La NAT o Network Address Translation surgió para hacer frente a la escasez de direcciones IP, permitiendo que varias máquinas de una red privada compartan una única dirección IP pública. Existen diferentes tipos de NAT como estática, dinámica y sobrecarga (PAT), siendo esta última la más común en hogares. El protocolo DHCP permite asignar direcciones IP de forma automática a dispositivos de una red.
1. NAT
Internet en sus inicios no fue pensado para ser una red tan extensa, por ese motivo se reservaron “sólo” 32 bits para
direcciones, el equivalente a 4.294.967.296 direcciones únicas, pero el hecho es que el número de máquinas conectadas
a Internet aumentó exponencialmente y las direcciones IP se agotaban. Por ello surgió la NAT o Network Address
Translation.
La idea es sencilla, hacer que redes de ordenadores utilicen un rango de direcciones especiales (IPs privadas) y se conecten
a Internet usando una única dirección IP (IP pública). Gracias a este “parche”, las grandes empresas sólo utilizarían una
dirección IP y no tantas como máquinas hubiese en dicha empresa. También se utiliza para conectar redes domésticas a
Internet.
En la NAT existen varios tipos de funcionamiento:
Estática
Una dirección IP privada se traduce siempre en una misma dirección IP pública. Este modo de funcionamiento permitiría
a un host dentro de la red ser visible desde Internet.
Dinámica
El router tiene asignadas varias direcciones IP públicas, de modo que cada dirección IP privada se mapea usando una de
las direcciones IP públicas que el router tiene asignadas, de modo que a cada dirección IP privada le corresponde al menos
una dirección IP pública.
Cada vez que un host requiera una conexión a Internet, el router le asignará una dirección IP pública que no esté siendo
utilizada. En esta ocasión se aumenta la seguridad ya que dificulta que un host externo ingrese a la red ya que las
direcciones IP públicas van cambiando.
Sobrecarga
La NAT con sobrecarga o PAT (Port Address Translation) es el más común de todos los tipos, ya que es el utilizado en los
hogares. Se pueden mapear múltiples direcciones IP privadas a través de una dirección IP pública, con lo que evitamos
contratar más de una dirección IP pública. Además del ahorro económico, también se ahorran direcciones IPv4, ya que
aunque la subred tenga muchas máquinas, todas salen a Internet a través de una misma dirección IP pública.
Para poder hacer esto el router hace uso de los puertos. En los protocolos TCP y UDP se disponen de 65.536 puertos para
establecer conexiones. De modo que cuando una máquina quiere establecer una conexión, el router guarda su IP privada
2. y el puerto de origen y los asocia a la IP pública y un puerto al azar. Cuando llega información a este puerto elegido al azar,
el router comprueba la tabla y lo reenvía a la IP privada y puerto que correspondan.
Solapamiento
Cuando una dirección IP privada de una red es una dirección IP pública en uso, el router se encarga de reemplazar dicha
dirección IP por otra para evitar el conflicto de direcciones.
Dynamic Host Configuration Protocol DHCP
Es un protocolo de red que permite a los clientes de una red IP obtener sus parámetros de configuración
automáticamente. Se trata de un protocolo de tipo cliente/servidor en el que generalmente un servidor posee una
lista de direcciones IP dinámicas y las va asignando a los clientes conforme éstas van quedando libres, sabiendo en
todo momento quién ha estado en posesión de esa IP, cuánto tiempo la ha tenido y a quién se la ha asignado
después.
Asignación IP
Cada dirección IP debe configurarse manualmente en cada dispositivo y, si el dispositivo se mueve a otra subred, se debe
configurar otra dirección IP diferente. El DHCP le permite al administrador supervisar y distribuir de forma centralizada las
direcciones IP necesarias y, automáticamente, asignar y enviar una nueva IP si fuera el caso en el dispositivo es conectado
en un lugar diferente de la red.
El protocolo DHCP incluye tres métodos de asignación de direcciones IP:
Asignación manual o estática: Asigna una dirección IP a una máquina determinada. Se suele utilizar cuando se
quiere controlar la asignación de dirección IP a cada cliente, y evitar, también, que se conecten clientes no
identificados.
Asignación automática: Asigna una dirección IP a una máquina cliente la primera vez que hace la solicitud al
servidor DHCP y hasta que el cliente la libera. Se suele utilizar cuando el número de clientes no varía demasiado.
Asignación dinámica: el único método que permite la reutilización dinámica de las direcciones IP. El administrador
de la red determina un rango de direcciones IP y cada dispositivo conectado a la red está configurado para solicitar
su dirección IP al servidor cuando la tarjeta de interfaz de red se inicializa. El procedimiento usa un concepto muy
simple en un intervalo de tiempo controlable. Esto facilita la instalación de nuevas máquinas clientes.
3. Protocolo de autenticación Kerberos-5
Uno de los problemas principales en una LAN es el de reconocer (autenticación) con certeza, los usuarios que deseen acceder a
los servicios ofrecidos: locales y remotos inicios de sesión en los servidores Unix o estaciones de trabajo Windows, el acceso a
servidores de IMAP o POP3 para consultar el correo electrónico, son sólo algunos ejemplos en los que debe ser el usuario
autenticado antes de acceder. Por otro lado, incluso los servidores que ofrecen estos servicios deberán acreditar su identidad a
los usuarios: en efecto, sería inoportuno si un servidor falso, entró en una LAN por un intruso, estolas secretos de los usuarios
desconocen creyendo que habían accedido al servicio legítimo.
Para resolver estos problemas, Zeroshell utiliza el protocolo de autenticación mutuo Kerberos 5 (RFC1510). Es un protocolo
robusto y cada vez más generalizada, que a través de la utilización de tickets y autenticadores, es capaz de proporcionar al
usuario acceso autenticado a los servicios y para garantizar la autenticidad de la misma.
Gracias a la utilización de Kerberos 5, Zeroshell puede establecer relaciones de confianza (cross-authentication) con otros realms
(esto es lo que los dominios de autenticación de Kerberos 5 se llaman) y permitir a los usuarios en un dominio para acceder a
los recursos y servicios de otro dominio. En particular, el uso de Kerberos 5 por Microsoft como el sistema de autenticación
principal en Active Directory, hace que sea posible iniciar las relaciones de confianza entre los dominios gestionados por
dominios Zeroshell y Windows (desde Windows 2000 en adelante): así uno puede obtener una completa integración entre el
los entornos Unix y Windows, ya que los usuarios pueden tener acceso a los servicios de Unix y Windows indistintamente con
una sola cuenta de Kerberos.
Otra ventaja de usar Kerberos 5 es el Single Sign-On (SSO): el usuario introduce las credenciales (usuario/contraseña) sólo una
vez por sesión de trabajo mediante la obtención de un ticket que permite el acceso a los diferentes servicios de manera
transparente y sin tener que volver a autenticarse.
Hyper-V
Microsoft Hyper-V es un programa de virtualización basado en un hipervisor para los sistemas de 64-bits con los
procesadores basados en AMD-V o Tecnología de virtualización Intel (el instrumental de gestión también se puede instalar
en sistemas x86). Una versión beta de Hyper-V se incluyó en el Windows Server 2008 y la versión definitiva se publicó el 26
de junio de 2008.
La versión actual de Hyper-V, incluida en Windows Server 2008 R2 como rol de servidor, agregó mejoras y nuevas
funcionalidades como Live Migration, almacenamiento en máquinas virtuales dinámicas, y compatibilidad mejorada con
procesadores y redes