueden comunicarse entre sí.
Clases de Direcciones IPv4 y Mascaras de Subred
Predeterminadas
En 1981, las direcciones IPv4 se asignaban mediante el direccionamiento con base a
esquemas de clases, según se define en RFC 790. A los clientes se les asignaba una
dirección de red basada en una de tres clases: A, B o C. El RFC dividía los rangos unicast
en las siguientes clases específicas:
Clase A (0.0.0.0/8 a 127.0.0.0/8): Diseñada para admitir redes extremadamente grandes,
con más de 16 millones de direcciones de host. Usaba un prefijo /8 fijo donde el primer
octeto indicaba la dirección de red y los tres octetos restantes eran para las direcciones de
host.
Clase B (128.0.0.0/16 a 191.255.0.0/16): Diseñada para satisfacer las necesidades de redes
de tamaño moderado a grande, con hasta 65 000 direcciones de host. Usaba un prefijo /16
fijo donde los dos octetos de valor superior indicaban la dirección de red y los dos octetos
restantes eran para las direcciones de host.
Clase C (192.0.0.0/24 a 223.255.255.0/24): Diseñada para admitir redes pequeñas con un
máximo de 254 hosts. Usaba un prefijo /24 fijo donde los tres primeros octetos indicaban la
red y el octeto restante era para las direcciones de host.
Nota: También existe un bloque de multidifusión de clase D que va de 224.0.0.0 a
239.0.0.0, y un bloque de direcciones experimentales de clase E que va de 240.0.0.0 a
255.0.0.0.

Direcciones Privadas Reservadas

Las direcciones IPv4 públicas son direcciones en las que se realiza routing globalmente
entre los routers ISP. Sin embargo, no todas las direcciones IPv4 disponibles pueden usarse
en Internet. Existen bloques de direcciones denominadas direcciones privadas que la
mayoría de las organizaciones usan para asignar direcciones IPv4 a los hosts internos.
A mediados de la década de 1990, se presentaron las direcciones IPv4 privadas debido al
agotamiento del espacio de direcciones IPv4. Las direcciones IPv4 privadas no son
exclusivas y cualquier red interna puede usarlas.
Estos son los bloques de direcciones privadas:
10.0.0.0 /8 o 10.0.0.0 a 10.255.255.255
172.16.0.0 /12 o 172.16.0.0 a 172.31.255.255
192.168.0.0 /16 o 192.168.0.0 a 192.168.255.255
Es importante saber que las direcciones dentro de estos bloques de direcciones no están
permitidas en Internet y deben ser filtradas (descartadas) por los routers de Internet.
La mayoría de las organizaciones usan direcciones IPv4 privadas para los hosts internos.
Sin embargo, estas direcciones RFC 1918 no se pueden enrutar en Internet y deben
traducirse a direcciones IPv4 públicas. Se usa la traducción de direcciones de red (NAT)
para traducir entre direcciones IPv4 privadas y públicas. En general, esto se hace en el
router que conecta la red interna a la red del ISP.

La Decisión de Reenvío de Host

Con IPv4 e IPv6, los paquetes siempre se crean en el host de origen. El host de origen debe
poder dirigir el paquete al host de destino. Para ello, los dispositivos finales de host crean
su propia tabla de enrutamiento.
Otra función de la capa de red es dirigir los paquetes entre hosts. Un host puede enviar un
paquete según lo siguiente:
 A sí mismo - Un host puede hacerse ping a sí mismo al enviar un paquete a una
dirección IPv4 127.0.0.1, denominada "interfaz de bucle invertido".
 Host local - Los hosts de origen y destino comparten la misma dirección de red.
 Host remoto - Los hosts de origen y destino no comparten la misma dirección de
red.
El dispositivo final de origen determina si la dirección IP de destino está en la misma red en
la que está el propio dispositivo de origen. El método de determinación varía según la
versión IP:
 En IPv4 - El dispositivo de origen utiliza su propia máscara de subred junto con su
propia dirección IPv4 y la dirección IPv4 de destino para realizar esta
determinación.
 En IPv6 - El router local anuncia la dirección de red local (prefijo) a todos los
dispositivos de la red.
En una red doméstica o comercial, puede tener varios dispositivos cableados e inalámbricos
interconectados mediante un dispositivo intermediario, como un switch LAN o un punto de
acceso inalámbrico (WAP). Este dispositivo intermediario proporciona interconexiones
entre hosts locales en la red local.
 Los dispositivos que no están en el segmento de red local se denominan "módulo remoto
de E/S". Cuando un dispositivo de origen envía un paquete a un dispositivo de destino
remoto, se necesita la ayuda de los routers y del enrutamiento. El enrutamiento es el
proceso de identificación de la mejor ruta para llegar a un destino. El router conectado al
segmento de red local se denomina Gateway Predeterminado.
Puerta de Enlace Predeterminada (Gateway)
La puerta de enlace predeterminada es el dispositivo de red (es decir, el router o el switch
de capa 3) que puede enrutar el tráfico a otras redes. Si se piensa en una red como si fuera
una habitación, el Gateway Predeterminado es como la puerta. Si desea ingresar a otra
habitación o red, debe encontrar la puerta.
En una red, una puerta de enlace predeterminada suele ser un router con estas
características:
 Tiene una dirección IP local en el mismo rango de direcciones que otros hosts en la
red local.
 Puede aceptar datos en la red local y reenviar datos fuera de la red local.
 Enruta el tráfico a otras redes.

Un Host Enruta a la Puerta de Enlace Predeterminada

Una tabla de enrutamiento de host generalmente incluirá una puerta de enlace
predeterminada. En IPv4, el host recibe la dirección IPv4 de la puerta de enlace
predeterminada, ya sea dinámicamente mediante el Protocolo de Configuración Dinámica
de Host (DHCP) o configurado manualmente. En IPv6, el router anuncia la dirección de la
puerta de enlace predeterminada o el host se puede configurar manualmente.

Tablas de Enrutamiento de Host

En un host de Windows, el comando route print o netstat -r se puede usar para mostrar la
tabla de enrutamiento del host. Los dos comandos generan el mismo resultado.
Al ingresar el comando netstat -r o el comando equivalente route print se muestran tres
secciones relacionadas con las conexiones de red TCP / IP actuales:
Lista de interfaces -Enumera la dirección de control de acceso a medios (MAC) y el
número de interfaz asignado de cada interfaz con capacidad de red en el host, incluidos los
adaptadores Ethernet, Wi-Fi y Bluetooth.
Tabla de enrutamiento IPv4 -Es una lista de todas las rutas IPv4 conocidas, incluidas las
conexiones directas, las redes y las rutas locales predeterminadas.
Tabla de enrutamiento IPv6 -Es una lista de todas las rutas IPv6 conocidas, incluidas las
conexiones directas, las redes y las rutas locales predeterminadas.
Necesidad de Utilizar IPv6
Cuando el IETF comenzó a desarrollar un sucesor de IPv4, aprovechó esta oportunidad
para corregir las limitaciones de IPv4 e incluir mejoras. Un ejemplo es el Protocolo de
mensajes de control de Internet versión 6 (ICMPv6), que incluye la resolución de
direcciones y la configuración automática de direcciones que no se encuentran en ICMP
para IPv4 (ICMPv4).
IPv4 tiene un máximo teórico de 4300 millones de direcciones. Las direcciones privadas en
combinación con la traducción de direcciones de red (NAT) fueron esenciales para demorar
la reducción del espacio de direcciones IPv4. Sin embargo, NAT es problemático para
muchas aplicaciones, crea latencia y tiene limitaciones que impiden severamente las
comunicaciones entre pares.
Con una población de Internet cada vez mayor, un espacio limitado de direcciones IPv4,
problemas con NAT y el IoT, ha llegado el momento de comenzar la transición a IPv6.

Formatos de Direcciones IPv6

Las direcciones IPv6 tienen una longitud de 128 bits y se escriben como una cadena de
valores hexadecimales. Cada cuatro bits está representado por un solo dígito hexadecimal;
para un total de 32 valores hexadecimales, como se muestra en la figura. Las direcciones
IPv6 no distinguen entre mayúsculas y minúsculas, y pueden escribirse en minúsculas o en
mayúsculas.
La figura anterior también muestra que el formato preferido para escribir una dirección
IPv6 es x: x: x: x: x: x: x: x, donde cada "x" consta de cuatro valores hexadecimales. El
término octeto hace referencia a los ocho bits de una dirección IPv4. En IPv6, un “hexteto”
es el término no oficial que se utiliza para referirse a un segmento de 16 bits o cuatro
valores hexadecimales. Cada "x" es un único hexteto que tiene 16 bits o cuatro dígitos
hexadecimales.

Regla 1: Omitir los Ceros Iniciales

La primera regla para ayudar a reducir la notación de las direcciones IPv6 es omitir los
ceros iniciales en cualquier hexteto. Aquí hay cuatro ejemplos de formas de omitir ceros a
la izquierda:
 01ab se puede representar como 1ab

Regla 2: Dos Puntos Dobles

La segunda regla para ayudar a reducir la notación de las direcciones IPv6 es que dos
puntos dobles (: :) puede reemplazar cualquier cadena única y contigua de uno o más
hextetos de 16 bits que consisten en todos los ceros. Por ejemplo, 2001:db8:cafe: 1:0:0:0:1
(0 iniciales omitidos) podría representarse como 2001:db8:cafe:1: :1. Los dos puntos dobles
(: :) se utilizan en lugar de los hextetos de tres ceros (0: 0: 0).
Los dos puntos dobles (: :) se pueden utilizar solamente una vez dentro de una dirección; de
lo contrario, habría más de una dirección resultante posible.  Esto se suele conocer como
“formato comprimido”.
Si una dirección tiene más de una cadena contigua de hextetos, todos 0, la práctica
recomendada es usar los dos puntos dobles (: :) en la cadena más larga. Si las cadenas son
iguales, la primera cadena debe usar los dos puntos dobles (: :).

Longitud de Prefijo IPv6

En IPv4 el /24 se llama prefijo. En IPv6 se llama longitud de prefijo. IPv6 no utiliza la
notación decimal punteada de máscara de subred. Al igual que IPv4, la longitud del prefijo
se representa en notación de barra inclinada y se usa para indicar la porción de red de una
dirección IPv6.
La longitud de prefijo puede ir de 0 a 128. La longitud recomendada del prefijo IPv6 para
las LAN y la mayoría de los otros tipos de redes es / 64
Se recomienda encarecidamente utilizar un ID de interfaz de 64 bits para la mayoría de las
redes. Esto se debe a que la autoconfiguración de direcciones sin estado (SLAAC) utiliza
64 bits para el ID de la interfaz. También facilita la creación y gestión de subredes.
 CAPITULO 7
VERIFICACION DE LA CONECTIVIDAD

Mensajes de ICMPv4
Si bien IP es solo un protocolo de máximo esfuerzo, el paquete TCP/IP permite que los
mensajes se envíen en caso de que se produzcan determinados errores. Estos mensajes se
envían mediante los servicios de ICMP. El objetivo de estos mensajes es proporcionar
respuestas acerca de temas relacionados con el procesamiento de paquetes IP en
determinadas condiciones, no es hacer que IP sea confiable. Los mensajes de ICMP no son
obligatorios y, a menudo, no se permiten dentro de una red por razones de seguridad.
El protocolo ICMP está disponible tanto para IPv4 como para IPv6.
Los mensajes ICMP comunes a ICMPv4 y a ICMPv6 incluyen lo siguiente:
 Confirmación de host
 Destino o servicio inaccesible
 Tiempo superado
 Redireccionamiento de ruta
Confirmación de Host
Se puede utilizar un mensaje de eco ICMP para determinar si un host funciona. El host
local envía una solicitud de eco ICMP a un host. Si el host se encuentra disponible, el host
de destino responde con una respuesta de eco.
Destino o Servicio Inaccesible
Cuando un host o gateway recibe un paquete que no puede entregar, puede utilizar un
mensaje ICMP de destino inalcanzable para notificar al origen que el destino o el servicio
son inalcanzables. El mensaje incluye un código que indica el motivo por el cual no se
pudo entregar el paquete.
Estos son algunos de los códigos de destino inalcanzable para ICMPv4:
0 - Red inalcanzable
1 - Host inalcanzable
2 - Protocolo inalcanzable
3 - Puerto inalcanzable
Note: ICMPv6 tiene códigos similares, pero ligeramente diferentes para los mensajes de
Destino Inalcanzable.
Tiempo Excedido
Los routers utilizan los mensajes de tiempo superado de ICMPv4 para indicar que un
paquete no puede reenviarse debido a que el campo de tiempo de duración (TTL) del
paquete se disminuyó a 0. Si un router recibe un paquete y disminuye el campo TTL en el
paquete IPV4 a cero, descarta el paquete y envía un mensaje de tiempo superado al host de
origen.
ICMPv6 también envía un mensaje de tiempo superado si el router no puede reenviar un
paquete IPv6 debido a que el paquete caducó. IPv6 no tiene un campo TTL. Por lo que
utiliza el campo de límite de saltos para determinar si el paquete caducó.

Mensajes de RS y RA de ICMPv6
Los mensajes informativos y de error que se encuentran en ICMPv6 son muy similares a
los mensajes de control y de error que implementa ICMPv4. Sin embargo, ICMPv6 tiene
nuevas características y funcionalidad mejorada que no se encuentran en ICMPv4. Los
mensajes ICMPv6 están encapsulados en IPv6.
ICMPv6 incluye cuatro mensajes nuevos como parte del protocolo de detección de vecino
(ND o NDP).
Mensajería entre un router IPv6 y un dispositivo IPv6:
 Mensaje de Solicitud de Router (RS)
 Mensaje de Anuncio de Router (RA)
Mensajería entre dispositivos IPv6:
 Mensaje de Solicitud de Vecino (NS)
 Mensaje de Anuncio de Vecino (NA)
Solicitud de Router
Los routers envían mensajes de RA para proporcionar información de direccionamiento a
los hosts que utilizan configuración automática de dirección independiente del estado
(SLAAC). El mensaje RA puede incluir información de direccionamiento para el host,
como el prefijo, la longitud del prefijo, la dirección DNS y el nombre de dominio. Un
router envía un mensaje de RA periódicamente o en respuesta a un mensaje de RS. Un host
que utiliza SLAAC establecerá como su Gateway Predeterminado la dirección link-local
del router que envió el RA.
Cuando un host está configurado para obtener la información de direccionamiento
automáticamente mediante SLAAC, el host envía un mensaje de RS al router que solicita el
mensaje de RA.
Resolución de Dirección
Los mensajes de NA se envían cuando un dispositivo conoce la dirección IPv6 de un
dispositivo, pero no la dirección MAC. Esto equivale a una solicitud de ARP para IPv4.
Los mensajes de NA se envían en respuesta a un mensaje de NS y coinciden con la
dirección IPv6 de la NS. El mensaje de NA contiene la dirección MAC de Ethernet del
dispositivo. Esto equivale a una Respuesta de ARP para IPv4.
Detección de Direcciones Duplicadas (DAD)
Cuando se asigna una dirección de unicast global o link-local a un dispositivo, se
recomienda realizar una operación DAD en la dirección para garantizar que sea única. Para
verificar la unicidad de una dirección, el dispositivo enviará un mensaje NS con su propia
dirección IPv6 como la dirección IPv6 objetivo, como se muestra en la figura. Si otro
dispositivo de la red tiene esta dirección, responde con un mensaje NA. Este mensaje NA
notifica al dispositivo emisor que la dirección está en uso. Si no se devuelve un mensaje
NA correspondiente dentro de determinado período, la dirección de unicast es única y su
uso es aceptable.
Nota: No se requiere DAD, pero RFC 4861 recomienda que DAD se realice en direcciones
de unicast.

Ping: Prueba de Conectividad

Ping es una utilidad de prueba de IPv4 e IPv6 que utiliza la solicitud de eco ICMP y los
mensajes de respuesta de eco para probar la conectividad entre los hosts.
Para probar la conectividad a otro host en una red, se envía una solicitud de eco a la
dirección del host utilizando el comando. ping Si el host en la dirección especificada recibe
la solicitud de eco, responde con una respuesta de eco. A medida que se recibe cada
respuesta de eco, ping proporciona comentarios sobre el tiempo entre el momento en que se
envió la solicitud y el momento en que se recibió la respuesta. Esto puede ser una medida
del rendimiento de la red.
El comando ping tiene un valor de tiempo de espera para la respuesta. Si no se recibe una
respuesta dentro del tiempo de espera, el comando ping proporciona un mensaje que indica
que no se recibió una respuesta. Esto puede indicar que hay un problema, pero también
podría indicar que las funciones de seguridad que bloquean los mensajes de ping se han
habilitado en la red. Es común que el primer ping se agote si es necesario realizar la
resolución de direcciones (ARP o ND) antes de enviar la solicitud de eco ICMP.
Los tipos de pruebas de conectividad que se realizan con ping son los siguientes:
 Hacer ping al loopback local
 Hacer ping a la puerta de enlace predeterminada
 Hacer ping al host remoto

Hacer Ping al Loopback

Ping se puede usar para probar la configuración interna de IPv4 o IPv6 en el host local.
Para realizar esta prueba, ping a dirección de bucle de retorno local de 127.0.0.1 para IPv4
(:: 1 para IPv6).
Una respuesta de 127.0.0.1 para IPv4 (o ::1 para IPv6) indica que IP está instalado
correctamente en el host. Esta respuesta proviene de la capa de red. Sin embargo, esta
respuesta no indica que las direcciones, las máscaras o los Gateway estén configurados
adecuadamente. Tampoco indica nada acerca del estado de la capa inferior de la pila de red.
Simplemente, prueba el protocolo IP en la capa de red de dicho protocolo. Un mensaje de
error indica que TCP/IP no funciona en el host.
 Hacer ping al host local permite confirmar que el protocolo TCP/IP se encuentra
instalado en el host y que funciona.
 Hacer ping a 127.0.0.1 ocasiona que un dispositivo se haga ping a sí mismo.

Hacer Ping al Gateway Predeterminado

También puede usar para ping probar la capacidad de un host para comunicarse en la red
local. Esto generalmente se hace haciendo ping a la dirección IP de la puerta de enlace
predeterminada del host. Un éxito en el ping puerta de enlace predeterminada indica que el
host y la interfaz del router que sirve como puerta de enlace predeterminada están
operativos en la red local.
Para esta prueba, la dirección de puerta de enlace predeterminada se usa con mayor
frecuencia porque el router normalmente siempre está operativo. Si la dirección de la puerta
de enlace predeterminada no responde, ping se puede enviar a la dirección IP de otro host
en la red local que se sabe que está operativa.
Si la puerta de enlace predeterminada u otro host responde, entonces el host local puede
comunicarse con éxito a través de la red local. Si la puerta de enlace predeterminada no
responde, pero otro host sí, esto podría indicar un problema con la interfaz del router que
funciona como la puerta de enlace predeterminada.
Una posibilidad es que se haya configurado una dirección de puerta de enlace
predeterminada incorrecta en el host. Otra posibilidad es que la interfaz del router puede
estar en funcionamiento, pero se le ha aplicado seguridad, de manera que no procesa o
responde solicitudes de ping.

Hacer Ping a un Host Remoto

También se puede utilizar el comando ping para probar la capacidad de un host local para
comunicarse en una interconexión de redes. El host local puede hacer ping a un host IPv4
operativo de una red remota. El router utiliza su tabla de enrutamiento IP para reenviar los
paquetes.
Si este ping se realiza correctamente, se puede verificar el funcionamiento de una amplia
porción de la interconexión de redes. Un éxito en ping toda la red confirma la
comunicación en la red local, el funcionamiento del router que sirve como puerta de enlace
predeterminada y el funcionamiento de todos los demás routers que podrían estar en la ruta
entre la red local y la red del host remoto.
Además, se puede verificar la funcionalidad del host remoto. Si el host remoto no pudiera
comunicarse fuera de su red local, no habría respondido.

Traceroute: Prueba el Camino

El comando ping se usa para probar la conectividad entre dos hosts, pero no proporciona
información sobre los detalles de los dispositivos entre los hosts. Traceroute (tracert) es una
utilidad que genera una lista de saltos que se alcanzaron con éxito a lo largo de la ruta. Esta
lista puede proporcionar información importante sobre la verificación y la solución de
problemas. Si los datos llegan al destino, el rastreo indica la interfaz de cada router que
aparece en la ruta entre los hosts. Si los datos fallan en algún salto a lo largo del camino, la
dirección del último router que respondió al rastreo puede indicar dónde se encuentra el
problema o las restricciones de seguridad.
Tiempo de Ida y Vuelta (RTT)
El uso de Traceroute proporciona tiempo de ida y vuelta para cada salto a lo largo del
camino e indica si un salto no responde. El tiempo de ida y vuelta es el tiempo que tarda un
paquete en llegar al host remoto y que la respuesta del host regrese. Se utiliza un asterisco (\
*) para indicar un paquete perdido o no respondido.
Esta información se puede usar para localizar un router problemático en la ruta o puede
indicar que el router está configurado para no responder. Si aparecen en pantalla tiempos de
respuesta elevados o pérdidas de datos de un salto específico, esto indica que los recursos
del router o sus conexiones pueden estar sobrecargados.
TTL de IPv4 y Límite de Saltos de IPv6
Traceroute utiliza una función del campo TTL en IPv4 y el campo Límite de Salto en IPv6
en los encabezados de Capa 3, junto con el mensaje de ICMP Tiempo Excedido.
La primera secuencia de mensajes enviados desde traceroute tiene un valor de 1 en el
campo TTL. Esto hace que el TTL agote el tiempo de espera del paquete IPv4 en el primer
router. Este router responde con un mensaje ICMPv4 Tiempo Excedido. Traceroute ahora
tiene la dirección del primer salto.
A continuación, Traceroute incrementa progresivamente el campo TTL (2, 3, 4...) para cada
secuencia de mensajes. Esto proporciona el rastro con la dirección de cada salto a medida
que los paquetes caducan más adelante en la ruta. El campo TTL sigue aumentando hasta
que se alcanza el destino, o se incrementa a un máximo predefinido.
Una vez que se alcanza el destino final, el host responde con un mensaje de puerto
inalcanzable ICMP o un mensaje de respuesta de eco ICMP en lugar del mensaje de tiempo
excedido ICMP.

Formato de Paquetes ICMP

ICMP se encapsula directamente en paquetes IP. En este sentido, es casi como un protocolo
de capa de transporte, porque se encapsula en un paquete; sin embargo, se considera un
protocolo de capa 3. ICMP actúa como una carga útil de datos dentro del paquete IP. Tiene
un campo de datos de encabezado especial.
ICMP utiliza códigos de mensaje para diferenciar entre distintos tipos de mensajes ICMP.
Los siguientes son algunos códigos de mensaje comunes:
0: Respuesta de eco (respuesta a un ping)
3: Destino inalcanzable
5: Redireccionamiento (utilizar otra ruta al destino)
8: Solicitud de eco (para ping)
1: Tiempo Excedido (TTL se convirtió en 0)
Como se verá más adelante en el curso, un analista de ciberseguridad sabe que el campo de
carga útil opcional de ICMP se puede utilizar en un vector de ataque para extraer datos.
 CAPITULO 8
PROTOCOLO DE RESOLUCION DE DIRECCIONES

Destino en la Misma Red

Hay dos direcciones primarias asignadas a un dispositivo en una LAN Ethernet:
 Dirección física (dirección MAC) - Se utiliza para comunicaciones de NIC
Ethernet a NIC Ethernet en la misma red.
 Dirección lógica (la dirección IP) - Se utiliza para enviar el paquete desde la
fuente original al destino final.
Las direcciones IP se utilizan para identificar la dirección del dispositivo origen y el
dispositivo de destino. La dirección IP de destino puede estar en la misma red IP que la
fuente o puede estar en una red remota.
Nota: La mayoría de las aplicaciones utilizan el sistema de nombres de dominio (DNS) para
determinar la dirección IP cuando se les indica un nombre de dominio, como
“www.cisco.com”. El DNS se analiza en un módulo más adelante.
Las direcciones MAC Ethernet, tienen un propósito diferente: se utilizan para distribuir la
trama de enlace de datos con el paquete IP encapsulado de una NIC a otra en la misma red.
Si la dirección IP de destino está en la misma red, la dirección MAC de destino será la del
dispositivo de destino.
La trama Ethernet de capa 2 contiene lo siguiente:
 Dirección MAC de destino: es la dirección MAC de la NIC de Ethernet del servidor
de archivos.
 Dirección MAC de origen: es la dirección MAC de la NIC Ethernet de la PC-A.
El paquete IP de capa 3 contiene lo siguiente:
 Dirección IP de origen: es la dirección IP del origen inicial, la PC-A.
 Dirección IP de destino: es la dirección IP del destino final, el servidor de archivos.

Destino en una Red Remota

Cuando la dirección IP de destino está en una red remota, la dirección MAC de destino es
la dirección de la puerta de enlace predeterminada del host. La dirección de puerta de
enlace predeterminada es la dirección de la NIC del router, como se muestra en la figura. Si
utilizamos una analogía de correo postal, esto sería similar a cuando una persona lleva una
carta a la oficina postal local. Sólo necesitan dejar la carta en la oficina de correos.
A partir de ese momento, se vuelve responsabilidad de la oficina postal reenviar la carta al
destinatario final.
Cuando el router recibe una trama de Ethernet, desencapsula la información de capa 2. Por
medio de la dirección IP de destino, determina el dispositivo del siguiente salto y
desencapsula el paquete IP en una nueva trama de enlace de datos para la interfaz de salida.
Junto con cada enlace en una ruta, se encapsula un paquete IP en una trama específica para
la tecnología de enlace de datos particular relacionada con ese enlace, como Ethernet. Si el
dispositivo del siguiente salto es el destino final, la dirección MAC de destino es la de la
NIC Ethernet del dispositivo.
¿Cómo se asocian las direcciones IPv4 de los paquetes IPv4 en un flujo de datos con las
direcciones MAC en cada enlace a lo largo de la ruta hacia el destino? Esto se realiza
mediante un proceso llamado “protocolo de resolución de direcciones (ARP)”.

Descripción General de ARP

Cada dispositivo IP de una red Ethernet tiene una dirección MAC Ethernet única. Cuando
un dispositivo envía una trama de capa 2 de Ethernet, contiene estas dos direcciones:
 Dirección MAC de destino - La dirección MAC Ethernet del dispositivo de destino
en el mismo segmento de red local. Si el host de destino está en otra red, entonces la
dirección de destino en la trama sería la del Gateway Predeterminado (es decir,
router).
 Dirección MAC de origen - La dirección MAC de la NIC de Ethernet en el host de
origen.
Para enviar un paquete a otro host en la misma red IPv4 local, un host debe conocer la
dirección IPv4 y la dirección MAC del dispositivo de destino. Las direcciones IPv4 de
destino del dispositivo se conocen o se resuelven por el nombre del dispositivo. Sin
embargo, las direcciones MAC deben ser descubiertas.
Un dispositivo utiliza el Protocolo de resolución de direcciones (ARP) para determinar la
dirección MAC de destino de un dispositivo local cuando conoce su dirección IPv4.
ARP proporciona dos funciones básicas:
 Resolución de direcciones IPv4 a direcciones MAC
 Mantener una tabla de asignaciones de direcciones IPv4 a MAC
Funciones del ARP
Cuando se envía un paquete a la capa de enlace de datos para encapsularlo en una trama de
Ethernet, el dispositivo consulta una tabla en su memoria para encontrar la dirección MAC
que está asignada a la dirección IPv4. Esta tabla se almacena temporalmente en la memoria
RAM y se denomina tabla ARP o caché ARP.
El dispositivo emisor busca en su tabla ARP la dirección IPv4 de destino y la dirección
MAC correspondiente.
 Si la dirección IPv4 de destino del paquete está en la misma red que la dirección
IPv4 de origen, el dispositivo busca la dirección IPv4 de destino en la tabla ARP.
 Si la dirección IPv4 de destino está en una red diferente que la dirección IPv4 de
origen, el dispositivo busca la dirección IPv4 del Gateway Predeterminado.
En ambos casos, se realiza una búsqueda de la dirección IPv4 y la dirección MAC
correspondiente para el dispositivo.
En cada entrada o fila de la tabla ARP, se enlaza una dirección IPv4 con una dirección
MAC. La relación entre los dos valores se denomina asignación. Esto solamente significa
que es posible buscar una dirección IPv4 en la tabla y encontrar la dirección MAC
correspondiente.
Si el dispositivo localiza la dirección IPv4, se utiliza la dirección MAC correspondiente
como la dirección MAC de destino de la trama. Si no se encuentra ninguna entrada, el
dispositivo envía una solicitud de ARP.

Funcionamiento y Solicitud de ARP

Como las solicitudes de ARP son de broadcast, el switch las envía por todos los puertos,
excepto el de recepción. Todas las NIC Ethernet de la LAN procesan transmisiones y deben
entregar la solicitud ARP a su sistema operativo para su procesamiento. Cada dispositivo
debe procesar la solicitud de ARP para ver si la dirección IPv4 objetivo coincide con la
suya. Un router no reenvía difusiones por otras interfaces.
Solo un dispositivo de la LAN tiene la dirección IPv4 que coincide con la dirección IPv4
objetivo de la solicitud de ARP. Todos los demás dispositivos no envían una respuesta.
Respuesta de ARP
Sólo el dispositivo que envió originalmente la solicitud ARP recibirá la respuesta ARP
unicast. Una vez que recibe la respuesta de ARP, el dispositivo agrega la dirección IPv4 y
la dirección MAC correspondiente a su tabla ARP. A partir de ese momento, los paquetes
destinados para esa dirección IPv4 se pueden encapsular en las tramas con su dirección
MAC correspondiente.
Si ningún dispositivo responde a la solicitud de ARP, el paquete se descarta porque no se
puede crear una trama.
Las entradas de la tabla ARP tienen marcas de tiempo. Si un dispositivo no recibe una
trama de un dispositivo en particular antes de que caduque la marca de tiempo, la entrada
para este dispositivo se elimina de la tabla ARP.
Nota: IPv6 utiliza un proceso similar al ARP para IPv4 llamado “detección de vecinos
(ND) ICMPv6”. El protocolo IPv6 utiliza mensajes de solicitud de vecino y de anuncio de
vecino similares a las solicitudes y respuestas ARP de IPv4.

Función de ARP en la Comunicación Remota

Cuando la dirección IPv4 de destino no está en la misma red que la dirección IPv4 de
origen, el dispositivo de origen debe enviar la trama a la puerta de enlace predeterminada.
Esta es la interfaz del enrutador local.

Eliminación de Entradas de una Tabla ARP

Para cada dispositivo, un temporizador de memoria caché ARP elimina las entradas de
ARP que no se hayan utilizado durante un período especificado. Los tiempos varían según
el sistema operativo del dispositivo. Por ejemplo, los sistemas operativos Windows más
recientes almacenan entradas de tabla ARP entre 15 y 45 segundos

Tablas ARP en Dispositivos de Red

 En un router Cisco, el comando show ip arp se utiliza para mostrar la tabla ARP.
 En una PC con Windows 10, el comando arp –a se usa para mostrar la tabla ARP.
Problemas de ARP – Difusión ARP y suplantación ARP
Todos los dispositivos de la red local reciben y procesan una solicitud de ARP debido a que
es una trama de difusión. En una red comercial típica, estas difusiones tendrían,
probablemente, un efecto mínimo en el rendimiento de la red. Sin embargo, si se
encendiera una gran cantidad de dispositivos que comenzaran a acceder a los servicios de
red al mismo tiempo, el rendimiento podría disminuir durante un breve período.
En algunos casos, el uso de ARP puede conducir a un riesgo potencial de seguridad. Un
atacante puede usar la suplantación ARP para realizar un ataque de envenenamiento ARP.
Esta es una técnica utilizada por un atacante para responder a una solicitud de ARP de una
dirección IPv4 que pertenece a otro dispositivo, como la puerta de enlace predeterminada,
tal como se muestra en la ilustración. El atacante envía una respuesta de ARP con su propia
dirección MAC. El receptor de la respuesta de ARP agrega la dirección MAC incorrecta a
la tabla ARP y envía estos paquetes al atacante. Los switches de nivel empresarial incluyen
técnicas de mitigación conocidas como “inspección dinámica de ARP (DAI)”.
 CAPITULO 9
CAPA DE TRANSPORTE

Función de la Capa de Transporte

Los programas de capa de aplicación generan datos que deben intercambiarse entre los
hosts de origen y de destino. La capa de transporte es responsable de las comunicaciones
lógicas entre aplicaciones que se ejecutan en diferentes hosts. Esto puede incluir servicios
como el establecimiento de una sesión temporal entre dos hosts y la transmisión fiable de
información para una aplicación.
Como se muestra en la ilustración, la capa de transporte es el enlace entre la capa de
aplicación y las capas inferiores que son responsables de la transmisión a través de la red.

La capa de transporte no tiene conocimiento del tipo de host de destino, el tipo de medio
por el que deben viajar los datos, la ruta tomada por los datos, la congestión en un enlace o
el tamaño de la red.
La capa de transporte incluye dos protocolos:
Protocolo de Control de Transmisión (TCP)
Protocolo de Datagramas de Usuario (UDP)

Responsabilidades de la Capa de Transporte

 Seguimiento de Conversaciones individuales
En la capa de transporte, cada conjunto de datos que fluye entre una aplicación de
origen y una aplicación de destino se conoce como una conversación y se rastrea
por separado. Es responsabilidad de la capa de transporte mantener y hacer un
seguimiento de todas estas conversaciones.
 Segmentación de Datos y Rearmado de Segmentos
Es responsabilidad de la capa de transporte dividir los datos de la aplicación en
bloques de tamaño adecuado. Dependiendo del protocolo de capa de transporte
utilizado, los bloques de capa de transporte se denominan segmentos o datagramas.
 Agregar Información de Encabezado
El protocolo de capa de transporte también agrega información de encabezado que
contiene datos binarios organizados en varios campos a cada bloque de datos. Los
valores de estos campos permiten que los distintos protocolos de la capa de
transporte lleven a cabo variadas funciones de administración de la comunicación
de datos.
Por ejemplo, el host receptor utiliza la información de encabezado para volver a
ensamblar los bloques de datos en un flujo de datos completo para el programa de
capa de aplicación de recepción.
 Identificación de las Aplicaciones
Para pasar flujos de datos a las aplicaciones adecuadas, la capa de transporte
identifica la aplicación de destino utilizando un identificador llamado número de
puerto.
 Multiplexión de Conversaciones
El envío de algunos tipos de datos (por ejemplo, una transmisión de video) a través
de una red, como una transmisión de comunicación completa, puede consumir todo
el ancho de banda disponible. Esto evitaría que se produzcan otras conversaciones
de comunicación al mismo tiempo. También podría dificultar la recuperación de
errores y la retransmisión de datos dañados.
Protocolos de Capa de Transporte
IP se ocupa solo de la estructura, el direccionamiento y el routing de paquetes. IP no
especifica la manera en que se lleva a cabo la entrega o el transporte de los paquetes.
Los protocolos de capa de transporte especifican cómo transferir mensajes entre hosts y son
responsables de administrar los requisitos de fiabilidad de una conversación. La capa de
transporte incluye los protocolos TCP y UDP.

Protocolo de Control de Transmisión (TCP)

El TCP se considera un protocolo de la capa de transporte confiable y completo, que
garantiza que todos los datos lleguen al destino. TCP incluye campos que garantizan la
entrega de los datos de la aplicación. Estos campos requieren un procesamiento adicional
por parte de los hosts de envío y recepción.
Nota: TCP divide los datos en segmentos.
La función del protocolo de transporte TCP es similar al envío de paquetes de los que se
hace un rastreo de origen a destino. Si se divide un pedido de envío en varios paquetes, un
cliente puede verificar en línea para ver el orden de la entrega.
TCP proporciona confiabilidad y control de flujo mediante estas operaciones básicas:
 Enumerar y rastrear segmentos de datos transmitidos a un host específico desde una
aplicación específica
 Confirmar datos recibidos
 Retransmitir cualquier información no reconocida después de un cierto período de
tiempo
  Secuenciar datos que pueden llegar en un orden incorrecto
 Enviar datos a una velocidad eficiente que sea aceptable por el receptor
Para mantener el estado de una conversación y realizar un seguimiento de la información,
TCP debe establecer primero una conexión entre el remitente y el receptor. Es por eso que
TCP se conoce como un protocolo orientado a la conexión.

Encabezado TCP
TCP es un protocolo con estado, lo que significa que realiza un seguimiento del estado de
la sesión de comunicación. Para hacer un seguimiento del estado de una sesión, TCP
registra qué información se envió y qué información se reconoció. La sesión con estado
comienza con el establecimiento de la sesión y termina con la finalización de la sesión.
Un segmento TCP agrega 20 bytes (es decir, 160 bits) de sobrecarga al encapsular los datos
de la capa de aplicación. La figura muestra los campos en un encabezado TCP.

Campos de Encabezado TCP

Protocolo de Datagramas de Usuario (UDP)
UDP es un protocolo de capa de transporte más simple que TCP. No proporciona
confiabilidad y control de flujo, lo que significa que requiere menos campos de
encabezado. Debido a que los procesos UDP remitente y receptor no tienen que administrar
la confiabilidad y el control de flujo, esto significa que los datagramas UDP se pueden
procesar más rápido que los segmentos TCP. El UDP proporciona las funciones básicas
para entregar segmentos de datos entre las aplicaciones adecuadas, con muy poca
sobrecarga y revisión de datos.
Nota: UDP divide los datos en datagramas que también se conocen como segmentos.
UDP es un protocolo sin conexión. Debido a que UDP no proporciona fiabilidad ni control
de flujo, no requiere una conexión establecida. Debido a que UDP no realiza un
seguimiento de la información enviada o recibida entre el cliente y el servidor, UDP
también se conoce como protocolo sin estado.
UDP también se conoce como un protocolo de entrega de mejor esfuerzo porque no hay
reconocimiento de que los datos se reciben en el destino. Con UDP, no existen procesos de
capa de transporte que informen al emisor si la entrega se realizó correctamente.
Encabezado UDP
UDP es un protocolo sin estado, lo que significa que ni el cliente ni el servidor rastrean el
estado de la sesión de comunicación. Si se requiere confiabilidad al utilizar UDP como
protocolo de transporte, a esta la debe administrar la aplicación.
Uno de los requisitos más importantes para transmitir video en vivo y voz a través de la red
es que los datos fluyan rápidamente. Las aplicaciones de video y de voz en vivo pueden
tolerar cierta pérdida de datos con un efecto mínimo o imperceptible, y se adaptan
perfectamente a UDP.

Campos de Encabezado UDP

Pares de Sockets
Los puertos de origen y de destino se colocan dentro del segmento. Los segmentos se
encapsulan dentro de un paquete IP. El paquete IP contiene la dirección IP de origen y de
destino. Se conoce como socket a la combinación de la dirección IP de origen y el número
de puerto de origen, o de la dirección IP de destino y el número de puerto de destino.
Los sockets permiten que los diversos procesos que se ejecutan en un cliente se distingan
entre sí. También permiten la diferenciación de diferentes conexiones a un proceso de
servidor.
El número de puerto de origen actúa como dirección de retorno para la aplicación que
realiza la solicitud. La capa de transporte hace un seguimiento de este puerto y de la
aplicación que generó la solicitud de manera que cuando se devuelva una respuesta, esta se
envíe a la aplicación correcta.

Procesos del Servidor TCP

Cada proceso de aplicación que se ejecuta en el servidor para utilizar un número de puerto.
El número de puerto es asignado automáticamente o configurado manualmente por un
administrador del sistema.
Un servidor individual no puede tener dos servicios asignados al mismo número de puerto
dentro de los mismos servicios de la capa de transporte. Por ejemplo, un host que ejecuta
una aplicación de servidor web y una aplicación de transferencia de archivos no puede tener
ambos configurados para usar el mismo puerto, como el puerto TCP 80.
Una aplicación de servidor activa asignada a un puerto específico se considera abierta, lo
que significa que la capa de transporte acepta y procesa los segmentos dirigidos a ese
puerto. Toda solicitud entrante de una cliente direccionada al socket correcto es aceptada y
los datos se envían a la aplicación del servidor. Pueden existir varios puertos abiertos
simultáneamente en un servidor, uno para cada aplicación de servidor activa.

Establecimiento de Conexiones TCP

En las conexiones TCP, el cliente host establece la conexión con el servidor mediante el
proceso de enlace de tres vías.
Paso 1. SYN
El cliente de origen solicita una sesión de comunicación con el servidor.
Paso 2. ACK y SYN
El servidor acusa recibo de la sesión de comunicación de cliente a servidor y solicita una
sesión de comunicación de servidor a cliente.
Paso 3. ACK
El cliente de origen acusa recibo de la sesión de comunicación de servidor a cliente.
Terminación de Sesión
Para cerrar una conexión, se debe establecer el marcador de control de finalización (FIN)
en el encabezado del segmento. Para finalizar todas las sesiones TCP de una vía, se utiliza
un enlace de dos vías, que consta de un segmento FIN y un segmento de reconocimiento
(ACK). Por lo tanto, para terminar una conversación simple admitida por TCP, se requieren
cuatro intercambios para finalizar ambas sesiones. El cliente o el servidor pueden iniciar la
terminación.
Paso 1. FIN
Cuando el cliente no tiene más datos para enviar en la transmisión, envía un segmento con
el indicador FIN establecido.
Paso 2. ACK
El servidor envía un ACK para acusar recibo del FIN para terminar la sesión de cliente a
servidor.
Paso 3. FIN
El servidor envía un FIN al cliente para terminar la sesión de servidor a cliente.
Paso 4. ACK
El cliente responde con un ACK para dar acuse de recibo del FIN desde el servidor.

Análisis del Enlace de Tres Vías de TCP

Los hosts mantienen el estado, rastrean cada segmento de datos dentro de una sesión e
intercambian información sobre qué datos se reciben utilizando la información en el
encabezado TCP. TCP es un protocolo full-dúplex, donde cada conexión representa dos
sesiones de comunicación unidireccionales. Para establecer la conexión, los hosts realizan
un enlace de tres vías. Como se muestra en la figura, los bits de control en el encabezado
TCP indican el progreso y el estado de la conexión.
Estas son las funciones del apretón de manos de tres vías:
Establece que el dispositivo de destino está presente en la red.
Verifica que el dispositivo de destino tenga un servicio activo y acepte solicitudes en el
número de puerto de destino que el cliente de origen desea utilizar.
Informa al dispositivo de destino que el cliente de origen intenta establecer una sesión de
comunicación en dicho número de puerto
Los seis bits del campo de bits de control del encabezado del segmento TCP también se
conocen como marcadores. Una bandera es un bit que está activado o desactivado.
Los seis indicadores de bits de control son los siguientes:
 URG - campo de puntero urgente significativo
 ACK - Indicador de acuse de recibo utilizado en el establecimiento de la conexión y
la terminación de la sesión
 PSH - Función de empuje
 RST - Restablece la conexión cuando se produce un error o un tiempo de espera
 SYN - Sincroniza números de secuencia utilizados en el establecimiento de
conexión
 FIN - No más datos del remitente y se utilizan en la terminación de la sesión

Fiabilidad de TCP: Entrega Garantizada y Ordenada

Para que el receptor comprenda el mensaje original, los datos en estos segmentos se
vuelven a ensamblar en el orden original. Para lograr esto, se asignan números de secuencia
en el encabezado de cada paquete. El número de secuencia representa el primer byte de
datos del segmento TCP.
Durante la configuración de la sesión, se establece un número de secuencia inicial (ISN).
Este ISN representa el valor inicial de los bytes que se transmiten a la aplicación receptora.
A medida que se transmiten los datos durante la sesión, el número de secuencia se
incrementa según el número de bytes que se han transmitido. Este seguimiento de bytes de
datos permite identificar y reconocer cada segmento de manera exclusiva. A partir de esto,
se pueden identificar segmentos perdidos.
El ISN no comienza en uno, pero es efectivamente un número aleatorio. Esto permite evitar
ciertos tipos de ataques maliciosos.
Fiabilidad de TCP: Perdida y Retransmisión de Datos
El número de secuencia (SEQ) y el número de acuse de recibo (ACK) se utilizan juntos
para confirmar la recepción de los bytes de datos contenidos en los segmentos transmitidos.
El número SEQ identifica el primer byte de datos en el segmento que se transmite. TCP
utiliza el número de ACK reenviado al origen para indicar el próximo byte que el receptor
espera recibir. Esto se llama acuse de recibo de expectativa.
Antes de mejoras posteriores, TCP solo podía reconocer el siguiente byte esperado. Por
ejemplo, en la figura, utilizando números de segmento para simplificar, el host A envía los
segmentos del 1 al 10 al host B. Si llegan todos los segmentos excepto los segmentos 3 y 4,
el host B respondería con acuse de recibo especificando que el siguiente segmento esperado
es el segmento 3. El host A no tiene idea de si algún otro segmento llegó o no. Por lo tanto,
el host A reenviaría los segmentos 3 a 10. Si todos los segmentos de reenvío llegan
correctamente, los segmentos 5 a 10 serían duplicados. Esto puede provocar retrasos,
congestión e ineficiencias.
muestra PCA enviando 10 segmentos a PCB, pero los segmentos 3 y 4 no llegan. Así que a
partir del segmento 3, PCA vuelve a enviar los segmentos 3 a 10, aunque la PCB solo
necesitaba los segmentos 3 y 4.
Los sistemas operativos actualmente suelen emplear una característica TCP opcional
llamada reconocimiento selectivo (SACK), negociada durante el protocolo de enlace de tres
vías. Si ambos hosts admiten SACK, el receptor puede reconocer explícitamente qué
segmentos (bytes) se recibieron, incluidos los segmentos discontinuos. Por lo tanto, el host
emisor solo necesitaría retransmitir los datos faltantes. Por ejemplo, en la siguiente figura,
utilizando de nuevo números de segmento para simplificar, el host A envía los segmentos 1
a 10 al host B. Si llegan todos los segmentos excepto los segmentos 3 y 4, el host B puede
reconocer que ha recibido los segmentos 1 y 2 (ACK 3) y reconocer selectivamente los
segmentos 5 a 10 (SACK 5-10). El host A solo necesitaría reenviar los segmentos 3 y 4.

Control de Flujo de TCP: Tamaño de la Ventana y

Reconocimiento
TCP también proporciona mecanismos para el control de flujo. El control de flujo es la
cantidad de datos que el destino puede recibir y procesar de manera confiable. El control de
flujo permite mantener la confiabilidad de la transmisión de TCP mediante el ajuste de la
velocidad del flujo de datos entre el origen y el destino para una sesión dada. Para lograr
esto, el encabezado TCP incluye un campo de 16 bits llamado “tamaño de la ventana”.

En este ejemplo, el tamaño de la ventana inicial de la PC B para la sesión TCP es de 10,000

bytes. A partir del primer byte, el byte1, el último byte que la PC A puede enviar sin recibir
un reconocimiento es el byte 10000. Esto se conoce como la ventana de envío de la PC A.
El tamaño de la ventana se incluye en cada segmento TCP para que el destino pueda
modificar el tamaño de la ventana en cualquier momento dependiendo de la disponibilidad
del búfer.
El tamaño inicial de la ventana se acuerda cuando se establece la sesión TCP durante la
realización del enlace de tres vías. El dispositivo de origen debe limitar el número de bytes
enviados al dispositivo de destino en función del tamaño de la ventana del destino. El
dispositivo de origen puede continuar enviando más datos para la sesión solo cuando
obtiene un reconocimiento de los bytes recibidos. Por lo general, el destino no esperará que
se reciban todos los bytes de su tamaño de ventana antes de contestar con un acuse de
recibo. A medida que se reciben y procesan los bytes, el destino envía reconocimientos para
informar al origen que puede continuar enviando bytes adicionales.
Nota: Hoy en día, los dispositivos utilizan el protocolo de ventanas deslizantes. El receptor
generalmente envía un acuse de recibo después de cada dos segmentos que recibe. El
número de segmentos recibidos antes de que se acuse recibo puede variar. La ventaja de las
ventanas deslizantes es que permiten que el emisor transmita continuamente segmentos
mientras el receptor está acusando recibo de los segmentos anteriores.
Control de Flujo TCP – Tamaño Máximo de Segmento (MSS)
Normalmente, es el Tamaño Máximo de Segmento (MSS) que puede recibir el dispositivo
de destino. El MSS forma parte del campo de opciones del encabezado TCP que especifica
la mayor cantidad de datos, en bytes, que un dispositivo puede recibir en un único
segmento TCP. El tamaño MSS no incluye el encabezado TCP. El MSS se incluye
normalmente durante el apretón de manos de tres vías.
Un MSS común es de 1.460 bytes cuando se usa IPv4. Un host determina el valor de su
campo de MSS restando los encabezados IP y TCP de unidad Máxima de transmisión
(MTU) de Ethernet. En una interfaz de Ethernet, el MTU predeterminado es de 1500 bytes.
Restando el encabezado IPv4 de 20 bytes y el encabezado TCP de 20 bytes, el tamaño
predeterminado de MSS será 1460 bytes.

Control de Flujo de TCP: Prevención de Congestiones

Cuando se produce congestión en una red, el router sobrecargado comienza a descartar
paquetes. Cuando los paquetes que contienen segmentos TCP no llegan a su destino, se
dejan sin confirmar. Mediante la determinación de la tasa a la que se envían, pero no se
reconocen los segmentos TCP, el origen puede asumir un cierto nivel de congestión de la
red.
Siempre que haya congestión, se producirá la retransmisión de los segmentos TCP perdidos
del origen. Si la retransmisión no se controla adecuadamente, la retransmisión adicional de
los segmentos TCP puede empeorar aún más la congestión. No sólo se introducen en la red
los nuevos paquetes con segmentos TCP, sino que el efecto de retroalimentación de los
segmentos TCP retransmitidos que se perdieron también se sumará a la congestión. Para
evitar y controlar la congestión, TCP emplea varios mecanismos, temporizadores y
algoritmos de manejo de la congestión.
Si el origen determina que los segmentos TCP no están siendo reconocidos o que sí son
reconocidos, pero no de una manera oportuna, entonces puede reducir el número de bytes
que envía antes de recibir un reconocimiento.

CAPITULO 10
SERVICIOS DE RED

Protocolo de Configuración Dinámica de Host

El protocolo DHCP del servicio IPv4 automatiza la asignación de direcciones IPv4,
máscaras de subred, puertas de enlace (Gateway) y otros parámetros de redes IPv4. Esto se
denomina “direccionamiento dinámico”. La alternativa al direccionamiento dinámico es el
direccionamiento estático. Al utilizar el direccionamiento estático, el administrador de
redes introduce manualmente la información de la dirección IP en los hosts.
Cuando un host se conecta a la red, se realiza el contacto con el servidor de DHCP y se
solicita una dirección. El servidor de DHCP elige una dirección de un rango de direcciones
configurado llamado grupo y la asigna (concede) al host.
En redes más grandes, o donde los usuarios cambian con frecuencia, se prefiere asignar
direcciones con DHCP. Es posible que los nuevos usuarios necesiten conexiones; otros
pueden tener PC nuevas que deben estar conectadas. En lugar de usar asignación de
direcciones estáticas para cada conexión, es más eficaz que las direcciones IPv4 se asignen
automáticamente mediante DHCP.
DHCP puede asignar direcciones IP durante un período de tiempo configurable,
denominado período de concesión. El período de concesión es una configuración DHCP
importante. Cuando caduca el período de concesión o el servidor DHCP recibe un mensaje
DHCPRELASE, la dirección se devuelve al grupo DHCP para su reutilización. Los
usuarios pueden moverse libremente desde una ubicación a otra y volver a establecer con
facilidad las conexiones de red por medio de DHCP.
Como lo muestra la figura, varios tipos de dispositivos pueden ser servidores DHCP. En la
mayoría de las redes medianas a grandes, el servidor DHCP suele ser un servidor local y
dedicado con base en una PC. En las redes domésticas, el servidor de DHCP suele estar
ubicado en el router local que conecta la red doméstica al proveedor de servicio de internet
(ISP).
Muchas redes utilizan tanto el direccionamiento estático como DHCP. DHCP se utiliza
para hosts de propósito general, tales como los dispositivos de usuario final. El
direccionamiento estático se utiliza para los dispositivos de red, tales como (puertas de
enlace) Gateway, switches, servidores e impresoras.
DHCPv6 (DHCP para IPv6) proporciona servicios similares para los clientes IPv6. Una
diferencia importante es que DHCPv6 no brinda una dirección de puerta de enlace
predeterminada (Default Gateway). Esto sólo se puede obtener de forma dinámica a partir
del anuncio de router del propio router.

Funcionamiento de DHCP
Como se muestra en la ilustración, cuando un dispositivo configurado con DHCP e IPv4 se
inicia o se conecta a la red, el cliente transmite un mensaje de detección de DHCP
(DHCPDISCOVER) para identificar cualquier servidor de DHCP disponible en la red. Un
servidor de DHCP responde con un mensaje de oferta de DHCP (DHCPOFFER), que
ofrece una concesión al cliente. El mensaje de oferta contiene la dirección IPv4 y la
máscara de subred que se deben asignar, la dirección IPv4 del servidor DNS y la dirección
IPv4 de la puerta de enlace predeterminada (Default Gateway). La oferta de concesión
también incluye la duración de esta.

El cliente puede recibir varios mensajes DHCPOFFER si hay más de un servidor de DHCP
en la red local. Por lo tanto, debe elegir entre ellos y enviar un mensaje de solicitud de
DHCP (DHCPREQUEST) que identifique el servidor explícito y la oferta de concesión que
el cliente acepta. Un cliente también puede optar por solicitar una dirección previamente
asignada por el servidor.
Suponiendo que la dirección IPv4 solicitada por el cliente, u ofrecida por el servidor, aún
está disponible, el servidor devuelve un mensaje de reconocimiento de DHCP (DHCPACK)
que le informa al cliente que finalizó la concesión. Si la oferta ya no es válida, el servidor
seleccionado responde con un mensaje de reconocimiento negativo de DHCP
(DHCPNAK). Si se devuelve un mensaje DHCPNAK, entonces el proceso de selección
debe volver a comenzar con la transmisión de un nuevo mensaje DHCPDISCOVER.
Una vez que el cliente tiene la concesión, se debe renovar mediante otro mensaje
DHCPREQUEST antes de que expire.
Los mensajes de DHCPv6 son SOLICIT, ADVERTISE, INFORMATION REQUEST y
REPLY.

Formato de Mensaje DHCP

Los mensajes DHCPv4 se encapsulan dentro del protocolo de transporte UDP. Los
mensajes DHCPv4 que se envían desde el cliente utilizan el puerto de origen UDP 68 y el
puerto de destino 67.

Código de funcionamiento - Especifica el tipo general de mensaje. El valor 1 indica un

mensaje de solicitud y el valor 2 es un mensaje de respuesta.
Tipo de hardware - Identifica el tipo de hardware que se utiliza en la red. Por ejemplo, 1
es Ethernet, 15 es retransmisión de tramas y 20 es una línea serial.
Longitud de dirección de hardware - Especifica la longitud de la dirección.
Saltos - Controla el reenvío de mensajes. Un cliente lo establece en 0 antes de transmitir
una solicitud.
Identificador de transacción - Lo utiliza el cliente para hacer coincidir la solicitud con las
respuestas recibidas de los servidores DHCPv4.
Segundos - Identifica la cantidad de segundos transcurridos desde que un cliente comenzó
a intentar adquirir o renovar un arrendamiento.
Marcadores - Los utiliza un cliente que no conoce su dirección IPv4 cuando envía una
solicitud. Se utiliza solo uno de los 16 bits, que es el indicador de difusión. El valor 1 en
este campo le indica al servidor de DHCPv4 o al agente de retransmisión que recibe la
solicitud que la respuesta se debe enviar como una difusión.
Dirección IP del cliente - La utiliza un cliente durante la renovación del arrendamiento
cuando la dirección del cliente es válida y utilizable, no durante el proceso de adquisición
de una dirección. El cliente coloca su propia dirección IPv4 en este campo solamente si
tiene una dirección IPv4 válida mientras se encuentra en el estado vinculado. De lo
contrario, establece el campo en 0.
Su dirección IP - La utiliza el servidor para asignar una dirección IPv4 al cliente.
Dirección IP del servidor - La utiliza el servidor para identificar la dirección del servidor
que debe utilizar el cliente para el próximo paso en el proceso Bootstrap, que puede ser, o
no, el servidor que envía esta respuesta. El servidor emisor siempre incluye su propia
dirección IPv4 en un campo especial llamado opción DHCPv4 Server Identifier
(Identificador de servidores DHCPv4).
Dirección IP de la puerta de enlace (Gateway) - Enruta los mensajes DHCPv4 cuando
intervienen los agentes de retransmisión DHCPv4. La dirección de la puerta de enlace
(Gateway) facilita las comunicaciones de las solicitudes y respuestas de DHCPv4 entre el
cliente y un servidor que se encuentran en distintas subredes o redes.
Dirección de hardware del cliente - Especifica la capa física del cliente.
Nombre del servidor - Lo utiliza el servidor que envía un mensaje DHCPOFFER o
DHCPACK. El servidor puede, de manera optativa, colocar su nombre en este campo.
Puede tratarse de un simple apodo de texto o un nombre de dominio DNS, como
dhcpserver.netacad.net.
Nombre del archivo de arranque - Lo utiliza un cliente de manera optativa para solicitar
un determinado tipo de archivo de arranque en un mensaje DHCPDISCOVER. Lo utiliza
un servidor en un DHCPOFFER para especificar completamente un directorio de archivos
y un nombre de archivo de arranque.
Opciones de DHCP - Contiene las opciones de DHCP, incluidos varios parámetros
requeridos para el funcionamiento básico de DHCP. Este campo es de longitud variable.
Tanto el cliente como el servidor pueden utilizarlo.

Descripción General de DNS

El sistema de nombres de dominio (DNS) se desarrolló para proporcionar un medio
confiable de administrar y proporcionar los nombres de dominio y sus direcciones IP
asociadas. El sistema de DNS se compone de una jerarquía global de servidores
distribuidos que contienen bases de datos con asignaciones de nombre para las direcciones
IP.
El malware suele ponerse en contacto con los servidores de comando y control mediante
DNS. Esto hace que las URL del servidor sean indicadores de compromiso para
vulnerabilidades específicas.

La Jerarquía del Dominio del DNS

El DNS se compone de una jerarquía de dominios genéricos de nivel superior (gTLD) que
consta de .com, .net, .org, .gov, .edu y numerosos dominios de país, como .es (España), .uk
(Reino Unido), .br (Brasil), etc. En el siguiente nivel de la jerarquía de DNS, están los
dominios de segundo nivel. Estos están representados por un nombre de dominio seguido
de un dominio de nivel superior. Los subdominios se encuentran en el siguiente nivel de la
jerarquía de DNS y representan una división del dominio de segundo nivel. Por último, un
cuarto nivel puede representar un host en un subdominio. Cada elemento de una
especificación de dominio suele denominarse etiqueta. Las etiquetas se mueven desde la
parte superior de la jerarquía hacia abajo, de derecha a izquierda. Un punto (.) al final de un
nombre de dominio representa el servidor de raíz de la parte superior de la jerarquía.

El Proceso de Búsqueda de DNS

Resolución - Un cliente de DNS que envía mensajes de DNS para obtener información
sobre el espacio de nombre de dominio solicitado.
Recursión - Las medidas adoptadas cuando se le pide a un servidor DNS que realice una
consulta en nombre de una resolución de DNS.
Servidor autorizado - Un servidor de DNS que responde a los mensajes de consulta con
información almacenada en los registros de recursos (RR) para un espacio de nombres de
dominio almacenado en el servidor.
Resolución recursiva - Un servidor de DNS que realiza consultas de manera recursiva para
obtener la información solicitada en la consulta de DNS.
FQDN - Un nombre de dominio totalmente calificado (Fully Qualified Domain Name) es
el nombre absoluto de un dispositivo dentro de la base de datos distribuida de DNS.
RR - A Resource Record is a format used in DNS messages that is composed of the
following fields: NOMBRE, TIPO, CLASE, TTL, RDLENGTH y RDATA.
Zona - Una base de datos que contiene información sobre el espacio de nombres de
dominio almacenado en un servidor autorizado.
Debido a la posible carga en los servidores de dominio de nivel superior autorizados,
algunos servidores DNS en la jerarquía mantienen cachés de todos los registros de DNS
que han resuelto durante un período específico. Estos servidores DNS de caché pueden
resolver consultas recursivas sin reenviarlas a servidores de nivel superior. Si un servidor
requiere datos para una zona, solicitará una transferencia de datos de un servidor autorizado
para esa zona. El proceso de transferir bloques de datos de DNS entre servidores se conoce
como transferencia de zona.

Formato de Mensaje DNS

DNS utiliza el puerto UDP 53 para las consultas y respuestas de DNS. Las consultas de
DNS se originan en un cliente y las respuestas se emiten desde servidores DNS. Si una
respuesta de DNS excede los 512 bytes, como por ejemplo cuando se usa DNS dinámico
(DDNS), el mensaje se manipula a través del puerto TCP 53. Incluye el formato de
consultas, respuestas y datos. Las comunicaciones del protocolo DNS utilizan un único
formato llamado “mensaje”. 
El servidor DNS almacena los diferentes tipos de RR utilizados para resolver nombres.
A - Una dirección IPv4 de terminal
NS - un servidor de nombre autoritativo
AAAA - una dirección IPv6 de terminal (pronunciada quad-A)
MX - un registro de intercambio de correo
  DNS utiliza el mismo mensaje para
 Todo tipo de consultas de clientes y respuestas del servidor
 Mensajes de error
 La transferencia de recursos de registro entre servidores

DNS Dinámico
DNS dinámico (DDNS) le permite a un usuario u organización registrar una dirección IP
con un nombre de dominio, al igual que en DNS. Sin embargo, cuando cambia la dirección
IP de la asignación, la nueva asignación puede propagarse en el DNS casi
instantáneamente. Para que esto ocurra, un usuario obtiene un subdominio de un proveedor
de DDNS. Ese subdominio se asigna a la dirección IP del servidor o la conexión doméstica
de router a Internet del usuario. El software cliente se ejecuta en el router o en una
computadora host que detecta un cambio en la dirección IP de Internet del usuario. Cuando
se detecta un cambio, se informa al proveedor de DDNS inmediatamente y la asignación
entre el subdominio del usuario y la dirección IP de Internet se actualiza inmediatamente.
Los atacantes pueden abusar de DNS dinámico de varias maneras. Los servicios gratuitos
de DDNS son especialmente útiles para los atacantes. DDNS se puede utilizar para facilitar
el cambio rápido de la dirección IP de los servidores de comando y control de malware
después de que la dirección IP actual se haya bloqueado ampliamente. De esta manera, el
malware se puede codificar con una URL en lugar de una dirección IP estática. DDNS
también se puede utilizar como una forma de exfiltrar datos desde dentro de una red porque
el tráfico DNS es muy común y con frecuencia se considera benigno. DDNS en sí mismo
no es maligno, sin embargo, monitorear el tráfico DNS que va a servicios DDNS
conocidos, especialmente los gratuitos, es muy útil para la detección de vulnerabilidades.

El Protocolo WHOIS
WHOIS es un protocolo basado en TCP que se usa para identificar a los propietarios de
dominios de Internet a través del sistema de DNS. Cuando un dominio en Internet se
registra y asigna a una dirección IP para el sistema de DNS, el registrante debe
proporcionar información sobre quién registra el dominio. La aplicación de WHOIS utiliza
una consulta en forma de FQDN. La consulta se emite a través de un servicio o una
aplicación de WHOIS. El registro oficial de propiedad se le devuelve al usuario mediante el
servicio de WHOIS. Esto puede resultar útil para la identificación de los destinos a los que
han tenido acceso los hosts en una red. WHOIS tiene limitaciones y los hackers tienen
maneras de ocultar su identidad. Sin embargo, WHOIS es un punto de partida para la
identificación de ubicaciones de Internet potencialmente peligrosas a las que se puede haber
llegado mediante la red. Un servicio WHOIS basado en Internet se denomina ICANN
Lookup se puede utilizar para obtener el registro de registro una URL. Otros servicios de
WHOIS son mantenidos por registros regionales de Internet como RIPE y APNIC.

Espacio de Direcciones IPv4 Privadas

Estas direcciones privadas se utilizan dentro de una organización o un sitio para permitir
que los dispositivos se comuniquen localmente. Sin embargo, debido a que estas
direcciones no identifican a una sola empresa u organización, las direcciones IPv4 privadas
no se pueden enrutar a través de Internet. Para permitir que un dispositivo con una
dirección IPv4 privada acceda a recursos y dispositivos fuera de la red local, primero se
debe traducir la dirección privada a una dirección pública.
NAT proporciona la traducción de direcciones privadas a direcciones públicas. Esto
permite que un dispositivo con una dirección IPv4 privada acceda a recursos fuera de su red
privada, como los que se encuentran en Internet. Se puede compartir una única dirección
IPv4 pública entre cientos o incluso miles de dispositivos, cada uno configurado con una
dirección IPv4 privada exclusiva.

Que es NAT
NAT tiene muchos usos, pero el principal es conservar las direcciones IPv4 públicas. Esto
se logra al permitir que las redes utilicen direcciones IPv4 privadas internamente y al
proporcionar la traducción a una dirección pública solo cuando sea necesario.
Los routers con NAT habilitada se pueden configurar con una o más direcciones IPv4
públicas válidas. Estas direcciones públicas se conocen como “conjunto de NAT”. Cuando
un dispositivo interno envía tráfico fuera de la red, el router con NAT habilitada traduce la
dirección IPv4 interna del dispositivo a una dirección pública de la piscina NAT.

Traducción de la Dirección del Puerto

La traducción de la dirección del puerto (PAT), también conocida como “NAT con
sobrecarga”, asigna varias direcciones IPv4 privadas a una única dirección IPv4 pública o a
algunas direcciones. Esto es lo que hacen la mayoría de los enrutadores domésticos. El ISP
asigna una dirección al enrutador, sin embargo, varios miembros del hogar pueden acceder
simultáneamente a Internet.
Cuando un dispositivo inicia una sesión TCP / IP, genera un valor de puerto de origen TCP
o UDP, o un ID de consulta especialmente asignado para ICMP, para identificar de forma
única la sesión. Cuando el router NAT recibe un paquete del cliente, utiliza su número de
puerto de origen para identificar de forma exclusiva la traducción NAT específica.

FTP y TFTP
El protocolo FTP se desarrolló para permitir las transferencias de datos entre un cliente y
un servidor. Un cliente FTP es una aplicación que se ejecuta en una computadora cliente y
se utiliza para insertar y extraer datos en un servidor FTP.
Para transferir datos correctamente, FTP requiere dos conexiones entre el cliente y el
servidor, una para los comandos y las respuestas y la otra para la transferencia de archivos
propiamente dicha:
El cliente establece la primera conexión al servidor para el tráfico de control por medio del
puerto 21 de TCP, que está constituido por comandos del cliente y respuestas del servidor.
El cliente establece la segunda conexión al servidor para la transferencia de datos
propiamente dicha por medio del puerto 20 de TCP. Esta conexión se crea cada vez que hay
datos para transferir.
La transferencia de datos se puede producir en ambas direcciones. El cliente puede
descargar (extraer) datos del servidor o subir datos a él (insertarlos).
El FTP no se concibió como un protocolo de capa de aplicación seguro. Por este motivo, el
protocolo de transferencia de SSH, que es una forma segura de FTP que utiliza el protocolo
Secure Shell para ofrecer un canal protegido, es la opción preferida para la transferencia de
archivos.
Protocolo trivial de transferencia de archivos (TFTP)
TFTP es un protocolo de transferencia de archivos simplificado que utiliza el conocido
número de puerto UDP 69. Carece de muchas de las características del FTP, como las
operaciones de gestión de archivos para enumerar, eliminar o renombrar archivos. Debido a
su sencillez, el TFTP tiene una sobrecarga de red muy baja y es popular para aplicaciones
de transferencia de archivos que no son fundamentales. Sin embargo, es inseguro por
naturaleza, porque no tiene ninguna característica de inicio de sesión ni de control de
acceso. Por este motivo, el TFTP debe implementarse cuidadosamente y solo cuando sea
absolutamente necesario.

SMB
El bloque de mensajes del servidor (Server message block) (SMB) es un protocolo de
intercambio de archivos entre cliente y servidor que describe la estructura de los recursos
de red compartidos, como directorios, archivos, impresoras y puertos serie. Es un protocolo
de solicitud-respuesta. Todos los mensajes SMB comparten un mismo formato. Este
formato utiliza un encabezado de tamaño fijo seguido de un parámetro de tamaño variable y
un componente de datos.

Protocolos de Correo Electrónico

Los clientes de correo electrónico se comunican con servidores de correo para enviar y
recibir correo electrónico. Un cliente de correo electrónico no se comunica directamente
con otro cliente de correo electrónico cuando envía un correo electrónico.
El correo electrónico admite tres protocolos diferentes para su funcionamiento: el protocolo
simple de transferencia de correo (SMTP), el protocolo de oficina de correos (POP) e
IMAP. El proceso de capa de aplicaciones que envía correo utiliza el SMTP. Un cliente
recupera el correo electrónico mediante uno de los dos protocolos de capa de aplicaciones:
el POP o el IMAP.

SMTP
Los formatos de mensajes SMTP necesitan un encabezado y un cuerpo de mensaje.
Mientras que el cuerpo del mensaje puede contener la cantidad de texto que se desee, el
encabezado debe contar con una dirección de correo electrónico de destinatario
correctamente formateada y una dirección de emisor.
Cuando un cliente envía correo electrónico, el proceso SMTP del cliente se conecta a un
proceso SMTP del servidor en el bien conocido puerto 25. Después de que se establece la
conexión, el cliente intenta enviar el correo electrónico al servidor a través de esta. Una vez
que el servidor recibe el mensaje, lo ubica en una cuenta local (si el destinatario es local) o
lo reenvía a otro servidor de correo para su entrega.
El servidor de correo electrónico de destino puede no estar en línea, o estar muy ocupado,
cuando se envían los mensajes. Por lo tanto, el SMTP pone los mensajes en cola para
enviarlos posteriormente. El servidor verifica periódicamente la cola en busca de mensajes
e intenta enviarlos nuevamente. Si el mensaje aún no se ha entregado después de un tiempo
predeterminado de expiración, se devolverá al emisor como imposible de entregar.

POP3
Una aplicación usa POP3 para recuperar correo de un servidor de correo. Con POP3, el
correo se descarga del servidor al cliente y se elimina del servidor después, como se ve en
la figura.
El servidor comienza el servicio POP3 escuchando de manera pasiva en el puerto TCP 110
las solicitudes de conexión del cliente. Cuando un cliente desea utilizar el servicio, envía
una solicitud para establecer una conexión TCP con el servidor. Una vez establecida la
conexión, el servidor POP3 envía un saludo. A continuación, el cliente y el servidor POP3
intercambian comandos y respuestas hasta que la conexión se cierra o cancela.

IMAP
IMAP es otro protocolo que describe un método para recuperar mensajes de correo
electrónico. A diferencia de POP3, cuando el usuario se conecta a un servidor compatible
con IMAP, se descargan copias de los mensajes a la aplicación cliente. Los mensajes
originales se mantienen en el servidor hasta que se eliminen manualmente. Los usuarios
ven copias de los mensajes en su software de cliente de correo electrónico.
Los usuarios pueden crear una jerarquía de archivos en el servidor para organizar y guardar
el correo. Dicha estructura de archivos se duplica también en el cliente de correo
electrónico. Cuando un usuario decide eliminar un mensaje, el servidor sincroniza esa
acción y elimina el mensaje del servidor.

Protocolo de Transferencia de Hipertexto y Lenguaje de Marcado de

Hipertexto
Cuando se escribe una dirección web o un localizador uniforme de recursos (Uniform
Resource Locator) (URL) en un navegador web, el navegador establece una conexión con
el servicio web. El servicio web se está ejecutando en el servidor que está utilizando el
protocolo HTTP. Los nombres que la mayoría de las personas asocia con las direcciones
web son URL e identificador uniforme de recursos (URI).
Paso 1
 El explorador interpreta las tres partes del URL:
 http (el protocolo o esquema)
 www.cisco.com (el nombre del servidor)
 index.html (el nombre de archivo específico solicitado)
Paso 2
El navegador luego verifica con un Servidor de nombres de dominio (DNS) para convertir
a www.cisco.com en una dirección numérica que utiliza para conectarse con el servidor. El
cliente inicia una solicitud HTTP a un servidor enviando una solicitud GET al servidor y
solicita el archivo index.html.
Paso 3
En respuesta a la solicitud, el servidor envía el código HTML de esta página web al
navegador.
Paso 4
El navegador descifra el código HTML y da formato a la página para que se pueda
visualizar en la ventana del navegador.

La URL de HTTP
Las URL de HTTP también pueden especificar el puerto en el servidor que debe manejar
los métodos de HTTP. Además, puede especificar una cadena y un fragmento de la
consulta. Normalmente, la cadena de la consulta contiene información que no maneja el
propio proceso del servidor HTTP, sino otro proceso que se ejecuta en el servidor. Las
cadenas de la consulta comienzan con un carácter “?” y, normalmente, constan de una serie
de pares de nombre y valor. Un fragmento comienza con un carácter “#”. Hace referencia a
una parte subordinada del recurso que se solicita en la URL. Por ejemplo, un fragmento
puede hacer referencia a un delimitador nombrado en un documento HTML. La URL
tendrá acceso al documento y, luego, se dirigirá a la parte del documento especificada por
el fragmento si existe un enlace del delimitador nombrado que coincida en el documento.
En la figura, se ve una URL de HTTP que incluye estas partes.

Operación HTTP
HTTP es un protocolo de solicitud y respuesta que utiliza el puerto TCP 80, aunque se
pueden utilizar otros puertos. Cuando un cliente (normalmente, un navegador web) envía
una solicitud a un servidor web, utiliza uno de los seis métodos que especifica el protocolo
HTTP.
GET - Solicitud de datos por parte del cliente. Un cliente (navegador web) envía el mensaje
GET al servidor web para solicitar las páginas HTML, como se ve en la figura.
POST - Envía datos para que los procese un recurso.
PUT - Carga los recursos o el contenido, como por ejemplo una imagen, en el servidor web.
DELETE - Borra el recurso especificado.
OPTIONS - Enumera los métodos HTTP que admite el servidor.
CONNECT - Solicita que un servidor proxy HTTP reenvíe la sesión TCP de HTTP al
destino deseado.
Aunque HTTP es sumamente flexible, no es un protocolo seguro. Los mensajes de solicitud
envían información al servidor en texto sin formato que puede ser interceptado y leído. Las
respuestas del servidor, generalmente páginas HTML, también están sin cifrar.

Código de Estado de HTTP

Las respuestas del servidor HTTP se identifican con diversos códigos de estado que le
informan a la aplicación host el resultado de las solicitudes que el cliente le realiza al
servidor. Los códigos son numéricos y el primer número del código indica el tipo de
mensaje. Los cinco grupos de códigos de estado son los siguientes:
1xx - Informativo
2xx - Operación exitosa
3xx - Redireccionamiento
4xx - Error en cliente
5xx - Error en servidor

HTTP/2
El propósito de HTTP/2 es mejorar el rendimiento HTTP abordando problemas de latencia
que existían en la versión HTTP 1.1 del protocolo.
Multiplexación: los servidores HTTP y los clientes llevan a cabo conversaciones llamadas
transmisiones para cada transacción. Por ejemplo, un cliente se conectará a un servidor
HTTP, solicitará recursos de ese servidor y recibirá los recursos solicitados. Con HTTP 1.1,
solo se admitió una transmisión en el momento. Con HTTP/2, un cliente y un servidor
pueden tener múltiples transmisiones ejecutándose entre ellos al mismo tiempo a través de
la misma conexión TCP. Esto proporciona una eficiencia mucho mayor al protocolo.
Servidor PUSH: los servidores HTTP pueden enviar contenido que aún no se ha solicitado
al cliente. El servidor anticipa el contenido que es probable que el cliente solicite. El cliente
almacena en caché este contenido para su uso futuro.
Un protocolo binario: en HTTP 1.1, los comandos, como las solicitudes de cliente a
servidor, se realizan en formato de texto. HTTP/2 ha cambiado a usar comandos binarios.
Esto supera algunos problemas engorrosos con la versión anterior, reduce la sobrecarga de
solicitudes y respuestas, reduce la latencia y mejora el rendimiento.
Compresión de encabezado: los encabezados de solicitud y respuesta HTTP se comprimen
para reducir aún más la cantidad de ancho de banda requerido por las secuencias HTTP/2.

Asegurando HTTP – HTTPS

Para una comunicación segura a través de Internet, se utiliza el protocolo HTTP seguro
(HTTPS). HTTPS utiliza el puerto TCP 443. HTTPS utiliza autenticación y cifrado para
proteger los datos mientras viajan entre el cliente y el servidor. HTTPS utiliza el mismo
proceso de solicitud del cliente y respuesta del servidor que HTTP, pero el flujo de datos se
encripta con la capa de sockets seguros (SSL) o la seguridad de la capa de transporte (TLS)
antes de transportarlo por la red. Aunque SSL es el predecesor de TLS, ambos protocolos
suelen denominarse SSL.
HTTPS/2 se especifica para utilizar HTTPS sobre TLS con la extensión de negociación de
protocolo de capa de aplicación (ALPN) para TLS 1.2 o posterior. El estándar HTTP/2 no
especifica el cifrado; sin embargo, todas las aplicaciones de software cliente principales lo
requieren. Por lo tanto, se puede suponer que HTTP/2 está encriptado.
Mucha información confidencial se transmite por Internet usando HTTPS, como las
contraseñas, los datos de tarjetas de crédito y la información médica.
 CAPITULO 11
DISPOSITIVOS DE COMUNICACIÓN
POR REDES

Dispositivos Finales
Los dispositivos de red con los que las personas están más familiarizadas se denominan
dispositivos finales. Para distinguir un dispositivo final de otro, cada dispositivo final de
una red tiene una dirección.
Un terminal es el origen o el destino de un mensaje transmitido a través de la red.

Routers
Los routers son dispositivos que operan con la capa de red del modelo OSI (Capa 3). Los
routers se utilizan para interconectar sitios remotos. Utilizan el proceso de enrutamiento
para reenviar los paquetes de datos entre redes. El proceso de enrutamiento utiliza tablas de
enrutamiento, protocolos y algoritmos de red para determinar la ruta más eficiente para el
reenvío de un paquete IP. Los routers reúnen información de enrutamiento y notifican a
otros routers sobre los cambios en la red, y aumentan la escalabilidad de las redes mediante
la segmentación de dominios de difusión.
Además, los routers tienen dos funciones principales: determinar rutas y reenviar paquetes.
Para determinar una ruta, cada router crea y mantiene una tabla de enrutamiento, que es una
base de datos de redes conocidas y de cómo llegar a ellas. La tabla de enrutamiento puede
crearse manualmente y contener rutas estáticas, o puede crearse usando un protocolo de
enrutamiento dinámico.
El reenvío de paquetes se logra mediante una función de switching. El switching es el
proceso utilizado por un router para aceptar un paquete en una interfaz y reenviarlo hacia
otra interfaz. Una responsabilidad principal de la función de switching es la de encapsular
los paquetes en el tipo de marco de enlace de datos correcto para el enlace de datos de
salida.

¿Qué hace un router cuando recibe un paquete desde una red que está destinado a otra red?
El router ejecuta los siguientes tres pasos principales:
 Desencapsula el encabezado y la cola de la trama de la capa 2 para exponer el
paquete de la capa 3.
 Examina la dirección IP de destino del paquete IP para encontrar la mejor ruta en la
tabla de enrutamiento.
 Si el router encuentra una ruta hacia el destino, encapsula el paquete de la capa 3 en
una nueva trama de la capa 2 y lo reenvía por la interfaz de salida.

Proceso de Decisión de Reenvío de Paquetes

Ahora que el router ha determinado la mejor ruta para un paquete en función de la
coincidencia más larga, debe determinar cómo encapsular el paquete y reenviarlo hacia
fuera la interfaz de salida correcta.
Los siguientes pasos describen el proceso de reenvío de paquetes que se muestra en la
figura:
El marco de enlace de datos con un paquete IP encapsulado llega a la interfaz de entrada.
El router examina la dirección IP de destino en el encabezado del paquete y consulta su
tabla de enrutamiento IP.
El router encuentra el prefijo coincidente más largo en la tabla de enrutamiento.
El router encapsula el paquete en una nueva trama de enlace de datos y lo reenvía por la
interfaz de salida. El destino podría ser un dispositivo conectado a la red o un router de
siguiente salto.
Sin embargo, si no hay ninguna entrada de ruta coincidente, el paquete se elimina.
Reenvía el paquete a un dispositivo en una red conectada directamente
Si la entrada de ruta indica que la interfaz de salida es una red conectada directamente, esto
significa que la dirección IP de destino del paquete pertenece a un dispositivo de la red
conectada directamente. Por lo tanto, el paquete se puede reenviar directamente al
dispositivo de destino. El dispositivo de destino suele ser un dispositivo final en una LAN
Ethernet, lo que significa que el paquete debe estar encapsulado en una trama Ethernet.
Para encapsular el paquete en la trama Ethernet, el router necesita determinar la dirección
MAC de destino asociada a la dirección IP de destino del paquete. El proceso varía según si
el paquete es un paquete IPv4 o IPv6:
Paquete IPv4 - El router comprueba su tabla ARP para la dirección IPv4 de destino y una
dirección MAC Ethernet asociada. Si no hay coincidencia, el router envía una solicitud
ARP. El dispositivo de destino devolverá una respuesta ARP con su dirección MAC. El
router ahora puede reenviar el paquete IPv4 en una trama Ethernet con la dirección MAC
de destino adecuada.
PaqueteIPv6 - El router comprueba su caché vecino para la dirección IPv6 de destino y una
dirección MAC Ethernet asociada. Si no hay coincidencia, el router envía un mensaje
ICMPv6 Solicitud de vecino (ICMPv6 Neighbor Solicitation) (NS). El dispositivo de
destino devolverá un mensaje ICMPv6 Neighbor Advertisement (NA) con su dirección
MAC. El router ahora puede reenviar el paquete IPv6 en una trama Ethernet con la
dirección MAC de destino adecuada.
Reenvía el paquete a un router de salto siguiente
Si la entrada de ruta indica que la dirección IP de destino está en una red remota, esto
significa que la dirección IP de destino del paquete pertenece a un dispositivo de red que no
está conectado directamente. Por lo tanto, el paquete debe ser reenviado a otro enrutador,
específicamente a un router de siguiente salto. La dirección de salto siguiente se indica en
la entrada de ruta.
Si el router de reenvío y el router de siguiente salto se encuentran en una red Ethernet, se
producirá un proceso similar (ARP e ICMPv6 Neighbor Discovery) para determinar la
dirección MAC de destino del paquete como se describió anteriormente. La diferencia es
que el router buscará la dirección IP del router de salto siguiente en su tabla ARP o caché
de vecino, en lugar de la dirección IP de destino del paquete.
Nota: Este proceso variará para otros tipos de redes de capa 2.
Descarta el paquete - No coincide en la tabla de enrutamiento
Si no hay ninguna coincidencia entre la dirección IP de destino y un prefijo en la tabla de
enrutamiento, y si no hay una ruta predeterminada, se descartará el paquete.

Información de Enrutamiento
La tabla de enrutamiento de un router almacena información sobre lo siguiente:
Rutas directamente conectadas - Estas rutas provienen de las interfaces activas del router.
Los routers agregan una ruta conectada directamente cuando una interfaz se configura con
una dirección IP y se activa.
Rutas remotas - Estas son redes remotas conectadas a otros routers. Las rutas que van a
estas redes se pueden configurar de forma estática o aprender de manera dinámica mediante
protocolos de enrutamiento dinámico.

La tabla de enrutamiento contiene asociaciones de red o de siguiente salto. Estas

asociaciones le indican al router que un destino en particular se puede alcanzar de forma
óptima si se envía el paquete hacia un router en particular que representa el siguiente salto
en el camino hacia el destino final. La asociación del siguiente salto también puede ser la
interfaz de salida hacia el siguiente destino.
Las entradas de la red de destino en la tabla de enrutamiento se pueden agregar de varias
maneras:
Interfaces de ruta local se agregan cuando una interfaz está configurada y activa. Esta
entrada solo se ven en la versión IOS 15 (o más recientes) para las rutas IPv4, y en todas las
versiones de IOS para las rutas IPv6.
Interfaces conectadas directamente: Se agregan a la tabla de enrutamiento cuando una
interfaz está configurada y activa.
Rutas estáticas: Se agregan cuando una ruta se configura manualmente y la interfaz de
salida está activa.
Protocolo de enrutamiento dinámico: Se agrega cuando se implementan protocolos de
enrutamiento que detectan la red de manera dinámica (como EIGRP u OSPF) y cuando se
identifican las redes.
Se desarrollaron dos protocolos de enrutamiento: el protocolo OSPF (abrir primero la ruta
más corta) y sistema intermedio a sistema intermedio (IS-IS). Cisco desarrolló el protocolo
de enrutamiento de gateway interior (IGRP) e IGRP mejorado (EIGRP), que también tiene
buena escalabilidad en implementaciones de redes más grandes.
Asimismo, surgió la necesidad de conectar distintas redes y proporcionar enrutamiento
entre ellas. En la actualidad, se utiliza el protocolo de gateway fronterizo (BGP) entre
proveedores de servicios de Internet (ISP). El protocolo BGP también se utiliza entre los
ISP y sus clientes privados más grandes para intercambiar información de enrutamiento.
La tabla clasifica los protocolos. Los routers configurados con estos protocolos enviarán
periódicamente mensajes a otros routers. 

Reenvió de Paquetes
Una responsabilidad principal de la función de switching es la de encapsular los paquetes
en el tipo de marco de enlace de datos correcto para el enlace de datos de salida. Por
ejemplo, el formato de trama de vínculo de serie podría ser el protocolo punto a punto
(PPP), el protocolo de control de enlace de datos de alto nivel (HDLC) o algún otro
protocolo de capa 2.
PC1 envía paquete a PC2
PC1 envía un paquete a PC2. Ya que la PC2 está en una red diferente, la PC1 reenviará los
paquetes a su puerta de enlace predeterminada (gateway). PC1 buscará en su caché ARP la
dirección MAC de gateway predeterminada y agregará la información de trama indicada.
Nota: Si una entrada de ARP no existe en la tabla de ARP para la puerta de enlace
predeterminada (gateway) de 192.168.1.1, la PC1 enviará una solicitud de ARP El router
R1 envía a cambio una respuesta ARP con su dirección MAC.
El R1 reenvía el paquete a la PC2
R1 ahora reenvía el paquete a PC2. Debido a que la interfaz de salida se encuentra en una
red Ethernet, el R1 debe resolver la dirección IPv4 de siguiente salto con una dirección
MAC de destino mediante ARP: Si no existe ninguna entrada ARP para la interfaz del
proximo salto 192.168.2.2 en la tabla ARP, R1 envía una solicitud de ARP. R2 devolvería
una respuesta ARP.
El R2 reenvía el paquete al R3
R2 ahora reenvía el paquete a R3. Debido a que la interfaz de salida no es una red Ethernet,
el R2 no tiene que resolver la dirección IPv4 del siguiente salto con una dirección MAC de
destino. Cuando la interfaz es una conexión serial punto a punto (P2P), el router encapsula
el paquete IPv4 en el formato de trama de enlace de datos correspondiente que utiliza la
interfaz de salida (HDLC, PPP, etc.). Debido a que no hay direcciones MAC en las
interfaces seriales, el R2 establece la dirección de destino de enlace de datos en el
equivalente a una difusión.
El R3 reenvía el paquete a la PC2
R3 ahora reenvía el paquete a PC2. Dado que la interfaz de salida es una red Ethernet
conectada directamente, el R3 debe resolver la dirección IPv4 de destino del paquete con
una dirección MAC de destino: Si la entrada no aparece en la caché ARP, el R3 envía una
solicitud de ARP por la interfaz FastEthernet 0/0. La PC2 envía a cambio una respuesta
ARP con su dirección MAC.

Concentradores, Puentes y Switches de LAN

Un hub de Ethernet actúa como un repetidor multipuerto que recibe una señal eléctrica
entrante (datos) en un puerto. Luego, reenvía inmediatamente una señal regenerada a todos
los demás puertos. Los hubs utilizan procesamiento de capa física para reenviar datos. No
tienen en cuenta la dirección MAC de origen ni destino de la trama de Ethernet. Los hubs
conectan la red en una topología de estrella con el concentrador como punto de conexión
central. Cuando dos o más terminales conectados a un hub envían datos al mismo tiempo,
ocurre una colisión eléctrica que daña las señales. Todos los puertos conectados a un hub
pertenecen al mismo dominio de colisión. En dicho dominio, solamente un dispositivo
puede transmitir tráfico en un momento dado. Si ocurre una colisión, los terminales utilizan
la lógica CSMA/CD para evitar la transmisión hasta que la red esté libre de tráfico. Debido
al bajo costo y superioridad de la conmutación Ethernet, los hubs rara vez se utilizan hoy en
día.
Los bridges tienen dos interfaces y están conectados entre concentradores para dividir la
red en varios dominios de colisión. Cada dominio de colisión puede tener solamente un
remitente en un momento dado. Las colisiones se aíslan en un solo segmento usando el
bridge y no afectan a los dispositivos en otros segmentos. Al igual que un switch, un bridge
toma decisiones de reenvío en función de las direcciones MAC de Ethernet. Los bridges
rara vez se usan en redes modernas.
Los switches de LAN son, en definitiva, bridges multipuerto que conectan dispositivos en
una topología de estrella. Al igual que los bridges, los switches segmentan una red LAN en
dominios de colisión separados, uno para cada puerto del switch. Un switch toma
decisiones de reenvío sobre la base de direcciones MAC.

Funcionamiento del Switching

Los switches usan direcciones MAC para dirigir las comunicaciones de red a través del
switch al puerto correspondiente y hacia el destino. Un switch se compone de circuitos
integrados y del software complementario que controla las rutas de datos a través del
switch. Para definir qué puerto usar para transmitir una trama, el switch primero debe saber
qué dispositivos existen en cada puerto. A medida que el switch descubre la relación entre
puertos y dispositivos, crea una tabla denominada “tabla de direcciones MAC” o “tabla de
memoria de contenido direccionable (CAM)”. CAM es un tipo de memoria especial que se
usa en las aplicaciones de búsqueda de alta velocidad.
Los switches LAN determinan cómo manejar las tramas de datos entrantes mediante una
tabla de direcciones MAC. El switch genera la tabla de direcciones MAC mediante el
registro de la dirección MAC de cada dispositivo que está conectado a cada uno de los
puertos. El switch usa la información de la tabla de direcciones MAC para enviar las tramas
a su específico dispositivo de destino por el puerto que el dispositivo tiene conectado.

El siguiente proceso de dos pasos se realiza para cada trama de Ethernet que ingresa a un
switch.
1. Aprendizaje: Examinar la dirección MAC de origen
Se revisa cada trama que ingresa a un switch para obtener información nueva que necesita
ser aprendida. Esto se realiza examinando la dirección MAC de origen de la trama y el
número de puerto por el que la trama ingresó al switch. Si la dirección MAC de origen no
se encuentra en la tabla, esa se agrega a la tabla de direcciones MAC junto con el número
de puerto de entrada. Si la dirección MAC de origen existe en la tabla, el switch actualiza el
temporizador de actualización para esa entrada. De manera predeterminada, la mayoría de
los switches Ethernet guardan una entrada en la tabla durante cinco minutos.
Nota: Si la dirección MAC de origen existe en la tabla, pero en un puerto diferente, el
switch la trata como una entrada nueva. La entrada se reemplaza con la misma dirección
MAC, pero con el número de puerto más actual.
2. Reenvío: Examinar la dirección MAC de destino
Si la dirección MAC de destino es una dirección de unidifusión, el switch busca una
coincidencia entre la dirección MAC de destino de la trama y una entrada en la tabla de
direcciones MAC. Si la dirección MAC de destino está en la tabla, reenvía la trama por el
puerto especificado. Si la dirección MAC de destino no está en la tabla, el switch reenvía la
trama a todos los puertos, salvo el de entrada. Esto se conoce como unidifusión.
Nota: Si la dirección MAC de destino es de difusión o multidifusión, la trama también se
envía a todos los puertos, salvo el de entrada.
Un switch puede tener muchas direcciones MAC asociadas a un solo puerto. Esto es común
cuando el switch está conectado a otro switch. El switch tiene una entrada independiente en
la tabla de direcciones MAC para cada trama recibida con una dirección MAC de origen
diferente.

VLAN
Dentro de un entorno de red conmutada, las VLAN proporcionan la segmentación y la
flexibilidad organizativa. Las VLAN proporcionan una manera de agrupar dispositivos
dentro de una LAN. Un grupo de dispositivos dentro de una VLAN se comunica como si
estuvieran conectados al mismo segmento de red. Las VLAN se basan en conexiones
lógicas, en lugar de conexiones físicas.
Las VLAN permiten que el administrador segmente las redes según factores como la
función, el equipo del proyecto o la aplicación, independientemente de la ubicación física
del usuario o el dispositivo, como se ve en la figura. Los dispositivos dentro de una VLAN
funcionan como si estuvieran en su propia red independiente, aunque compartan una misma
infraestructura con otras VLAN. Cualquier puerto de switch puede pertenecer a una VLAN.
Los paquetes de unidifusión, difusión y multidifusión se reenvían solamente a terminales
dentro de la VLAN donde los paquetes son de origen. Cada VLAN se considera una red
lógica diferente. Los paquetes destinados a dispositivos que no pertenecen a la VLAN se
deben reenviar mediante un dispositivo compatible con enrutamiento.
Una VLAN crea un dominio de difusión lógico que puede abarcar varios segmentos LAN
físicos. Las VLAN mejoran el rendimiento de la red mediante la división de grandes
dominios de difusión en otros más pequeños. Si un dispositivo en una VLAN envía una
trama de Ethernet de difusión, todos los dispositivos en la VLAN reciben la trama, pero los
dispositivos en otras VLAN no la reciben.
Las redes VLAN también evitan que los usuarios en VLAN diferentes espíen el tráfico de
los demás.

STP
Se deben administrar varias rutas para que no se produzcan bucles en la capa 2. Se eligen
las mejores rutas, y se cuenta con una ruta alternativa de inmediato en caso de que falle una
ruta principal. El protocolo de árbol de expansión se utiliza para mantener una ruta libre de
bucles en la red de capa 2 en cualquier momento.
La redundancia aumenta la disponibilidad de la topología de red al proteger la red de un
único punto de falla, como un cable de red o switch que fallan. Cuando se introduce la
redundancia física en un diseño, se producen bucles y se duplican las tramas. Esto trae
consecuencias graves para las redes conmutadas. STP fue desarrollado para resolver estos
problemas.
STP asegura que exista sólo una ruta lógica entre todos los destinos de la red, al realizar un
bloqueo de forma intencional a aquellas rutas redundantes que puedan ocasionar un bucle.
Se considera que un puerto está bloqueado cuando no se permite que entren o salgan datos
de usuario por ese puerto. Esto no incluye las tramas de unidad de datos de protocolo
puente (BPDU) utilizadas por STP para evitar bucles. El bloqueo de las rutas redundantes
es fundamental para evitar bucles en la red. Las rutas físicas aún existen para proporcionar
la redundancia, pero las mismas se deshabilitan para evitar que se generen bucles. Si alguna
vez la ruta es necesaria para compensar la falla de un cable de red o de un switch, STP
vuelve a calcular las rutas y desbloquea los puertos necesarios para permitir que la ruta
redundante se active.

Switch Multicapa
Los switches multicapa (también conocidos como switches de Capa 3) no solo tienen a su
cargo el switching de Capa 2 sino que también reenvían tramas en función de la
información de las capas 3 y 4. Todos los switches multicapa Cisco Catalyst admiten los
siguientes tipos de interfaces de capa 3:
Puerto enrutado - Una interfaz puramente de capa 3 similar a la interfaz física de un router
IOS de Cisco.
Interfaz virtual del switch (SVI) - Una interfaz VLAN virtual para enrutamiento entre
VLAN. En otras palabras, las SVI son las interfaces VLAN enrutadas de manera virtual.
Puertos enrutados
Un puerto enrutado es un puerto físico que funciona de manera similar a una interfaz en un
router. A diferencia de los puertos de acceso, los puertos enrutados no se asocian a una
VLAN determinada. Los puertos enrutados se comportan como una interfaz del router
normal. Además, debido a la eliminación de la funcionalidad de capa 2, los protocolos de
capa 2 (tales como STP), no funcionan en interfaces enrutadas. Sin embargo, algunos
protocolos, como LACP y EtherChannel, funcionan en la capa 3. A diferencia de los
routers IOS de Cisco, los puertos enrutados en un switch IOS de Cisco no admiten
subinterfaces.
Interfaces virtuales de switch
Una SVI es una interfaz virtual configurada en una switch multicapa, como se muestra en la
figura. A diferencia de los switches de capa 2 básicos mencionados antes, un interruptor
multicapa puede tener varias SVI. Se puede crear una SVI para cualquier VLAN que exista
en el switch. Una SVI se considera virtual porque no hay un puerto físico dedicado a la
interfaz. Puede realizar las mismas funciones para la VLAN que una interfaz del router y
puede configurarse de manera similar a una interfaz tal (es decir, dirección IP, ACL de
entrada y de salida, etcétera). La SVI para la VLAN proporciona procesamiento de capa 3
para los paquetes que provienen de todos los puertos de switch asociados a dicha VLAN o
que se dirigen a ella.

LAN Inalámbricas Frente a Redes Cableadas

Las WLAN usan radiofrecuencias (RF) en lugar de cables en la capa física y la subcapa
MAC de la capa de enlace de datos. Las WLAN comparten un origen similar con las LAN
Ethernet. El IEEE adoptó la cartera 802 LAN/MAN de estándares de arquitectura de redes
informáticas. Los dos grupos de trabajo 802 dominantes son Ethernet 802.3 (que define
Ethernet para redes LAN cableadas) y 802.11 (que define Ethernet para redes WLAN).

Hay diferencias importantes entre los dos.

 Las WLAN también difieren de las LAN conectadas por cable de la siguiente
manera:
 Las WLAN conectan clientes a la red mediante puntos de acceso (AP) inalámbrico
o un router inalámbrico, en lugar de hacerlo mediante un switch Ethernet.
 Las WLAN conectan los dispositivos móviles que, en general, están alimentados
por batería, en lugar de los dispositivos enchufados de la LAN.
 Las WLAN admiten hosts que se disputan el acceso a los medios de RF (bandas de
frecuencia). Para evitar proactivamente las colisiones dentro de los medios, el
estándar 802.11 recomienda la prevención de colisiones (CSMA/CA) en lugar de la
detección de colisiones (CSMA/CD) para el acceso a los medios.
Las WLAN utilizan un formato de trama diferente al de las LAN Ethernet conectadas por
cable. Las WLAN requieren información adicional en el encabezado de la Capa 2 de la
trama.
Las WLAN tienen mayores inconvenientes de privacidad debido a que las frecuencias de
radio pueden salir de las instalaciones.
La tabla resume las diferencias entre LAN inalámbricas y cableadas.

802.11 Estructura del Frame

Recuerde que todas los frames de capa 2 consisten en un encabezado, carga útil y sección
de secuencia de verificación de trama (FCS). El formato del Frame 802.11 es similar al
formato de Frame de Ethernet, excepto que contiene más campos, como se muestra en la
figura.
Todas las tramas 802.11 inalámbricas contienen los siguientes campos;
Control de trama ─ Identifica el tipo de trama inalámbrica y contiene subcampos para la
versión del protocolo, el tipo de trama, el tipo de dirección, la administración de energía y
la configuración de seguridad.
Duración - En general, se usa para indicar el tiempo restante necesario para recibir la
siguiente transmisión de tramas.
Dirección 1 - Normalmente, contiene la dirección MAC del dispositivo o AP receptor
inalámbrico.
Dirección 2 - Normalmente, contiene la dirección MAC del dispositivo o AP receptor
inalámbrico.
Dirección 3 - En ocasiones, contiene la dirección MAC del destino, como la interfaz del
router (puerta de enlace predeterminada) a la que se conecta el AP.
Control de Secuencia - Contiene información para controlar la secuencia y las tramas
fragmentadas
Dirección 4 - Suele estar vacío, ya que se usa solo en el modo ad hoc.
Payload ─ Contiene los datos para la transmisión.
FCS ─ Esto se utiliza para el control de errores de la capa 2.

CSMA/CA
Las WLAN son configuraciones de medios compartidos semidúplex. Half-duplex significa
que solo un cliente puede transmitir o recibir en dado momento. Medios compartidos
significa que todos los clientes pueden transmitir y recibir en el mismo canal de radio. S
Esto crea un problema porque un cliente inalámbrico no puede escuchar mientras está
enviando, lo que hace que sea imposible detectar una colisión.
Para resolver este problema las WLAN utilizan el acceso múltiple con detección de
operador con evitación de colisiones (CSMA / CA) para determinar cómo y cuándo enviar
datos. Un cliente inalámbrico hace lo siguiente:
Escucha el canal para ver si está inactivo, es decir, no hay otro tráfico actualmente en el
canal. El canal es también llamado el portador.
Envía un mensaje listo para enviar (Ready to Send) (RTS) al AP para solicitar acceso
dedicado a la red.
Recibe un mensaje de permiso para enviar (clear to send) (CTS) desde el AP garantizando
el acceso para enviar.
Si el cliente inalámbrico no recibe el mensaje CTS este espera una cantidad de tiempo
aleatoria antes de reiniciar el proceso.
Después de recibir el CTS, trasmite la información.
Todas las transmisiones son reconocidas. Si un cliente no recibe el reconocimiento, asume
que ocurrió una colisión y reinicia el proceso.

Asociación de AP de Cliente Inalámbrico

Para que los dispositivos inalámbricos se comuniquen a través de una red, primero se deben
asociar a un AP o un router inalámbrico. Una parte importante del proceso 802.11 es
descubrir una WLAN y conectarse a esta. Los dispositivos inalámbricos completan el
siguiente proceso de tres etapas.
 Descubre un AP inalámbrico.
 Autenticar con el AP.
 Asociarse con el AP.
Para lograr una asociación exitosa, un cliente inalámbrico y un AP deben acordar
parámetros específicos: Para permitir la negociación de estos procesos, se deben configurar
los parámetros en el AP y posteriormente en el cliente.

SSID -El nombre del SSID aparece en la lista de redes inalámbricas disponibles en un

cliente. En organizaciones más grandes que usan múltiples VLAN para segmentar el
tráfico, cada SSID se asigna a una VLAN Según la configuración de la red, varios AP en
una red pueden compartir un SSID.
Contraseña - El cliente inalámbrico la necesita para autenticarse con el AP.
Modo de red - Se refiere a los estándares WLAN 802.11 a/b/g/n/ac/ad. Los AP y routers
inalámbricos pueden funcionar en modo combinado, lo que significa que pueden utilizar
varios estándares al mismo tiempo.
Modo de seguridad - Se refiere a la configuración de los parámetros de seguridad, como
WEP, WPA o WPA2. Habilite siempre el nivel más alto de seguridad que se admita.
Configuración de canales - Se refiere a las bandas de frecuencia que se usan para
transmitir datos inalámbricos. Los routers inalámbricos y los AP pueden escanear los
canales de radiofrecuencia y seleccionar automáticamente una configuración de canal
adecuada. Los routers y los AP inalámbricos pueden elegir la configuración de canales, o
esta se puede definir manualmente si existe interferencia con otro AP o dispositivo
inalámbrico.

Modo de Entrega Pasiva y Activa

Los dispositivos inalámbricos deben detectar un AP o un router inalámbrico y se deben
conectar a este. Los clientes inalámbricos se conectan al AP mediante un proceso de
análisis (sondeo). Este proceso puede ser pasivo o activo.
Modo Pasivo
En modo pasivo el AP anuncia abiertamente su servicio enviando periódicamente tramas de
señal de difusión que contienen el SSID, los estándares admitidos y la configuración de
seguridad. El propósito principal de la señal es permitir que los clientes inalámbricos
descubran qué redes y qué AP existen en un área determinada, de modo que puedan elegir
qué red y qué AP usar. Esto permite a los clientes inalámbricos elegir qué red y AP utilizar.
Modo Activo
En modo activo: los clientes inalámbricos deben conocer el nombre del SSID. El cliente
inalámbrico inicia el proceso al transmitir por difusión una trama de solicitud de sondeo en
varios canales. La solicitud de sondeo incluye el nombre del SSID y los estándares
admitidos. Los AP configurados con el SSID enviarán una respuesta de prueba que incluye
el SSID, los estándares admitidos y la configuración de seguridad. Si un AP o un router
inalámbrico se configuran para que no transmitan por difusión las tramas de señal, es
posible que se requiera el modo activo.

Para descubrir las redes WLAN cercanas, un cliente inalámbrico también podría enviar una
solicitud de sondeo sin un nombre de SSID. Los AP configurados para transmitir por
difusión tramas de señal responderían al cliente inalámbrico con una respuesta de sondeo y
proporcionarían el nombre del SSID. Los AP con la característica de transmisión del SSID
por difusión deshabilitada no responden.

Dispositivos Inalámbricos – AP, LWAP y WLC

Una implementación común de tecnología inalámbrica de datos permite a los dispositivos
conectarse en forma inalámbrica a través de una LAN. En general, una LAN inalámbrica
requiere puntos de acceso inalámbrico y clientes que tengan NIC inalámbricas. Los routers
inalámbricos domésticos y de pequeñas empresas integran las funciones de un router, un
switch y un punto de acceso en un solo dispositivo, como el que se ve en la figura. Tenga
en cuenta que, en redes pequeñas, es posible que el router inalámbrico sea el único AP
debido a que solamente se brinda cobertura inalámbrica a un área pequeña. En redes de más
tamaño, puede haber muchos AP.
Todas las funciones de control y gestión de los AP en una red pueden centralizarse en una
controladora de LAN inalámbrica (WLC, Wireless LAN Controller). Cuando se utiliza una
WLC, los AP ya no actúan de manera autónoma, sino que actúan como AP ligeros (LWAP,
Lightweight AP). Los LWAP solamente reenvían datos entre la LAN inalámbrica y la
WLC. Todas las funciones de administración, como definir SSID y autenticar, se llevan a
cabo en la WLC centralizada, en lugar de en cada AP individual. Una de las tantas ventajas
de centralizar las funciones de administración de AP en la WLC es simplificar la
configuración y el monitoreo de numerosos puntos de acceso.

CAPITULO 12
INFRAESTRUCTURA DE
 SEGURIDAD DE LA RED

Representaciones de Red

Además de estas representaciones, se utiliza una terminología especializada para describir

cómo cada uno de estos dispositivos y medios se conectan entre sí:
Tarjeta de interfaz de red (Network Interface Card) (NIC) - Una NIC conecta físicamente el
dispositivo final a la red.
Puerto físico - Un conector o conexión en un dispositivo de red donde se conectan los
medios a un terminal u otro dispositivo de red.
Interfaz - Puertos especializados en un dispositivo de red que se conecta a redes
individuales. Debido a que los routers conectan redes, los puertos en un router se
denominan interfaces de red.
Nota: Los términos puerto e interfaz con frecuencia se utilizan en forma indistinta.

Diagramas de Topología
Diagramas de topologías físicas
Los diagramas de topología física ilustran la ubicación física de los dispositivos
intermedios y la instalación del cable, como se muestra en la figura. Puede ver que las
habitaciones en las que se encuentran estos dispositivos están etiquetadas en esta topología
física.

Diagramas de topologías lógicas

Los diagramas de topología lógica ilustran los dispositivos, los puertos y el esquema de
direccionamiento de la red, como se muestra en la figura. Puede ver qué dispositivos finales
están conectados a qué dispositivos intermediarios y qué medios se están utilizando.

Redes de Muchos Tamaños

Internet es la red más extensa que existe. De hecho, el término Internet significa “red de
redes”. Es una colección de redes privadas y públicas interconectadas.
En pequeñas empresas y hogares, muchas PC funcionan como servidores y clientes en la
red. Este tipo de red se denomina red entre pares.
Redes domésticas pequeñas
Las redes domésticas pequeñas conectan algunas computadoras entre sí y a Internet.
Redes domésticas/de oficinas pequeñas
La red SOHO permite que las computadoras en una oficina hogareña o remota se conecten
a una red corporativa o accedan a recursos compartidos centralizados.
Redes medianas a grandes
Las redes medianas a grandes, como las que se utilizan en corporaciones y escuelas, pueden
tener muchas ubicaciones con cientos o miles de hosts interconectados.
Redes mundiales
Internet es una red de redes que conecta cientos de millones de computadoras en todo el
mundo.

LAN y WAN
Las infraestructuras de red pueden variar en gran medida en términos de:
 El tamaño del área que abarcan.
 La cantidad de usuarios conectados.
 La cantidad y los tipos de servicios disponibles.
 El área de responsabilidad
Los dos tipos más comunes de infraestructuras de red son las redes de área local (LAN) y
las redes de área amplia (WAN). Una LAN es una infraestructura de red que proporciona
acceso a usuarios y dispositivos finales en un área geográfica pequeña. Normalmente, una
LAN se utiliza en un departamento dentro de una empresa, un hogar o una red de pequeñas
empresas. Una WAN es una infraestructura de red que proporciona acceso a otras redes en
un área geográfica amplia, que generalmente es propiedad y está administrada por una
corporación más grande o un proveedor de servicios de telecomunicaciones.

LAN
LANs tienen características específicas:
 Las LANs interconectan terminales en un área limitada, como una casa.
 La administración de las LAN está a cargo de una única organización o persona.
 Las LANs proporcionan ancho de banda de alta velocidad a dispositivos finales
internos y dispositivos intermedios.
Redes WAN
 Las WAN generalmente son administradas por proveedores de servicios (SP) o
proveedores de servicios de Internet (ISP).
 Las WANs tienen características específicas:
 Las WAN interconectan LAN a través de áreas geográficas extensas.
 La administración de las WAN está a cargo de varios proveedores de servicios.
 Las WAN proporcionan enlaces de velocidad más lenta entre redes LAN.

El Modelo de Diseño de Red de Tres Capas

Separando el diseño en capas permite que cada capa implemente funciones específicas, lo
que simplifica el diseño de la red para una implementación y administración más sencillas.
Esto también simplifica la implementación y administración de la red.

Núcleo Contraído
La capa de acceso otorga a los puntos de acceso y a los usuarios acceso directo a la red. La
capa de distribución agrega capas de acceso y brinda conectividad a los servicios. Por
último, la capa de núcleo ofrece conectividad entre las capas de distribución para entornos
de LAN grandes. El tráfico de los usuarios se inicia en la capa de acceso y pasa por las
demás capas si se necesita utilizar la funcionalidad de esas capas.
Aunque el modelo jerárquico consta de tres capas, es posible que en algunas redes
empresariales pequeñas se implemente un diseño jerárquico de dos niveles. En un diseño
jerárquico de dos niveles, las capas de núcleo y de distribución se combinan en una, lo que
reduce el costo y la complejidad.

Arquitecturas de Seguridad Comunes

Principalmente, el diseño de firewall tiene por objetivo permitir o denegar el tráfico según
el origen, el destino y el tipo de tráfico. Algunos diseños son tan simples y solo consisten
en diseñar una red externa y una interna, que son determinadas por dos interfaces en un
firewall.
Privado y publico
La red pública (o externa) no es de confianza y la red privada (o interna) es de confianza.
Normalmente, un firewall con dos interfaces se configura del siguiente modo:
- El tráfico procedente de la red privada se autoriza e inspecciona mientras viaja hacia
la red pública. También se autoriza el tráfico inspeccionado que regresa de la red
pública y está relacionado con el tráfico que se originó en la red privada.
- Generalmente, se bloquea el tráfico procedente de la red pública que viaja hacia la
red privada.

Zona desmilitarizada
Una zona perimetral (DMZ, Demilitarized Zone) es un diseño de firewall donde,
normalmente, hay una interfaz interna conectada a la red privada, una interfaz externa
conectada a la red pública y una interfaz de DMZ.
El tráfico procedente de la red privada se inspecciona mientras viaja hacia la red pública o
la DMZ. Este tráfico se permite casi sin restricciones. También se permite el tráfico
inspeccionado que regresa a la red privada desde la DMZ o la red pública.
Con frecuencia, se bloquea el tráfico procedente de la DMZ que viaja hacia la red privada.
El tráfico procedente de la DMZ y que viaja hacia la red pública se permite, siempre y
cuando cumpla con los requisitos de servicio.
El tráfico procedente de la red pública que viaja hacia la DMZ se permite de manera
selectiva y se inspecciona. Este tipo de tráfico suele ser de correo electrónico, DNS, HTTP
o HTTPS. Se permite de manera dinámica el tráfico que regresa de la DMZ a la red
pública.
Se bloquea el tráfico procedente de la red pública que viaja hacia la red privada.

Firewall de políticas basados en zonas

En los firewalls de políticas basadas en zonas (Zone-based policy firewalls, ZPF) se utiliza
el concepto de zonas para ofrecer mayor flexibilidad. Una zona es un grupo de al menos
una interfaz con funciones o características similares. Las zonas ayudan a especificar dónde
se debe implementar una regla o política de firewall Cisco IOS.
La única excepción a esta política predeterminada de denegar todo es la zona autónoma del
router. La zona autónoma del router es el router en sí mismo e incluye todas las direcciones
IP de interfaz de router. Las configuraciones de políticas que incluyen la zona autónoma se
aplican al tráfico al router y procedente de él. De manera predeterminada, no hay ninguna
política para este tipo de tráfico. El tráfico que debe tenerse en cuenta al diseñar una
política para la zona autónoma incluye el tráfico del plano de control y del plano de
administración, como SSH, SNMP y protocolos de enrutamiento.
Firewalls
Propiedades comunes de firewall
 Los firewalls resisten ataques de red.
 Los firewalls son el único punto de tránsito entre las redes corporativas internas y
las redes externas porque todo el tráfico circula por ellos.
 Los firewalls aplican la política de control de acceso.
Ventajas del firewall
 Evitan la exposición de hosts, recursos y aplicaciones confidenciales a usuarios no
confiables.
 Sanean el flujo de protocolos, lo que evita el aprovechamiento de las fallas de
protocolos.
 Bloquean los datos maliciosos de servidores y clientes.
 Simplifican la administración de la seguridad, ya que la mayor parte del control del
acceso a redes se deriva a unos pocos firewalls de la red.
Limitaciones del firewall
 Un firewall mal configurado puede tener graves consecuencias para la red, por
ejemplo, convertirse en un punto único de falla.
 Los datos de muchas aplicaciones no se pueden transmitir con seguridad mediante
firewalls.
 Los usuarios pueden buscar maneras de esquivar el firewall para recibir material
bloqueado, lo que expone a la red a posibles ataques.
 Puede reducirse la velocidad de la red.
 El tráfico no autorizado se puede tunelizar u ocultar como tráfico legítimo a través
del firewall.

Descripciones de Tipos de Firewall

Firewall para filtrado de paquetes (sin estado)
Los firewalls de filtrado de paquetes suelen formar parte de un firewall de router, que
autoriza o rechaza el tráfico a partir de la información de las capas 3 y 4. Son firewalls sin
estado que utilizan una simple búsqueda en la tabla de políticas que filtra el tráfico según
criterios específicos.
Por ejemplo, los servidores SMTP escuchan el puerto 25 de manera predeterminada. Un
administrador puede configurar el firewall de filtrado de paquetes para bloquear el puerto
25 desde una estación de trabajo específica a fin de evitar que difunda un virus por correo
electrónico.
Firewall con detección de estado
Los firewalls con estado son los más versátiles y las tecnologías de firewall más
comúnmente usadas. Los firewalls activos proporcionan un filtrado de paquetes utilizando
la información de conexión que se mantiene en una tabla de estados. El filtrado con estado
es una arquitectura de firewall que se clasifica en la capa de red. También analiza el tráfico
en las capas 4 y 5 de OSI.
Firewall del gateway de aplicaciones
Firewall de gateway de aplicación (proxy de firewall) ─ Filtra la información en las capas
3, 4, 5 y 7 del modelo de referencia OSI. La mayor parte del control y filtrado del firewall
se realiza en el software. Cuando un cliente necesita tener acceso a un servidor remoto, se
conecta a un servidor proxy. El servidor proxy se conecta al servidor remoto en nombre del
cliente. Por lo tanto, el servidor solamente ve una conexión desde el servidor proxy.

Firewall de próxima generación

Los firewalls de próxima generación (NGFW) van más allá de los firewalls con estado y
ofrecen lo siguiente:
 Prevención de intrusiones integrada.
 Control y reconocimiento de aplicaciones para ver y bloquear aplicaciones
riesgosas.
 Rutas de actualización para incluir futuros datos de información.
 Técnicas para afrontar amenazas de seguridad en constante evolución.
Otros métodos de implementación de firewall incluyen los siguientes:
 Firewall basado en host (servidor y personal) ─ Una computadora o servidor que
ejecuta software de firewall.
 Firewall transparente ─ Filtra el tráfico de IP entre un par de interfaces
conectadas con puente.
 Firewall híbrido ─ Una combinación de los distintos tipos de firewall. Por
ejemplo, un firewall de inspección de aplicación combina un firewall con estado y
un firewall de gateway de aplicación.

Dispositivos de Detección y Prevención de Intrusiones

Es necesario un cambio de paradigma en las arquitecturas de red para defenderse de los
ataques cada vez más rápidos y complejos. Este debe incluir sistemas de detección y
prevención rentables, como sistemas de detección de intrusiones (IDS, Intrusion Detection
System) o sistemas de prevención de intrusiones (IPS, Intrusion Prevention System), que
son más escalables. La arquitectura de red integra estas soluciones en los puntos de entrada
y salida de la red.
Al implementar IDS o IPS, es importante conocer los tipos de sistemas disponibles, los
enfoques basados en host y basados en la red, la implementación de estos sistemas, el papel
que desempeñan las categorías de firma y las posibles acciones que puede adoptar un router
de Cisco IOS cuando se detecta un ataque.
Cómo un dispositivo IPS maneja el tráfico malicioso.
 El tráfico malicioso se envía al host de destino que está dentro de la red.
 El tráfico se enruta a la red y es recibido mediante un sensor IPS habilitado donde
está bloqueado.
 El sensor IPS habilitado envía información de registro con respecto al tráfico a la
consola de administración de la seguridad de la red.
 El sensor IPS habilitado elimina el tráfico. (Se envía al Bit Bucket).
Ambas tecnologías se implementan como sensores. Un sensor IDS o IPS puede adoptar la
forma de varios dispositivos diferentes:
 Un router configurado con el software IPS de Cisco IOS.
 Un dispositivo diseñado específicamente para proporcionar servicios de IDS o IPS
exclusivos.
 Un módulo de red instalado en un dispositivo de seguridad adaptable (ASA,
Adaptive Security Appliance), switch o router.

Ventajas y Desventajas de IDS e IPS

Ventajas de IDS
 No afecta al rendimiento de la red. Específicamente, no introduce latencia,
fluctuación ni otros problemas de flujo de tráfico.
 No afecta la funcionalidad de la red si el sensor falla. solamente afecta a la
capacidad de IDS para analizar los datos.

Desventajas de IDS
 Un sensor de IDS no puede detener el paquete de activación y son menos útiles para
detener los virus de correo electrónico y los ataques automatizados, como los
gusanos.
 Afinar los sensores IDS para lograr niveles esperados de detección de intrusiones
puede llevar mucho tiempo.
 Una implementación de IDS es más vulnerable a las técnicas de evasión de
seguridad de red porque no está en línea.

Ventajas de IPS
 Un sensor IPS se puede configurar para que omita el paquete a fin de detener el
paquete de activación, los paquetes asociados a una conexión o los paquetes desde
una dirección IP de origen.
 Porque los sensores IPS son en línea, pueden utilizar la normalización de
transmisión. La normalización de transmisión es una técnica usada para reconstruir
el flujo de datos cuando el ataque se produce en varios segmentos de datos.
Desventajas de IPS
 Y que es implementado en línea, los errores, las fallas y rl sobrecalentamiento del
sensor IPS con mucho tráfico pude tener un efecto negativo en el rendimiento de la
red.
 Un sensor de IPS puede afectar el rendimiento de la red al introducir latencia y
fluctuación.
 Un sensor IPS debe tener el tamaño correcto e implementarse adecuadamente para
que las aplicaciones sensibles al tiempo, como VoIP, no se vean afectadas
negativamente.
Consideraciones para la implementación
Puede implementar un IPS y un IDS. Estas tecnologías no son mutuamente exclusivas. De
hecho, las tecnologías IDS e IPS pueden complementarse.
Por ejemplo, es posible implementar IDS para validar el funcionamiento de IPS, ya que se
puede configurar IDS para que realice una inspección de paquetes más profunda sin
conexión. Esto permite que IPS se centre en menos patrones de tráfico en línea, pero que
son esenciales.

Tipos de IPS
Ejemplo de la implementación de un sensor IPS
La tecnología IPS con base en host (HIPS) es un software instalado en un host para
controlar y analizar actividades sospechosas. Una ventaja importante de HIPS es que puede
monitorear y proteger el sistema operativo y los procesos fundamentales del sistema que
son específicos de ese host. Con un conocimiento detallado del sistema operativo, HIPS
puede monitorear la actividad inusual y evitar que el host ejecute comandos que no
coinciden con el comportamiento habitual. Este comportamiento sospechoso o malicioso
podría incluir actualizaciones del registro no autorizadas, cambios en el directorio del
sistema, ejecución de programas de instalación y actividades que provocan
desbordamientos del búfer. También es posible monitorear el tráfico de red para evitar que
el host participe en un ataque de denegación de servicio (DoS, Denial of Service) o forme
parte de una sesión de FTP ilícita.
HIPS puede considerarse una combinación de firewall, software antivirus y software
antimalware. Combinado con IPS con base en la red, HIPS es una herramienta eficaz para
brindar protección adicional al host.
Una desventaja de HIPS es que actúa solamente a nivel local. No tiene una perspectiva
completa de la red o de los eventos coordinados que podrían estar ocurriendo en toda la red.
Para ser eficaz en una red, HIPS debe instalarse en cada host y ser compatible con cada
sistema operativo.

IPS con base en la red

La tecnología IPS con base en la red se puede implementar utilizando un dispositivo IPS
exclusivo o no exclusivo. Las implementaciones de IPS con base en la red son un
componente fundamental de la prevención de intrusiones. Hay soluciones IDS/IPS con base
en el host, pero estas deben integrarse con una implementación de IPS con base en la red
para que la arquitectura de seguridad sea realmente sólida.
Los sensores detectan actividad maliciosa y no autorizada en tiempo real y pueden tomar
medidas cuando es necesario. Los sensores se despliegan en puntos de red designados. Esto
permite a los Administradores de seguridad a monitorear la actividad de la red mientras
esto ocurre, sin importar dónde sea el objetivo del ataque.

Dispositivos de Seguridad Especializados

AMP
Cisco Advanced Malware Protection (AMP) brinda protección integral contra malware para
las organizaciones antes, durante y después de un ataque:
Antes del ataque, AMP fortalece las defensas y brinda protección contra amenazas
conocidas y emergentes.
Durante un ataque, AMP identifica y bloquea tipos de archivo que infrinjan las políticas,
intentos de ataque y archivos maliciosos que intenten infiltrarse en la red.
Después de un ataque o de la inspección inicial de un archivo, AMP no solo se queda en
las funcionalidades de detección en un momento determinado, sino que también analiza y
controla constantemente toda la actividad y el tráfico de archivos, independientemente de
su ubicación, y busca detectar cualquier indicador de comportamiento malicioso. Si un
archivo con una condición desconocida o que anteriormente se consideró “buena”
comienza a comportarse mal, AMP lo detectará e inmediatamente generará una alerta para
los equipos de seguridad con un indicador del riesgo. Luego proporciona visibilidad del
lugar de origen del malware, los sistemas que se vieron afectados y la actividad del
malware.
AMP tiene acceso a la inteligencia de seguridad colectiva del grupo de inteligencia e
investigación de seguridad Cisco Talos. Talos detecta y correlaciona amenazas en tiempo
real por medio de la mayor red de detección de amenazas del mundo.

WSA
WSA protege la red bloqueando automáticamente sitios peligrosos y probando sitios
desconocidos antes de permitir que los usuarios tengan acceso a ellos. WSA ofrece
protección contra malware, visibilidad y control de las aplicaciones, controles de políticas
de uso aceptable, informes detallados y movilidad segura.
Mientras que WSA protege la red contra intrusiones de malware, no proporciona protección
para los usuarios que deseen conectarse a Internet directamente fuera de la red protegida.
Cisco Cloud Web Security (CWS) junto con WSA, proporciona protección completa contra
malware y los impactos asociados. La solución Cisco CWS impone comunicación segura
desde y hacia Internet. Cisco CWS incorpora dos funciones principales, filtrado web y
seguridad web, y ambas están acompañadas de una capacidad amplia y centralizada de
generación de informes.

ESA
Cisco Email Security Appliance (ESA) y Cisco Cloud Email Security ayudan a reducir las
amenazas con base en el correo electrónico. Cisco ESA defiende sistemas de correo
electrónico fundamentales.
Cisco ESA se actualiza constantemente mediante datos en tiempo real de Cisco Talos, que
detecta y correlaciona las amenazas con un sistema de monitoreo que utiliza una base de
datos mundial.
Algunas de las características principales de ESA son las siguientes:
Inteligencia global de amenazas - Cisco Talos proporciona un panorama permanente de la
actividad de tráfico global. Analiza anomalías, descubre nuevas amenazas y monitorea
tendencias de tráfico.
Bloqueo de correo electrónico no deseado - Una defensa multicapa que combina una capa
externa de filtrado con base en la reputación del emisor y una capa interna de filtrado que
lleva a cabo un análisis exhaustivo del mensaje.
Protección avanzada contra malware ─ Incluye protección que aprovecha la enorme red
de inteligencia de seguridad de la nube de Sourcefire. Brinda protección en toda la
secuencia del ataque; es decir, antes, durante y después.
Control de mensajes salientes - Controla los mensajes salientes para ayudar a garantizar
que los mensajes importantes cumplan con las normas del sector y estén protegidos
mientras se transmiten.

Control de Tráfico con ACL

Una lista de control de acceso (ACL, Access Control List) es una serie de comandos que
controla si un dispositivo reenvía o descarta paquetes según la información que se
encuentra en el encabezado del paquete. Cuando se las configura, las ACL realizan las
siguientes tareas:
Limitar el tráfico de red para aumentar el rendimiento
Brindan control de flujo de tráfico. Las ACL pueden restringir la entrega de actualizaciones
de enrutamiento para asegurar que las actualizaciones provienen de un origen conocido.
Proporcionan un nivel básico de seguridad para el acceso a la red.
Filtran el tráfico según el tipo de tráfico.
Examinan los hosts para permitirles o denegarles el acceso a los servicios de red, como FTP
o HTTP.
Además de permitir o denegar tráfico, las ACL se pueden utilizar para seleccionar tipos de
tráfico para analizar, reenviar o procesar de otras formas.

Características Importantes de las ACL

Los dos tipos de ACL de IPv4 de Cisco son estándar y extendidos. Las ACL estándar se
pueden utilizar para permitir o denegar el tráfico de direcciones IPv4 de origen únicamente.
El destino del paquete y los puertos involucrados no se evalúan.

Las ACL extendidas filtran paquetes IPv4 según varios atributos, como los siguientes:
Tipo de protocolo
 Dirección IPv4 de origen
 Dirección IPv4 de destino
 Puertos TCP o UDP de origen
 Puertos TCP o UDP de destino
 Información optativa de tipo de protocolo para un control más preciso
Las ACL estándar y extendidas se pueden crear con un número o un nombre para
identificar la ACL y su lista de instrucciones.
El uso de ACL numeradas es un método eficaz para determinar el tipo de ACL en redes
más pequeñas con tráfico definido de forma más homogénea. Sin embargo, un número no
proporciona información sobre el propósito de la ACL.
Las ACL de Cisco también pueden configurarse para permitir solamente el tráfico de TCP
que tiene un conjunto de bits ACK o RST, de modo que únicamente se permita el tráfico de
una sesión de TCP establecida. Esto puede utilizarse para denegar el tráfico de TCP que
provenga del exterior de la red que intenta establecer una nueva sesión de TCP.
SNMP
El protocolo simple de administración de redes (Simple Network Management Protocol
SNMP) les permite a los administradores gestionar terminales en una red IP, como
servidores, estaciones de trabajo, routers, switches y dispositivos de seguridad. Permite que
los administradores de redes monitoreen y administren el rendimiento de la red, detecten y
resuelvan problemas de red y planifiquen el crecimiento de la red.
SNMP es un protocolo de capa de aplicación que proporciona un formato de mensaje para
la comunicación entre administradores y agentes.
 El sistema SNMP consta de dos elementos.
 El administrador de SNMP, que ejecuta el software de administración de SNMP.
 Los agentes de SNMP, que son los nodos monitoreados y administrados.
La base de información de administración (Management Information based MIB), que es
una base de datos de los agentes donde se guardan datos y estadísticas operativas sobre el
dispositivo

El administrador de SNMP forma parte de un sistema de administración de red (Network

Management System NMS). El administrador de SNMP ejecuta software de administración
SNMP. Como se muestra en la ilustración, el administrador de SNMP puede recopilar
información de un agente SNMP mediante una acción “get” y puede cambiar la
configuración en un agente mediante la acción “set”. Además, los agentes de SNMP
pueden reenviar información directamente a un administrador de red mediante "traps".

NetFlow
NetFlow es una tecnología de Cisco IOS que proporciona estadísticas sobre los paquetes
que atraviesan un router o switch multicapa de Cisco. Mientras que SNMP intenta
proporcionar una amplia variedad de características y opciones de administración de red,
NetFlow se centra en proporcionar estadísticas sobre los paquetes IP que fluyen a través de
los dispositivos de red.
NetFlow proporciona datos para habilitar el monitoreo de red y de seguridad, la
planificación de red, el análisis de tráfico para incluir la identificación de los cuellos de
botella de la red y la contabilidad de IP para fines de facturación.
NetFlow en la red
NetFlow puede monitorear la conexión de esa aplicación mediante el seguimiento de los
conteos de bytes y de paquetes para el flujo de esa aplicación individual. A continuación,
inserta las estadísticas en un servidor externo denominado “recopilador NetFlow”.
Existen varias generaciones de la tecnología NetFlow que proporcionan mayor sofisticación
para definir los flujos de tráfico, pero “NetFlow original” distinguía los flujos mediante una
combinación de siete campos. Si el valor de uno de estos campos difería del de otro
paquete, se podía determinar con seguridad que los paquetes provenían de flujos diferentes:
 Dirección IP de origen
 Dirección IP de destino
 Número de puerto de origen
 Número de puerto de destino
 Tipo de protocolo de capa 3
 Marca de tipo de servicio (ToS)
 Interfaz lógica de entrada

Replicación de Puertos
Un analizador de paquetes (también conocido como sniffer de paquetes o sniffer de tráfico)
es, normalmente, un software que captura paquetes de entrada y salida de la tarjeta de
interfaz de red (NIC). No siempre es posible ni deseable que el analizador de paquetes esté
en el dispositivo que se está monitoreando. A veces, es mejor que esté en una estación
separada designada para capturar los paquetes.
Dado que los switches de red pueden aislar el tráfico, los sniffers de tráfico u otros
monitores de red (como IDS) no pueden tener acceso a todo el tráfico en un segmento de
red. La replicación de puertos es una característica que le permite al switch hacer copias del
tráfico que pasa y, luego, enviarlas a un puerto con un supervisor de redes conectado. El
tráfico original se reenvía de la manera habitual.

Servidores Syslog
Cuando ocurren ciertos eventos en una red, los dispositivos de red tienen mecanismos de
confianza para notificar mensajes detallados del sistema al administrador. Estos mensajes
pueden ser importantes o no. Los administradores de red tienen una variedad de opciones
para almacenar, interpretar y mostrar estos mensajes, así como para recibir esos mensajes
que podrían tener el mayor impacto en la infraestructura de la red.
El método más común para acceder a los mensajes del sistema es utilizar un protocolo
denominado syslog.
Muchos dispositivos de red admiten syslog, incluidos routers, switches, servidores de
aplicación, firewalls y otros dispositivos de red. El protocolo syslog permite que los
dispositivos de red envíen los mensajes del sistema a servidores de syslog mediante la red.

Syslog
El servicio de registro de syslog proporciona tres funciones principales:
 La capacidad de recopilar información de registro para el control y la solución de
problemas
 La capacidad de escoger el tipo de información de registro que se captura
 La capacidad de especificar el destino de los mensajes de syslog capturados

NTP
Es importante sincronizar la hora en todos los dispositivos de la red porque todos los
aspectos de administración, protección, solución de problemas y planificación de redes
requieren una marca de hora precisa y uniforme. Cuando no se sincroniza la hora entre los
dispositivos, resulta imposible determinar el orden de los eventos que tienen lugar en las
diferentes partes de la red.
Generalmente, la configuración de fecha y hora en un dispositivo de red se pueden ajustar
mediante una de las siguientes maneras:
 Configuración manual de fecha y hora
 Configuración del protocolo de tiempo de red (NTP)
NTP en la red permite que los routers de la red sincronicen sus ajustes de hora con un
servidor NTP. Si un grupo de clientes NTP obtiene información de fecha y hora de un
único origen, tendrá ajustes de hora más consistentes. Cuando se implementa NTP en la
red, se lo puede configurar para sincronizarse con un reloj maestro privado o se puede
sincronizar con un servidor NTP disponible públicamente en Internet. 

Niveles de estratos de NTP

Los servidores NTP están dispuestos en tres niveles, conocidos como estratos:
Estrato 0 - Una red NTP obtiene la hora de fuentes horarias autorizadas. Estas fuentes
autorizadas, conocidas como dispositivos de estrato 0, son dispositivos de cronometraje de
alta precisión que son presuntamente precisos y con poco o ningún retraso asociado con los
mismos.
Estrato 1 - Los dispositivos del estrato 1 están conectados directamente a las fuentes
horarias autorizadas. Actúan como el estándar horario de la red principal.
Estrato 2 e inferiores - Los servidores del estrato 2 están conectados a dispositivos del
estrato 1 mediante conexiones de red. Los dispositivos del estrato 2, como clientes de NTP,
sincronizan su horario con los paquetes NTP desde servidores del estrato 1. Podrían
también actuar como servidores para dispositivos del estrato 3.
Los números más bajos de estratos indican que el servidor está más cerca de la fuente
horaria autorizada que los números de estrato más altos. Cuanto mayor sea el número de
estrato, menor es el nivel del estrato. El recuento de saltos máximo es 15. El estrato 16, el
nivel de estrato inferior, indica que un dispositivo no está sincronizado. Los servidores
horarios en el mismo nivel de estrato pueden configurarse para actuar como un par con
otros servidores horarios en el mismo nivel de estratos para la verificación o la copia de
respaldo del horario.

Servidores AAA

Los Terminal Access Controller Access-Control System Plus (TACACS+) y Remote

Authentication Dial-In User Service (RADIUS) son dos protocolos de autenticación que se
utilizan para comunicarse con servidores AAA. La selección de TACACS+ o RADIUS
depende de las necesidades de la organización.
Mientras ambos protocolos pueden usarse para la comunicación entre un router y los
servidores AAA, TACACS+ se considera el protocolo más seguro. Esto se debe a que se
cifran todos los intercambios de protocolos TACACS+, mientras que RADIUS solo cifra la
contraseña del usuario. RADIUS no cifra nombres de usuario, información de la cuenta, o
cualquier otra información que contenga el mensaje de RADIUS.

Comunidades
Red Privada Virtual (VPN)
En vez de utilizar una conexión física exclusiva, una VPN utiliza conexiones virtuales cuyo
enrutamiento se realiza por Internet desde la organización hacia el sitio remoto. Las
primeras VPN eran exclusivamente túneles IP que no incluían la autenticación o el cifrado
de los datos. Por ejemplo, la encapsulación de enrutamiento genérico (Generic Routing
Encapsulation GRE) es un protocolo de tunelización desarrollado por Cisco que puede
encapsular una amplia variedad de tipos de paquetes de protocolo de capa de red dentro de
los túneles IP. Esto crea un enlace virtual punto a punto a los routers Cisco en puntos
remotos a través de una red IP.
Una VPN es virtual porque transporta la información dentro de una red privada, pero, en
realidad, esa información se transporta usando una red pública. Una VPN es privada porque
el tráfico se encripta para preservar la confidencialidad de los datos mientras se los
transporta por la red pública.
Una VPN es un entorno de comunicaciones en el que el acceso se controla de forma estricta
para permitir las conexiones de compañeros dentro de una comunidad de interés definida.
La confidencialidad se consigue encriptando el tráfico dentro de la VPN. En la actualidad,
una implementación segura de VPN con encriptación es lo que suele equipararse con el
concepto de redes privadas virtuales.
En el sentido más simple, una VPN conecta dos terminales (por ejemplo, una oficina
remota con una central) usando una red pública para formar una conexión lógica. Las
conexiones lógicas se pueden realizar en la capa 2 o la capa 3. Ejemplos comunes de VPN
de capa 3 son GRE, switching por etiquetas multiprotocolo (MPLS, Multiprotocol Label
Switching) e IPsec. Las VPN de capa 3 pueden ser conexiones de sitio de punto a punto
(como GRE e IPsec) o pueden establecer conectividad entre cualquier punto y a muchos
sitios con MPLS.
IPsec es un conjunto de protocolos desarrollados con el respaldo de la IETF para lograr
servicios seguros en redes de switching por paquetes IP.
Los servicios de IPSec permiten la autenticación, la integridad, el control de acceso y la
confidencialidad. Con IPsec se puede cifrar y verificar la información intercambiada entre
sitios remotos. Las VPN suelen implementarse en una topología de sitio a sitio para
conectar de forma segura sitios centrales con ubicaciones remotas. También se
implementan en una topología de acceso remoto para proporcionar acceso remoto seguro a
usuarios externos que viajan o trabajan desde casa. Se pueden implementar redes VPN de
acceso remoto y de sitio a sitio por igual utilizando IPsec.

CAPITULO 13
LOS ATACANTES Y
SUS HERRAMIENTAS

Amenaza, Vulnerabilidad y Riesgo

Los activos son cualquier elemento de valor para una organización, tales como datos y
cualquier tipo de propiedad intelectual, servidores, computadoras, teléfonos inteligentes,
tabletas y más.
Gestiones de riesgo:

Otros términos comúnmente utilizados en la seguridad de la red son los siguientes:

Contramedidas - Las medidas que se toman para proteger activos mediante la mitigación
de una amenaza o la reducción del riesgo.
Impacto - El daño potencial que sufre la organización que es causada debido a la amenaza.
Nota: Un ataque local requiere el acceso interno a la red, por ejemplo, un usuario con una
cuenta en la red. Un ataque remoto no requiere una cuenta en la red para aprovechar la
vulnerabilidad.

Hacker vs Atacante
El término "hacker" tiene una variedad de significados, como los siguientes:
 Un programador inteligente capaz de desarrollar nuevos programas y cambios de
código en los programas existentes para hacerlos más eficientes.
 Una red profesional que utiliza habilidades de programación sofisticadas para
asegurar que las redes no sean vulnerables a los ataques.
 Una persona que trata de obtener acceso no autorizado a los dispositivos en Internet.
 Una persona que ejecuta programas para prevenir o retardar el acceso a la red de un
gran número de usuarios, o para dañar o eliminar los datos en los servidores.

Los hackers de sombrero blanco son hackers éticos que utilizan sus habilidades de
programación con fines buenos, éticos y legales.
Los hackers de sombrero gris son personas que cometen delitos y realizan acciones
probablemente poco éticas, pero no para beneficio personal ni para causar daños.
Los hackers de sombrero negro son delincuentes poco éticos que violan la seguridad de
una computadora y una red para beneficio personal o por motivos maliciosos, como ataques
a la red.

Evolución de los Atacantes

Script kiddies
El término “script kiddies” surgió en los noventa y se refiere a los atacantes adolescentes o
inexpertos que ejecutan scripts, herramientas y exploits existentes para ocasionar daño,
generalmente sin buscar obtener ganancias.

Vulnerability Brokers
Por lo general, los "Vulnerability brokers" son hackers de sombrero gris que intentan
descubrir los ataques e informarlos a los proveedores, a veces a cambio de premios o
recompensas.

Hacktivistas
Hacktivistas es un término que hace referencia a los hackers de sombrero gris que se reúnen
y protestan contra diferentes ideas políticas y sociales.

Ciberdelincuentes
El término Ciberdelincuente es utilizado para los hackers de sombrero negro que son
independientes o trabajan para grandes organizaciones de delito cibernético. 

Patrocinados por el Estado

Los hackers patrocinados por el estado son atacantes que roban secretos de gobierno,
recogen inteligencia y sabotean las redes de gobiernos extranjeros, grupos terroristas y
corporaciones.

Ciberdelincuentes
Los ciberdelincuentes son atacantes cuya motivación es hacer dinero como sea. Aunque
algunas veces, los ciberdelincuentes trabajan de manera independiente, lo más común es
que reciban financiación y patrocinio de organizaciones criminales. Los ciberdelincuentes
hacen sus negocios en un mercado ilegal donde compran, venden e intercambian exploits y
herramientas.

Tareas de Ciberseguridad
Para hacer más seguro el Internet y las redes, todos debemos desarrollar un buen nivel de
conocimiento sobre ciberseguridad. La ciberseguridad es una responsabilidad compartida
que deben practicar todos los usuarios. 

Indicadores de una Amenaza Cibernética

Muchos ataques de red pueden ser prevenidos si se comparte la información acerca de
los indicadores de compromiso (IOC). Cada ataque tiene atributos únicos que lo
identifican. Los indicadores de compromiso (IOC) son la evidencia de que se ha producido
un ataque.  Los IOC ayudan al personal de ciberseguridad a identificar lo que ha ocurrido
en un ataque y a desarrollar defensas contra el ataque.
Los indicadores de ataque (IOA) se centran más en la motivación detrás de un ataque y en
los medios potenciales por los que los atacantes han comprometido o comprometerán las
vulnerabilidades para acceder a los activos. Los IOA se interesan por las estrategias que
utilizan los atacantes.

Uso Compartido de Amenazas y Creación de Conciencia Sobre

Ciberseguridad
En la actualidad, los gobiernos están promoviendo activamente la ciberseguridad. Por
ejemplo, la Agencia de Seguridad e Infraestructura de Ciberseguridad de los Estados
Unidos (CISA) está liderando los esfuerzos para automatizar el intercambio de información
de ciberseguridad con organizaciones públicas y privadas sin costo alguno. CISA utiliza un
sistema llamado Intercambio Automatizado de Indicadores (AIS). AIS permite el
intercambio de indicadores de ataque entre el gobierno de los Estados Unidos y el sector
privado tan pronto como las amenazas son verificadas. CISA ofrece muchos recursos que
ayudan a limitar el tamaño de la superficie de ataque de Los Estados Unidos.
La Agencia Europea de Seguridad de las Redes y de la Información (ENISA) ofrece
asesoramiento y soluciones para los desafíos de ciberseguridad de los Estados miembros de
la Unión Europea. ENISA cumple un papel en Europa similar al papel de CISA en los
Estados Unidos.

Introducción a las Herramientas de Ataque

Para explotar una vulnerabilidad, un atacante debe tener una técnica o herramienta. Con los
años, las herramientas de ataque se han vuelto más sofisticadas y altamente automatizadas.
Estas nuevas herramientas requieren menos conocimiento técnico para su implementación.

Evolución de las Herramientas de Seguridad

Categorías de Ataques
CAPITULO 14
 AMENAZAS Y ATAQUES COMUNES

Tipos de Malware
Malware es la abreviatura de software malicioso o código malicioso. Es código o software
específicamente diseñado para dañar, interrumpir, robar o efectuar otras acciones
malintencionadas o ilegítimas en datos, hosts o redes.

Virus
Un virus es un tipo de malware que se propaga al introducir una copia de sí mismo dentro
de otro programa. Luego de que el programa es ejecutado, los virus se propagan de una
computadora a otra, infectándolas a todas. La mayoría de los virus requieren intervención
humana para propagarse. Por ejemplo, cuando alguien conecta una unidad USB infectada a
su computadora, el virus ingresa en la computadora. Luego, ese virus puede infectar a una
nueva unidad USB y propagarse a otras computadoras. Los virus pueden permanecer
inactivos por un período prolongado y, luego, activarse en una fecha y hora determinada.
Los virus pueden ser inofensivos (como los que muestran una imagen en la pantalla) o
destructivos (como los que modifican o eliminan archivos del disco duro). Los virus
también pueden programarse para mutar a fin de evitar la detección.

Troyanos
Un troyano es un software que parece ser legítimo, pero que contiene código malicioso que
aprovecha los privilegios del usuario que lo ejecuta. A menudo, los troyanos se encuentran
unidos a juegos en línea.
El concepto de troyano es flexible. Puede causar daños inmediatos, proporcionar acceso
remoto al sistema o permitir el acceso mediante una puerta trasera. También puede acatar
instrucciones recibidas de manera remota, como “enviar el archivo de contraseñas una vez
por semana”. Esta tendencia del malware a enviar datos a los ciberdelincuentes enfatiza la
necesidad de monitorear el tráfico saliente en busca de indicadores de ataque.

Clasificación de los Troyanos

Gusanos
Los gusanos de computadora son similares a los virus porque se replican y pueden causar el
mismo tipo de daño. La diferencia es que se replican a sí mismos de manera independiente,
aprovechando las vulnerabilidades en las redes. Los gusanos pueden ralentizar las redes
mientras se propagan de un sistema a otro.
Mientras que un virus requiere la ejecución de un programa del host, los gusanos pueden
ejecutarse por sí mismos. A excepción de la infección inicial, ya no requieren la
intervención del usuario. Una vez infectado el host, el gusano puede propagarse
rápidamente por la red.

Componentes de un Gusano
 Activar la vulnerabilidad: Un gusano se instala a sí mismo utilizando un
mecanismo de explotación, como un archivo adjunto de correo electrónico, un
archivo ejecutable o un troyano en un sistema vulnerable.
 Mecanismo de propagación: Después de obtener acceso a un dispositivo, el
gusano se replica y localiza nuevos objetivos.
 Payload: Cualquier código malicioso que provoca una acción es una Payload (carga
dañina) Normalmente, se utiliza para crear una puerta trasera que permite que un
atacante tenga acceso al host infectado o para crear un ataque DoS.
Los gusanos son programas autónomos que atacan un sistema para explotar una
vulnerabilidad conocida. Después de concretar la explotación, el gusano se copia a sí
mismo desde el host de ataque al sistema recién atacado y el ciclo comienza otra vez. Sus
mecanismos de propagación son comúnmente implementados de una manera difícil de
detectar.
Nota: Los gusanos informáticos nunca dejarán de propagarse en Internet. Después de que
se liberan, los gusanos continúan propagándose hasta que se aplica el parche
correspondiente a todas las fuentes posibles de infección.

Ransomware
Actualmente, el malware dominante es el ransomware. El ransomware es malware que
deniega el acceso al sistema informático infectado o a sus datos. Después de atacar, los
ciberdelincuentes exigen dinero para liberar el sistema informático.
Hay docenas de variantes de ransomware. El ransomware suele utilizar un algoritmo de
encriptación, para encriptar datos y archivos de sistema. La mayor parte de los algoritmos
de encriptación del ransomware conocidos no puede desencriptarse fácilmente, y las
víctimas no tienen más remedio que pagar el precio solicitado. Normalmente, los pagos se
realizan en Bitcoin porque los usuarios de Bitcoin pueden permanecer en el anonimato. El
Bitcoin es una divisa de código abierto que no tiene dueño, ni nadie la controla.

Otros Tipos de Malware

Comportamientos Comunes del Malware
Con frecuencia, las computadoras infectadas con malware manifiestan uno o más de los
siguientes síntomas:
 Aparecen archivos, programas o iconos del escritorio extraños
 Los programas antivirus y firewall se apagan o sus ajustes se reconfiguran
 La pantalla de la computadora se detiene o el sistema deja de funcionar
 Se envían mensajes de correo electrónico espontáneos a su lista de contactos sin su
conocimiento
 Se modifican o eliminan archivos
 Se intensifica el uso de la CPU o de la memoria
 Hay problemas para conectarse a redes
 Se reduce la velocidad de la computadora o del web browser.
 Se ejecutan procesos o servicios desconocidos
 Puertos TCP o UDP desconocidos abiertos
 Se efectúan conexiones a hosts en Internet sin que el usuario las realice
 La computadora se comporta de manera extraña
Nota: Esta lista no enumera todos los síntomas que provoca el malware.

Tipos de Ataques a Redes

El malware es un medio para entregar una carga útil. Cuando se entrega e instala, la carga
útil puede utilizarse para causar una variedad de ataques relacionados con la red desde el
interior. Los atacantes también pueden atacar la red desde el exterior.
Aunque no hay ningún método estandarizado para clasificar los ataques de red, el método
utilizado en este curso clasifica los ataques en tres grandes categorías.
 Ataques de reconocimiento
 Ataques con acceso
 Ataques de DoS

Ataques de Reconocimiento
El reconocimiento se conoce como recopilación de información. Los atacantes utilizan
ataques de sondeo para realizar la detección no autorizada y el análisis de sistemas,
servicios o vulnerabilidades. Los ataques de sondeo preceden los ataques de acceso o
ataques DoS.
En la tabla se describen algunas de las técnicas utilizadas por los atacantes para realizar
ataques de sondeo.
Ataques de Acceso
Los ataques de acceso aprovechan vulnerabilidades conocidas en servicios de
autenticación, servicios FTP y servicios web. El propósito de este tipo de ataques es obtener
acceso a cuentas web, bases de datos confidenciales, y cualquier otro tipo de información
sensible.
Los atacantes usan ataques de acceso en dispositivos de red y computadoras para extraer
datos, obtener acceso o escalar privilegios de acceso al estado de administrador.

Ataques de contraseña
En un ataque de contraseña, el atacante intenta descubrir contraseñas críticas del sistema
utilizando varios métodos. Los ataques de contraseña son muy comunes y pueden iniciarse
utilizando una variedad de herramientas para descifrar contraseñas.

Ataques de suplantación de identidad (spoofing)

En los ataques de suplantación de identidad, el dispositivo del atacante intenta hacerse
pasar por otro dispositivo, falsificando datos. Los ataques comunes de suplantación de
identidad incluyen Suplantación de dirección IP, Suplantación de MAC y Suplantación de
DHCP. Estos ataques de suplantación se analizarán con más detalle más adelante en este
módulo
Otros tipos de ataques de acceso son:
 Explotaciones de confianzas
 Redireccionamiento de puertos
  Ataques de hombre en el medio.

Ataques de desbordamiento de búfer

Explotación de confianza
En un ataque de explotación de confianza, un atacante utiliza privilegios no autorizados
para obtener acceso a un sistema, posiblemente comprometiendo el objetivo.

Redireccionamiento de puertos
En un ataque de redireccionamiento de puertos, un atacante utiliza un sistema
comprometido como base para atacar a otros objetivos. El ejemplo en la figura muestra un
atacante que usa SSH (puerto 22) para conectarse a un Host A comprometido. El Host A es
confiable para el Host B, y, por lo tanto, el atacante puede usar Telnet (puerto 23) para
acceder a él.

Ataque de hombre en el medio

En un ataque hombre en el medio, el atacante se coloca entre dos entidades legítimas para
leer o modificar los datos que se transmiten entre las dos partes.

Desbordamiento de búfer
En un ataque de desbordamiento de búfer, el atacante ataca a la memoria del búfer y la
sobrecarga con valores inesperados. Esto generalmente hace que el sistema no funcione,
creando un ataque DoS.

Ataques de Ingeniería Social

La Ingeniería social es un ataque de acceso que intenta manipular a las personas para que
realicen acciones o divulguen información confidencial. Algunas técnicas de ingeniería
social son presenciales, mientras que otras pueden ser por teléfono o Internet.

Fortalecer el Eslabón más débil

La ciberseguridad es tan sólida como su eslabón más débil. Desde que las computadoras y
otros dispositivos conectados a la Internet se convirtieron en una parte esencial de nuestras
vidas, ya no parecen ser nuevos ni diferentes Las personas se han acostumbrado mucho al
usar estos dispositivos y raramente piensan en la seguridad de red. El eslabón más débil de
la ciberseguridad puede ser el personal de una organización, con la ingeniería social como
la amenaza de seguridad principal. Debido a esto, una de las medidas de seguridad más
eficaces que puede tomar una organización es capacitar a su personal y crear una “cultura
de la seguridad”.
Ataques DOS y DDOS
Un ataque de Denegación de Servicios (DoS) crea algún tipo de interrupción de los
servicios de red para usuarios, dispositivos o aplicaciones. Existen dos tipos principales de
ataques DoS:
 Sobrecarga de tráfico: El atacante envía una inmensa cantidad de datos a una
velocidad que la red, el host o la aplicación no puede manejar. Esto hace que los
tiempos de transmisión y respuesta disminuyan. También puede detener un
dispositivo o servicio.
 Paquetes Maliciosos Formateados: Esto sucede cuando se envía un paquete
malicioso formateado a un host o una aplicación y el receptor no puede manejarlo.
Esto hace que el dispositivo receptor se ejecute muy lentamente o se detenga.

DoS
Los ataques DoS son un riesgo importante, porque pueden interrumpir fácilmente la
comunicación y causar una pérdida significativa de tiempo y dinero. Estos ataques son
relativamente simples de ejecutar, incluso si lo hace un atacante inexperto.

DDoS
Un ataque de DoS Distribuida (DDoS) es similar a un ataque de DoS, pero proviene de
múltiples fuentes coordinadas. Por ejemplo, un actor de amenazas crea una red de hosts
infectados, conocidos como zombies. El actor de amenaza utiliza un sistema de comando y
control (CnC) para enviar mensajes de control a los zombies. Los zombies escanean e
infectan constantemente más hosts con malware de bot. El malware de bot está diseñado
para infectar a un host, convirtiéndolo en un zombie que puede comunicarse con el sistema
CnC. La colección de zombies se llama botnet. Cuando está listo, el pirata informático
proporciona instrucciones a los sistemas manipuladores para que los botnet de zombis
lleven a cabo un ataque de DDoS.
Componentes de los Ataques DDoS

Nota: Existe un mercado ilegal donde es posible comprar (y vender) botnets por un costo
nominal. Esto provee a los atacantes con botnets o hosts infectados listos para lanzar un
ataque DDoS en contra de un objetivo en particular.

Mirai Botnet
Mirai es un malware dirigido a dispositivos IoT configurados con información de inicio de
sesión predeterminada. Las cámaras de circuito cerrado de televisión (CCTV) constituían
la mayoría de los objetivos de Mirai. Usando un "ataque de diccionario" (probar cada
palabra de un diccionario electrónico como contraseña) de fuerza bruta, Mirai ejecutó y
obtuvo una lista de nombres de usuario y contraseñas predeterminados que eran
ampliamente conocidos en Internet.
Después de obtener de manera exitosa el acceso, Mirai se dirigió a las utilidades BusyBox
basadas en Linux que se ejecutaban en estos dispositivos. Estas utilidades se utilizaron para
convertir los dispositivos en bots que podrían ser controlados remotamente como parte de
una botnet. La botnet se utilizó entonces como parte de un ataque de Denegación de
Servicios Distribuida (DDoS). En septiembre de 2016, una Mirai botnet de más de 152.000
cámaras CCTV y Grabadores de vídeo digitales (DVR) fue responsable del mayor ataque
DDoS conocido hasta ese momento. Con un tráfico máximo de más de 1 Tb/s, derrumbó
los servicios de hosting de una empresa de web hosting con sede en Francia.
Ataque de Desbordamiento de Búfer
El objetivo de un atacante cuando utiliza un ataque DoS de desbordamiento de búfer es
encontrar una falla de sistema relacionada con la memoria en un servidor y aprovecharla.
Sobrecargar la memoria búfer con valores imprevistos suele interrumpir el funcionamiento
del sistema, creando así un ataque DoS.
Por ejemplo, un atacante ingresa datos mayores que lo que soporta la aplicación que se
ejecuta en un servidor. La aplicación acepta la gran cantidad de datos y los almacena en la
memoria. Como resultado, puede consumir la memoria búfer atacada, y potencialmente,
sobrescribir la memoria adyacente, lo que puede terminar dañando el sistema e
interrumpiendo su funcionamiento.
Sin embargo, los ataques de desbordamiento de búfer continúan evolucionando. Por
ejemplo, hace poco se detectó una vulnerabilidad a un ataque de Denegación de Servicios
remoto en Microsoft Windows 10. Más específicamente, un atacante creó código malicioso
para tener acceso a la memoria fuera del ámbito. Cuando el proceso AHCACHE.SYS de
Windows tiene acceso a este código, se intenta provocar una interrupción del sistema,
denegándole el servicio al usuario.

Métodos de Evasión
Los atacantes aprendieron ya hace mucho tiempo que “ocultarse equivale a prosperar”. Esto
significa que los métodos de ataque y malware son más eficaces cuando nadie los detecta.
Por esto, muchos de los ataques utilizan técnicas de evasión sigilosas para disfrazar una
Payload (carga dañina) de ataque. Su objetivo es, evitar su detección mediante la evasión de
las defensas de red y de hosts.
 CAPITULO 15
MONITOREO DE RED
Y SUS HERRAMIENTAS

Topología de Seguridad de la Red

“Todas las redes son objetivos” es una frase común para describir el panorama actual de la
seguridad de la red. Por lo tanto, para mitigar las amenazas, todas las redes deben de ser
aseguradas y protegidas de la mejor manera.
Esto exige un enfoque de defensa en profundidad, Por lo tanto, requiere el uso de métodos
comprobados y una infraestructura de seguridad constituida de firewalls, Sistema de
Detección de Intrusiones (IDS), Sistema de Prevención de Intrusiones (IPS), y software de
seguridad de punto terminal (endpoint security). Estos métodos y tecnologías se utilizan
para automatizar el monitoreo en la red, crear alertas de seguridad o incluso bloquear
automáticamente dispositivos ofensivos cuando algo sale mal.
Sin embargo, para redes grandes, debe añadirse una capa adicional de protección.
Dispositivos como firewalls e IPS funcionan según las reglas pre-configuradas. Monitorean
el tráfico y lo comparan con las reglas configuradas. Si hay una coincidencia, el tráfico se
maneja según la regla. Esto funciona relativamente sin problemas. Sin embargo, algunas
veces el tráfico legítimo es confundido con el tráfico no autorizado. Estas situaciones
reciben el nombre de “falsos positivos” y requieren intervención humana para verlas y
evaluarlas antes de poder validarlas.

Métodos de Monitoreo de la Red

El funcionamiento diario de una red se compone de patrones comunes de flujo de tráfico,
uso de ancho de banda y acceso a los recursos. Juntos, estos patrones identifican el
comportamiento normal de una red.
Para determinar el comportamiento normal de una red, el monitoreo de red debe de ser
implementado. Se utilizan diversas herramientas para ayudar a detectar el comportamiento
normal de la red, por ejemplo, IDS, los analizadores de paquetes, SNMP y NetFlow.
Algunas de estas herramientas requieren datos de red capturados. Hay dos métodos
comunes utilizados para capturar tráfico y enviarlo los dispositivos de monitoreo de red:
 Los taps de red, también conocidos como Test Access Point (TAP)
 La réplica del tráfico mediante "Switch Port Analizer" (SPAN) o cualquier otra
duplicación de puertos.
Taps de Red
Un tap de red suele ser un dispositivo de división pasiva implementado en el cableado de la
red, entre un dispositivo de interés y la red. Un tap reenvía todo el tráfico, incluidos los
errores de capa física, a un dispositivo de análisis, al tiempo que permite que el tráfico
llegue a su destino previsto.
Los taps también son a prueba de fallos, lo que significa que el tráfico entre el firewall y el
router interno no se ve afectado.
Para más información realizar una búsqueda en internet en "NetScout", de Taps para
ethernet UTP de cobre, ethernet de fibra, y enlaces seriales."

Duplicación de Trafico y SPAN

Los switches de red segmentan el diseño de red. Esto limita la cantidad de tráfico visible
para los dispositivos de monitoreo de red. Debido a que la captura de datos por monitoreo
requiere que todo el tráfico sea capturado, deben emplearse técnicas especiales para evitar
la segmentación de la red impuesta por los switches de red. La duplicación de puertos es
una de estas técnicas. Compatible con muchos switches empresariales, la duplicación de
puertos permite que un switch copie tramas que son recibidas de uno o varios puertos en un
puerto "Switched Port Analyzer" (SPAN) conectado a un dispositivo de análisis.

La asociación entre los puertos de origen y un puerto de destino recibe el nombre de sesión
de SPAN. En una sola sesión, es posible monitorear uno o varios puertos. En algunos
switches Cisco, el tráfico de la sesión se puede copiar a más de un puerto de destino. Otra
opción es especificar una VLAN de origen en la que todos los puertos de la VLAN de
origen se conviertan en fuentes de tráfico de SPAN. Cada sesión de SPAN puede tener
puertos o VLAN como orígenes, pero no ambas opciones.
Nota: Existe una variación de SPAN con el nombre de Remote SPAN (RSPAN) que
permite que un administrador de red utilice la flexibilidad de las VLAN para monitorear el
tráfico en switches remotos.

Herramientas de Monitoreo de Seguridad de la Red

Algunas herramientas comunes que son utilizadas para el monitoreo de seguridad de la red
son:
 Analizadores de protocolo de red (por ejemplo, Wireshark y Tcpdump)
 NetFlow
 Sistemas "Security Information and Event Management" (SIEM)
SNMP permite a los analistas solicitar y recibir información acerca del funcionamiento de
dispositivos de red. Es otra buena herramienta para monitorear el comportamiento de una
red.

Analizadores de Protocolos de Red

Los analizadores de protocolo de red (packet sniffer) son programas utilizados para
capturar tráfico. Los analizadores de protocolo muestran lo que está sucediendo en la red a
través de una interfaz gráfica de usuario. Los analistas pueden utilizar estas aplicaciones
para ver intercambios de red hasta el nivel de paquetes. Si una computadora se infectó con
malware y actualmente está atacando a otras computadoras en la red, el analista puede ver
esta situación claramente gracias a la captura de tráfico de red en tiempo real y el análisis
de los paquetes.
Las tramas capturadas por Wireshark se guardan en un archivo PCAP. Los archivos PCAP
contienen información sobre la trama, información sobre la interfaz, longitud del paquete,
marcas de tiempo, e inclusive archivos binarios enteros que han sido enviados a través de la
red.
Wireshark también puede abrir archivos que contengan tráfico capturado desde otro
software, como tcpdump. Popular entre los sistemas tipo UNIX (como Linux), tcpdump es
una utilidad muy completa con numerosas opciones de línea de comandos. En la pantalla de
comandos de la imagen, se muestra un ejemplo de una captura de
paquetes tcpdump de ping
Nota: **windump** es una variante de Windows de**tcpdump**, **tshark** es una
herramienta de línea de comandos de Wireshark, que es similar a **tcpdump**.
Netflow
NetFlow es una tecnología de Cisco IOS que proporciona estadísticas 24/7 sobre los
paquetes que atraviesan un router o switch multicapa de Cisco. NetFlow es el estándar para
recopilar datos operacionales de IP en redes IP. Actualmente, NetFlow es compatible con
plataformas que no son de Cisco. IP Flow Information Export (IPFIX) es una versión de
NetFlow que es un protocolo estándar del IETF.
NetFlow puede utilizarse para el monitoreo de red y de seguridad, la planificación de redes
y el análisis de tráfico. Ofrece un registro de revisión completo de la información básica de
todo el flujo de IP reenviado en un dispositivo. Estos datos incluyen la información de IP
del dispositivo de origen y de destino, la hora de la comunicación y la cantidad de datos
transferidos. NetFlow no captura el contenido actual del flujo. 
NetFlow puede monitorear la conexión de esa aplicación mediante el seguimiento de bytes
y conteo de paquetes para el flujo de la aplicación. Entonces envía las estadísticas a un
servidor externo denominado “recopilador NetFlow”.
Por ejemplo, Cisco Stealthwatch recolecta las estadísticas de NetFlow para realizar
funciones avanzadas que incluyen:
 Agrupación de flujos (flow stitching) Agrupa entradas individuales en flujos.
 Deduplicación de flujos (flow deduplication) Filtra las entradas duplicadas que
provienen de varios clientes de NetFlow.
 Agrupación de NAT (NAT stitching) Simplifica los flujos con entradas NAT.

SIEM y SOAR
Security Information Event Management (SIEM)
Gestión de eventos e información de seguridad (SIEM) es una tecnología utilizada en las
organizaciones empresariales para proporcionar informes en tiempo real y análisis a largo
plazo de eventos de seguridad.
Los dispositivos de red, incluidos firewall, IPS, ESA, WSA, routers, switches, servidores y
hosts, están configurados para enviar registros (logs) de eventos al software SIEM. El
software SIEM correlaciona los millones de eventos, utilizando machine learning y
software de análisis especial para identificar el tráfico que debe ser investigado.
El sistema SIEM incluye las siguientes funciones esenciales:
 Análisis de informática forense: Permite realizar búsquedas de logs y de registros
de eventos generados en múltiples fuentes en toda la organización. Proporciona
información más completa para el análisis de informática forense.
 Correlación: Examina registros y eventos de diferentes sistemas o aplicaciones, lo
que acelera la detección de las amenazas de seguridad y la capacidad de reacción
ante ellas.
 Agregación: Esta función reduce el volumen de los datos de eventos mediante la
consolidación de registros de eventos duplicados.
 Informes: Permiten ver los datos sobre eventos correlacionados y acumulados
mediante monitoreo en tiempo real y resúmenes a largo plazo.
SIEM brinda detalles sobre el origen de actividad sospechosa:
 Información del usuario, como nombre de usuario, estado de autenticación y
ubicación.
 Información del dispositivo, como fabricante, modelo, versión del Sistema
Operativo, dirección MAC, método de conexión a la red y ubicación.
 Información de cumplimiento de normativas, por ejemplo, si el dispositivo cumple
con la política de seguridad, si tiene los archivos de antivirus actualizados y si se
aplicaron los parches del Sistema Operativo más recientes.

Security Orchestration, Automation, and Response (SOAR)

Orquestación, automatización y respuesta de seguridad (SOAR), mejora a SIEM. Ayuda a
los equipos de seguridad a investigar incidentes de seguridad y añade una recopilación de
datos mejorada y una serie de funcionalidades que ayudan en la respuesta a incidentes de
seguridad.
Soluciones proporcionadas por SOAR:
Proporciona herramientas de gestión de casos que permiten al personal de ciberseguridad
estudiar e investigar incidentes, integrando frecuentemente inteligencia de amenazas (threat
intelligence) en la plataforma de seguridad de la red.
Utiliza la inteligencia artificial para detectar incidentes y ayudar en el análisis y la respuesta
de incidentes.
Automatiza investigaciones y procedimientos de respuesta a incidentes complejos, que son
tareas potencialmente intensas laboralmente, realizadas por el personal de un "security
operations center" (SOC) mediante la ejecución de run books. Estos son "Playbooks" que
realizan acciones como acceder y analizar datos relevantes, tomar medidas para aislar
sistemas comprometidos y estudiar amenazas para validar alertas y ejecutar una respuesta a
incidentes.
Ofrece Paneles e informes para documentar la respuesta a incidentes con el fin de mejorar
los indicadores clave de rendimiento del SOC y puede mejorar en gran medida la seguridad
de red de las organizaciones.
SIEM ayuda activando la alarma por actividad maliciosa. Los analistas tendrán que actuar
ante la amenaza. SOAR ayuda a los analistas a responder a la amenaza.

Sistema SIEM
Existen varios sistemas SIEM. "SolarWinds Security Event Manager" y "Splunk Enterprise
Security" son dos de los sistemas SIEM patentados más populares utilizados por los SOC.
En este curso, utilizaremos un producto de código abierto llamado Security Onion que
incluye el conjunto ELK para la funcionalidad SIEM. ELK es el acrónimo correspondiente
para tres productos de Elastic:
 Elasticsearch: Motor de búsqueda fulltext orientado a documentos.
 Logstash: Sistema de procesamiento de flujo que conecta "entradas" a "salidas" con
"filtros" opcionales en el medio
 Kibana: Dashboard en el navegador que proporciona vistas analíticas de datos y de
búsqueda para Elasticsearch.
 CAPITULO 16
ATAQUE A LOS FUNDAMENTOS

IPv4 e IPv6
IP fue diseñado como un protocolo sin conexión de capa 3. Brinda las funciones necesarias
para enviar un paquete de un host de origen a uno de destino mediante un sistema
interconectado de redes. El protocolo no fue diseñado para rastrear ni administrar el flujo
de paquetes. Si es necesario, TCP realiza principalmente estas funciones en la capa 4.
El protocolo IP no hace ningún esfuerzo para validar si la dirección IP de origen que figura
en un paquete realmente proviene de ese origen. Por eso, los atacantes pueden enviar
paquetes con una dirección IP de origen falsa o suplantada. Además, los atacantes pueden
alterar los demás campos del encabezado de IP para llevar a cabo sus ataques.

Encabezado del Paquete IPv4

Encabezado del Paquete IPv6
Vulnerabilidades IP

Ataques de ICMP
El ICMP fue desarrollado para llevar mensajes de diagnóstico e informar condiciones de
error cuando no están disponibles rutas, hosts y puertos. Los mensajes de ICMP son
generados por los dispositivos cuando ocurre un error o un corte en en la red. El comando
"ping" es un mensaje de ICMP generado por el usuario, es una "solicitud echo", y es
utilizado para verificar la conectividad a un destino.
Los atacantes utilizan el ICMP para los ataques de reconocimiento y análisis. Esto les
permite iniciar ataques de recopilación de información para mapear una topología de red,
detectar qué hosts están activos (reachable), identificar el sistema operativo del host (OS
fingerprinting) y determinar el estado de un Firewall.
Nota: ICMP para IPv4 (ICMPv4) e ICMP para IPv6 (ICMPv6) son susceptibles a ataques
similares.
Ataques de Reflexión y Ampliación
Los atacantes suelen usar técnicas de amplificación y reflexión para crear ataques de DoS.
Amplification - El actor de amenazas reenvía mensajes de solicitud de eco ICMP a muchos
hosts. Estos mensajes contienen la dirección IP de origen de la víctima.
Reflection - Todos estos hosts responden a la dirección IP falsificada de la víctima para
abrumarla.
Nota: Actualmente se han estado utilizando nuevas formas de ataques de amplificación y
reflexión, como ataques de amplificación y reflexión basados en DNS y ataques de
amplificación de Network Time Protocol (NTP).

Ataques de Suplantación de Dirección

Los ataques de Suplantación de dirección IP se producen cuando un atacante crea paquetes
con información suplantada de la dirección IP de origen, ya sea para ocultar la identidad del
remitente o hacerse pasar por otro usuario legítimo. Entonces, el atacante puede obtener
acceso a datos a los que, de otro modo, no podría acceder, o para eludir configuraciones de
seguridad. La Suplantación de dirección IP suele formar parte de otro ataque denominado
ataque Smurf.
Los ataques de Spoofing (suplantación) pueden ser "blind" (a ciegas) o "non-blind" (con
visibilidad):
Non-blind spoofing: El atacante puede observar el tráfico que está siendo enviado entre el
host y el objetivo. El atacante usa este tipo de suplantación para inspeccionar el paquete de
respuesta del objetivo. Esta técnica determina el estado de un Firewall y la predicción del
número de secuencia. También puede secuestrar una sesión autorizada.
Blind spoofing: El atacante no puede ver el tráfico que se envía entre el host y el objetivo.
Este tipo de suplantación se utiliza en ataques DoS.
Los ataques de suplantación de dirección MAC se utilizan cuando los atacantes tienen
acceso a la red interna. Los atacantes cambian la dirección MAC de su host para que
coincida con otra dirección MAC conocida de un host objetivo. Luego, el host atacante
envía una trama a través de la red con la dirección MAC recién configurada. Cuando el
switch recibe la trama, examina la dirección MAC de origen.
El switch sobrescribe la entrada actual en la tabla CAM y asigna la dirección MAC al
puerto nuevo. Luego, reenvía las tramas destinadas al host objetivo, hacia el host atacante.

Encabezado de Segmento TCP

Los siguientes son los seis bits de control del segmento TCP:
URG: Campo indicador urgente significativo
ACK: Campo de reconocimiento significativo
PSH: Función de pulsación: Función de pulsación
RST: Restablecer la conexión
SYN: Sincronizar números de secuencia
FIN: No hay más datos del emisor
Servicios TCP
Entrega confiable -El TCP incorpora acuses de recibo para garantizar la entrega, en lugar
de confiar en los protocolos de capa superior para detectar y resolver errores. Si no se
recibe un acuse de recibo oportuno, el emisor retransmite los datos. Requerir acuses de
recibo de los datos recibidos puede causar retrasos sustanciales. Algunos ejemplos de los
protocolos de capa de aplicación que hacen uso de la confiabilidad de TCP incluyen HTTP,
SSL/TLS, FTP y transferencias de zona DNS.
Control de flujo: El TCP implementa el control de flujo para abordar este problema. En
lugar de confirmar la recepción de un segmento a la vez, varios segmentos se pueden
confirmar con un único acuse de recibo.
Comunicación con estado: La comunicación TCP con estado entre 2 partes ocurre durante
la comunicación de "intercambio de señales de tres vías" de TCP (three-way handshake.)
Antes de que sea posible transferir datos utilizando el TCP, una comunicación de
"intercambio de señales de tres vías" abre la conexión TCP, tal como se ve en la Figura. Si
ambas partes aceptan la conexión TCP, pueden enviar y recibir datos utilizando TCP.

Ataques TCP
Ataque de saturación SYN a TCP
El ataque de saturación de SYN de TCP ataca la comunicación de "intercambio de señales
de tres vías" de TCP. El atacante envía constantemente a un objetivo paquetes de solicitud
de sesión TCP SYN con una dirección IP de origen falsificada de manera aleatoria. El
dispositivo objetivo responde con un paquete SYN-ACK de TCP a la dirección IP
falsificada y espera un paquete ACK de TCP. Las respuestas nunca llegan. Finalmente, el
host objetivo se ve sobrecargado por las conexiones TCP medio abiertas, y los servicios
TCP se deniegan a los usuarios legítimos.

Ataque de restablecimiento a TCP

Un ataque de restablecimiento de TCP puede utilizarse para terminar las comunicaciones de
TCP entre dos hosts. La figura muestra como TCP utiliza un intercambio de cuatro vías
para cerrar la conexión TCP con un par de segmentos FIN y ACK desde cada terminal de
TCP. Una conexión TCP termina cuando recibe un bit RST. Esta es una manera abrupta de
terminar la conexión TCP e informar al host receptor que deje de usar la conexión TCP de
inmediato. Un atacante podría efectuar un ataque de restablecimiento de TCP y enviar un
paquete falso que contenga un RST de TCP a uno o ambos terminales.
Secuestro de sesiones TCP
Otra vulnerabilidad es el secuestro de sesiones de TCP. Aunque es difícil de realizar,
permite que un atacante tome el control de un host autenticado mientras este se comunica
con el objetivo El atacante tendría que suplantar la dirección IP de un host, predecir el
siguiente número de secuencia y enviar un ACK al otro host. Si tiene éxito, el atacante
puede enviar, pero no recibir, datos desde el dispositivo objetivo.

Encabezado y Funcionamiento del Segmento UDP

UDP es comúnmente utilizado por DNS, DHCP, TFTP, NFS, y SNMP. También lo utilizan
aplicaciones en tiempo real, como la transmisión multimedia o VoIP. UDP es un protocolo
sin conexión, de capa de transporte Tiene un coste de red mucho menor que TCP ya que no
está orientado a la conexión y no proporciona los mecanismos sofisticados de
retransmisión, secuenciación y control del flujo que ofrecen confiabilidad.

Sin embargo, aunque UDP es normalmente llamado "poco confiable", no significa que
aplicaciones que utilizan UDP no sean confiables. Significa que estas funciones no las
proporciona el protocolo de la capa de transporte, y se deben implementar aparte si es
necesario.

Ataques de UDP
UDP no está protegido por ningún tipo de encriptación. Podemos agregar encriptación a
UDP, pero no está disponible de forma predeterminada. La falta de encriptación permite
que cualquiera vea el tráfico, lo modifique y lo envíe a su destino. Si se cambian los datos
en el tráfico, se altera la checksum de 16 bits, pero esta es opcional y no siempre se usa.
Cuando se utiliza checksum, el atacante puede crear una nueva suma basada en la nueva
payload (carga útil) de los datos, y registrarla en el encabezado como una nueva checksum.
El dispositivo de destino verificará que la suma de comprobación coincide con los datos sin
saber que los datos se modificaron. Este tipo de ataque no es el más utilizado.
Ataque de saturación de UDP
Es más probable que veamos un ataque de saturación UDP. En un ataque de saturación
UDP, se consumen todos los recursos en una red. El atacante debe usar una herramienta
como UDP Unicorn o Low Orbit Ion Cannon. Estas herramientas envían una avalancha de
paquetes UDP, a menudo desde un dispositivo suplantado, hacia un servidor en la subred.
El programa analiza todos los puertos conocidos intentando encontrar puertos cerrados.
Esto hace que el servidor responda con un mensaje de puerto ICMP inaccesible. Debido a
que hay muchos puertos cerrados en el servidor, esto crea mucho tráfico en el segmento, el
cual utiliza la mayor parte del ancho de banda. El resultado es muy similar al de un ataque
de DoS.