SlideShare una empresa de Scribd logo

Seguridad en redes: conceptos básicos, autenticación, privacidad y control de acceso

Descargar como PPTX, PDF
K
krmn35
1 de 50
 Como en las cerraduras utilizadas para ayudar a mantener seguras las propiedades, las computadoras y las redes de datos necesitan de ciertas precauciones que ayuden a mantener segura la información. La seguridad en un ambiente de red de redes es importante y difícil de lograr. Es importante pues la información tiene un valor significativo (puede comprarse y venderse o ser utilizada para crear productos y servicios nuevos que proporcionan grandes ganancias).  La seguridad en una red de redes resulta algo difícil debido a que implica entender cuando y como pueden confiar los usuarios participantes, las computadoras, los servicios y las redes, uno en otro, también implica entender los detalles técnicos del hardware y los protocolos de red. Vamos a revisar los conceptos y la terminología básica para implementar servicios de seguridad.
 Los términos seguridad de red y seguridad de información se refieren en sentido amplio, a la confianza de que la información y los servicios disponibles en una red no puedan ser accedidos por usuarios no autorizados.. Seguridad implica confianza, integridad de los datos, confianza en que los recursos computacionales están libres de intromisiones.  •Proporcionar seguridad para la información requiere protección tanto para los recursos físicos como los lógicos. Los recursos físicos incluyen dispositivos de almacenamiento como cintas y discos así como las computadoras. En un ambiente de red la seguridad física se extiende a los cables ruteadores y puentes que comprenden la infraestructura de la red.
•La protección de recursos lógicos como la información es más difícil que la seguridad física, dado que la información puede copiarse conforme pasa a través de una red, la protección debe prevenir también lecturas no autorizadas. •Algo a tener en cuenta es establecer los niveles de utilización tanto para los recursos físicos y mas aun para los recursos lógicos, estos se deben limitar a los usuarios correspondientes y no ser accedidos por personal no relacionado a la información. Por ejemplo información contable solo sea accedida por el departamento de contabilidad.
 •Antes de que una organización implante un proyecto de seguridad de red, la organización debe asumir riesgos y desarrollar una política clara, considerando los accesos de información y protección.  •Las políticas necesitan especificar quienes tendrán garantizado el acceso a cada parte de la información deben establecerse las reglas individuales a seguir, se debe difundir la información hacia todo el conjunto y establecer las formas en la que la organización reaccionara antes las transgresiones.  •Los empleados no deben ignorar esta política ya que las personas son por lo general el punto más susceptible de cualquier esquema de seguridad. Un trabajador descuidado o ignorante de las políticas de información de la organización puede comprometer la seguridad.
•Las organizaciones normalmente tienen contactos con organizaciones externas cuando sucede esto la ultima disposición de la información depende de las políticas de las organizaciones por los cuales pasara la información. •Una organización no puede conocer el efecto de comunicarse e interactuar con otras a menos que las dos organizaciones acuerden un nivel de confianza reciproco. •Este problema se agudiza ya que la información viaja a través de la red que pasa a través de puentes y ruteadores, de organizaciones que no son parte ni del emisor ni del receptor.
 Los problemas de seguridad en las red y los mecanismos de software que ayudan a que la comunicación en la red de redes sea segura, se pueden dividir en términos generales en tres conjuntos. 1.El primer conjunto se enfoca en los problemas de autorización, autenticación e integridad. 2.El segundo se enfoca al problema de la privacidad 3.y el tercero al problema de la disponibilidad mediante el control de acceso.
 Los mecanismos de autenticación resuelven el problema de verificar la identificación, es el caso por ejemplo de muchos servidores los cuales verifican que el cliente este autorizado antes de prestar algún servicio.
 Una forma débil de autentificación por dirección IP donde , un administrador configura una lista de configuraciones IP validas. El servidor se basa en esta lista para brindar servicios a los clientes. La autenticación de fuente IP es débil porque se puede romper fácilmente. En una red de redes en la que los datagramas pasan a través de ruteadores y redes intermedias, la autenticación de fuente puede ser atacada desde una de las maquinas intermedias. Por ejemplo supongamos que un impostar logra controlar un ruteador R que esta localizado entre un cliente valido y el servidor, el impostor altera las rutas en R dirigiendo el tráfico hacia su computador y que siga su trayecto original, de este modo ni el servidor ni el cliente detectaran al intruso.  •También se puede dar la forma inversa dado que un impostor puede interceptar el tráfico que va desde el cliente al servidor.
 •Para solucionar este problema se trata de proporcionar un servicio confiable que consiste en un sistema de cifrado de clave pública. Para poder utilizar este sistema a cada participante se le debe asignar dos claves que son utilizadas para codificar y descodificar un mensaje. Cada clave es un entero largo. Un participante publica una clave, llamada clave publica, en una base de datos publica y conserva la otra clave en secreto. Un mensaje se codifica mediante una clave que se puede decodificar utilizando la otra. Por ejemplo si un emisor emplea una clave secreta para codificar un mensaje, un receptor puede utilizar la clave pública del emisor para decodificar el mismo.  Además conocer la clave pública no hace más fácil adivinar o calcular la clave secreta. Así si un mensaje se decodifica de manera correcta por medio de la clave publica de un propietario, debe codificarse por medio de la clave privada del propietario. Un cliente y un servidor que utilicen este servicio pueden estar razonablemente seguros de que su interlocutor es autentico.
 Elcifrado también puede manejar problemas de privacidad. Por ejemplo, si un emisor y un receptor utilizan un esquema de cifrado de clave publica, el emisor puede garantizar que solo el receptor involucrado pueda leer el mensaje. Para ello el emisor utiliza la clave pública del receptor para codificar el mensaje y el receptor su clave privada para decodificar el mensaje. Dado que el receptor es el único que tiene la clave privada nadie mas podrá descodificar el mensaje.
 Los mecanismos que controlan el acceso a la red de redes manejan el problema de filtrado hacia una organización o red en particular de las comunicaciones no previstas. Estos mecanismos pueden ayudar a prevenir a la organización sobre la obtención de información con respecto al exterior, el cambio de información o la interrupción de comunicaciones en la red de redes por lo general requieren cambios en componentes básicos de la infraestructura de la red de redes. En particular, un exitoso control de acceso requiere de una combinación cuidados de restricciones en la topología de red, en el almacenamiento intermedio de la información y en el filtrado de paquetes.  Una sola técnica ha emergido como la base para el control de acceso a la red de redes. La técnica se instala un bloque conocido como muro de seguridad (firewall) en la entrada hacia la parte de la red de redes que será protegida. Por ejemplo, una organización puede colocar u muro de seguridad en su conexión de la red global de Internet para protegerse de intromisiones indeseables. Un muro de seguridad divide una red de redes en dos regiones, conocidas como el interior y el exterior
 Aun cuando la imagen conceptual parece sencilla, los detalles de implementación son complicados. En particular la red de redes de una organización puede tener varias conexiones externas. Por ejemplo, si una compañía tiene una columna vertebral de red de área amplia corporativa que conecta a las localidades de la corporación en varias ciudades o países, el administrador de red en una localidad determinada, puede elegir conectar la localidad directamente a un local de negocios o una universidad. Las conexiones externas múltiples plantean un problema de seguridad especial. La organización debe formar un perímetro de seguridad instalando un muro de seguridad en cada conexión externa. Algo muy importante para garantizar que este perímetro es efectivo, la organización debe coordinar todos los muros de seguridad para que utilicen exactamente las mismas restricciones de accesos. De otra manera, podría ser posible evadir las restricciones impuestas a un muro de seguridad entrando en la red de redes de la organización a través de otro.  Alguien que intente atacar a la red lo hará por su punto mas débil, es decir por el muro de seguridad que no este bien cuidado. Esto hace referencia a la idea de que un sistema de seguridad es tan fuerte como su eslabón más débil, conocido como el axioma del eslabón más débil.  Coordinar múltiples muros de seguridad puede resultar difícil, ya que las restricciones que se tendrán en una localidad pueden no parecer importantes en otras, por esto los responsables de los muros de seguridad de la red de redes deben coordinar sus esfuerzos cuidadosamente.
 ¿Cómo debe implantarse un muro de seguridad? En teoría, un muro de seguridad sencillamente bloquea todas las comunicaciones no autorizadas entre computadoras en la organización y computadoras de organizaciones externas. No existe una solución que funcione para todas las organizaciones; construir un muro de seguridad a la medida y efectivo puede ser muy difícil.  Una de las dificultades en la construcción de un muro de seguridad consiste en el poder de procesamiento que se requiere. Este necesita el suficiente poder computacional para examinar todos los mensajes que entran y salen. Dado que es necesario examinar cada datagrama de viaja entre la red interna y externa, el muro de seguridad de la organización debe manejar los datagramas a la misma velocidad que la conexión. Además, si un muro de seguridad retarda los datagramas en un búfer mientras decide si permite la transferencia, el muro de seguridad puede verse abrumado con las retrasmisiones y el búfer se estancará.
 ##Establecemos politicapor defecto: DROPiptables-P INPUT DROPiptables-P OUTPUT DROPiptables-P FORWARD DROP## Empezamos a filtrar? no! empezamos a abrir! porque ahora esta TODO denegado.## Debemos decir de manera explicita qué es lo que queremos abrir
 En el ejemplo, el administrador ha elegido bloquear datagramas entrantes destinados a unos cuantos servicios conocidos y bloquear un caso de datagrama que salen. El filtro bloquea todos los datagramas que salen y que se originan desde cualqeuir anfitrion en la red de clase B 128.5.0.0 está destinado a un servidor de correo electronico remoto (TCP 25). El filtro tambien bloquea datagramas entrantes destinados a FTP (TCP 21) TELNET ( TCP 23) WHOIS (UDP 41) TFTP (UDP 69) o FINGER (TCP 79)  LLEGADA A LA INTERFAZ FUENTE IP DESTINO IP PROTOCOLO PUERTO FUENTE PUERTO DESTINO  2 * ^* TCP * 21  2 * * TCP * 23  1 128.5.*.** TCP * 25  2 * * UDP * 43  2 * * UDP * 69  2 * * TCP * 79
 Un programa de control de puertos sí puede ser una tontería cuando ya usas un routermultipuesto, puesto que ambos te permiten controlar cuáles puertos han de ser utilizados y cuales otros puertos deben estar bloqueados.  •Pero un cortafuegos va bastante más allá. Un buen cortafuegos también te permitirá controlar las comunicaciones por programas y por protocolos. Por ejemplo, es muy distinto que por el puerto 25 trate de pasar una transmisión SMTP (correo-e) o una transmisión FTP (transferencia de archivos, que normalmente debería ir por el puerto 20/21); por ejemplo, es muy distinto que el puerto 80 (normalmente utilizado para transmitir páginas web) sea utilizado por el navegador o por otro programa (¿un virus o un troyano?). Un routernunca va a controlar estas posibles situaciones irregulares, que esconden bastante peligro potencial.
 Para hacer efectivo un muro de seguridad que se vale del filtrado de datagramas debe restringirse el acceso de todas las fuentes IP, destino IP, protocolos y puertos de protocolos a excepción de las computadoras, redes y servicios que la organización decida explícitamente poner a disposición del exterior. Un filtro de paquetes que permite a un administrador especificar que datagramas admitir en lugar de que datagrama bloquear, puede hacer que las restricciones sean mas fáciles de especificar.
 Engeneral, una organización puede proporcionar solo acceso seguro hacia servicios del exterior a través de una computadora segura. En lugar de hacer que todas las computadoras del sistema en la organización sea seguras (una tarea desalentadora), una organización por lo general asocia una computadora segura con cada muro de seguridad. Debido a que una computadora debe fortificarse poderosamente para servir como un canal de comunicación seguro, a menudo se le conoce como anfitrión baluarte (bastionhost).
 Para permitir un acceso seguro, el muro de seguridad tiene barreras conceptuales. La barra exterior bloquea todo el trafico entrante (1) a datagramas destinados a servicios en el anfitrión baluarte que la organización elige para mantener disponibles al exterior y (2) a datagramas destinados a clientes en el anfitrión baluarte. La barrera de entrada bloquea el trafico entrante excepto datagramas que se originan en el anfitrión baluarte. La mayor parte de los muros de seguridad también incluye una derivación manual que habilita al administrador para derivar temporalmente todo el trafico, o parte de el, entre un anfitrión dentro de la organización y un anfitrión fuera de la organización. En general, las organizaciones que desean una seguridad máxima, nunca habilitan una derivación.  Aun cuando un anfitrión baluarte es esencial para la comunicación a través de un muro de seguridad, la seguridad de dicho muro depende la seguridad en el anfitrión baluarte. Un intruso que abra una grieta en la seguridad en el sistema operativo del anfitrión baluarte puede lograr el acceso del anfitrión dentro del muro de seguridad.
 Para evitar las debilidades asociadas al filtrado de paquetes, los desarrolladores crearon software de aplicación encargados de filtrar las conexiones. Estas aplicaciones son conocidas como Servidores Proxy y la máquina donde se ejecuta recibe el nombre de Gateway de Aplicación o BastionHost. El Proxy, instalado sobre el Nodo Bastión, actúa de intermediario entre el cliente y el servidor real de la aplicación, siendo transparente a ambas partes.  •Cuando un usuario desea un servicio, lo hace a través del Proxy. Este, realiza el pedido al servidor real devuelve los resultados al cliente. Su función fue la de analizar el tráfico de red en busca de contenido que viole la seguridad de la misma.
 El monitoreo es uno de los aspectos mas mas importantes en el diseño de un muro de seguridad. El administrador de red responsable de un muro de seguridad necesita estar consiente de los riesgos en la seguridad. A menos que se cuente con un reporte de incidentes en un muro de seguridad, el administrador podría no darse cuenta de los problemas que se presenta.  •El monitoreo puede ser activo o pasivo. En el monitoreo activo, un muro de seguridad notifica al administrador todos los incidentes que se presentan. La mayor ventaja del monitoreo activo es la velocidad, un administrador puede tener conocimiento de problemas potenciales de inmediato. La mayor desventaja es que en el monitoreo activo frecuentemente se produce mucha información que un administrador puede no comprender o puede no encontrar en tal información ningún indicio de problemas. Así, la mayoría de los administradores prefieren un monitoreo pasivo con una combinación de monitoreo pasivo con el reporte de unos cuantos incidentes de alto riesgo en lugar de monitoreo activo.
 En el monitoreo pasivo, un muro de seguridad lleva un registro de cada incidente en un archivo en disco. Un monitoreo pasivo por lo general registra la información del trafico normal ( es decir, como una simple estadística) y los datagramas que se filtran. Un administrador puede ingresar a la bitácora en cualquier momento. La mayor ventaja del monitoreo pasivo radica en que elabora registros de eventos.  Un administrador puede consultar la bitácora para observar las tendencias y, cuando se presente un problema de seguridad, revisar la historia de eventos que conducen a un problema dado. Algo muy importante, un administrador puede analizar la bitácora periódicamente para determinar si los intentos por acceder a la organización se han incrementado o han decrecido con el tiempo.
 Introducción:  La evolución de la tecnología TCP/IP está vinculada a la evolución de Internet por varias razones  En primer lugar, Internet es la red de redes del TCP/IP instalada más extensa,  En segundo lugar, los investigadores e ingenieros fundadores del TCP/IP tienden a fundar proyectos que le impactan a Internet.  En tercer lugar, la mayoría de los investigadores. participantes en el TCP/IP tienen conexiones con Internet y la utilizan diariamente.  Así pues, tienen una motivación inmediata para resolver problemas que mejorarán el servicio y ampliarán su funcionalidad.
 La versión 4 del protocolo de Internet (IPv4) proporciona los mecanismos de comunicación básicos del conjunto TCP/IP y la red global Internet; se ha mantenido casi sin cambio desde su inserción a fines de los años setenta. La antigüedad de la versión 4 muestra que el diseño es flexible y poderoso.  Hubo desempeño en cuanto a:  •Procesadores  •Tamaño de las memorias  •El ancho de banda de la columna vertebral de la red Internet se ha incrementado  •Las tecnologías LAN
 De manera simultanea el IP se ha adaptado a los cambios de la tecnologías.  A pesar de su diseño, el IPv4 también debe ser reemplazado.  Las principales motivaciones para actualizar el IP:  •El inminente agotamiento del espacio de direcciones.  •Muchas corporaciones de tamaño mediano tienen varias LAN  •Varias de las grandes corporaciones cuentan con una WAN corporativa  En consecuencia, el espacio de direcciones IP  que se usa actualmente no puede adaptarse al crecimiento proyectado de la red global de Internet.  •IPv4 soporta 232, es decir, 4.294.967.296 direcciones de red diferentes, un número que se está tornando corto dado los numerosos dispositivos con conexión a la red de redes.  •Por el contrario, IPv6 soporta 2128, es decir, 340.282.366.920.938.463.463.374.607.431.768.211.456 o, lo que es lo mismo, 340 sextillonesde direcciones.
Aun cuando la necesidad de un espacio de direcciones extenso está forzando un cambio inmediato en el IP, hay otros factores que también contribuyen. En particular, gran parte de éstos se refieren al soporte de nuevas aplicaciones. Por ejemplo, debido a que el audio y el video en tiempo real necesitan determinadas garantías en los retardos, una nueva versión del IP debe proporcionar un mecanismo que haga posible asociar un datagrama con una reservación de fuente pre asignada.
Formalmente, se ha decidido que a la próxima versión del IP se le asigne el número de versión 6. Así, para distinguido de la versión actual del IP (IPv4), la próxima generación se llamará IPv6. En el pasado, el término IPngha sido utilizado en un contexto amplio para referirse a todas discusiones y propuestas para una próxima versión del IP, mientras que el término IPv6 se ha utilizado para referirse a una propuesta específica.
 Direcciones más largas:El IPv6 cuadruplica el tamaño de las, direcciones del IPv4, va de 32 bits a 128 bits.  •Formato de encabezados flexible: El IPv6 utiliza un formato de datagrama incompatible y completamente nuevo.  •Opciones mejoradas: Como el IPv4, el IPv6 permite que un datagrama incluya información de control opcional.  •Soporte para asignación de recursos:El IPv6 reemplaza la especificación del tipo de servicio del IPv4 con un mecanismo que permite la pre asignación de recursos de red.  •Provisión para extensión de protocolo:Posiblemente el cambio más significativo en el IPv6 es el cambio de un protocolo que especifica completamente todos los detalles a un protocolo que puede permitir características adicionales.
 La representación de las direcciones IPv6 sigue el siguiente esquema:  x:x:x:x:x:x:x:x  donde “x” es un valor hexadecimal de 16 bits.  Por ejemplo una dirección IPv6 sería:  FEDC:BA98:7654:3210:FEDC:BA98:7654:3210  Hay que tener en cuenta que se pueden omitir los ceros a la izquierda de cada campo de la dirección, por ejemplo:  1080:0:0:0:8:800:200C:417A  Cuando hay más de dos grupos consecutivos de ceros se pueden comprimirse con “::”  1080::8:800:200C:417A  Si la dirección tiene más de una serie de grupos nulos consecutivos la compresión sólo se permite en uno de ellos.  La dirección de auto-retorno o localhostsería ::1
 Figura:Forma general de un datagrama IPv6 con varios encabezados. Sólo el encabezado base es indispensable, los encabezados de extensión son opcionales.Cada datagrama IPv6 comienza con un encabezado base octetos que incluye campos para las direcciones de fuente destino, el límite máximo de saltos, la etiqueta de flujo y el próximo encabezado. Así, un datagrama IPv6 debe contener cuando menos 40 octetos además de los datos.
 Encabezados de extensión del IPv6  El paradigma de un encabezado base fijo seguido por un conjunto de encabezados de extensión opcionales se eligió como un compromiso entre la generalidad y la eficiencia. Para ser totalmente general, el IPv6 necesita incluir mecanismos para soportar funciones como la fragmentación, el ruteo de fuente y la autenticación. Sin embargo, elegir la asignación de campos fijos en el encabezado de datagrama para todos los mecanismos es ineficiente pues la mayor parte de los datagramas no utiliza todos los, mecanismos. El gran tamaño de las direcciones IPv6 aumenta la ineficiencia.
 Como el IPv4, el IPv6 prepara el destino final para realizar el reensamblajede datagramas. Sin embargo, los diseñadores tomaron una decisión poco usual respecto a la fragmentación. Recordemos que el IPv4 requiere un ruteadorintermedio para fragmentar cualquier datagrama que sea demasiado largo para la MTU (MaximumTransfer Unit) de la red en la que viaja. En el IPv6, la fragmentación está restringida a la fuente original. Antes de enviar tráfico de información, una fuente debe realizar una técnica de PathMTU Discovery(descubrir la MTU de la ruta) para identificar la MTU mínima a lo largo de la trayectoria hasta el destino. Antes de enviar un datagrama, la fuente fragmenta el datagrama de manera que cada fragmento sea menor que el PathMTU. Así, la fragmentación es de extremo a extremo; no son necesarias fragmentaciones adicionales en ruteadoresintermedios.
El IPv6 conserva la capacidad de un emisor para especificar una ruta fuente. A diferencia del IPv4, en el que el ruteo de fuente se proporciona mediante opciones, el IPv6 utiliza un encabezado de extensión separado.
 Como el IPv4, el IPv6 asocia una dirección con una conexión de red específica, no con una computadora específica. Así, la asignación de direcciones es similar para el IPv4: un ruteadorIPv6 tiene dos o más direcciones, y un anfitrión IPv6, con una conexión de red, necesita sólo una dirección. El IPv6 también conserva (y extiende) la jerarquía de direcciones del IPv4 en la que una red física es asignada a un prefijo. Sin embargo, para hacer la asignación de direcciones y la modificación más fácil, el IPv6 permite que varios prefijos sean asignados a una red dada y que una computadora tenga varias direcciones simultáneas asignadas hacia una interfaz determinada.
 Además de permitir varias direcciones simultáneas por conexión de red, el IPv6 expande y, en algunos casos, unifica las direcciones especiales del IPv4. En general, una dirección de destino en un datagrama cae dentro de una de tres categorías:  UnidifusiónLa dirección de destino especifica una sola computadora (anfitrión o ruteador); el datagrama deberá rutearsehacia el destino a lo largo de la trayectoria más corta. (como la IPv4)  Grupo El destino es un conjunto de computadoras en el que todas comparten un solo prefijo de dirección (por ejemplo, si están conectadas a la misma red física); el datagrama deberá rutearsehacia el grupo a través de la trayectoria más corta y, después, entregarse exactamente a un miembro del grupo (por ejemplo, el miembro más cercano).  MultidifusiónEl destino es un conjunto de computadoras, posiblemente en múltiples localidades. Una copia del datagrama deberá entregarse a cada miembro del grupo que emplee hardware de multidifusión o de difusión si están disponibles
 La cuestión sobre cómo dividir el espacio de direcciones ha generado muchas discusiones. Hay dos temas centrales: cómo administrar la asignación de direcciones y cómo transformar una dirección en una ruta.  •El primer temase enfoca en el problema práctico de construir una jerarquía de autoridad.  •A diferencia de la Internet actual, la cual utiliza una jerarquía de dos niveles de prefijos de red (asignados por la autoridad de Internet) y sufijos de anfitrión (asignados por la organización), el gran espacio de direcciones en el IPv6 permite una jerarquía de multiniveles o jerarquías múltiples.  •El segundo temase enfoca en la eficiencia computacional. Independientemente de la jerarquía de autoridad que asigne direcciones, un ruteadordebe examinar cada datagrama y elegir una trayectoria hacia el destino. Para mantener bajo el costo de los ruteadoresde alta velocidad, el tiempo de procesamiento requerido para elegir una trayectoria debe mantenerse bajo.  •Como se muestra en la siguiente figura, los diseñadores del IPv6 proponen asignar clases de direcciones en forma similar al esquema utilizado por el IPv4. Aun cuando los ocho primeros bits de una dirección son suficientes para especificar su tipo, el espacio de direcciones no se divide en secciones de igual tamaño
 Observe de la figura anterior que alrededor del 72% del espacio de direcciones ha sido reservado para usos futuros, no incluyendo la sección reservada para direcciones geográficas. Aun cuando el prefijo 0000 0000 tiene el nombre reservado en la figura, los diseñadores planean usar una pequeña fracción de direcciones en esta sección para codificar direcciones IPv4.  En particular, cualquier dirección que comience con 80 bits puestos a cero, seguidos por 16 bits puestos a 1 o 16 bits puestos todos a cero, contiene una dirección IPv4 en los 32 bits de orden inferior. La codificación será necesaria durante la transición del IPv4 al IPv6 por dos razones:  1.una computadora puede elegir actualizar su software de IPv4 como IPv6 antes de tener asignada una dirección IPv6 válida.  2.una computadora que corra software IPv6 puede necesitar comunicarse con una computadora que corra sólo software IPv4.
 Teniendo una forma de codificar una dirección IPv4 en una dirección IPv6 no se resuelve el problema de lograr que las dos versiones interoperen. Además de la codificación de direcciones, es necesaria la traducción. Para utilizar un traductor, una computadora IPv6 genera un datagrama que contiene la codificación IPv6 de la dirección de destino IPv4. La computadora IPv6 envía el datagrama hacia un traductor, el cual utiliza IPv4 para comunicarse con el destino. Cuando el traductor recibe una réplica desde el destino, traduce el datagrama IPv4 a IPv6 y lo envía de regreso a la fuente IPv6.
 Parecería como si el protocolo de traducción de direcciones fallara debido a que las capas superiores de los protocolos verifican la integridad de las direcciones. En particular, el TCP y el UDP utilizan un pseudoencabezado en su cálculo para la suma de verificación. El pseudoencabezado incluye la dirección del protocolo de la fuente y el destino, cambiar estas direcciones puede afectar el cálculo. Sin embargo los diseñadores planearon cuidadosamente que el TCP o el UDP en una máquina IPv4 se pudieran comunicar con el correspondiente protocolo de transporte en una máquina IPv6.  •Para evitar errores en la suma de verificación, la codificación IPv6 de una dirección IPv4 ha sido elegida de manera que el complemento a uno de los 16 bits de la suma de verificación para una dirección IPv4 y la codificación IPv6 de la dirección sean idénticos.
 Además de seleccionar detalles técnicos de un nuevo protocolo de Internet, el IETF que trabaja en el IPngse ha enfocado en encontrar una forma de transición del protocolo actual al protocolo nuevo.  En particular, la propuesta actual para el IPv6 permite codificar una dirección IPv4 en lugar de una dirección IPv6, de manera que la traducción de la dirección no cambie la suma de la verificación del pseudo encabezado.
 Un ejemplo ayudará a entender cómo concibieron los diseñadores el uso de las direcciones IPv6. Consideremos la compañía Network Access Provider(NAP). Dicha compañía ofrece a sus clientes conectividad hacia Internet, a tales clientes los llamaremos suscriptores. Para permitir que cada proveedor asigne direcciones, la autoridad de Internet asigna a cada proveedor un identificador único. El proveedor puede entonces asignar a cada suscriptor un identificador único y utilizar ambos identificadores cuando asigne un bloque de direcciones.  •Como se muestra en la figura superior , cada prefijo sucesivamente más largo tiene un nombre. La cadena inicial 010 identifica la dirección como el tipo de asignación del proveedor. Para cada dirección, el prefijo de proveedor incluye el tipo de dirección más el ID del proveedor. El prefijo de suscriptor cubre el prefijo del proveedor más el ID del suscriptor. Por último, el prefijo de subred incluye el prefijo de suscriptor más la información de subred.  •Los campos en la figura están dibujados a escala. Por ejemplo, aun cuando los prefijos de direcciones parecen grandes en la figura, ocupan sólo tres de 128 bits. Los diseñadores recomiendan que el campo ID del nodo contenga por lo menos 48 bits para permitir que se utilice el direccionamiento de tipo 802 de IEEE. Así, será posible para un nodo IPv6 usar su dirección Ethernet como su ID de nodo.
Aunque el formato de direcciones mostrado arriba implica una jerarquía de cuatro niveles, una organización puede introducir niveles adicionales dividiendo el campo SubnetID en varios campos. •Por ejemplo, una organización puede elegir subdividir su subred en áreas y asignar subredes dentro de las áreas. Hacer esto es similar al esquema de direccionamiento de subred del IPv4, en el que la porción del anfitrión de una dirección es dividida en dos partes. El amplio espacio de direccionamiento del IPv6 permite la división en muchas partes
 Ni la red global Internet ni los protocolos TCP/IP son estáticos. A través de su Engineering Task Forcé, la Internet Architecture Board se mantiene activa y realiza esfuerzos que hacen que la tecnología evolucione y mejore. Los procesos que conducen al cambio se manifiestan como un incremento en el tamaño y en la carga que obliga a mejorar los recursos para mantener el servicio, como aplicaciones nuevas que demandan más de la tecnología subyacente y como tecnologías nuevas que hacen posible proporcionar nuevos servicios.  •Un esfuezo para definir la próxima generación de protocolo de Internet (IPng) ha generado una gran polémica y varias propuestas. Ha surgido un acuerdo de IETF para adoptar una propuesta conocida como Simple IP Plus como estándar para el IPng. Debido que se deberá asignar el número de versión 6, el protocolo propuesto se conoce a menudo como IPv6 para distinguirlo del protocolo actual, IPv4.  •El IPv6 conserva muchos de los conceptos básicos del IPv4, pero cambia la mayor parte de los detalles. Como el IPv4, el IPv6 proporciona un servicio de entrega de datagramas sin conexión, con el mejor esfuerzo. Sin embargo el formato del datagrama IPv6 es completamente diferente del formato IPv4, y el IPv6 proporciona características nuevas como la autenticación, un mecanismo para flujos controlados de datagramas y soporte para seguridad.
 •El IPv6 revisa cada datagrama como una serie de encabezados seguidos por datos. Un data-grama siempre comienza con un encabezado base de 40 octetos, el cual contiene la dirección de fuente y destino y un identificador de flujo. El encabezado base puede estar seguido de ceros o por más encabezados de extensión, seguidos por datos. Los encabezados de extensión son opcionales —el IPv6 los utiliza para manejar gran parte de la información que el IPv4 codifica en opciones.  •Una dirección IPv6 tiene una longitud de 128 bits, lo que hace que el espacio de dirección sea tan largo que cada persona en el planeta podría tener una red de redes tan extensa como la Internet actual. El IPv6 divide las direcciones en tipos en forma análoga a como el IPv4 las divide en clases. Un prefijo de la dirección determina la localización y la interpretación de los campos de dirección restantes. Muchas direcciones IPv6 serán asignadas por proveedores de servicio de red autorizados, dichas direcciones tienen campos que contienen un ID de proveedor, un ID de suscriptor, un ID de subred y un ID de nodo
Trabajo realizado por: Carmen Labrador Gayo.

Recomendados

Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internetrony
 
Seguridad en comunicación de datos
Seguridad en comunicación de datosSeguridad en comunicación de datos
Seguridad en comunicación de datosJessica Isaza
 
Seguridad
SeguridadSeguridad
SeguridadJennifer López
 
Unidad 4: Criptografía
Unidad 4: CriptografíaUnidad 4: Criptografía
Unidad 4: Criptografíacarmenrico14
 
Alberto aguilera redes virtuales
Alberto aguilera redes virtualesAlberto aguilera redes virtuales
Alberto aguilera redes virtualesAlberto_Densote
 
Seguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosSeguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosHECTOR JAVIER
 
Trabajo 3
Trabajo 3Trabajo 3
Trabajo 3esbaflores
 
Seguridad en Sistemas Distribuidos
Seguridad en Sistemas DistribuidosSeguridad en Sistemas Distribuidos
Seguridad en Sistemas DistribuidosTensor
 

Recomendados

Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internetrony
 
Seguridad en comunicación de datos
Seguridad en comunicación de datosSeguridad en comunicación de datos
Seguridad en comunicación de datosJessica Isaza
 
Seguridad
SeguridadSeguridad
SeguridadJennifer López
 
Unidad 4: Criptografía
Unidad 4: CriptografíaUnidad 4: Criptografía
Unidad 4: Criptografíacarmenrico14
 
Alberto aguilera redes virtuales
Alberto aguilera redes virtualesAlberto aguilera redes virtuales
Alberto aguilera redes virtualesAlberto_Densote
 
Seguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosSeguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosHECTOR JAVIER
 
Trabajo 3
Trabajo 3Trabajo 3
Trabajo 3esbaflores
 
Seguridad en Sistemas Distribuidos
Seguridad en Sistemas DistribuidosSeguridad en Sistemas Distribuidos
Seguridad en Sistemas DistribuidosTensor
 
Internet seguro
Internet seguroInternet seguro
Internet seguroGerman
 
Unidad 5: Aplicaciones de la criptografía
Unidad 5: Aplicaciones de la criptografíaUnidad 5: Aplicaciones de la criptografía
Unidad 5: Aplicaciones de la criptografíacarmenrico14
 
Actividad 5 infraestructura pk ix
Actividad 5 infraestructura pk ixActividad 5 infraestructura pk ix
Actividad 5 infraestructura pk ixpazminojuancarlos
 
Paso9 100414 66_artículo_científico
Paso9 100414 66_artículo_científicoPaso9 100414 66_artículo_científico
Paso9 100414 66_artículo_científicoWilliamBeltran007
 
Seguridad en la comunicación de datos
Seguridad en la comunicación de datosSeguridad en la comunicación de datos
Seguridad en la comunicación de datosChenLin7
 
Comercio elec y seguridad informatica
Comercio elec y seguridad informaticaComercio elec y seguridad informatica
Comercio elec y seguridad informaticaEscuela Politécnica del Ejército, Quito - Ecuador
 
Firewall
FirewallFirewall
FirewallDarwin Carchi
 
U.3 .- Seguridad en redes de comunicación.
U.3 .- Seguridad en redes de comunicación.U.3 .- Seguridad en redes de comunicación.
U.3 .- Seguridad en redes de comunicación.Luis Francisco Amores Tapia
 
Power ser 2
Power ser 2Power ser 2
Power ser 2moriyon
 
Trabajo de internet básico seguridad
Trabajo de internet básico seguridadTrabajo de internet básico seguridad
Trabajo de internet básico seguridadAlex
 
Seguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosSeguridad En Sistemas Distribuidos
Seguridad En Sistemas Distribuidosjulian leandro ramirez
 
Firewall
FirewallFirewall
Firewallmaritza yupanqui
 
Investigacion seguridad
Investigacion seguridadInvestigacion seguridad
Investigacion seguridadMiguel Angel
 
Instituto tecnologico de zitacuaro investigacion topicos de redes
Instituto tecnologico de zitacuaro investigacion topicos de redesInstituto tecnologico de zitacuaro investigacion topicos de redes
Instituto tecnologico de zitacuaro investigacion topicos de redesTere Ilianid Almazan Martinez
 
Vpn red virtual
Vpn red virtualVpn red virtual
Vpn red virtualJhozee Salinas
 
Cripto
CriptoCripto
CriptoDaniel Sánchez
 
Trabajo tico
Trabajo ticoTrabajo tico
Trabajo ticoMartaSierra18
 
Seguridad en redes
Seguridad en redes Seguridad en redes
Seguridad en redes JORGE MONGUI
 
Seguridad de redes y seguridad de informacion, Erik Simbaña
Seguridad de redes y seguridad de informacion, Erik SimbañaSeguridad de redes y seguridad de informacion, Erik Simbaña
Seguridad de redes y seguridad de informacion, Erik SimbañaErikSimbaa
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internetJose Rafael Estrada
 
Seguridad en internet e imagen digital escuela de padres Liceo Frances
Seguridad en internet e imagen digital escuela de padres Liceo FrancesSeguridad en internet e imagen digital escuela de padres Liceo Frances
Seguridad en internet e imagen digital escuela de padres Liceo FrancesRodolfo Salazar
 
Seguridad en Internet
Seguridad en InternetSeguridad en Internet
Seguridad en Interneteduc.ar
 

Más contenido relacionado

La actualidad más candente

Internet seguro
Internet seguroInternet seguro
Internet seguroGerman
 
Unidad 5: Aplicaciones de la criptografía
Unidad 5: Aplicaciones de la criptografíaUnidad 5: Aplicaciones de la criptografía
Unidad 5: Aplicaciones de la criptografíacarmenrico14
 
Actividad 5 infraestructura pk ix
Actividad 5 infraestructura pk ixActividad 5 infraestructura pk ix
Actividad 5 infraestructura pk ixpazminojuancarlos
 
Paso9 100414 66_artículo_científico
Paso9 100414 66_artículo_científicoPaso9 100414 66_artículo_científico
Paso9 100414 66_artículo_científicoWilliamBeltran007
 
Seguridad en la comunicación de datos
Seguridad en la comunicación de datosSeguridad en la comunicación de datos
Seguridad en la comunicación de datosChenLin7
 
Power ser 2
Power ser 2Power ser 2
Power ser 2moriyon
 
Trabajo de internet básico seguridad
Trabajo de internet básico seguridadTrabajo de internet básico seguridad
Trabajo de internet básico seguridadAlex
 
Investigacion seguridad
Investigacion seguridadInvestigacion seguridad
Investigacion seguridadMiguel Angel
 
Instituto tecnologico de zitacuaro investigacion topicos de redes
Instituto tecnologico de zitacuaro investigacion topicos de redesInstituto tecnologico de zitacuaro investigacion topicos de redes
Instituto tecnologico de zitacuaro investigacion topicos de redesTere Ilianid Almazan Martinez
 
Seguridad en redes
Seguridad en redes Seguridad en redes
Seguridad en redes JORGE MONGUI
 
Seguridad de redes y seguridad de informacion, Erik Simbaña
Seguridad de redes y seguridad de informacion, Erik SimbañaSeguridad de redes y seguridad de informacion, Erik Simbaña
Seguridad de redes y seguridad de informacion, Erik SimbañaErikSimbaa
 

La actualidad más candente (19)

Internet seguro
Internet seguroInternet seguro
Internet seguro
 
Unidad 5: Aplicaciones de la criptografía
Unidad 5: Aplicaciones de la criptografíaUnidad 5: Aplicaciones de la criptografía
Unidad 5: Aplicaciones de la criptografía
 
Actividad 5 infraestructura pk ix
Actividad 5 infraestructura pk ixActividad 5 infraestructura pk ix
Actividad 5 infraestructura pk ix
 
Paso9 100414 66_artículo_científico
Paso9 100414 66_artículo_científicoPaso9 100414 66_artículo_científico
Paso9 100414 66_artículo_científico
 
Seguridad en la comunicación de datos
Seguridad en la comunicación de datosSeguridad en la comunicación de datos
Seguridad en la comunicación de datos
 
Comercio elec y seguridad informatica
Comercio elec y seguridad informaticaComercio elec y seguridad informatica
Comercio elec y seguridad informatica
 
Firewall
FirewallFirewall
Firewall
 
U.3 .- Seguridad en redes de comunicación.
U.3 .- Seguridad en redes de comunicación.U.3 .- Seguridad en redes de comunicación.
U.3 .- Seguridad en redes de comunicación.
 
Power ser 2
Power ser 2Power ser 2
Power ser 2
 
Trabajo de internet básico seguridad
Trabajo de internet básico seguridadTrabajo de internet básico seguridad
Trabajo de internet básico seguridad
 
Seguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosSeguridad En Sistemas Distribuidos
Seguridad En Sistemas Distribuidos
 
Firewall
FirewallFirewall
Firewall
 
Investigacion seguridad
Investigacion seguridadInvestigacion seguridad
Investigacion seguridad
 
Instituto tecnologico de zitacuaro investigacion topicos de redes
Instituto tecnologico de zitacuaro investigacion topicos de redesInstituto tecnologico de zitacuaro investigacion topicos de redes
Instituto tecnologico de zitacuaro investigacion topicos de redes
 
Vpn red virtual
Vpn red virtualVpn red virtual
Vpn red virtual
 
Cripto
CriptoCripto
Cripto
 
Trabajo tico
Trabajo ticoTrabajo tico
Trabajo tico
 
Seguridad en redes
Seguridad en redes Seguridad en redes
Seguridad en redes
 
Seguridad de redes y seguridad de informacion, Erik Simbaña
Seguridad de redes y seguridad de informacion, Erik SimbañaSeguridad de redes y seguridad de informacion, Erik Simbaña
Seguridad de redes y seguridad de informacion, Erik Simbaña
 

Destacado

Seguridad en internet e imagen digital escuela de padres Liceo Frances
Seguridad en internet e imagen digital escuela de padres Liceo FrancesSeguridad en internet e imagen digital escuela de padres Liceo Frances
Seguridad en internet e imagen digital escuela de padres Liceo FrancesRodolfo Salazar
 
Seguridad en Internet
Seguridad en InternetSeguridad en Internet
Seguridad en Interneteduc.ar
 
5 lugares en la nuve
5 lugares en la nuve5 lugares en la nuve
5 lugares en la nuveGalo Padron
 
Seguridad informatica dgt
Seguridad informatica dgtSeguridad informatica dgt
Seguridad informatica dgtDavidGtzToca
 
Adición al internet
Adición al internetAdición al internet
Adición al internetdani_san
 
Seguridad y privacidad en sistemas informaticos
Seguridad y privacidad en sistemas informaticosSeguridad y privacidad en sistemas informaticos
Seguridad y privacidad en sistemas informaticosLeonel Ruiz
 
Seguridad i nseguridad_linux
Seguridad i nseguridad_linuxSeguridad i nseguridad_linux
Seguridad i nseguridad_linuxNbsecurity
 
Redes Y Seguridad InformáTica
Redes Y Seguridad InformáTicaRedes Y Seguridad InformáTica
Redes Y Seguridad InformáTicasablaz
 
Seguridad en internet pres
Seguridad en internet presSeguridad en internet pres
Seguridad en internet presMaría Fabrasil
 
Seguridad en internet. Virus, troyanos y otras amenazas y precauciones.
Seguridad en internet. Virus, troyanos y otras amenazas y precauciones.Seguridad en internet. Virus, troyanos y otras amenazas y precauciones.
Seguridad en internet. Virus, troyanos y otras amenazas y precauciones.Fernando Tricas García
 
Cómo instalar y configurar dropbox
Cómo instalar y configurar dropboxCómo instalar y configurar dropbox
Cómo instalar y configurar dropboxRafael Rodriguez
 
Seguridad en las redes
Seguridad en las redesSeguridad en las redes
Seguridad en las redesSantiago Diaz
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internetaechalecu
 
Banca Electronica en México 2013
Banca Electronica en México 2013Banca Electronica en México 2013
Banca Electronica en México 2013Brenda Treviño
 
Tendencias de seguridad en redes
Tendencias de seguridad en redesTendencias de seguridad en redes
Tendencias de seguridad en redesFundación Proydesa
 

Destacado (20)

Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internet
 
Seguridad en internet e imagen digital escuela de padres Liceo Frances
Seguridad en internet e imagen digital escuela de padres Liceo FrancesSeguridad en internet e imagen digital escuela de padres Liceo Frances
Seguridad en internet e imagen digital escuela de padres Liceo Frances
 
Seguridad en Internet
Seguridad en InternetSeguridad en Internet
Seguridad en Internet
 
5 lugares en la nuve
5 lugares en la nuve5 lugares en la nuve
5 lugares en la nuve
 
Seguridad informatica dgt
Seguridad informatica dgtSeguridad informatica dgt
Seguridad informatica dgt
 
Adición al internet
Adición al internetAdición al internet
Adición al internet
 
Seguridad y privacidad en sistemas informaticos
Seguridad y privacidad en sistemas informaticosSeguridad y privacidad en sistemas informaticos
Seguridad y privacidad en sistemas informaticos
 
Internet en el siglo XXI
Internet en el siglo XXIInternet en el siglo XXI
Internet en el siglo XXI
 
Seguridad i nseguridad_linux
Seguridad i nseguridad_linuxSeguridad i nseguridad_linux
Seguridad i nseguridad_linux
 
Redes Y Seguridad InformáTica
Redes Y Seguridad InformáTicaRedes Y Seguridad InformáTica
Redes Y Seguridad InformáTica
 
Seguridad en internet pres
Seguridad en internet presSeguridad en internet pres
Seguridad en internet pres
 
Seguridad en internet. Virus, troyanos y otras amenazas y precauciones.
Seguridad en internet. Virus, troyanos y otras amenazas y precauciones.Seguridad en internet. Virus, troyanos y otras amenazas y precauciones.
Seguridad en internet. Virus, troyanos y otras amenazas y precauciones.
 
T3 - JPA
T3 - JPAT3 - JPA
T3 - JPA
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internet
 
Cómo instalar y configurar dropbox
Cómo instalar y configurar dropboxCómo instalar y configurar dropbox
Cómo instalar y configurar dropbox
 
Seguridad en las redes
Seguridad en las redesSeguridad en las redes
Seguridad en las redes
 
Aplicaciones para trabajar en la nube
Aplicaciones para trabajar en la nubeAplicaciones para trabajar en la nube
Aplicaciones para trabajar en la nube
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internet
 
Banca Electronica en México 2013
Banca Electronica en México 2013Banca Electronica en México 2013
Banca Electronica en México 2013
 
Tendencias de seguridad en redes
Tendencias de seguridad en redesTendencias de seguridad en redes
Tendencias de seguridad en redes
 

Similar a Seguridad en redes: conceptos básicos, autenticación, privacidad y control de acceso

Clase 4. la red que da soporte
Clase 4. la red que da soporteClase 4. la red que da soporte
Clase 4. la red que da soporteGalo Anzules
 
Seguridadn interned
Seguridadn internedSeguridadn interned
Seguridadn internedrenetravez
 
Redes Y Seguridad InfomáTica
Redes Y Seguridad InfomáTicaRedes Y Seguridad InfomáTica
Redes Y Seguridad InfomáTicarogar11
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internetOscar
 
Mecanismos de Seguridad - Seguridad en Redes
Mecanismos de Seguridad - Seguridad en RedesMecanismos de Seguridad - Seguridad en Redes
Mecanismos de Seguridad - Seguridad en RedesLeyda Cordoba Araujo
 
Seguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas DistribuidosSeguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas Distribuidosdianapaolalozano
 
Seguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas DistribuidosSeguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas Distribuidosdianapaolalozano
 
Seguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas DistribuidosSeguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas Distribuidosguest498e8b
 
C:\Documents And Settings\Regis Y Control\Mis Documentos\Seguridad En Un Sist...
C:\Documents And Settings\Regis Y Control\Mis Documentos\Seguridad En Un Sist...C:\Documents And Settings\Regis Y Control\Mis Documentos\Seguridad En Un Sist...
C:\Documents And Settings\Regis Y Control\Mis Documentos\Seguridad En Un Sist...dianapaolalozano
 
Seguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas DistribuidosSeguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas Distribuidosdianapaolalozano
 
Seguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas DistribuidosSeguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas Distribuidosguest498e8b
 
Seguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas DistribuidosSeguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas Distribuidosdianapaolalozano
 
S E G U R I D A D E N U N S I S T E M A S D I S T R I B U I D O S
S E G U R I D A D E N U N S I S T E M A S D I S T R I B U I D O SS E G U R I D A D E N U N S I S T E M A S D I S T R I B U I D O S
S E G U R I D A D E N U N S I S T E M A S D I S T R I B U I D O Sdianapaolalozano
 
Seguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas DistribuidosSeguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas Distribuidosguest498e8b
 
C:\Documents And Settings\Regis Y Control\Mis Documentos\Seguridad En Un Sist...
C:\Documents And Settings\Regis Y Control\Mis Documentos\Seguridad En Un Sist...C:\Documents And Settings\Regis Y Control\Mis Documentos\Seguridad En Un Sist...
C:\Documents And Settings\Regis Y Control\Mis Documentos\Seguridad En Un Sist...guest498e8b
 

Similar a Seguridad en redes: conceptos básicos, autenticación, privacidad y control de acceso (20)

Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la red
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
 
Copia de estructura de trabajo final1 copia
Copia de estructura de trabajo final1 copiaCopia de estructura de trabajo final1 copia
Copia de estructura de trabajo final1 copia
 
Clase 4. la red que da soporte
Clase 4. la red que da soporteClase 4. la red que da soporte
Clase 4. la red que da soporte
 
Seguridadn interned
Seguridadn internedSeguridadn interned
Seguridadn interned
 
Redes Y Seguridad InfomáTica
Redes Y Seguridad InfomáTicaRedes Y Seguridad InfomáTica
Redes Y Seguridad InfomáTica
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internet
 
Mecanismos de Seguridad - Seguridad en Redes
Mecanismos de Seguridad - Seguridad en RedesMecanismos de Seguridad - Seguridad en Redes
Mecanismos de Seguridad - Seguridad en Redes
 
Vpn
VpnVpn
Vpn
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la red
 
Seguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas DistribuidosSeguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas Distribuidos
 
Seguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas DistribuidosSeguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas Distribuidos
 
Seguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas DistribuidosSeguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas Distribuidos
 
C:\Documents And Settings\Regis Y Control\Mis Documentos\Seguridad En Un Sist...
C:\Documents And Settings\Regis Y Control\Mis Documentos\Seguridad En Un Sist...C:\Documents And Settings\Regis Y Control\Mis Documentos\Seguridad En Un Sist...
C:\Documents And Settings\Regis Y Control\Mis Documentos\Seguridad En Un Sist...
 
Seguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas DistribuidosSeguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas Distribuidos
 
Seguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas DistribuidosSeguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas Distribuidos
 
Seguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas DistribuidosSeguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas Distribuidos
 
S E G U R I D A D E N U N S I S T E M A S D I S T R I B U I D O S
S E G U R I D A D E N U N S I S T E M A S D I S T R I B U I D O SS E G U R I D A D E N U N S I S T E M A S D I S T R I B U I D O S
S E G U R I D A D E N U N S I S T E M A S D I S T R I B U I D O S
 
Seguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas DistribuidosSeguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas Distribuidos
 
C:\Documents And Settings\Regis Y Control\Mis Documentos\Seguridad En Un Sist...
C:\Documents And Settings\Regis Y Control\Mis Documentos\Seguridad En Un Sist...C:\Documents And Settings\Regis Y Control\Mis Documentos\Seguridad En Un Sist...
C:\Documents And Settings\Regis Y Control\Mis Documentos\Seguridad En Un Sist...
 

Más de krmn35

Tema 1
Tema 1Tema 1
Tema 1krmn35
 
Emily (3)
Emily (3)Emily (3)
Emily (3)krmn35
 
Los sistemas operativos
Los sistemas operativosLos sistemas operativos
Los sistemas operativoskrmn35
 
Redes locales
Redes localesRedes locales
Redes localeskrmn35
 
Trabajo 2ºtrimestre tic emily lg
Trabajo 2ºtrimestre tic emily lgTrabajo 2ºtrimestre tic emily lg
Trabajo 2ºtrimestre tic emily lgkrmn35
 
Listado de exploradores
Listado de exploradoresListado de exploradores
Listado de exploradoreskrmn35
 
Trabajo 2ºtrimestre tic emily lg
Trabajo 2ºtrimestre tic emily lgTrabajo 2ºtrimestre tic emily lg
Trabajo 2ºtrimestre tic emily lgkrmn35
 
Redes sociales por tematica emily
Redes sociales por tematica emilyRedes sociales por tematica emily
Redes sociales por tematica emilykrmn35
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internetkrmn35
 
Nuria y su primer día de cole
Nuria y su primer día de coleNuria y su primer día de cole
Nuria y su primer día de colekrmn35
 

Más de krmn35 (12)

Tema 1
Tema 1Tema 1
Tema 1
 
Emily (3)
Emily (3)Emily (3)
Emily (3)
 
Los sistemas operativos
Los sistemas operativosLos sistemas operativos
Los sistemas operativos
 
Redes locales
Redes localesRedes locales
Redes locales
 
Trabajo 2ºtrimestre tic emily lg
Trabajo 2ºtrimestre tic emily lgTrabajo 2ºtrimestre tic emily lg
Trabajo 2ºtrimestre tic emily lg
 
Listado de exploradores
Listado de exploradoresListado de exploradores
Listado de exploradores
 
Trabajo 2ºtrimestre tic emily lg
Trabajo 2ºtrimestre tic emily lgTrabajo 2ºtrimestre tic emily lg
Trabajo 2ºtrimestre tic emily lg
 
Redes sociales por tematica emily
Redes sociales por tematica emilyRedes sociales por tematica emily
Redes sociales por tematica emily
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internet
 
Nuria y su primer día de cole
Nuria y su primer día de coleNuria y su primer día de cole
Nuria y su primer día de cole
 
1
11
1
 
10
1010
10
 

Seguridad en redes: conceptos básicos, autenticación, privacidad y control de acceso

  • 1.
  • 2. Como en las cerraduras utilizadas para ayudar a mantener seguras las propiedades, las computadoras y las redes de datos necesitan de ciertas precauciones que ayuden a mantener segura la información. La seguridad en un ambiente de red de redes es importante y difícil de lograr. Es importante pues la información tiene un valor significativo (puede comprarse y venderse o ser utilizada para crear productos y servicios nuevos que proporcionan grandes ganancias).  La seguridad en una red de redes resulta algo difícil debido a que implica entender cuando y como pueden confiar los usuarios participantes, las computadoras, los servicios y las redes, uno en otro, también implica entender los detalles técnicos del hardware y los protocolos de red. Vamos a revisar los conceptos y la terminología básica para implementar servicios de seguridad.
  • 3. Los términos seguridad de red y seguridad de información se refieren en sentido amplio, a la confianza de que la información y los servicios disponibles en una red no puedan ser accedidos por usuarios no autorizados.. Seguridad implica confianza, integridad de los datos, confianza en que los recursos computacionales están libres de intromisiones.  •Proporcionar seguridad para la información requiere protección tanto para los recursos físicos como los lógicos. Los recursos físicos incluyen dispositivos de almacenamiento como cintas y discos así como las computadoras. En un ambiente de red la seguridad física se extiende a los cables ruteadores y puentes que comprenden la infraestructura de la red.
  • 4. •La protección de recursos lógicos como la información es más difícil que la seguridad física, dado que la información puede copiarse conforme pasa a través de una red, la protección debe prevenir también lecturas no autorizadas. •Algo a tener en cuenta es establecer los niveles de utilización tanto para los recursos físicos y mas aun para los recursos lógicos, estos se deben limitar a los usuarios correspondientes y no ser accedidos por personal no relacionado a la información. Por ejemplo información contable solo sea accedida por el departamento de contabilidad.
  • 5. •Antes de que una organización implante un proyecto de seguridad de red, la organización debe asumir riesgos y desarrollar una política clara, considerando los accesos de información y protección.  •Las políticas necesitan especificar quienes tendrán garantizado el acceso a cada parte de la información deben establecerse las reglas individuales a seguir, se debe difundir la información hacia todo el conjunto y establecer las formas en la que la organización reaccionara antes las transgresiones.  •Los empleados no deben ignorar esta política ya que las personas son por lo general el punto más susceptible de cualquier esquema de seguridad. Un trabajador descuidado o ignorante de las políticas de información de la organización puede comprometer la seguridad.
  • 6. •Las organizaciones normalmente tienen contactos con organizaciones externas cuando sucede esto la ultima disposición de la información depende de las políticas de las organizaciones por los cuales pasara la información. •Una organización no puede conocer el efecto de comunicarse e interactuar con otras a menos que las dos organizaciones acuerden un nivel de confianza reciproco. •Este problema se agudiza ya que la información viaja a través de la red que pasa a través de puentes y ruteadores, de organizaciones que no son parte ni del emisor ni del receptor.
  • 7.  Los problemas de seguridad en las red y los mecanismos de software que ayudan a que la comunicación en la red de redes sea segura, se pueden dividir en términos generales en tres conjuntos. 1.El primer conjunto se enfoca en los problemas de autorización, autenticación e integridad. 2.El segundo se enfoca al problema de la privacidad 3.y el tercero al problema de la disponibilidad mediante el control de acceso.
  • 8. Los mecanismos de autenticación resuelven el problema de verificar la identificación, es el caso por ejemplo de muchos servidores los cuales verifican que el cliente este autorizado antes de prestar algún servicio.
  • 9. Una forma débil de autentificación por dirección IP donde , un administrador configura una lista de configuraciones IP validas. El servidor se basa en esta lista para brindar servicios a los clientes. La autenticación de fuente IP es débil porque se puede romper fácilmente. En una red de redes en la que los datagramas pasan a través de ruteadores y redes intermedias, la autenticación de fuente puede ser atacada desde una de las maquinas intermedias. Por ejemplo supongamos que un impostar logra controlar un ruteador R que esta localizado entre un cliente valido y el servidor, el impostor altera las rutas en R dirigiendo el tráfico hacia su computador y que siga su trayecto original, de este modo ni el servidor ni el cliente detectaran al intruso.  •También se puede dar la forma inversa dado que un impostor puede interceptar el tráfico que va desde el cliente al servidor.
  • 10.
  • 11. •Para solucionar este problema se trata de proporcionar un servicio confiable que consiste en un sistema de cifrado de clave pública. Para poder utilizar este sistema a cada participante se le debe asignar dos claves que son utilizadas para codificar y descodificar un mensaje. Cada clave es un entero largo. Un participante publica una clave, llamada clave publica, en una base de datos publica y conserva la otra clave en secreto. Un mensaje se codifica mediante una clave que se puede decodificar utilizando la otra. Por ejemplo si un emisor emplea una clave secreta para codificar un mensaje, un receptor puede utilizar la clave pública del emisor para decodificar el mismo.  Además conocer la clave pública no hace más fácil adivinar o calcular la clave secreta. Así si un mensaje se decodifica de manera correcta por medio de la clave publica de un propietario, debe codificarse por medio de la clave privada del propietario. Un cliente y un servidor que utilicen este servicio pueden estar razonablemente seguros de que su interlocutor es autentico.
  • 12.  Elcifrado también puede manejar problemas de privacidad. Por ejemplo, si un emisor y un receptor utilizan un esquema de cifrado de clave publica, el emisor puede garantizar que solo el receptor involucrado pueda leer el mensaje. Para ello el emisor utiliza la clave pública del receptor para codificar el mensaje y el receptor su clave privada para decodificar el mensaje. Dado que el receptor es el único que tiene la clave privada nadie mas podrá descodificar el mensaje.
  • 13. Los mecanismos que controlan el acceso a la red de redes manejan el problema de filtrado hacia una organización o red en particular de las comunicaciones no previstas. Estos mecanismos pueden ayudar a prevenir a la organización sobre la obtención de información con respecto al exterior, el cambio de información o la interrupción de comunicaciones en la red de redes por lo general requieren cambios en componentes básicos de la infraestructura de la red de redes. En particular, un exitoso control de acceso requiere de una combinación cuidados de restricciones en la topología de red, en el almacenamiento intermedio de la información y en el filtrado de paquetes.  Una sola técnica ha emergido como la base para el control de acceso a la red de redes. La técnica se instala un bloque conocido como muro de seguridad (firewall) en la entrada hacia la parte de la red de redes que será protegida. Por ejemplo, una organización puede colocar u muro de seguridad en su conexión de la red global de Internet para protegerse de intromisiones indeseables. Un muro de seguridad divide una red de redes en dos regiones, conocidas como el interior y el exterior
  • 14. Aun cuando la imagen conceptual parece sencilla, los detalles de implementación son complicados. En particular la red de redes de una organización puede tener varias conexiones externas. Por ejemplo, si una compañía tiene una columna vertebral de red de área amplia corporativa que conecta a las localidades de la corporación en varias ciudades o países, el administrador de red en una localidad determinada, puede elegir conectar la localidad directamente a un local de negocios o una universidad. Las conexiones externas múltiples plantean un problema de seguridad especial. La organización debe formar un perímetro de seguridad instalando un muro de seguridad en cada conexión externa. Algo muy importante para garantizar que este perímetro es efectivo, la organización debe coordinar todos los muros de seguridad para que utilicen exactamente las mismas restricciones de accesos. De otra manera, podría ser posible evadir las restricciones impuestas a un muro de seguridad entrando en la red de redes de la organización a través de otro.  Alguien que intente atacar a la red lo hará por su punto mas débil, es decir por el muro de seguridad que no este bien cuidado. Esto hace referencia a la idea de que un sistema de seguridad es tan fuerte como su eslabón más débil, conocido como el axioma del eslabón más débil.  Coordinar múltiples muros de seguridad puede resultar difícil, ya que las restricciones que se tendrán en una localidad pueden no parecer importantes en otras, por esto los responsables de los muros de seguridad de la red de redes deben coordinar sus esfuerzos cuidadosamente.
  • 15. ¿Cómo debe implantarse un muro de seguridad? En teoría, un muro de seguridad sencillamente bloquea todas las comunicaciones no autorizadas entre computadoras en la organización y computadoras de organizaciones externas. No existe una solución que funcione para todas las organizaciones; construir un muro de seguridad a la medida y efectivo puede ser muy difícil.  Una de las dificultades en la construcción de un muro de seguridad consiste en el poder de procesamiento que se requiere. Este necesita el suficiente poder computacional para examinar todos los mensajes que entran y salen. Dado que es necesario examinar cada datagrama de viaja entre la red interna y externa, el muro de seguridad de la organización debe manejar los datagramas a la misma velocidad que la conexión. Además, si un muro de seguridad retarda los datagramas en un búfer mientras decide si permite la transferencia, el muro de seguridad puede verse abrumado con las retrasmisiones y el búfer se estancará.
  • 16.  ##Establecemos politicapor defecto: DROPiptables-P INPUT DROPiptables-P OUTPUT DROPiptables-P FORWARD DROP## Empezamos a filtrar? no! empezamos a abrir! porque ahora esta TODO denegado.## Debemos decir de manera explicita qué es lo que queremos abrir
  • 17. En el ejemplo, el administrador ha elegido bloquear datagramas entrantes destinados a unos cuantos servicios conocidos y bloquear un caso de datagrama que salen. El filtro bloquea todos los datagramas que salen y que se originan desde cualqeuir anfitrion en la red de clase B 128.5.0.0 está destinado a un servidor de correo electronico remoto (TCP 25). El filtro tambien bloquea datagramas entrantes destinados a FTP (TCP 21) TELNET ( TCP 23) WHOIS (UDP 41) TFTP (UDP 69) o FINGER (TCP 79)  LLEGADA A LA INTERFAZ FUENTE IP DESTINO IP PROTOCOLO PUERTO FUENTE PUERTO DESTINO  2 * ^* TCP * 21  2 * * TCP * 23  1 128.5.*.** TCP * 25  2 * * UDP * 43  2 * * UDP * 69  2 * * TCP * 79
  • 18. Un programa de control de puertos sí puede ser una tontería cuando ya usas un routermultipuesto, puesto que ambos te permiten controlar cuáles puertos han de ser utilizados y cuales otros puertos deben estar bloqueados.  •Pero un cortafuegos va bastante más allá. Un buen cortafuegos también te permitirá controlar las comunicaciones por programas y por protocolos. Por ejemplo, es muy distinto que por el puerto 25 trate de pasar una transmisión SMTP (correo-e) o una transmisión FTP (transferencia de archivos, que normalmente debería ir por el puerto 20/21); por ejemplo, es muy distinto que el puerto 80 (normalmente utilizado para transmitir páginas web) sea utilizado por el navegador o por otro programa (¿un virus o un troyano?). Un routernunca va a controlar estas posibles situaciones irregulares, que esconden bastante peligro potencial.
  • 19. Para hacer efectivo un muro de seguridad que se vale del filtrado de datagramas debe restringirse el acceso de todas las fuentes IP, destino IP, protocolos y puertos de protocolos a excepción de las computadoras, redes y servicios que la organización decida explícitamente poner a disposición del exterior. Un filtro de paquetes que permite a un administrador especificar que datagramas admitir en lugar de que datagrama bloquear, puede hacer que las restricciones sean mas fáciles de especificar.
  • 20.  Engeneral, una organización puede proporcionar solo acceso seguro hacia servicios del exterior a través de una computadora segura. En lugar de hacer que todas las computadoras del sistema en la organización sea seguras (una tarea desalentadora), una organización por lo general asocia una computadora segura con cada muro de seguridad. Debido a que una computadora debe fortificarse poderosamente para servir como un canal de comunicación seguro, a menudo se le conoce como anfitrión baluarte (bastionhost).
  • 21. Para permitir un acceso seguro, el muro de seguridad tiene barreras conceptuales. La barra exterior bloquea todo el trafico entrante (1) a datagramas destinados a servicios en el anfitrión baluarte que la organización elige para mantener disponibles al exterior y (2) a datagramas destinados a clientes en el anfitrión baluarte. La barrera de entrada bloquea el trafico entrante excepto datagramas que se originan en el anfitrión baluarte. La mayor parte de los muros de seguridad también incluye una derivación manual que habilita al administrador para derivar temporalmente todo el trafico, o parte de el, entre un anfitrión dentro de la organización y un anfitrión fuera de la organización. En general, las organizaciones que desean una seguridad máxima, nunca habilitan una derivación.  Aun cuando un anfitrión baluarte es esencial para la comunicación a través de un muro de seguridad, la seguridad de dicho muro depende la seguridad en el anfitrión baluarte. Un intruso que abra una grieta en la seguridad en el sistema operativo del anfitrión baluarte puede lograr el acceso del anfitrión dentro del muro de seguridad.
  • 22. Para evitar las debilidades asociadas al filtrado de paquetes, los desarrolladores crearon software de aplicación encargados de filtrar las conexiones. Estas aplicaciones son conocidas como Servidores Proxy y la máquina donde se ejecuta recibe el nombre de Gateway de Aplicación o BastionHost. El Proxy, instalado sobre el Nodo Bastión, actúa de intermediario entre el cliente y el servidor real de la aplicación, siendo transparente a ambas partes.  •Cuando un usuario desea un servicio, lo hace a través del Proxy. Este, realiza el pedido al servidor real devuelve los resultados al cliente. Su función fue la de analizar el tráfico de red en busca de contenido que viole la seguridad de la misma.
  • 23. El monitoreo es uno de los aspectos mas mas importantes en el diseño de un muro de seguridad. El administrador de red responsable de un muro de seguridad necesita estar consiente de los riesgos en la seguridad. A menos que se cuente con un reporte de incidentes en un muro de seguridad, el administrador podría no darse cuenta de los problemas que se presenta.  •El monitoreo puede ser activo o pasivo. En el monitoreo activo, un muro de seguridad notifica al administrador todos los incidentes que se presentan. La mayor ventaja del monitoreo activo es la velocidad, un administrador puede tener conocimiento de problemas potenciales de inmediato. La mayor desventaja es que en el monitoreo activo frecuentemente se produce mucha información que un administrador puede no comprender o puede no encontrar en tal información ningún indicio de problemas. Así, la mayoría de los administradores prefieren un monitoreo pasivo con una combinación de monitoreo pasivo con el reporte de unos cuantos incidentes de alto riesgo en lugar de monitoreo activo.
  • 24. En el monitoreo pasivo, un muro de seguridad lleva un registro de cada incidente en un archivo en disco. Un monitoreo pasivo por lo general registra la información del trafico normal ( es decir, como una simple estadística) y los datagramas que se filtran. Un administrador puede ingresar a la bitácora en cualquier momento. La mayor ventaja del monitoreo pasivo radica en que elabora registros de eventos.  Un administrador puede consultar la bitácora para observar las tendencias y, cuando se presente un problema de seguridad, revisar la historia de eventos que conducen a un problema dado. Algo muy importante, un administrador puede analizar la bitácora periódicamente para determinar si los intentos por acceder a la organización se han incrementado o han decrecido con el tiempo.
  • 25.
  • 26.
  • 27.
  • 28. Introducción:  La evolución de la tecnología TCP/IP está vinculada a la evolución de Internet por varias razones  En primer lugar, Internet es la red de redes del TCP/IP instalada más extensa,  En segundo lugar, los investigadores e ingenieros fundadores del TCP/IP tienden a fundar proyectos que le impactan a Internet.  En tercer lugar, la mayoría de los investigadores. participantes en el TCP/IP tienen conexiones con Internet y la utilizan diariamente.  Así pues, tienen una motivación inmediata para resolver problemas que mejorarán el servicio y ampliarán su funcionalidad.
  • 29.  La versión 4 del protocolo de Internet (IPv4) proporciona los mecanismos de comunicación básicos del conjunto TCP/IP y la red global Internet; se ha mantenido casi sin cambio desde su inserción a fines de los años setenta. La antigüedad de la versión 4 muestra que el diseño es flexible y poderoso.  Hubo desempeño en cuanto a:  •Procesadores  •Tamaño de las memorias  •El ancho de banda de la columna vertebral de la red Internet se ha incrementado  •Las tecnologías LAN
  • 30. De manera simultanea el IP se ha adaptado a los cambios de la tecnologías.  A pesar de su diseño, el IPv4 también debe ser reemplazado.  Las principales motivaciones para actualizar el IP:  •El inminente agotamiento del espacio de direcciones.  •Muchas corporaciones de tamaño mediano tienen varias LAN  •Varias de las grandes corporaciones cuentan con una WAN corporativa  En consecuencia, el espacio de direcciones IP  que se usa actualmente no puede adaptarse al crecimiento proyectado de la red global de Internet.  •IPv4 soporta 232, es decir, 4.294.967.296 direcciones de red diferentes, un número que se está tornando corto dado los numerosos dispositivos con conexión a la red de redes.  •Por el contrario, IPv6 soporta 2128, es decir, 340.282.366.920.938.463.463.374.607.431.768.211.456 o, lo que es lo mismo, 340 sextillonesde direcciones.
  • 31. Aun cuando la necesidad de un espacio de direcciones extenso está forzando un cambio inmediato en el IP, hay otros factores que también contribuyen. En particular, gran parte de éstos se refieren al soporte de nuevas aplicaciones. Por ejemplo, debido a que el audio y el video en tiempo real necesitan determinadas garantías en los retardos, una nueva versión del IP debe proporcionar un mecanismo que haga posible asociar un datagrama con una reservación de fuente pre asignada.
  • 32. Formalmente, se ha decidido que a la próxima versión del IP se le asigne el número de versión 6. Así, para distinguido de la versión actual del IP (IPv4), la próxima generación se llamará IPv6. En el pasado, el término IPngha sido utilizado en un contexto amplio para referirse a todas discusiones y propuestas para una próxima versión del IP, mientras que el término IPv6 se ha utilizado para referirse a una propuesta específica.
  • 33. Direcciones más largas:El IPv6 cuadruplica el tamaño de las, direcciones del IPv4, va de 32 bits a 128 bits.  •Formato de encabezados flexible: El IPv6 utiliza un formato de datagrama incompatible y completamente nuevo.  •Opciones mejoradas: Como el IPv4, el IPv6 permite que un datagrama incluya información de control opcional.  •Soporte para asignación de recursos:El IPv6 reemplaza la especificación del tipo de servicio del IPv4 con un mecanismo que permite la pre asignación de recursos de red.  •Provisión para extensión de protocolo:Posiblemente el cambio más significativo en el IPv6 es el cambio de un protocolo que especifica completamente todos los detalles a un protocolo que puede permitir características adicionales.
  • 34. La representación de las direcciones IPv6 sigue el siguiente esquema:  x:x:x:x:x:x:x:x  donde “x” es un valor hexadecimal de 16 bits.  Por ejemplo una dirección IPv6 sería:  FEDC:BA98:7654:3210:FEDC:BA98:7654:3210  Hay que tener en cuenta que se pueden omitir los ceros a la izquierda de cada campo de la dirección, por ejemplo:  1080:0:0:0:8:800:200C:417A  Cuando hay más de dos grupos consecutivos de ceros se pueden comprimirse con “::”  1080::8:800:200C:417A  Si la dirección tiene más de una serie de grupos nulos consecutivos la compresión sólo se permite en uno de ellos.  La dirección de auto-retorno o localhostsería ::1
  • 35.  Figura:Forma general de un datagrama IPv6 con varios encabezados. Sólo el encabezado base es indispensable, los encabezados de extensión son opcionales.Cada datagrama IPv6 comienza con un encabezado base octetos que incluye campos para las direcciones de fuente destino, el límite máximo de saltos, la etiqueta de flujo y el próximo encabezado. Así, un datagrama IPv6 debe contener cuando menos 40 octetos además de los datos.
  • 36.  Encabezados de extensión del IPv6  El paradigma de un encabezado base fijo seguido por un conjunto de encabezados de extensión opcionales se eligió como un compromiso entre la generalidad y la eficiencia. Para ser totalmente general, el IPv6 necesita incluir mecanismos para soportar funciones como la fragmentación, el ruteo de fuente y la autenticación. Sin embargo, elegir la asignación de campos fijos en el encabezado de datagrama para todos los mecanismos es ineficiente pues la mayor parte de los datagramas no utiliza todos los, mecanismos. El gran tamaño de las direcciones IPv6 aumenta la ineficiencia.
  • 37. Como el IPv4, el IPv6 prepara el destino final para realizar el reensamblajede datagramas. Sin embargo, los diseñadores tomaron una decisión poco usual respecto a la fragmentación. Recordemos que el IPv4 requiere un ruteadorintermedio para fragmentar cualquier datagrama que sea demasiado largo para la MTU (MaximumTransfer Unit) de la red en la que viaja. En el IPv6, la fragmentación está restringida a la fuente original. Antes de enviar tráfico de información, una fuente debe realizar una técnica de PathMTU Discovery(descubrir la MTU de la ruta) para identificar la MTU mínima a lo largo de la trayectoria hasta el destino. Antes de enviar un datagrama, la fuente fragmenta el datagrama de manera que cada fragmento sea menor que el PathMTU. Así, la fragmentación es de extremo a extremo; no son necesarias fragmentaciones adicionales en ruteadoresintermedios.
  • 38. El IPv6 conserva la capacidad de un emisor para especificar una ruta fuente. A diferencia del IPv4, en el que el ruteo de fuente se proporciona mediante opciones, el IPv6 utiliza un encabezado de extensión separado.
  • 39. Como el IPv4, el IPv6 asocia una dirección con una conexión de red específica, no con una computadora específica. Así, la asignación de direcciones es similar para el IPv4: un ruteadorIPv6 tiene dos o más direcciones, y un anfitrión IPv6, con una conexión de red, necesita sólo una dirección. El IPv6 también conserva (y extiende) la jerarquía de direcciones del IPv4 en la que una red física es asignada a un prefijo. Sin embargo, para hacer la asignación de direcciones y la modificación más fácil, el IPv6 permite que varios prefijos sean asignados a una red dada y que una computadora tenga varias direcciones simultáneas asignadas hacia una interfaz determinada.
  • 40. Además de permitir varias direcciones simultáneas por conexión de red, el IPv6 expande y, en algunos casos, unifica las direcciones especiales del IPv4. En general, una dirección de destino en un datagrama cae dentro de una de tres categorías:  UnidifusiónLa dirección de destino especifica una sola computadora (anfitrión o ruteador); el datagrama deberá rutearsehacia el destino a lo largo de la trayectoria más corta. (como la IPv4)  Grupo El destino es un conjunto de computadoras en el que todas comparten un solo prefijo de dirección (por ejemplo, si están conectadas a la misma red física); el datagrama deberá rutearsehacia el grupo a través de la trayectoria más corta y, después, entregarse exactamente a un miembro del grupo (por ejemplo, el miembro más cercano).  MultidifusiónEl destino es un conjunto de computadoras, posiblemente en múltiples localidades. Una copia del datagrama deberá entregarse a cada miembro del grupo que emplee hardware de multidifusión o de difusión si están disponibles
  • 41. La cuestión sobre cómo dividir el espacio de direcciones ha generado muchas discusiones. Hay dos temas centrales: cómo administrar la asignación de direcciones y cómo transformar una dirección en una ruta.  •El primer temase enfoca en el problema práctico de construir una jerarquía de autoridad.  •A diferencia de la Internet actual, la cual utiliza una jerarquía de dos niveles de prefijos de red (asignados por la autoridad de Internet) y sufijos de anfitrión (asignados por la organización), el gran espacio de direcciones en el IPv6 permite una jerarquía de multiniveles o jerarquías múltiples.  •El segundo temase enfoca en la eficiencia computacional. Independientemente de la jerarquía de autoridad que asigne direcciones, un ruteadordebe examinar cada datagrama y elegir una trayectoria hacia el destino. Para mantener bajo el costo de los ruteadoresde alta velocidad, el tiempo de procesamiento requerido para elegir una trayectoria debe mantenerse bajo.  •Como se muestra en la siguiente figura, los diseñadores del IPv6 proponen asignar clases de direcciones en forma similar al esquema utilizado por el IPv4. Aun cuando los ocho primeros bits de una dirección son suficientes para especificar su tipo, el espacio de direcciones no se divide en secciones de igual tamaño
  • 42. Observe de la figura anterior que alrededor del 72% del espacio de direcciones ha sido reservado para usos futuros, no incluyendo la sección reservada para direcciones geográficas. Aun cuando el prefijo 0000 0000 tiene el nombre reservado en la figura, los diseñadores planean usar una pequeña fracción de direcciones en esta sección para codificar direcciones IPv4.  En particular, cualquier dirección que comience con 80 bits puestos a cero, seguidos por 16 bits puestos a 1 o 16 bits puestos todos a cero, contiene una dirección IPv4 en los 32 bits de orden inferior. La codificación será necesaria durante la transición del IPv4 al IPv6 por dos razones:  1.una computadora puede elegir actualizar su software de IPv4 como IPv6 antes de tener asignada una dirección IPv6 válida.  2.una computadora que corra software IPv6 puede necesitar comunicarse con una computadora que corra sólo software IPv4.
  • 43. Teniendo una forma de codificar una dirección IPv4 en una dirección IPv6 no se resuelve el problema de lograr que las dos versiones interoperen. Además de la codificación de direcciones, es necesaria la traducción. Para utilizar un traductor, una computadora IPv6 genera un datagrama que contiene la codificación IPv6 de la dirección de destino IPv4. La computadora IPv6 envía el datagrama hacia un traductor, el cual utiliza IPv4 para comunicarse con el destino. Cuando el traductor recibe una réplica desde el destino, traduce el datagrama IPv4 a IPv6 y lo envía de regreso a la fuente IPv6.
  • 44. Parecería como si el protocolo de traducción de direcciones fallara debido a que las capas superiores de los protocolos verifican la integridad de las direcciones. En particular, el TCP y el UDP utilizan un pseudoencabezado en su cálculo para la suma de verificación. El pseudoencabezado incluye la dirección del protocolo de la fuente y el destino, cambiar estas direcciones puede afectar el cálculo. Sin embargo los diseñadores planearon cuidadosamente que el TCP o el UDP en una máquina IPv4 se pudieran comunicar con el correspondiente protocolo de transporte en una máquina IPv6.  •Para evitar errores en la suma de verificación, la codificación IPv6 de una dirección IPv4 ha sido elegida de manera que el complemento a uno de los 16 bits de la suma de verificación para una dirección IPv4 y la codificación IPv6 de la dirección sean idénticos.
  • 45.  Además de seleccionar detalles técnicos de un nuevo protocolo de Internet, el IETF que trabaja en el IPngse ha enfocado en encontrar una forma de transición del protocolo actual al protocolo nuevo.  En particular, la propuesta actual para el IPv6 permite codificar una dirección IPv4 en lugar de una dirección IPv6, de manera que la traducción de la dirección no cambie la suma de la verificación del pseudo encabezado.
  • 46. Un ejemplo ayudará a entender cómo concibieron los diseñadores el uso de las direcciones IPv6. Consideremos la compañía Network Access Provider(NAP). Dicha compañía ofrece a sus clientes conectividad hacia Internet, a tales clientes los llamaremos suscriptores. Para permitir que cada proveedor asigne direcciones, la autoridad de Internet asigna a cada proveedor un identificador único. El proveedor puede entonces asignar a cada suscriptor un identificador único y utilizar ambos identificadores cuando asigne un bloque de direcciones.  •Como se muestra en la figura superior , cada prefijo sucesivamente más largo tiene un nombre. La cadena inicial 010 identifica la dirección como el tipo de asignación del proveedor. Para cada dirección, el prefijo de proveedor incluye el tipo de dirección más el ID del proveedor. El prefijo de suscriptor cubre el prefijo del proveedor más el ID del suscriptor. Por último, el prefijo de subred incluye el prefijo de suscriptor más la información de subred.  •Los campos en la figura están dibujados a escala. Por ejemplo, aun cuando los prefijos de direcciones parecen grandes en la figura, ocupan sólo tres de 128 bits. Los diseñadores recomiendan que el campo ID del nodo contenga por lo menos 48 bits para permitir que se utilice el direccionamiento de tipo 802 de IEEE. Así, será posible para un nodo IPv6 usar su dirección Ethernet como su ID de nodo.
  • 47. Aunque el formato de direcciones mostrado arriba implica una jerarquía de cuatro niveles, una organización puede introducir niveles adicionales dividiendo el campo SubnetID en varios campos. •Por ejemplo, una organización puede elegir subdividir su subred en áreas y asignar subredes dentro de las áreas. Hacer esto es similar al esquema de direccionamiento de subred del IPv4, en el que la porción del anfitrión de una dirección es dividida en dos partes. El amplio espacio de direccionamiento del IPv6 permite la división en muchas partes
  • 48. Ni la red global Internet ni los protocolos TCP/IP son estáticos. A través de su Engineering Task Forcé, la Internet Architecture Board se mantiene activa y realiza esfuerzos que hacen que la tecnología evolucione y mejore. Los procesos que conducen al cambio se manifiestan como un incremento en el tamaño y en la carga que obliga a mejorar los recursos para mantener el servicio, como aplicaciones nuevas que demandan más de la tecnología subyacente y como tecnologías nuevas que hacen posible proporcionar nuevos servicios.  •Un esfuezo para definir la próxima generación de protocolo de Internet (IPng) ha generado una gran polémica y varias propuestas. Ha surgido un acuerdo de IETF para adoptar una propuesta conocida como Simple IP Plus como estándar para el IPng. Debido que se deberá asignar el número de versión 6, el protocolo propuesto se conoce a menudo como IPv6 para distinguirlo del protocolo actual, IPv4.  •El IPv6 conserva muchos de los conceptos básicos del IPv4, pero cambia la mayor parte de los detalles. Como el IPv4, el IPv6 proporciona un servicio de entrega de datagramas sin conexión, con el mejor esfuerzo. Sin embargo el formato del datagrama IPv6 es completamente diferente del formato IPv4, y el IPv6 proporciona características nuevas como la autenticación, un mecanismo para flujos controlados de datagramas y soporte para seguridad.
  • 49. •El IPv6 revisa cada datagrama como una serie de encabezados seguidos por datos. Un data-grama siempre comienza con un encabezado base de 40 octetos, el cual contiene la dirección de fuente y destino y un identificador de flujo. El encabezado base puede estar seguido de ceros o por más encabezados de extensión, seguidos por datos. Los encabezados de extensión son opcionales —el IPv6 los utiliza para manejar gran parte de la información que el IPv4 codifica en opciones.  •Una dirección IPv6 tiene una longitud de 128 bits, lo que hace que el espacio de dirección sea tan largo que cada persona en el planeta podría tener una red de redes tan extensa como la Internet actual. El IPv6 divide las direcciones en tipos en forma análoga a como el IPv4 las divide en clases. Un prefijo de la dirección determina la localización y la interpretación de los campos de dirección restantes. Muchas direcciones IPv6 serán asignadas por proveedores de servicio de red autorizados, dichas direcciones tienen campos que contienen un ID de proveedor, un ID de suscriptor, un ID de subred y un ID de nodo