Este documento presenta un plan de capacitación sobre la historia y fundamentos de la red TCP/IP. Explica que TCP/IP es la base de Internet y permite la transmisión de datos entre redes de computadoras utilizando protocolos como IP, TCP, HTTP, FTP y SMTP. Además, resume la historia del desarrollo de TCP/IP por DARPA en los años 70 y su adopción como estándar en Internet.
1. PLAN DE CAPACITACION CANAL DIRECTO
FASE II
Capacitación 02
Historia y Fundamentos de una Red TCP/IP
Familia de Protocolos de Internet
La familia de protocolos de Internet es un conjunto de protocolos de red en los que
se basa Internet y que permiten la transmisión de datos entre redes de computadoras.
En ocasiones se le denomina conjunto de protocolos TCP/IP, en referencia a los dos
protocolos más importantes que la componen: Protocolo de Control de Transmisión
(TCP) y Protocolo de Internet (IP), que fueron los dos primeros en definirse, y que son
los más utilizados de la familia.
Existen tantos protocolos en este conjunto que llegan a ser más de 100 diferentes,
entre ellos se encuentra el popular HTTP (HyperText Transfer Protocol), que es el que
se utiliza para acceder a las páginas web, además de otros como el ARP (Address
Resolution Protocol) para la resolución de direcciones, el FTP (File Transfer Protocol)
para transferencia de archivos, y el SMTP (Simple Mail Transfer Protocol) y el POP
(Post Office Protocol) para correo electrónico, TELNET para acceder a equipos
remotos, entre otros.
El TCP/IP es la base de Internet, y sirve para enlazar computadoras que utilizan
diferentes sistemas operativos, incluyendo PC, minicomputadoras y computadoras
centrales sobre redes de área local (LAN) y área extensa (WAN).
TCP/IP fue desarrollado y demostrado por primera vez en 1972 por el Departamento de
Defensa de los Estados Unidos, ejecutándolo en ARPANET, una red de área extensa
de dicho departamento.
La familia de protocolos de Internet puede describirse por analogía con el modelo OSI
(Open System Interconnection), que describe los niveles o capas de la pila de
protocolos, aunque en la práctica no corresponde exactamente con el modelo en
Internet. En una pila de protocolos, cada nivel soluciona una serie de problemas
relacionados con la transmisión de datos, y proporciona un servicio bien definido a los
niveles más altos. Los niveles superiores son los más cercanos al usuario y tratan con
datos más abstractos, dejando a los niveles más bajos la labor de traducir los datos de
forma que sean físicamente manipulables.
El modelo de Internet fue diseñado como la solución a un problema práctico de
ingeniería. El modelo OSI, en cambio, fue propuesto como una aproximación teórica y
también como una primera fase en la evolución de las redes de ordenadores. Por lo
tanto, el modelo OSI es más fácil de entender, pero el modelo TCP/IP es el que
realmente se usa. Sirve de ayuda entender el modelo OSI antes de conocer TCP/IP, ya
que se aplican los mismos principios, pero son más fáciles de entender en el modelo
OSI.
El 1 de enero de 2010 el Protocolo TCP/IP cumplió 27 años.
2. Historia del Protocolo TCP/IP
La Familia de Protocolos de Internet fue el resultado del trabajo llevado a cabo por la
Agencia de Investigación de Proyectos Avanzados de Defensa (DARPA por sus siglas
en inglés) a principios de los 70. Después de la construcción de la pionera ARPANET
en 1969 DARPA comenzó a trabajar en un gran número de tecnologías de transmisión
de datos. En 1972, Robert E. Kahn fue contratado por la Oficina de Técnicas de
3. Procesamiento de Información de DARPA, donde trabajó en la comunicación de
paquetes por satélite y por ondas de radio, reconoció el importante valor de la
comunicación de estas dos formas. En la primavera de 1973, Vint Cerf, desarrollador
del protocolo de ARPANET, Network Control Program (NCP) se unió a Kahn con el
objetivo de crear una arquitectura abierta de interconexión y diseñar así la nueva
generación de protocolos de ARPANET.
Para el verano de 1973, Kahn y Cerf habían conseguido una remodelación
fundamental, donde las diferencias entre los protocolos de red se ocultaban usando un
Protocolo de comunicaciones y además, la red dejaba de ser responsable de la
fiabilidad de la comunicación, como pasaba en ARPANET, era el host el responsable.
Cerf reconoció el mérito de Hubert Zimmerman y Louis Pouzin, creadores de la red
CYCLADES, ya que su trabajo estuvo muy influenciado por el diseño de esta red.
Con el papel que realizaban las redes en el proceso de comunicación reducido al
mínimo, se convirtió en una posibilidad real comunicar redes diferentes, sin importar las
características que éstas tuvieran. Hay un dicho popular sobre el protocolo TCP/IP, que
fue el producto final desarrollado por Cerf y Kahn, que dice que este protocolo acabará
funcionando incluso entre "dos latas unidas por un cordón". De hecho hay hasta una
implementación usando palomas mensajeras, IP sobre palomas mensajeras, que está
documentado en RFC 1149.
Un ordenador denominado router (un nombre que fue después cambiado a gateway,
puerta de enlace, para evitar confusiones con otros tipos de Puerta de enlace) está
dotado con una interfaz para cada red, y envía datagramas de ida y vuelta entre ellos.
Los requisitos para estos routers están definidos en el RFC 1812.
Esta idea fue llevada a la práctica de una forma más detallada por el grupo de
investigación que Cerf tenía en Stanford durante el periodo de 1973 a 1974, dando
como resultado la primera especificación TCP. Entonces DARPA fue contratada por
BBN Technologies, la Universidad de Stanford, y la University College de Londres para
desarrollar versiones operacionales del protocolo en diferentes plataformas de
hardware. Se desarrollaron así cuatro versiones diferentes: TCP v1, TCP v2, una
tercera dividida en dos TCP v3 e IP v3 en la primavera de 1978, y después se
estabilizó la versión TCP/IP v4 — el protocolo estándar que todavía se emplea en
Internet.
En 1975, se realizó la primera prueba de comunicación entre dos redes con protocolos
TCP/IP entre la Universidad de Stanford y la University College de Londres (UCL).
En 1977, se realizó otra prueba de comunicación con un protocolo TCP/IP entre tres
redes distintas con ubicaciones en Estados Unidos, Reino Unido y Noruega. Varios
4. prototipos diferentes de protocolos TCP/IP se desarrollaron en múltiples centros de
investigación entre los años 1978 y 1983. La migración completa de la red ARPANET al
protocolo TCP/IP concluyó oficialmente el día 1 de enero de 1983 cuando los
protocolos fueron activados permanentemente.
En marzo de 1982, el Departamento de Defensa de los Estados Unidos declaró al
protocolo TCP/IP el estándar para las comunicaciones entre redes militares.
En 1985, el Centro de Administración de Internet (Internet Architecture Board IAB por
sus siglas en inglés) organizó un Taller de Trabajo de tres días de duración, al que
asistieron 250 comerciales promocionando así el protocolo, lo que contribuyó a un
incremento de su uso comercial.
Kahn y Cerf fueron premiados con la Medalla Presidencial de la Libertad el 10 de
noviembre de 2005 por su contribución a la cultura Americana.
5. Direcciones IP
Definición
Una dirección IP es una etiqueta numérica que identifica, de manera lógica y
jerárquica, a una interfaz (elemento de comunicación/conexión) de un dispositivo
(habitualmente una computadora) dentro de una red que utilice el protocolo IP (Internet
Protocol), que corresponde al nivel de red del protocolo TCP/IP.
Dicho número no se ha de confundir con la dirección MAC que es un número
hexadecimal fijo que es asignado a la tarjeta o dispositivo de red por el fabricante,
mientras que la dirección IP se puede cambiar. Esta dirección puede cambiar 2 ó 3
veces al día; y a esta forma de asignación de dirección IP se denomina una dirección
IP dinámica (normalmente se abrevia como IP dinámica).
Los sitios de Internet que por su naturaleza necesitan estar permanentemente
conectados, generalmente tienen una dirección IP fija (comúnmente, IP fija o IP
estática), es decir, no cambia con el tiempo. Los servidores de correo, DNS, FTP
públicos, y servidores de páginas web necesariamente deben contar con una dirección
IP fija o estática, ya que de esta forma se permite su localización en la red.
A través de Internet, los ordenadores se conectan entre sí mediante sus respectivas
direcciones IP. Sin embargo, a los seres humanos nos es más cómodo utilizar otra
notación más fácil de recordar y utilizar, como los nombres de dominio; la traducción
entre unos y otros se resuelve mediante los servidores de nombres de dominio DNS.
Existe un protocolo para asignar direcciones IP dinámicas llamado DHCP (Dynamic
Host Configuration Protocol).
Direcciones IPv4
Las direcciones IP se pueden expresar como números de notación decimal: se dividen
los 32 bits de la dirección en cuatro octetos. El valor decimal de cada octeto puede ser
entre 0 y 255 [el número binario de 8 bits más alto es 11111111 y esos bits, de derecha
a izquierda, tienen valores decimales de 1, 2, 4, 8, 16, 32, 64 y 128, lo que suma 256
en total, 255 más la 0 (0000 0000)].
En la expresión de direcciones IPv4 en decimal se separa cada octeto por un carácter
único ".". Cada uno de estos octetos puede estar comprendido entre 0 y 255, salvo
algunas excepciones. Los ceros iniciales, si los hubiera, se pueden obviar
(010.128.001.255 sería 10.128.1.255).
6. Ejemplo de representación de dirección IPv4:
Hay tres clases de direcciones IP que una organización puede recibir de parte de la
Internet Corporation for Assigned Names and Numbers (ICANN): clase A, clase B y
clase C. En la actualidad, ICANN reserva las direcciones de clase A para los gobiernos
de todo el mundo (aunque en el pasado se le hayan otorgado a empresas de gran
envergadura como, por ejemplo, Hewlett Packard) y las direcciones de clase B para las
medianas empresas. Se otorgan direcciones de clase C para todos los demás
solicitantes. Cada clase de red permite una cantidad fija de equipos (hosts).
• En una red de clase A, se asigna el primer octeto para identificar la red,
reservando los tres últimos octetos (24 bits) para que sean asignados a los hosts,
de modo que la cantidad máxima de hosts es 2 24 - 2 (se excluyen la dirección
reservada para broadcast (últimos octetos en 255) y de red (últimos octetos en 0),
es decir, 16´777,214 hosts.
• En una red de clase B, se asignan los dos primeros octetos para identificar la red,
reservando los dos octetos finales (16 bits) para que sean asignados a los hosts,
de modo que la cantidad máxima de hosts es 216 - 2, o 65,534 hosts.
• En una red de clase C, se asignan los tres primeros octetos para identificar la red,
reservando el octeto final (8 bits) para que sea asignado a los hosts, de modo que
la cantidad máxima de hosts es 28 - 2, ó 254 hosts.
Clase Rango Redes Hosts Máscara de Red
A 1.0.0.0 - 127.255.255.255 126 16´777,241 255.0.0.0
B 128.0.0.0 - 191.255.255.255 16,382 65,534 255.255.0.0
C 192.0.0.0 - 223.255.255.255 2´097,150 254 255.255.255.0
7. Direcciones Privadas
Hay ciertas direcciones en cada clase de dirección IP que no están asignadas y que se
denominan direcciones privadas. Las direcciones privadas pueden ser utilizadas por los
hosts que usan traducción de dirección de red (NAT) para conectarse a una red pública
o por los hosts que no se conectan a Internet. En una misma red no pueden existir dos
direcciones iguales, pero sí se pueden repetir en dos redes privadas que no tengan
conexión entre sí o que se conecten a través del protocolo NAT. Las direcciones
privadas son:
• Clase A: 10.0.0.0 a 10.255.255.255 (8 bits red, 24 bits hosts). 1 red clase A, uso
VIP, ej.: la red militar estadounidense.
8. • Clase B: 172.16.0.0 a 172.31.255.255 (12 bits red, 20 bits hosts). 16 redes clase B
contiguas, uso en universidades y grandes compañías.
• Clase C: 192.168.0.0 a 192.168.255.255 (16 bits red, 16 bits hosts). 256 redes
clase C contiguas, uso de compañías medias y pequeñas además de pequeños
proveedores de internet (ISP).
A partir de 1993, ante la previsible futura escasez de direcciones IPv4 debido al
crecimiento exponencial de hosts en Internet, se empezó a introducir el sistema CIDR,
que pretende en líneas generales establecer una distribución de direcciones más fina y
granulada, calculando las direcciones necesarias y "desperdiciando" las mínimas
posibles, para rodear el problema que la distribución por clases había estado gestando.
Este sistema es, de hecho, el empleado actualmente para la delegación de direcciones.
Muchas aplicaciones requieren conectividad dentro de una sola red, y no necesitan
conectividad externa. En las redes de gran tamaño a menudo se usa TCP/IP. Por
ejemplo, los bancos pueden utilizar TCP/IP para conectar los cajeros automáticos que
no se conectan a la red pública, de manera que las direcciones privadas son ideales
para ellas. Las direcciones privadas también se pueden utilizar en una red en la que no
hay suficientes direcciones públicas disponibles.
Las direcciones privadas se pueden utilizar junto con un servidor de traducción de
direcciones de red (NAT) para suministrar conectividad a todos los hosts de una red
que tiene relativamente pocas direcciones públicas disponibles. Según lo acordado,
cualquier tráfico que posea una dirección destino dentro de uno de los intervalos de
direcciones privadas no se enrutará a través de Internet.
Máscara de subred
La máscara permite distinguir los bits que identifican la red y los que identifican el host
de una dirección IP. Dada la dirección de clase A 10.2.1.2 sabemos que pertenece a la
red 10.0.0.0 y el host al que se refiere es el 2.1.2 dentro de la misma. La máscara se
forma poniendo a 1 los bits que identifican la red y a 0 los bits que identifican el host.
De esta forma una dirección de clase A tendrá como máscara 255.0.0.0, una de clase
B 255.255.0.0 y una de clase C 255.255.255.0. Los dispositivos de red realizan un AND
entre la dirección IP y la máscara para obtener la dirección de red a la que pertenece el
host identificado por la dirección IP dada. Por ejemplo un router necesita saber cuál es
la red a la que pertenece la dirección IP del datagrama destino para poder consultar la
tabla de encaminamiento y poder enviar el datagrama por la interfaz de salida. Para
esto se necesita tener cables directos.
Creación de subredes
El espacio de direcciones de una red puede ser subdividido a su vez creando subredes
autónomas separadas. Un ejemplo de uso es cuando necesitamos agrupar todos los
empleados pertenecientes a un departamento de una empresa. En este caso
crearíamos una subred que englobara las direcciones IP de éstos. Para conseguirlo
hay que reservar bits del campo host para identificar la subred estableciendo a uno los
bits de red-subred en la máscara. Por ejemplo la dirección 172.16.1.1 con máscara
255.255.255.0 nos indica que los dos primeros octetos identifican la red (por ser una
dirección de clase B), el tercer octeto identifica la subred (a 1 los bits en la máscara) y
el cuarto identifica el host (a 0 los bits correspondientes dentro de la máscara). Hay dos
direcciones de cada subred que quedan reservadas: aquella que identifica la subred
(campo host a 0) y la dirección para realizar broadcast en la subred (todos los bits del
campo host en 1).
9. IP Dinámica
Una dirección IP dinámica es una IP asignada mediante un servidor DHCP (Dynamic
Host Configuration Protocol) al usuario. La IP que se obtiene tiene una duración
máxima determinada. El servidor DHCP provee parámetros de configuración
específicos para cada cliente que desee participar en la red IP. Entre estos parámetros
se encuentra la dirección IP del cliente.
DHCP apareció como protocolo estándar en octubre de 1993. El estándar RFC 2131
especifica la última definición de DHCP (marzo de 1997). DHCP sustituye al protocolo
BOOTP, que es más antiguo. Debido a la compatibilidad retroactiva de DHCP, muy
pocas redes continúan usando BOOTP puro.
Las IP dinámicas son las que actualmente ofrecen la mayoría de operadores. Éstas
suelen cambiar cada vez que el usuario reconecta por cualquier causa.
Ventajas
• Reduce los costos de operación a los proveedores de servicios de Internet
(ISP).
• Reduce la cantidad de IP asignadas (de forma fija) inactivas.
Desventaja
• Obliga a depender de servicios que redirigen un host a una IP.
Asignación de direcciones IP
Dependiendo de la implementación concreta, el servidor DHCP tiene tres métodos para
asignar las direcciones IP:
• Manualmente, cuando el servidor tiene a su disposición una tabla que
empareja direcciones MAC con direcciones IP, creada manualmente por el
administrador de la red. Sólo clientes con una dirección MAC válida recibirán
una dirección IP del servidor.
• Automáticamente, donde el servidor DHCP asigna permanentemente una
dirección IP libre, tomada de un rango prefijado por el administrador, a
cualquier cliente que solicite una.
• Dinámicamente, el único método que permite la reutilización de direcciones
IP. El administrador de la red asigna un rango de direcciones IP para el DHCP
y cada ordenador cliente de la LAN tiene su software de comunicación TCP/IP
10. configurado para solicitar una dirección IP del servidor DHCP cuando su tarjeta
de interfaz de red se inicie. El proceso es transparente para el usuario y tiene
un periodo de validez limitado.
IP fija
Una dirección IP fija es una IP asignada por el usuario de manera manual. Mucha
gente confunde IP Fija con IP Pública e IP Dinámica con IP Privada.
Una IP puede ser Privada ya sea dinámica o fija como puede ser IP Pública Dinámica o
Fija.
Una IP Pública se utiliza generalmente para montar servidores en internet y
necesariamente se desea que la IP no cambie, por eso siempre la IP Pública se la
configura de manera Fija y no Dinámica, aunque sí se podría.
En el caso de la IP Privada generalmente es dinámica asignada por un servidor DHCP,
pero en algunos casos se configura IP Privada Fija para poder controlar el acceso a
internet o a la red local, otorgando ciertos privilegios dependiendo del número de IP
que tenemos, si esta cambiara (fuera dinámica) sería más complicado controlar estos
privilegios (pero no imposible).
Las IP Públicas fijas actualmente en el mercado de acceso a Internet tienen un costo
adicional mensual. Estas IP son asignadas por el usuario después de haber recibido la
información del proveedor o bien asignadas por el proveedor en el momento de la
primera conexión.
Esto permite al usuario montar servidores web, correo, FTP, etc. y dirigir un nombre de
dominio a esta IP sin tener que mantener actualizado el servidor DNS cada vez que
cambie la IP como ocurre con las IP Públicas dinámicas.
Ventajas
• Es más fácil asignar el dominio para un site.
Desventajas
• Son más vulnerables a ataques, puesto que el usuario está siempre conectado
en la misma IP y es posible que se preparen ataques con más tiempo
(mediante la detección de vulnerabilidades de los sistemas operativos o
aplicaciones.
• Es más caro para los ISP puesto que esa IP puede no estar usándose las 24
horas del día.
11. Direcciones IPv6
La función de la dirección IPv6 es exactamente la misma a su predecesor IPv4, pero
dentro del protocolo IPv6. Está compuesta por 128 bits y se expresa en una notación
hexadecimal de 32 dígitos. IPv6 permite actualmente que cada persona en la tierra
tenga asignada varios millones de IPs, ya que puede implementarse con 2 128 (3.4×1038
hosts direccionables). La ventaja con respecto a la dirección IPv4 es obvia en cuanto a
su capacidad de direccionamiento.
Su representación suele ser hexadecimal y para la separación de cada par de octetos
se emplea el símbolo ":". Un bloque abarca desde 0000 hasta FFFF. Algunas reglas de
notación acerca de la representación de direcciones IPv6 son:
• Los ceros iniciales, como en IPv4, se pueden obviar.
Ejemplo:
2001:0123:0004:00ab:0cde:3403:0001:0063 2001:123:4:ab:cde:3403:1:63
• Los bloques contiguos de ceros se pueden comprimir empleando "::". Esta
operación sólo se puede hacer una vez.
Ejemplo válido:
2001:0:0:0:0:0:0:4 2001::4
Ejemplo no válido:
2001:0:0:0:2:0:0:1 2001::2::1
(debería ser 2001::2:0:0:1 ó 2001:0:0:0:2::1)
Conceptos de Red Privada Virtual (VPN)
Definición
Una red privada virtual o VPN (siglas en inglés de virtual private network), es una
tecnología de red que permite una extensión de la red local sobre una red pública o no
controlada, como por ejemplo Internet.
Ejemplos comunes son, la posibilidad de conectar dos o más sucursales de una
empresa utilizando como vínculo Internet, permitir a los miembros del equipo de
soporte técnico la conexión desde su casa al centro de cómputo, o que un usuario
pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo un
hotel. Todo ello utilizando la infraestructura de Internet.
12. Requisitos de seguridad
Para hacerlo posible de manera segura es necesario proporcionar los medios para
garantizar la autentificación, integridad y confidencialidad de toda la comunicación:
• Autentificación y autorización: ¿Quién está del otro lado? Usuario/equipo y qué
nivel de acceso debe tener.
• Integridad: de que los datos enviados no han sido alterados. Para ello se utilizan
funciones de Hash. Los algoritmos de Hash más comunes son los Message Digest
(MD2 y MD5) y el Secure Hash Algorithm (SHA).
• Confidencialidad: Dado que sólo puede ser interpretada por nadie más que los
destinatarios de la misma. Se hace uso de algoritmos de cifrado como Data
Encryption Standard (DES), Triple DES (3DES) y Advanced Encryption Standard
(AES).
• No repudio: es decir, un mensaje tiene que ir firmado, y el que lo firma no puede
negar que el mensaje lo envió él.
Requerimientos básicos
• Identificación de usuario: las VPN deben verificar la identidad de los usuarios y
restringir su acceso a aquellos que no se encuentren autorizados.
• Codificación de datos: los datos que se van a transmitir a través de la red pública
(Internet), antes deben ser cifrados, para que así no puedan ser leídos. Esta tarea
se realiza con algoritmos de cifrado que sólo pueden ser leídos por el emisor y
receptor.
• Administración de claves: las VPN deben actualizar las claves de cifrado para los
usuarios.
13. Tipos de VPN
VPN de acceso remoto
Es quizás el modelo más usado actualmente, y consiste en usuarios o
proveedores que se conectan con la empresa desde sitios remotos (oficinas
comerciales, domicilios, hoteles, aviones preparados, etcétera) utilizando
Internet como vínculo de acceso. Una vez autentificados tienen un nivel de
acceso muy similar al que tienen en la red local de la empresa. Muchas
empresas han reemplazado con esta tecnología su infraestructura dial-up
(módems y líneas telefónicas).
VPN punto a punto
Este esquema se utiliza para conectar oficinas remotas con la sede central de
la organización. El servidor VPN, que posee un vínculo permanente a Internet,
acepta las conexiones vía Internet provenientes de los sitios y establece el
túnel VPN. Los servidores de las sucursales se conectan a Internet utilizando
los servicios de su proveedor local de Internet, típicamente mediante
conexiones de banda ancha. Esto permite eliminar los costosos vínculos punto
a punto tradicionales, sobre todo en las comunicaciones internacionales. Es
más común el siguiente punto, también llamado tecnología de túnel o tunneling.
Tunneling
La técnica de tunneling consiste en encapsular un protocolo de red sobre otro
(protocolo de red encapsulador) creando un túnel dentro de una red de
computadoras. El establecimiento de dicho túnel se implementa incluyendo una
PDU (Protocol Data Units) determinada dentro de otra PDU con el objetivo de
transmitirla desde un extremo al otro del túnel sin que sea necesaria una
interpretación intermedia de la PDU encapsulada. De esta manera se
encaminan los paquetes de datos sobre nodos intermedios que son incapaces
de ver en claro el contenido de dichos paquetes. El túnel queda definido por los
puntos extremos y el protocolo de comunicación empleado, que entre otros,
podría ser SSH.
El uso de esta técnica persigue diferentes objetivos, dependiendo del problema
que se esté tratando, como por ejemplo la comunicación de islas en escenarios
multicast, la redirección de tráfico, etc.
Uno de los ejemplos más claros de utilización de esta técnica consiste en la
redirección de tráfico en escenarios IP Móvil. En escenarios de IP móvil,
cuando un nodo-móvil no se encuentra en su red base, necesita que su agente
local (home-agent) realice ciertas funciones en su puesto, entre las que se
encuentra la de capturar el tráfico dirigido al nodo-móvil y redirigirlo hacia él.
Esa redirección del tráfico se realiza usando un mecanismo de tunneling, ya
que es necesario que los paquetes conserven su estructura y contenido
originales (dirección IP de origen y destino, puertos, etc.) cuando sean
recibidos por el nodo-móvil.
VPN over LAN
Este esquema es el menos difundido pero uno de los más poderosos para
utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en
vez de utilizar Internet como medio de conexión, emplea la misma red de área
local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna.
14. Esta capacidad lo hace muy conveniente para mejorar las prestaciones de
seguridad de las redes inalámbricas (WiFi).
Un ejemplo clásico es un servidor con información sensible, como las nóminas
de sueldos, ubicado detrás de un equipo VPN, el cual provee autenticación
adicional más el agregado del cifrado, haciendo posible que sólo el personal de
recursos humanos habilitado pueda acceder a la información.
Otro ejemplo es la conexión a redes WiFi haciendo uso de túneles cifrados
IPSEC o SSL que además de pasar por los métodos de autenticación
tradicionales (WAP, WEP, MACaddress, etc.) agregan las credenciales de
seguridad del túnel VPN creado en la LAN interna.
Tipos de conexión
Conexión de acceso remoto
Una conexión de acceso remoto es realizada por un cliente o un usuario de una
computadora que se conecta a una red privada, los paquetes enviados a través de la
conexión VPN son originados al cliente de acceso remoto, y éste se autentifica al
servidor de acceso remoto, y el servidor se autentifica ante el cliente.
Conexión VPN router a router
Una conexión VPN router a router es realizada por un router, y este a su vez se
conecta a una red privada. En este tipo de conexión, los paquetes enviados desde
cualquier router no se originan en los routers. El router que realiza la llamada se
autentifica ante el router que responde y este a su vez se autentica ante el router que
realiza la llamada y también sirve para la intranet.
Conexión VPN firewall a firewall
Una conexión VPN firewall a firewall es realizada por uno de ellos, y éste a su vez se
conecta a una red privada. En este tipo de conexión, los paquetes son enviados desde
cualquier usuario en Internet. El firewall que realiza la llamada se autentifica ante el que
responde y éste a su vez se autentifica ante el llamante.
Ventajas
• Integridad, confidencialidad y seguridad de datos.
• Las VPN reducen los costos y son sencillas de usar.
• Facilita la comunicación entre dos usuarios en lugares distantes.
Concepto y Uso de Nombres de Punto de Acceso (APN)
Definición:
APN o Access Point Name es el nombre de un punto de acceso para GPRS que debe
configurarse en el teléfono móvil para que pueda acceder a ciertos servicios de
Internet, tales como WAP, MMS, SMS, etc.
15. Un punto de acceso es:
• Una dirección IP a la cual un móvil se puede conectar
• Un punto de configuración que es usado para esa conexión
• Una opción particular que se configura en un teléfono móvil
Los APN pueden ser variados. Son usados en redes tanto públicas como privadas. Por
ejemplo:
• compania.mnc012.mcc345.gprs
• internet.compania.com
• wap.claro.pe
• ba.amx
Una vez que el dispositivo se ha conectado, usa el servidor DNS para hacer el proceso
llamado Resolución de APN, que finalmente da la IP real del APN. En este punto un
contenido PDP (paquete de datos) puede ser activado.
Estructura de un APN
Un APN consiste de dos partes:
• Identificador de Red: Define la red externa a la cual el GGSN va a conectarse.
Opcionalmente puede incluir también el servicio solicitado por el usuario. Esta parte
del APN es obligatoria.
• Identificador del Operador: Define el paquete de red específico del operador en el
cual el GGSN está ubicado. Esta parte del APN es opcional. El MCC es el código
del país y el MNC es el código de la red móvil, los que juntos identifican a un
operador único de red.