REDES DE COMPUTADORAS IC-601 INTEGRANTES Aguilar Castro Saul Carbajal Sánchez Jessica Ingrid Meza Nava Diego Hernández Ordóñez Hernán Sánchez Fabián Luis Antonio

1. Capítulo 17
PROTOCOLO DE IMPRESIÓN DE INTERNET (IPP)
El Protocolo de impresión de Internet (IPP)
es un nuevo desarrollo en el conjunto de
protocolos TCP / IP. Su objetivo es facilitar
la impresión a través de una red o una red
interna más grande, según las direcciones
IP. Empresas como Hewlett-Packard ya han
introducido algunos dispositivos que
admiten los estándares IPP propuestos, y se
espera que lleguen más a medida que IPP
trabaje hacia un estándar. Este capítulo
explica qué es IPP y cómo funciona.
Aunque es posible que no tenga mucha
necesidad de IPP si tiene una impresora
conectada a su computadora, muestra cómo se puede utilizar la impresión basada en la red.
HISTORIA DE IPP
IPP es el último nombre asociado a una serie de desarrollos, algunos competitivos, que comenzaron
en 1996 cuando Novell (fabricantes de NetWare) se acercó a varias compañías de impresoras para
desarrollar un nuevo protocolo de impresión que funcionaría a través de Internet e IP. Varias
compañías, como Xerox, se unieron a Novell y desarrollaron un borrador de propuesta y un plan de
desarrollo. Bajo la administración de Novell, el proyecto se llamó Aplicación de impresión de
documentos ligeros, o LDPA. Mientras tanto, IBM estaba trabajando en un protocolo similar al que
llamó Protocolo de impresión de hipertexto o HTPP. HTPP se llamaba así porque funcionaba en la
Web de manera similar a HTTP. Otro esfuerzo similar estaba en marcha entre Hewlett-Packard y
Microsoft, quienes estaban desarrollando un nuevo protocolo de impresión para usar con Windows
2000. Para resolver las propuestas competidoras y trabajar bajo la Fuerza de Tareas de Ingeniería
de Internet, el organismo que controla todos los protocolos a través de Internet, Se estableció un
Grupo de Trabajo de Impresoras (PWG). El PWG estaba compuesto por varias compañías de
impresoras y sistemas operativos. Al agrupar las mejores características de LDPA y HTPP, se
desarrolló el Protocolo de impresión de Internet. El objetivo del PWG es formar un estándar
universal para la impresión. El estándar no se limita al uso de IP, sino que podría funcionar bajo
otros protocolos. Sin embargo, el objetivo principal es el soporte para la impresión y los servicios
de impresión a través de Internet mediante IP. IPP usa HTPP como un complemento de la próxima
versión de HTTP, llamada HTTP 1.1, en lugar de desarrollar un protocolo completamente separado
que se ubica sobre IPP. Esto aprovecha las características de HTTP 1.1 y facilita la implementación

2. para los proveedores porque la mayoría ya están muy familiarizados con HTTP. Se utiliza un nuevo
tipo de extensión multipropósito de correo de Internet (MIME) llamado "aplicación / ipp" para IPP
Existen varios objetivos para que el Grupo de trabajo de impresoras los incluya en la especificación
de IPP. Las tareas que IPP debería admitir incluyen:
•Permitir que un usuario determine qué es capaz de hacer una impresora basada en IPP.
•Permitir que un usuario envíe un trabajo de impresión a una impresora IPP.
•Permitir que un usuario consulte en la impresora el estado de una impresión trabajo.
•Proporcionar una facilidad para que el usuario cancele un trabajo de impresión en cola Estos cuatro
objetivos orientados al usuario cubren todo lo que un usuario desearía hacer, desde determinar qué
impresoras están disponibles hasta enviar, administrar y cancelar solicitudes de impresión a través
de Internet, una LAN o una WAN. También parte del protocolo es la capacidad de encontrar
rápidamente impresoras accesibles en una red o entre redes, y proporcionar una buena seguridad
para las solicitudes de impresión y las propias impresoras. Idealmente, el objetivo del IPP es crear
un protocolo del lado del cliente. El lado del servidor se puede implementar de varias maneras,
desde un servidor de impresión dedicado o desde una impresora conectada por IP, por ejemplo. Sin
embargo, no se ha planeado ningún cambio en los spoolers y sistemas de impresión subyacentes
que se usan actualmente, como lpr y lpd en UNIX, o el sistema de manejo de impresión de Windows.
IPP se suma a estas capacidades existentes. Los objetivos a más largo plazo para IPP son incluir la
capacidad de administrar impresoras utilizando IPP, proporcionar sistemas de contabilidad de
impresión e incluso agregar capacidades de transacción comercial. Otro objetivo de IPP es la
traducción del protocolo LPR (Line PRinter) a IPP, y la traducción del protocolo IPP a LPR. Sin
embargo, no se espera proporcionar nuevas funciones de IPP a los clientes de LPR, ni existe un
requisito explícito de traducir las extensiones de LPR a IPP, más allá de las funciones disponibles
en la implementación 4.2BSD UNIX de LPR.
IPP Y EL USUARIO FINAL
Cuando IPP se implementa ampliamente, los usuarios encontrarán un mundo completamente nuevo
de capacidades para imprimir. El IPP RFC desglosa las habilidades que obtiene en seis categorías:
•Encontrar una impresora
•Crear una instancia local de la impresora
•Ver el estado y las capacidades de la impresora
•Enviar un trabajo de impresión
•Ver el estado de impresión
•Alterar el trabajo de impresión Con IPP puede encuentre todas las impresoras accesibles utiliza ndo
su navegador web u otra aplicación que busque impresoras compatibles con IPP. El objetivo del
diseño del IPP es permitirle encontrar una impresora por varios métodos, incluida la búsqueda por
el nombre de la impresora, por una ubicación geográfica o por atributo. La búsqueda de atributos
será útil en grandes organizaciones. Por ejemplo, es posible que desee imprimir páginas de tamaño
folio (11 × 17 pulgadas) y con IPP podría buscar una impresora accesible con esta capacidad.

3. También puede buscar impresoras que admitan color, alimentación de páginas de tamaño legal,
capacidades de encuadernación y cualquier otro atributo compatible.
Con un pequeño refinamiento de búsqueda, puede buscar cualquier impresora que cumpla con una
serie de criterios adicionales, como a poca distancia de su oficina o dentro de un dominio particular
(incluso en todo el país o continente). Este tipo de capacidad de búsqueda no es parte del IPP, pero
es una derivación inevitable. Cuando encuentre la impresora a la que desea enviar una solicitud de
impresión, debe poder informar a su computadora local sobre la impresora y cómo acceder a ella.
Esto se conoce como crear una instancia local de la impresora. Hasta cierto punto, la forma en que
se hace esto depende del sistema operativo, pero el efecto general es agregar la impresora que ha
elegido a la lista de impresoras disponibles en su máquina. En algunos casos, es posible que deba
descargar controladores para la impresora. Este es actualmente el caso cuando necesita acceder a
una impresora a través de una red con Windows 95/98 / ME, por ejemplo, y el proceso con IPP será
el mismo. En algunos sistemas operativos, como UNIX, Linux y Windows NT / 2000, se incorpora
un poco más de flexibilidad a la creación de una instancia local. Puede decidir que desea la cola
para la impresora en una máquina diferente a la suya, o puede querer que los controladores y la cola
residan en su máquina. IPP permite suficiente flexibilidad para cumplir con todos estos requisitos
para configurar una instancia de una impresora
Antes de utilizar una impresora compatible con IPP, es posible que desee verificar su configuración
o configuración y averiguar qué tan ocupada está la impresora, qué tipo de papel está cargado,
cuánta memoria tiene la impresora, si es compatible con un lenguaje descriptor de página en
particular ( como PostScript o PCL) y muchos otros problemas de estado. IPP proporciona un
mecanismo para transmitir toda esta información de estado y capacidad al usuario. Los mensajes de
estado generales muestran si la impresora está en línea o apagada, y cuáles son las configuraciones
predeterminadas para la impresora. La forma en que se muestran los mensajes de estado en la
pantalla y cómo interactúa con una aplicación para consultar la impresora no se define como parte
de las especificaciones del IPP. En cambio, IPP maneja el paso de los mensajes y el tipo de
contenido que es posible. Sin embargo, con una aplicación cliente ejecutada correctamente, un
usuario debe poder determinar el estado actual de una impresora en cualquier parte del mundo a la
que tenga acceso, así como el estado de la cola de impresión. Cuando haya creado una instancia
local de una impresora, querrá enviarle solicitudes de impresión. La principal ventaja de IPP es que
puede imprimir en cualquier impresora que tenga una instancia local tal como lo haría con una
impresora conectada físicamente. Las aplicaciones de Windows, por ejemplo, reconocerían todas
las impresoras con capacidad IPP en el cuadro de diálogo de su impresora, ya sea que la impresora
sea remota o no. El IPP no maneja algunos aspectos de la impresión en una impresora remota, como
seleccionar el intérprete de lenguaje de descriptor de página adecuado (usualmente manejado por la
impresora automáticamente) y elegir el controlador de impresora correcto (usualmente manejado
por el sistema operativo). Una vez que se ha puesto en cola un trabajo de impresión, IPP le permite
obtener mensajes de estado de la impresora o del servidor de impresión que muestran la cola actual
y le permiten eliminar elementos de la cola.

4. Uso de la implementación de IPP de HP
Hewlett-Packard ya ha puesto a disposición de sus clientes
de impresoras una versión de IPP a través de su software de
conexión de impresora de Internet. Internet Printer
Connection está diseñado para permitir a los usuarios
configurar e imprimir en impresoras HP (y otras impresoras
así equipadas) a través de Internet o una intranet (LAN o
WAN). Internet Printer Connection implementa IPP como
transporte para la impresión de datos y mensajes de estado
de la impresora. Internet Printer Connection es una
actualización del software existente, por lo que es fácil de
agregar a las LAN establecidas. Protocolo de impresión en Internet (IPP) CAPÍTULO 17 439 17
PROTOCOLO DE IMPRESIÓN NTERNET IP (IPP) 23 3516 CH17 18/03/04 12:33 PM Page 439
Para usar la conexión de impresora de Internet de HP, debe tener una máquina Windows NT como
host de administración y un servidor de impresión HP JetDirect con IPP. Se requiere un navegador
web para los usuarios. No todos los servidores de impresión JetDirect funcionan con Internet Printer
Connection; solo las versiones de firmware X.07.16 o posterior funcionan. Afortunadamente, las
actualizaciones de firmware para el servidor de impresión JetDirect están disponibles en el sitio web
de HP. La instalación de Internet Printer Connection es simple: ejecute un archivo descargado para
instalar el software y reconfigure las impresoras que se utilizarán a través de Internet Printer
Connection. Cuando se instala, Internet Printer Connection permite a cualquier usuario con los
derechos adecuados imprimir en cualquier impresora habilitada para IPP mediante el uso de la
dirección IP de la impresora, un nombre de host (si el DNS está habilitado para las búsquedas de
nombres de host) o la URL de la impresora. La belleza de Internet Printer Connection es que puede
acceder a una impresora en cualquier parte del mundo, suponiendo que tiene derechos para hacerlo.
Si está en una habitación de hotel en Alemania, por ejemplo, puede poner en cola una solicitud de
impresión a una impresora en la oficina de su hogar en San Francisco. Lo mismo se aplica a las
oficinas de la costa este y la costa oeste que comparten solicitudes de impresión entre sí. Internet se
encarga de enrutar los trabajos de impresión utilizando IPP. En lo que respecta a un usuario, la
impresora se ve exactamente como cualquier otra impresora conectada a la máquina o la red.
Capítulo 18
LDAP: Servicios de directorios
Con la proliferación de redes y la explosión resultante en la disponibilidad de información, la
recopilación de información se ha convertido en una rutina diaria. Puede recopilar información
sobre cualquiera que sea su disciplina. Los nuevos servicios ofrecidos por Internet hacen que la

5. búsqueda de cosas sea más fácil que nunca. Los motores de búsqueda han hecho la tarea de encontrar
información sobre cualquier cosa, una propuesta de apuntar y hacer clic. Pero ahora que ha
encontrado esta información, ¿cómo la maneja? La respuesta es servicios de directorio.
La guía telefónica y la Guía de TV son excelentes ejemplos de directorios impresos. En el caso de
la guía telefónica, son nombres, direcciones y números de teléfono. En el caso de la Guía de TV,
son los tiempos, los nombres, las descripciones, la duración, el tema y la calificación del contenido.
Incluso puede usar la Guía de TV para programar su videograbadora. Si tiene una videograbadora
equipada con VCR +, puede ingresar un número de directorio y la videograbadora se programará
automáticamente para grabar su programa seleccionado. Esto hace que el uso de la videograbadora
y el acceso a la programación de transmisión sean mucho más fáciles de administrar.
Al igual que VCR +, LDAP ofrece una manera de hacer que la localización de cosas en la red sea significativamente
más fácil que otros protocolos,como el Sistema de nombres de dominio (DNS). A diferencia del DNS, que facilita la
localización de las computadoras, LDAP le permite mantener la información que encuentre en unos directorios.
Servicios de directorio sobre IP
IP es un sistema que usa números (en realidad, direcciones IP) para identificar computadoras y redes
en Internet. Es similar en función a la identificación de una habitación en un apartamento individual
en un complejo de apartamentos. Existe el número de edificio, que es análogo a un número de red;
el número de apartamento, que es equivalente al número de subred; y el número de habitación, que
puede considerarse como el número de host. Por ejemplo, en lugar de decir 1234 Deep Creek Street,
Apartment 128, puede usar un nombre como John Smith para enviar su mensaje.
Si alguna vez ha usado un navegador web, ha usado DNS. DNS funciona de manera similar a LDAP
en que el cliente realiza una solicitud del servidor y el servidor procesa la solicitud y devuelve una
respuesta.
La Figura 18.1 y la Tabla 18.1 muestran cómo las direcciones IP se asignan al DNS en una búsqueda
local.
FIGURA 18.1Cliente solicitante Servidor DNS

6. . El servidor YP enviaría la información resultante al host del usuario, diciéndole que permitiera o
denegara el acceso a ese host.
FIGURA 18.3
Páginas amarillas, o servicios de información
de red, en un entorno UNIX.
El modelo de directorio OSI X.500
LDAP evolucionó del modelo OSI X.500. En esta sección, se presenta una descripción general de
X.500 y la terminología utilizada para describir los servicios de directorio para que pueda
comprender mejor LDAP ASCE proporciona la comunicación entre dos entidades de la capa de
aplicación. En el modelo X.500, ROSE puede facilitar la comunicación entre los Agentes del
sistema de directorio y los Agentes de usuario de directorio (consulte la Figura 18.4).
El modelo de servicio de directorio X.500 se compone de tres unidades básicas. Son
• Base de información de directorio (DIB)
• Agentes del sistema de directorio (DSA)
• Directorio de agentes de usuarios (DUA)
Principios de X.500

7. La calidad más importante de X.500 es que, como estándar abierto, no está sujeto a los caprichos
de los proveedores individuales. En segundo lugar, es un servicio de directorio de propósito general
capaz de soportar una gran cantidad de información. Tercero, es extremadamente extensible y
distribuido. La solución X.500 estaba destinada a admitir una estructura de red amplia y en
evolución desde el principio, y lo hace muy bien. Por último, admite un amplio conjunto de
capacidades de búsqueda que funcionan dentro de un marco seguro. Para ver un diagrama de los
componentes principales, consulte la Figura 18.4.
• La especificación inicial de X.500 se ejecutaba en protocolos OSI y se consideraba demasiado
compleja. A medida que los protocolos TCP / IP desplazaron gradualmente los protocolos de
comunicación OSI, se sintió la necesidad de una versión más simple de X.500 que pudiera ejecutarse
en protocolos TCP / IP. Esta necesidad fue satisfecha por LDAP
X.500 hoy
• El núcleo de estos era el Protocolo de acceso a directorios (DAP), que se suponía que era el centro
de todas las solicitudes de directorio. El aspecto desafortunado, o afortunado, según su perspectiva,
de la evolución de X.500 fue que trató de resolver todos los problemas a la vez. Por lo tanto, DAP
proporcionó una serie de servicios múltiples y arcanos que tuvieron poco uso en un entorno de
escritorio. La implementación a gran escala de DAP resultó ser una experiencia terrible para los
escritorios.
La estructura de LDAP
LDAP pretende ser simple. Sin embargo, existe una gran similitud entre X.500 y LDAP LDAP
utiliza Agentes del sistema de directorio y Agentes de usuario de directorio; sin embargo, en LDAP
se los denomina simplemente servidores y clientes LDAP. LDAP también usa la misma arquitectura
OSI.
• Los elementos básicos del servicio LDAP son
• Servidor LDAP
• Cliente habilitado para LDAP

8. Jerarquía LDAP
La estructura de información de LDAP es similar a la del sistema de archivos descrito anteriormente.
La unidad básica de información LDAP es la entrada. La entrada es una recopilación de información
pertinente del mundo real sobre el objeto en cuestión, en este caso, la organización misma.
Estructuras de nomenclatura
Dentro de la entrada del directorio hay un conjunto de atributos que describe un solo rasgo del objeto
seleccionado. Cada atributo se compone de un tipo y uno o más valores.
Una lista completa del directorio comenzaría con un nombre distinguido, o dn, que contiene la
información sobre la clase de objeto y el individuo o recurso.
Debido a que LDAP no admite la vinculación desde la parte superior del directorio a otros
directorios como lo hace DAP, los alias admiten esta función haciendo que todo su DIT parezca una
hoja a otros DIT.
Agentes del sistema de directorio y Protocolos de acceso
Los DSA fueron accedidos por los Agentes de usuarios de directorio que residen en las
computadoras cliente. Refiriéndose nuevamente a la Figura 18.4, los DUA usan DAP para acceder
a los DSA, que contienen DIB. Suena bastante simple, pero hay más. Los DSA fueron diseñados
para ser distribuidos. A medida que crece el DIB, puede ser necesario mover partes de él a otros
servidores o vincular otros DSA. Esto se logra a través de un protocolo de servicio de directorio.
A diferencia de DAP, que está destinado a admitir consultas de los usuarios, DSP se utiliza para
permitir que los DSA intercambien información, transmitan solicitudes, repliquen o oculten
directorios y proporcionen administración.
FIGURE 18,5
Arbol invertido
estructura de LDAP
directorios.

9. El protocolo ligero de accesoa directorios
Las soluciones demostraron ser demasiado complejas para los sistemas de escritorio pequeños y
demasiado complejos para los administradores. La solución debía hacerse más simple. La
comunidad empresarial ayudó al reducir los requisitos a algo que funcionaría en un escritorio, pero
que permite a los administradores recuperar una gran parte del control de configuración que se había
perdido en la prisa por los sistemas distribuidos. La solución final fue lo que se ha convertido en
LDAP.
LDAP es un protocolo de mensajería que se basa en el modelo cliente / servidor de computación en
red. Un servidor contiene la información y depende de los clientes en la red para realizar solicitudes
basadas en sus necesidades.
Recuperaciónde información
La capacidad de los usuarios y sus aplicaciones para recuperar información actual crea una
plataforma poderosa y robusta desde la cual construir.
En el modelo LDAP, se supone que los datos se leerán muchas más veces de las que se escribirán.
Por esta razón, LDAP está optimizado para acceso de lectura. En una LAN normal, servicios como
el DNS son servicios de alta transacción. En otras palabras, otros servicios dependen de la capacidad
de un servicio de directorio para responder solicitudes de información.
. El servidor responde a la solicitud enviando un mensaje con la información solicitada y un mensaje
de código de resultado. El mensaje del código de resultado indicará si la solicitud fue exitosa y, si
no, cuál es el error.
En el caso de que se deban enviar varios mensajes al cliente para que responda correctamente, los
resultados se envían en múltiples mensajes, siendo el mensaje final un mensaje de código de
resultado.
Almacenar información
El almacenamiento de información se incluye en el encabezado de actividades de mantenimiento y
población. LDAP proporciona estas operaciones al admitir las siguientes tres funciones

10. Añadir—La función Agregar es solo eso, la capacidad de agregar nuevos usuarios y valores de
atributos a una base de datos existente.
Eliminar—Borrar elimina atributos o entradas completas de la base de datos. Esto es útil cuando los
usuarios abandonan la organización. Sin embargo, la mayoría de los administradores del sistema
simplemente configurarán a un usuario como inactivo. Esto se hace en caso de que sea necesario
deshacer la operación "eliminar".
Modificar—La función Modificar probablemente será la función más utilizada por el administrador
del sistema. La función Leer será la segunda función más utilizada por el usuario. La función
Modificar permite a los administradores y usuarios del sistema modificar la información en el
directorio.
Derechos de accesoy seguridad
Si un hacker puede acceder a su servidor, puede ser el propietario de los datos.
Debe tener un programa que garantice que su servidor, ya sea UNIX o NT, esté configurado de
manera segura. También se recomienda que exista una política de seguridad que garantice controles
continuos de su servidor. Una serie de aplicaciones disponibles en el mercado verificará en su
servidor una gran cantidad de vulnerabilidades de seguridad en su sistema operativo, así como en
la base de datos en sí.
Los derechos de acceso y cómo se aplican a los directorios de los usuarios son específicos de la
aplicación del servidor que está utilizando. Tenga cuidado de comprender cómo su aplicación y el
sistema operativo trabajan juntos para proporcionar seguridad.
Comunicaciones ServidorLDAP a servidor
Aunque muchos usuarios verán solo la porción del cliente al servidor del protocolo LDAP, las
actividades detrás de escena aseguran que los usuarios puedan consultar servidores de manera
confiable.
También significa mantener la latencia al mínimo. La latencia como se aplica a la confiabilidad es
un problema de percepción, al menos desde la perspectiva del usuario. Si los usuarios tardan
demasiado en acceder a un servicio basado en la red, se quejarán de que la red está rota y no es

11. confiable. Al configurar su servidor LDAP como un único punto de falla, su red puede ser
susceptible a tiempos de inactividad más largos.
El formato de intercambio de datos LDAP (LDIF)
LDAP utiliza un método estándar para generar solicitudes de mensajes y respuestas. Los mensajes
se intercambian utilizando texto ASCII en un formato predefinido llamado LDAP Data Interchange
Format (LDIF). Un archivo LDIF típico tiene el siguiente aspecto:
dn: uid = msk, ou = people, dc = starwizz, dc = com clase de objeto: clase de objeto superior: clase
de objeto persona: clase de objeto managementPerson: corpmgntPerson cn: Mark Kadrich cn:
markie
nombre de pila: Mark sn: Kadrich uid: msk mail: msk@starwizz.com número de teléfono: +1 408
555 1212 descripción: Presidente, Starwizz Enterprises
Dn: uid = ma, ou = people, dc = starwizz, dc = com objectclass: top objectclass: person objectclass:
managementPerson objectclass: corpmgntPerson cn: Mitch Anderson cn: mitchie nombre dado:
Mitch sn: Anderson uid: ma mail: ma @ starwizz Número de teléfono .com: +1408555 1212
Descripción: Vicepresidente, Starwizz Enterprises
ReplicaciónLDAP
La replicación es un servicio multifacético que brinda mayor confiabilidad y rendimiento. Al
distribuir la información de su directorio en su entorno de red, reduce su vulnerabilidad a fallas
relacionadas con el servidor y la red.
Las réplicas no tienen que contener todo el árbol de directorios. Para fines de seguridad o
mantenimiento, solo se pueden replicar partes específicas del DIT. Puede elegir replicar solo
aquellos servicios que se ejecutan en su red asociada. En la figura 18.11, la réplica B solo contendría
entradas de directorio específicas de la red B. Las solicitudes de información sobre servicios fuera
de la red B se pasarían al servidor LDAP maestro.
Diseñando su Servicio LDAP

12. La definición de requisitos es una propuesta de vida o muerte. Dedicar tiempo a examinar cómo
funciona su entorno de información y cómo crecerá es un tiempo bien empleado.
Definición de requisitos
A medida que observa los requisitos para configurar su servicio de directorio, debe considerar una
serie de áreas. Se supone que esta solución aborda las necesidades de la comunidad de usuarios a
medida que se aplican al entorno de información en el que trabajan los usuarios. Esto significa que
debe considerar a los usuarios y sus herramientas. Considere la siguiente lista:
• Necesidades del usuario
• Expectativas del usuario
• Necesidades de aplicación
• Restricciones de implementación
• Problemas de implementación
• Todo lo demas
Las necesidades de aplicación son un elemento de diseño importante. El tipo de información y la
frecuencia con la que se necesita es un factor importante que debe considerarse cuidadosamente.
De una manera muy similar a cómo DNS manejó la forma en que las aplicaciones usaban la Web,
las aplicaciones de usuario impulsarán su diseño del servicio de directorio con más fuerza que
cualquier otra cosa.
Diseñando el esquema
Es fácil decir que debe incluir tanta información como sea posible. Sin embargo, cuanta más
información haya, más información se debe analizar para obtener la respuesta correcta a una
consulta.
Los problemas básicos que unen sus esfuerzos son
• Demasiada información
• Muy poca información
• Información incorrecta

13. Establecer una política que garantice que sus datos sean contemporáneos y seguros es una buena
idea. Recuerde que esta base de datos probablemente contendrá cierta información personal. Su
política de datos debe cubrir las siguientes áreas:
• Almacenamiento
• Acceso
• Modificación
• Mantenimiento
• Legal
• Excepciones
Actuación
Un servicio que tarda una eternidad en usarse caerá rápidamente en desuso. Cuando considere la
construcción de su servicio LDAP, también debe considerar el entorno en el que se utilizará.
El tipo de LAN o WAN al que se conectará tiene una gran influencia en la cantidad de servidores
LDAP que necesitará para cumplir con los requisitos de sus usuarios. En un entorno LAN simple,
un servidor puede ser todo lo que se necesita (consulte la Figura 18.12).
Varios enrutadores conectan elementos WAN internos, cada uno de los cuales contiene numerosos
elementos LAN. Es posible tener miles de computadoras distribuidas en todo el mundo utilizando
estas técnicas. En un entorno más complejo como este, puede considerar usar la estructura de árbol
invertida para implementar servidores LDAP, como se muestra en la Figura 18.13.

14. Habilidades de red
La fiabilidad y la disponibilidad a veces se denominan las "habilidades" de la red. La confiabilidad
afecta directamente la disponibilidad. Es lógico pensar que si el servidor no es confiable, el servicio
que proporciona puede no estar disponible. En el caso de la red, no es solo el servidor sino también
los dispositivos que admiten la red. Como se discutió anteriormente, algunas redes son grandes y
distribuidas. Para abordar la disponibilidad, las redes utilizan dispositivos redundantes como
enrutadores, conmutadores y fuentes de alimentación ininterrumpida (UPS).
. Este tipo de configuración se denomina conmutación por error y se conoce como alta
disponibilidad. Como puede ver en la Figura 18.14, esto a veces implica múltiples conexiones a
Internet.

15. Seguridad
Muchos sistemas han sucumbido a ataques triviales, permitiendo que algún individuo malévolo robe
información valiosa. Un servidor LDAP no es diferente de cualquier otro servidor en la red: si está
configurado incorrectamente, cualquier persona con un conocimiento simple de las vulnerabilidades
de seguridad puede acceder a sus datos.
La seguridad no solo impide el acceso no autorizado a sus datos. Es una actitud concienzuda de
comprender los riesgos, las amenazas, la mitigación y los beneficios. Debe realizar una evaluación
de riesgo versus beneficio cada vez que surge la cuestión de la seguridad. También debe darse
cuenta de que existen muchos niveles diferentes de seguridad.
Selecciónde software LDAP
Como cualquier otro software, un proceso de selección que aborde sus necesidades internas es
crítico.
¿Es el software una propuesta de valor agregado o simplemente otra aplicación que agrega poco
valor? Esto depende totalmente de usted y del proceso que emplea para seleccionar un proveedor.
Las áreas básicas de interés se pueden dividir en los siguientes elementos:
• Características principales
• Características de gestión
• Características de seguridad
• Cumplimiento de normas
• Flexibilidad
• Fiabilidad
• Extensibilidad
• Costo
Característicasprincipales
Aquí está buscando ver si el software se ejecutará en el hardware seleccionado. Lo último que
desea hacer es comprar el software Windows NT / 2000 para un entorno UNIX.
La capacidad de admitir características de replicación en su topología es una preocupación crítica.
Si planea distribuir servidores LDAP en toda su empresa, este elemento es de alta prioridad.

16. Característicasde gestión
Busque herramientas que faciliten la manipulación de contenido. Un beneficio adicional es la
capacidad del software seleccionado para admitir operaciones de secuencias de comandos.
Las tareas difíciles, como la configuración de los derechos de acceso de seguridad, deben tener
una herramienta para que el proceso sea menos doloroso. Esto incluso puede tomar la forma de
perfiles de usuario. Poder designar un tipo de usuario y luego copiarlo es un verdadero ahorro de
tiempo.
Característicasde seguridad
Los controles de acceso básicos son imprescindibles para un servidor LDAP. Asegúrese de que
puede lograr la resolución o granularidad requerida para controlar el acceso. Es posible que deba
otorgar controles de acceso a usuarios específicos en lugar de a grupos de usuarios.
Un servidor LDAP robusto admitirá la capacidad de cifrado, como SSL o seguridad de la capa de
transporte (TLS). Esta característica crítica es necesaria si va a realizar una administración o
replicación remota.
Una amplia gama de opciones de autenticación es un requisito previo. La autenticación LDAP
básica, así como los certificados y tokens de contraseña, deben incluirse como características
básicas.
Cómo es posible que desee que otros administradores o incluso algunos usuarios se encarguen de
sus propios datos, la capacidad de delegar es importante.
Cumplimiento de normas
Básicamente, la solución debe cumplir con todos los RFC LDAPv2 y LDAPv3 relevantes.
Verifique el cumplimiento de los RFC 1777 a 1779 y los RFC 2251 a 2256. También se deben
cumplir las especificaciones de seguridad como las mencionadas en RFC 2222, Autenticación
simple y capa de seguridad. Para los fines de la función de gestión remota y la gestión de red, el
acceso a través de SNMP es imprescindible.
Flexibilidad
Pocos productos funcionan sin alguna configuración. Se supone que algunos aspectos de su red son
diferentes de los de todos los demás. La capacidad de abordar estas diferencias de configuración es
importante. El producto LDAP seleccionado debe ser lo suficientemente flexible como para
satisfacer sus necesidades. Por ejemplo, ¿se puede ajustar la configuración para abordar diferentes
requisitos de hardware? Después de todo, no todas las máquinas tendrán 512 MB de RAM o más.
Otro problema es el de agregar o extender esquemas. ¿Se puede manipular la estructura de datos sin
tener que hacer una reinstalación completa? Las nuevas aplicaciones pueden traer nuevos elementos
de datos y puede que tenga que extender su esquema para acomodarlos.

17. Fiabilidad
Si un dato en la base de datos es incorrecto, el resto de los datos no es confiable. Si el servidor no
está disponible, otras aplicaciones que dependen de él no funcionarán.
La capacidad de correr 24 × 7 es imprescindible. Pocos usuarios tolerarán que elimine el servidor
LDAP que ejecuta aplicaciones de misión crítica para que pueda realizar una copia de seguridad.
Busque la capacidad de admitir la conmutación por error o algún otro tipo de solución de alta
confiabilidad. Aunque hay un componente de hardware para abordar, la información debe
intercambiarse entre el servidor primario y la copia de seguridad activa, una máquina duplicada
que contiene una copia del directorio. De lo contrario, es posible que tenga que lidiar con datos
perdidos y usuarios enojados después de una falla.
Actuación
Debido a que este servicio está basado en la red, se deben hacer preguntas estándar sobre la
latencia y el rendimiento. Debe saber de antemano lo que sus usuarios tolerarán en latencia y
demora. Luego debe averiguar si el servidor puede satisfacer esas necesidades. Conocer el límite
teórico del servidor es una buena idea. Gran parte del rendimiento de un servidor está vinculado a
la configuración del hardware, pero en algún momento esto cambia. Es posible que no tenga los
topes internos o manijas que se requieren para ir más allá de una meseta de rendimiento. A los
fines de la planificación, debe conocer ese límite.
Extensibilidad
Algunas aplicaciones facilitan la ampliación de su capacidad más allá de la del programa original.
Algunos lo hacen admitiendo scripts, mientras que otros, como Netscape, utilizan un enfoque de
bus de software que permite el uso de módulos de complemento.Esta capacidad puede ser muy
útil si debe desarrollar su propia aplicación o abordar una aplicación local existente.
Costo
Sería bueno si pudiera predecir los costos con precisión diciendo: "Me gustaría el azul por $ 100".
Desafortunadamente, el costo no es un elemento fácil de predecir, y los proyectos están plagados
de sobrecostos. ¡Los vendedores parecen haber hecho su misión hacer que los servidores LDAP
de costeo sean tan confusos como comprar un auto nuevo! Algunos proveedores cobran por el
número de asientos, algunos cobran por el número de servidores, algunos cobran por el número de
entradas. Algunos vendedores inspirados venden licencias ilimitadas. Por lo general, es una
combinación de todo lo anterior.

18. También se debe agregar capacitación y soporte. Algunos proveedores brindan capacitación de
forma gratuita, pero aún debe pagar el tiempo del administrador.
Otras preocupaciones generalmente políticas
Considere como su proveedor se ajusta al mercado habilitado para directorios. Aunque lo más
probable es que use productos de otros proveedores, es bueno ver un compromiso corporativo de
sus proveedores. Su proveedor debe gastar dinero en investigación y desarrollo para garantizar
que su producto siga siendo compatible con el estándar. La compañía también debería participar
en pruebas de interoperabilidad para garantizar que sus productos sean compatibles con los
productos de otros proveedores.
Capítulo 19
Protocolosde Acceso Remoto.
A medida que Internet ha crecido, también lo ha hecho la necesidad de acceder desde cualquier
lugar. A menudo, este tipo de acceso se llama acceso remoto. Al principio, el acceso remoto se
realizaba usando un terminal que estaba conectado a una unidad central o minicomputadora. Este
método de acceso fue satisfactorio siempre y cuando se encuentre en un lugar fijo como su
oficina. Como personal de apoyo se redujo, proporcionando a los administradores del sistema
acceso a redes corporativas desde casa se hizo imprescindible. Así nació el acceso remoto. Este
simple tipo de acceso fue a través de los módems lentos de la época, típicamente a 110 baudios.
(La velocidad de transmisión y los bits por segundo son lo suficientemente cerca para los fines de
esta discusión que se utilizarán indistintamente). Los administradores del sistema ahora podían
monitorear la actividad del sistema y hacer que el sistema esté relacionado cambios desde la
relativa comodidad de sus hogares. Un beneficio para la organización. era que los sistemas críticos
ahora podrían tener un monitoreo rentable 24 × 7 por parte de individuos quién podría hacer algo
en caso de emergencia.
Los módems de hoy en día funcionan a alrededor de 56K y su rendimiento real se rige por la
infraestructura anticuada de cobre de la red telefónica pública conmutada (PSTN). Esta
infraestructura envejecida, junto con la introducción de una confiabilidad más avanzada y
requisitos de seguridad, ha puesto especial énfasis en desarrollar protocolos que efectivamente
permite la transmisión y recepción de datos digitales.
Conectividad remota
Como se mencionó anteriormente, un componente importante de una solución de acceso remoto
es un módem. MOdulator / DEModulators (mo-dem) puede tomar la forma de muchos tipos
diferentes de dispositivos. Básicamente, un módem cambia las señales digitales generadas por su

19. computadora a aquellos que pueden atravesar el PSTN. Cada extremo debe tener un módem
compatible para esta operación. Para funcionar correctamente. En el extremo receptor, las señales
analógicas son desmodulada en señales digitales y alimentada a la computadora receptora.
Fig. 1 Un módem básico y la red PSTN.
ISDN
No todos estos dispositivos son compatibles. Un módem estándar no nos permitirá conectarnos a
una red digital de servicios integrados (ISDN), y un NT-1 (terminación de red) no le permitirá
conectarse a otra cosa que no sea una línea ISDN. Sin embargo, ISDN ofrece algunos beneficios
interesantes. Una interfaz de velocidad básica (BRI) permite al suscriptor usar teléfonos
analógicos, así como una transmisión digital pura de datos. En los Estados Unidos, un BRI consta
de dos canales de 64K y un canal de 16K que son multiplexados por división de tiempo (TDM)
para un total agregado de 144K bits por segundo
Fig. 2 Configuraciones ISDN BRI

20. La versatilidad de ISDN proviene del hecho de que en cualquier momento dado los tres canales se
pueden usar individualmente o los dos canales de 64K se pueden usar juntos para proporcionar un
total de 128K de rendimiento.
Módems de cable
Un módem por cable aprovecha el hecho de que muchos consumidores ya tienen un medio de
transmisión de banda ancha, el cable de TV, en sus hogares.
Fig. 3 Modem de cable
Aprovechando la parte no utilizada del ancho de banda del cable y empleando algunos trucos
interesantes de modulación, los módems de cable pueden proporcionar a los usuarios velocidades
de acceso de alrededor de 1 Mbps. Esto es bastante impresionante en un entorno hogareño. Los
desarrollos recientes en software y sistemas operativos permiten que múltiples computadoras
aprovechen este único punto de acceso. Los módems de cable conectan la computadora a la línea
de cable local de la misma manera que Ethernet solía conectar computadoras a través de un cable
coaxial. Todos están en un bus de datos. Esto significa que todas las personas en su vecindario
pueden acceder potencialmente a su computadora. Se debe tener cuidado para evitar esto. Un
método es a través de la traducción de direcciones de red (NAT).

21. Digital SubscriberLoop (DSL)
Digital Subscriber Loop (DSL) es un servicio relativamente nuevo que ofrece una cantidad de
versiones interesantes de esencialmente la misma capacidad. Utilizando un modelo de nivel de
servicio basado en el precio, DSL ofrece más rendimiento por más dinero.
Estos son precios promedio listados y no incluyen ventas u ofertas especiales.
Hay una serie de flavors diferentes de DSL, siendo el DSL asimétrico (ADSL) el más popular.
ADSL aprovecha la idea de que un usuario típico descargará más de lo que cargará. Al navegar
por la Web, los usuarios suelen descargar más en gráficos de lo que cargan. En general, la mayoría
de los usuarios cargarán respuestas simples a consultas web. Cuando hace clic en un botón en una
página web, envía un mensaje simple al servidor diciéndole que haga algo, como devolver una
imagen o texto. La excepción a esto es el correo electrónico. Sin embargo, incluso con el correo
electrónico agregado a la mezcla, generalmente todavía hay una relación de 10 a 1 de datos
descargados versus datos cargados.
DSL se inventó para abordar una serie de problemas únicos que han surgido desde la explosión de
Internet, particularmente el de la capacidad. El PSTN existente se construyó alrededor de la idea
de que la mayoría de las conversaciones durarían aproximadamente 10 minutos, y que el hogar
promedio tendría como máximo dos líneas.
Radio Networks
Las redes de radio se ofrecen a través de una gran cantidad de tecnologías que van desde redes
celulares hasta módems de radio puro, como las ofrecidas por Ricochet y Metricom. Al
comunicarse con los transceptores ubicados en postes de luz en su vecindario, Ricochet permite
que una computadora con el equipo apropiado se comunique con Internet sin cables. Junto con un
teléfono celular y un buscapersonas, su oficina puede estar en cualquier lugar. Aunque es muy
conveniente, la desventaja es que este método de comunicación no es seguro.

22. Remote Authentication Dial-In User Service (RADIUS)
El Servicio de usuario de marcación de autenticación remota (RADIUS), RFC 2138, proporciona
una serie de servicios importantes para usuarios remotos. RADIUS es un protocolo cliente /
servidor desarrollado originalmente por Livingston Enterprises en 1992. Fue desarrollado en
respuesta a la necesidad de proporcionar un método mejorado para autenticar a los usuarios en sus
dispositivos de seguridad.
RADIUS se ha convertido en un componente importante en el esfuerzo del administrador del
sistema para proporcionar una mayor confianza en el proceso de autenticación.
Una configuración RADIUS generalmente consistirá en un servidor de base de datos central y uno
o más servidores de acceso telefónico.
La base de datos contiene las tres A de información: autenticación, autorización y contabilidad. La
información de autenticación permite a la red identificar a los usuarios del sistema. Aunque esta
información generalmente se almacena en archivos de texto ASCII, los servidores RADIUS
pueden comunicarse con archivos de contraseña y NIS +. La información de autorización brinda a
los usuarios acceso a servidores y datos, como el servidor de intranet corporativo o las listas
telefónicas. La información contable se utiliza para realizar un seguimiento de los accesos de los
usuarios, los accesos fallidos, el tiempo de conexión, etc.
Fig. 4 El modelo cliente-servidor RADIUS.

23. RADIUS Authentication.
El intercambio RADIUS es bastante sencillo. Después de que el usuario se haya conectado al
servidor de acceso remoto, el servidor RAS le pedirá al usuario un nombre y una contraseña
utilizando el Protocolo de autenticación de contraseña (PAP) o el Protocolo de autenticación de
desafío Handshake (CHAP).
Password Authentication Protocol (PAP)
PAP es un protocolo antiguo que se basa en contraseñas e ID de usuario y está documentado en
RFC 1334. Después de que el usuario establece el enlace remoto, se envía un par de ID de usuario
y contraseña al servidor RADIUS. El servidor de acceso envía continuamente la contraseña y el
UID al servidor de autenticación hasta que se produce un tiempo de espera. Si está interesado en
la seguridad, este no es el protocolo de elección. Las contraseñas se envían "en claro". En otras
palabras, no hay cifrado de la cuenta de usuario y la información de la contraseña. Esto significa
que alguien puede registrar la transacción, descubrir la cuenta de usuario y la contraseña, o vuelva
a reproducirlo más tarde para obtener acceso a sus servicios críticos. PAP es generalmente un
protocolo alternativo que se usa después de que se intentan y fallan protocolos como CHAP.
Fig. 5 Intercambio de protocolo PAP.
Challenge Handshake Authentication Protocol (CHAP)
CHAP es especial porque proporciona un método más fuerte para autenticar al usuario. CHAP se
describe en detalle en RFC 1994. CHAP es un protocolo de enlace de tres vías que envía un

24. código de desafío al usuario y se espera que el usuario dé la respuesta adecuada de "protocolo de
enlace". Después de que el usuario establece el enlace, el servidor envía un paquete de "desafío" al
cliente. El cliente responde calculando una respuesta utilizando una función hash unidireccional,
como MD5. El cliente envía la respuesta al servidor que ha calculado la respuesta esperada. Si la
respuesta del cliente coincide con la respuesta calculada por el servidor, el cliente tiene acceso a la
red. Si la respuesta no coincide con la calculada por el servidor, se denegará el acceso. Para
garantizar que la sesión no haya sido secuestrada, el protocolo CHAP se puede configurar a través
del servidor para volver a autenticar periódicamente al cliente. A diferencia de PAP, el
autenticador controla toda la secuencia CHAP y rara vez se permiten reintentos.
Este tipo de autenticación evita ataques de repetición como el que se discutió en la sección
anterior. Debido a que cada desafío es diferente, cada respuesta calculada es diferente. Cabe
señalar que este protocolo se basa en un secreto compartido. El secreto se usa como la tecla en la
función hash, por lo que debe protegerse. El valor del desafío debe seguir dos criterios: debe ser
único y debe ser impredecible.
Fig. 6 Diagrama del método de hashing.
Account Information.
La información de la cuenta puede tomar muchas formas, incluyendo ID de usuario, contraseña,
restricciones de acceso temporal, autorizaciones de servicio e información de auditoría. Todos
estamos acostumbrados a la información habitual de UID y contraseña. RADIUS permite agregar
información de auditoría. Esta información se puede utilizar para determinar si alguien ha
intentado acceder a sistemas a los que no debería acceder. También puede usar la información
para controlar cuándo alguien puede acceder a la red.
Se puede obtener un efecto similar utilizando la base de datos para limitar el acceso a varios
servicios. Al ingresar una lista de servicios aprobados, puede evitar el acceso a servicios no
autorizados. Cuando los usuarios intenten acceder a un servicio para el que no están autorizados,
se les denegará por el servidor RADIUS. Esta gestión de políticas básica proporciona una base de
datos de usuarios centralizada que se puede actualizar fácilmente.

25. Transporting IP Datagrams with
SLIP, CSLIP, and PPP
Se han desarrollado varios protocolos diferentes para mover la información de un punto a otro. La
selección de un protocolo depende de cuánta capacidad requiera. Las siguientes secciones discuten
la historia de los protocolos de acceso remoto y dónde estamos hoy.
SerialLine Internet Protocol(SLIP)
SLIP fue un protocolo inicial utilizado para conectar usuarios remotos a un host local. RFC 1055
es una especificación informativa solo porque SLIP ya era un estándar de facto cuando se escribió
RFC 1055. SLIP fue uno de los primeros protocolos útiles de acceso remoto en el sentido de que
proporcionaba conectividad IP a las redes remotas que aparecían a principios de la década de
1980.
Fig. 7 El protocolo SLIP.
SLIP es un protocolo muy simple porque fue diseñado cuando la red era más simple, y el
problema que se estaba resolviendo era enviar datagramas IP a través de enlaces seriales. El RFC
completo, incluido el código, tiene solo cinco páginas. Todo lo que hace el protocolo SLIP es
definir cómo se enmarcan los datos en una línea en serie. No hay corrección o detección de
errores, direccionamiento, identificación de paquetes o compresión. Su único propósito era enviar
paquetes a través de una línea serial.
CompressedSLIP (CSLIP)
CSLIP es un protocolo que reduce la sobrecarga de transporte mediante el uso de la compresión
de encabezado TCP Van Jacobsen para reducir el tamaño del encabezado combinado de TCP e IP
de una firma de 40 a 3–7 bytes. La compresión del encabezado es posible porque la mayoría de
los paquetes tienen muy pocos cambios en el encabezado TCP e IP. Se puede utilizar la
compresión de datos, como la codificación de longitud de ejecución. Esta técnica reemplaza

26. cadenas de caracteres repetidos con un solo carácter y un recuento. Esto puede ser una gran
diferencia cuando envía muchos paquetes pequeños, como puede ser el caso con protocolos como
Telnet.
Point to Point Protocol(PPP)
Debido a los problemas y limitaciones de los protocolos SLIP, se hizo evidente que se necesitaba
un nuevo protocolo. Así, PPP nació para reemplazar a SLIP. El RFC 1134 original que describe
PPP fue escrito en 1989 por Drew Perkins de la Universidad Carnegie Mellon. PPP es
extremadamente versátil, ya que admitirá la transmisión de datagramas a través de conexiones
serie punto a punto e Internet. Un datagrama es un bloque de datos de naturaleza similar a un
paquete. Al encapsular datagramas, PPP permanece independiente del medio y admitirá múltiples
protocolos no IP. Protocolos como UDP / IP, IPX / SPX e incluso AppleTalk se han aprovechado
de PPP.
Modos de operaciónde PPP
Para garantizar que PPP pueda soportar prácticamente cualquier tipo de sesión de usuario, se
incorporaron varias capacidades para proporcionar diferentes modos de operación. PPP tiene tres
modos básicos de responder a una solicitud de conexión:
• Un enlace PPP inmediato
• Autodetección
• Interactivo
Enlace inmediato
Como se puede resumir de su descripción, PPP inmediato proporciona comunicación PPP después
de responder la solicitud. Cualquier autenticación debe realizarse dentro del protocolo PPP. Este
puede ser un método de conexión peligroso porque la autenticación se puede activar apagado.
Esto permitiría a cualquiera conectarse a su red.
Autodetección
En la autodetección, el servidor seleccionará entre PPP, SLIP, protocolos interactivos u otros
protocolos configurados por el sistema. El beneficio clave de esto es una vez más la versatilidad.
Al ser capaz de soportar una amplia selección de protocolos, la red ahora puede lidiar
efectivamente con problemas de actualización y migración. En lugar de tener que hacer un cambio
forzado a PPP, puede tener lugar una migración gradual de usuarios y servicios. La conversión
inmediata a veces se denomina corte slash porque todos los sistemas están configurados para
migrar al mismo servicio al mismo tiempo. Esto es similar a accionar un interruptor a
medianoche, y ha sido la ruina de la vida de muchos administradores de sistemas porque la
conversión inmediata no siempre es fácil y algo siempre sale mal.
Interactivo

27. Otro beneficio es el soporte para terminales tontos y usuarios de emulación de terminal que aún
deben acceder a la red. Algunos programas de acceso a bases de datos aún requieren acceso a
sistemas heredados, así que tenga en cuenta esta capacidad. Al comienzo de la sesión, PPP
buscará si se trata de una sesión activa o pasiva. Un nodo activo comenzará a transmitir tramas en
un intento de iniciar el protocolo de enlace con su par. Un nodo pasivo esperará a que el otro nodo
inicie el proceso de establecimiento de comunicación. Es un procedimiento estándar para
configurar los nodos salientes para que estén activos, mientras que los nodos entrantes pueden ser
activos o pasivos. Un servidor de marcación automática debe configurarse como pasivo para
determinar el protocolo de línea del nodo remoto.
A diferencia de SLIP, PPP también admite una lista de servicios completamente desarrollada.
Son:
• Soporte simultáneo de múltiples protocolos.
• Configuración de enlace
• Detección de errores
• Compresión
• Cifrado
• Información de red
• Autenticación
Fig. 8 Una pila TCP / IP con servicios de conexión PPP.

28. Tunneled Remote Access
En muchos casos, se deben utilizar técnicas especiales para mover datos de una red a otra. En
algunos casos, se trata simplemente de encerrar un protocolo dentro de otro, como en el caso de
IPX sobre IP.
Fig. 9 IPX over IP.
El protocolo nativo, en este caso IPX, no tiene la capacidad de mover datos entre redes IP. Para
resolver este problema, IPX tiene un encabezado IP agregado para darle la información que
necesitan los enrutadores que dirigirán el paquete a su destino final. Esta práctica común se ha
utilizado desde los primeros días de AppleTalk, y ha demostrado ser bastante efectivo.
Sin embargo, este tipo de solución no está exenta de inconvenientes. Algunas aplicaciones están
diseñadas para tratar directamente con su aplicación nativa. En nuestro ejemplo, este sería Novell
NetWare. Varias implementaciones de IP han mostrado características idiosincrásicas que hacen
que la implementación sea menos que sencilla. Un ejemplo de esto se representa una vez más con
IPX ejecutándose en redes habilitadas para Microsoft. En algunos casos de IPX en redes MS,
ocurrieron problemas inusuales asociados con tiempos de espera y fantasmas. Fantasma es el
efecto de los recursos de red que aparecen y desaparecen a intervalos aleatorios. Esto ocurrió más
comúnmente con las impresoras y se debió a la distribución incorrecta de la red y los
controladores de impresora.
Aquí yace el problema. Se debe mantener especial atención a los detalles porque esencialmente
está utilizando dos o más protocolos de red para apoyar a su comunidad de usuarios. Un
controlador incorrectamente instalado u obsoleto puede ser muy difícil de diagnosticar y reparar.
Más importante aún, puede hacer que la red parezca poco confiable, algo que debe evitarse.
Point-to-Point Tunneling (PPTP)
PPTP es el resultado de la cooperación entre Ascend Communications, ECI Telematics,
Microsoft, 3Com y US Robotics. El grupo llegó a ser conocido como el Foro PPTP. Se razonó que
PPTP permitiría a los usuarios y proveedores aprovechar la naturaleza dominante de Internet. Al
admitir un estándar, los usuarios podrían marcar a través de su ISP local y hacer un túnel seguro a
través de Internet a su red corporativa. Esto reduciría el requisito que las corporaciones tenían para
generar y soportar su propio hardware de acceso remoto.

29. Se esperaba que PPTP permitiera a las corporaciones aprovechar la estructura de Internet al
permitir que los ISP hagan lo que hacen bien: conectar usuarios individuales a Internet. Las
corporaciones eran libres de comprar equipos que se conectaban a las Redes de Área
Metropolitana, o MAN, y bucles locales para demultiplexar las conexiones entrantes de acceso
remoto.
Fig. 10 Una red que usa una caja de acceso remoto y otra que usa un ISP remoto y
multiplexores y demultiplexores.
The Layer 2 Tunneling Protocol(L2TP)
L2TP es muy similar a PPTP en muchos aspectos. Combina PPTP con el protocolo de reenvío de
capa 2 (L2F) de Cisco. L2F tiene una ventaja sobre PPTP en que no depende de GRE. Esto
significa que puede ser compatible con otros medios como ATM y otras redes basadas en
paquetes como X.25 y frame relay. Sin embargo, significa que la especificación debe delinear
cómo se procesan los paquetes L2F. El trabajo inicial aprovechó UDP, colocando L2F como un
posible seguimiento de PPTP.
L2F

30. De manera similar a PPTP, L2F usó PPP como el habilitador que suministra la conexión inicial y
servicios como la autenticación. A diferencia de PPTP, L2F utilizó el Sistema de control de
acceso del controlador de acceso de terminal (TACACS) desde el principio. TACACS es otro
servicio nacido de la necesidad. TACACS, un protocolo propietario de Cisco Systems,
proporciona autenticación, autorización y contabilidad para admitir los productos de enrutador de
Cisco. TACACS tiene algunas limitaciones, que se analizan más adelante en este Capítulo.
L2F también utiliza definiciones de conexión de túnel que le permiten soportar múltiples túneles
dentro de la conexión L2F. En un esfuerzo por mejorar el nivel de seguridad, L2F admite un nivel
adicional de autenticación. En lugar de solo la autenticación a nivel PPP, L2F agrega
autenticación en la puerta de enlace o firewall corporativo.
Los beneficios de L2F se transfirieron a la especificación L2TP. L2TP utiliza el mismo método de
conexión a través de PPP para admitir usuarios remotos. Aprovechando el trabajo de L2F, L2TP
utiliza su protocolo de túnel. Esta característica se vuelve extremadamente significativa cuando
considera la migración a ATM y redes de retransmisión de tramas que se ha producido en los
últimos años.
IPSec.
Debido a que el protocolo TCP / IP realmente no ofrece ninguna protección, han surgido varios
métodos a lo largo de los años para llenar este vacío. Sin embargo, estas soluciones no ofrecían
capacidad multiplataforma ni funcionaban de manera confiable. Para abordar este problema, el
IETF ha trabajado en un conjunto de protocolos que se conocen como IPSec. Aunque esta no es
una sección sobre Redes Privadas Virtuales (VPN), L2TP puede utilizar varias funciones de IPSec
con bastante eficacia, por lo que esta sección proporcionará una breve descripción de las
características de IPSec.
Originalmente diseñado para abordar el estándar emergente de IPv6, los RFC 1825 a 1829 se
publicaron en 1995 y abordaron cómo se realizarían la autenticación y el cifrado en los
datagramas IP. Poco después, se modificaron para abordar el esquema de direcciones de Internet,
IPv4, como lo es hoy. Estas especificaciones dividieron el concepto de solución en dos clases:
• Autenticación
• Cifrado
La parte de autenticación se dirige mediante un Encabezado de autenticación (AH) y el elemento
de cifrado se aborda mediante la Carga de seguridad de encapsulación (ESP). Cada una de estas
capacidades está representada por un encabezado diferente que se aplica al paquete IP

31. Fig. 11 Información del encabezado del paquete IPSec
Standards-BasedEncryption
Cuando se usan juntos, ambas capacidades pueden proporcionar autenticación y privacidad.
Además de la autenticación y la privacidad, a diferencia de los otros servicios de autenticación
discutidos hasta ahora, IPSec también puede proporcionar integridad de datos. La integridad de
los datos es la capacidad de determinar si los datos se han modificado en tránsito. ¡Esto es muy
importante si los datos son un contrato corporativo o su depósito de nómina.
Para garantizar la compatibilidad, el estándar IPSec se basa en una serie de estándares
criptográficos:
• D-H, o Diffie-Hellmann, para intercambios de claves.
• Algoritmo criptográfico de clave pública para firmar intercambios de claves D-H
• cifrado DES
• MD5, SHA y HMAC (código de autenticación de mensajes basado en hash) para claves

32. algoritmos hash
• Certificados digitales
Establishing a Security Association
Para comenzar el proceso, ambas partes deben establecer una Asociación de Seguridad (SA).
Aunque hay configuraciones predeterminadas para establecer un canal de comunicaciones seguro,
IPSec proporciona la negociación de diferentes valores clave, algoritmos y configuraciones de
tiempo. Para ayudar con la interpretación de la miríada de valores existentes, IPSec utiliza un
concepto llamado Dominio de Interpretación (DOI) para ayudar con la estandarización de estos
elementos. Esto hace que establecer SA sea mucho más fácil. La SA determina lo siguiente:
• Modo de algoritmo de autenticación y claves utilizadas en el AH
• Modo de algoritmo de cifrado y claves utilizadas en el ESP
• Parámetros de sincronización criptográfica.
• El protocolo, algoritmo y clave utilizados para la autenticación de comunicaciones.
• El protocolo, algoritmo y clave utilizados para la privacidad de las comunicaciones.
• Con qué frecuencia se intercambian las claves de autenticación y privacidad.
• Algoritmo de autenticación, modo, transformación y claves que utilizará ESP
• ciclos de vida clave
• La vida útil de las SA
• La dirección de origen de SA
Summary
Hay varias formas de conectar un usuario remoto a una LAN local. SLIP, PPP, PPTP y L2TP
ofrecen diversos grados de capacidad y protección.
PPP ofrece los servicios básicos necesarios para conectarse a un servidor y es significativamente
más capaz que el SLIP anterior. Con la capacidad de controlar el enlace y admitir múltiples
protocolos, PPP se convirtió en la opción de conexión remota en lugar de SLIP en poco tiempo.
SLIP, con sus capacidades simples, puede ser adecuado para conexiones de terminal dedicadas,
pero carece de la naturaleza robusta y versátil de PPP.
Además de las capacidades de PPP, PPTP permite a los ISP y entidades corporativas aprovechar
de manera más efectiva Internet. Al admitir más protocolos, PPTP permite que los servicios de
intranet se extiendan a los hogares y computadoras portátiles de usuarios remotos. Aprovechando
el control remoto
Mecanismos de autenticación como PAP, CHAP y RADIUS, PPTP ofrece a la organización y un
mayor control sobre quién utiliza sus recursos de red.

33. Agregando una vez más a la lista de capacidades, L2TP combina lo mejor de muchos protocolos
al tiempo que aprovecha las capacidades de Internet y sus medios relacionados y variados. Al
incorporar un sólido modelo de seguridad representado por IPSec, L2TP empuja la barra hacia
arriba para los clientes de acceso remoto. A medida que se agrega más capacidad a la
infraestructura de red,
los nuevos métodos deben acompañarlos para garantizar que no se usen indebidamente o sean
malversados. L2TP promete soportar eso especialmente cuando se usa junto con IPv6.
Capítulo 20
Firewallasegurando sured
Los firewall y los servidores proxy, así como el cifrado y la autenticación (cubiertos en el
siguiente Capítulo), están diseñados para proporcionar seguridad a sus datos. Pero, ¿por qué
molestarse con la seguridad si no tiene nada de valor en sus correos electrónicos o en su máquina
de puerta de enlace? La razón es simple: si tiene una conexión a Internet, Internet lo tiene a usted.
Esto significa que cualquier persona en Internet puede acceder potencialmente a su red si no se
impide dicho acceso. Si no había una configuración de seguridad en su máquina de puerta de
enlace, cualquier persona en cualquier parte del mundo con conexión a Internet podría usar TCP /
IP para viajar a través de su puerta de enlace y en cualquier máquina de su red. Probablemente
tenga datos que no desea que otros vean almacenados en algún lugar de su red, por lo que debe
tener en cuenta los problemas de seguridad para evitar que los usuarios de Internet accedan al
interior de su red.
Cuando configura la seguridad en una red, en realidad está tratando de proteger dos cosas (y una
tercera indirectamente). Las dos cosas que está tratando de proteger son sus datos (almacenados en
toda su red) y su equipo (cualquier cosa conectada a su red). Si un pirata informático accede a su
equipo, podría sufrir daños. Lo mismo se aplica a sus datos. No desea ver sus archivos
confidenciales volando por todo Internet como archivos adjuntos de correo electrónico, ¿verdad?
Indirectamente, también está protegiendo su reputación, ya sea individualmente o como empresa.
No se vería muy bien para grandes empresas como IBM o HewlettPackard si todos sus
documentos internos estuvieran disponibles gratuitamente.
Hay varias formas de proteger su red, sus datos y sus servicios. En el que muchas personas
confían es en el anonimato o la oscuridad. El razonamiento es que si nadie sabe acerca de su red y
sus contenidos, entonces la red está segura. Esto es "seguridad a través de la oscuridad", y es falsa
seguridad, por supuesto, porque hay demasiadas formas de descubrir lo que hay en Internet para
mantenerse oculto por mucho tiempo. Es ingenuo suponer que los hackers no se molestarán con su
sitio porque cree que no encontrarán nada de interés. El desafío de encontrar sus datos es todo lo
que la mayoría de los hackers necesitan para ponerse en marcha.

34. La forma de seguridad más utilizada se llama seguridad de host y tiene que ver con asegurar cada
máquina en la red por separado. Confía en la seguridad del host cuando configura los permisos de
acceso de Windows, así como los permisos del sistema de archivos UNIX. Aunque la seguridad
del host se puede utilizar para proteger máquinas individuales, es incorrecto suponer que toda una
red con máquinas seguras individualmente también es segura. Todo lo que se necesita es un
agujero en alguna parte y toda la red puede estar abierta a los piratas informáticos.
El papel de los firewall
El nivel de seguridad que la mayoría de nosotros debería tener en cuenta es la seguridad de la red.
Esto significa asegurar primero todos los puntos de acceso a la red y luego confiar también en la
seguridad del host. El componente clave de la seguridad de la red es el firewall, una máquina que
actúa como interfaz entre la red e Internet, siendo la seguridad su principal preocupación. Un
firewall tiene varios roles que desempeñar:
• Restringe el acceso a la red a algunas ubicaciones.
• Evita que usuarios no autorizados obtengan acceso a la red.
• Obliga a que el tráfico de la red salga a Internet en ubicaciones particulares y seguras.
• Previene ataques de denegación de servicio.
• Restringe lo que un usuario de Internet puede hacer en la red.
Los firewall no están restringidos a las conexiones de red a Internet. También se utilizan para
servidores de acceso remoto (acceso de marcación) y conexiones de red a red. El concepto
completo del firewall es canalizar todo el tráfico dentro y fuera de su red a través de una o más
ubicaciones particulares que están configuradas para controlar el acceso y los servicios.
Usar firewall
Mucha gente piensa en un firewall como una sola máquina, y este puede ser el caso de algunas
redes. Hay disponibles firewalls de caja única dedicados que no hacen más que actuar como
puerta de enlace de seguridad para su red. Alternativamente, una sola máquina puede ejecutar
software de firewall dedicado y nada más. Sin embargo, el término firewall tiene más que ver con
las funciones realizadas que un dispositivo físico. Un firewall puede comprender varias máquinas
que trabajan juntas para controlar la conexión de red a Internet. Se pueden usar muchos programas
diferentes para proporcionar estos servicios de firewall. Los firewalls también pueden realizar
muchas tareas además de simplemente monitorear el acceso a la red.
Las dos formas básicas de implementar un firewall en una red son
• Cree los firewall usted mismo a partir de los servicios básicos de red.
• Compre un producto

35. Servidores Proxy
Un servidor proxy se encuentra entre la red e Internet y acepta las solicitudes de un servicio, las
analiza y las reenvía según lo permitido. El servicio de proxy proporciona una conexión de
reemplazo para el servicio y, como tal, actúa como un proxy. Por ejemplo, si está dentro de una
red y desea hacer un telnet a un host en Internet, el servidor proxy acepta su solicitud, decide si la
concede y luego establece la sesión de telnet entre él y el objetivo, así como entre sí y tu. Se pone
en el medio, oculta cierta información sobre usted y, sin embargo, permite que el servicio continúe
a través de él. Los servidores proxy manejan servicios y aplicaciones, y como tales a menudo se
denominan puertas de enlace de nivel de aplicación.
Los servidores proxy siempre se implementan en software y no necesitan ser parte de un paquete
de firewall, pero generalmente lo son. La mayoría de los firewalls comerciales incluyen
capacidades de servicio proxy. La mayoría del software de servidor proxy hace más que
simplemente actuar como proxy del usuario; También pueden controlar qué aplicaciones se
utilizan y pueden bloquear algunos datos entrantes y salientes.
Filtros de paquetes
Un sistema de filtrado de paquetes permite que los paquetes vayan de la red a Internet, y
viceversa, de forma selectiva. En otras palabras, permite que algunos paquetes se filtren y no se
envíen, mientras que otros se permiten sin obstáculos. Los paquetes se identifican por el tipo de
aplicación que los creó (parte de la información está en los encabezados). El encabezado de un
paquete TCP / IP contiene las direcciones IP de origen y destino, los puertos de origen y destino
(que ayudan a identificar la aplicación), el protocolo (TCP, UDP o ICMP) y otra información. Si
ha decidido bloquear todo el tráfico FTP dentro y fuera de su red, por ejemplo, el software de
filtrado de paquetes detectaría cualquier cosa con un número de puerto de 20 o 21 y no lo
permitiría. El filtrado de paquetes puede ser realizado por el software del firewall o por un
enrutador. En el último caso, el enrutador se denomina enrutador de detección.
La diferencia entre un enrutador estándar y un enrutador de detección está en la forma en que
examinan los paquetes. Un enrutador normal simplemente mira las direcciones IP y envía
paquetes en la ruta correcta a su destino. Un enrutador de pantalla examina el encabezado y no
solo descubre cómo enrutar al destino, sino también si debería hacerlo, en función de un conjunto
de reglas. En otras palabras, un enrutador de detección proporciona más que una funcionalidad de
Capa 3.
Asegurando servicios
Esta sección echa un vistazo muy rápido a los servicios primarios utilizados a través de un firewall
y los principales problemas de seguridad con cada uno. Puede decidir si debe permitir o denegar el
servicio en función de los requisitos de su propia red.
La mayoría de los firewalls de red están configurados de manera predeterminada para permitir el
paso de seis servicios:
• Correo electrónico (SMTP)

36. • HTTP (acceso a la World Wide Web)
• FTP
• Telnet (acceso remoto)
• Usenet (NNTP)
• DNS (búsquedas de nombres de host)
Estos seis no están exentos de problemas de seguridad, como verá en las siguientes secciones.
Correo electrónico (SMTP)
El correo electrónico es el servicio más utilizado en Internet, y es muy poco probable que desee
restringir el acceso al correo electrónico a través de un firewall. Ha habido una serie de problemas
relacionados con la seguridad con los correos, como sendmail, que se usan popularmente en
Internet, pero debido a la gran cantidad de atención que han recibido estos problemas, se han
solucionado. Por lo tanto, los propios correos no son muy vulnerables a la piratería, pero el
contenido del correo electrónico está sujeto al problema de los virus.
La mayoría de los sistemas de correo electrónico se implementan utilizando el Protocolo simple
de transferencia de correo (SMTP). Cada vez que un servidor SMTP maneja el correo, a menudo
se hace como una cuenta de superusuario o como la cuenta a la que se dirige el correo electrónico.
Un hacker inteligente puede explotar este cambio en los permisos. Además, el servidor SMTP más
común es sendmail, que se ejecuta bajo UNIX. Debe implementar los últimos parches en sendmail
para evitar la explotación por parte de un hacker.
HTTP: World Wide Web
En la actualidad, prácticamente todas las redes del mundo tienen acceso a Internet, y es muy
probable que no desee restringir el acceso a través de un firewall desde su red interna. Permitir el
acceso a la Web desde máquinas dentro de su red no representa un gran riesgo de seguridad
además de las descargas o los applets de Java con diseños maliciosos, todo lo cual debe ser
atendido con detectores de virus en las máquinas receptoras.
FTP El Protocolo de transferencia de archivos (FTP) se usa ampliamente en Internet. Sin
embargo, la capacidad de transferir cualquier archivo a la red desde Internet significa que los
archivos entrantes podrían estar cargados con todo tipo de programas, como virus y
falsificaciones, que envían información sobre la red a un pirata informático. El servicio FTP en sí
mismo es bastante seguro, pero nuevamente, los administradores del sistema deben reparar
algunos agujeros conocidos, dependiendo de la versión de FTP.

37. Telnet
Telnet es ampliamente utilizado para permitir que un usuario se conecte a otra máquina en una
ubicación remota y se comporte como si estuviera directamente conectado. La utilidad Telnet
tiene un inconveniente importante: toda la información se envía sin cifrar. Si Telnet envía un
nombre de usuario y contraseña, se envían de forma clara, lo que permite que un hacker intercepte
y explote la información. Los protocolos de autenticación se pueden utilizar para combatir este
problema, pero Telnet a menudo se explota de todos modos porque todo tipo de información vuela
de un lado a otro entre el cliente y el servidor.
Usenet: NNTP
El Protocolo de transferencia de noticias de red (NNTP) es la forma más utilizada para enviar y
recibir grupos de noticias y publicaciones de Usenet. Si planea aceptar un suministro de noticias
en su red, tendrá que planificar cuidadosamente para permitir que NNTP sea aceptado teniendo en
cuenta la seguridad. Los piratas informáticos aprovechan con bastante facilidad el NNTP para
permitir el acceso a una red interna. Afortunadamente, asegurar NNTP es fácil porque las
comunicaciones entre hosts NNTP son casi siempre las mismas en cada sesión.
DNS
El DNS es una parte integral de las redes más grandes y se conecta a los hosts de Internet para
realizar búsquedas. El DNS por sí solo no suele ser un problema de seguridad, aunque puede
convertirse en uno debido a los protocolos que utiliza.
Construyendo su propio firewall
Puede construir su propio firewall de Internet, aunque realmente necesita un muy buen
conocimiento del sistema operativo y TCP / IP. Windows 95 y Windows 98 crean firewalls
deficientes debido al diseño del propio sistema operativo. UNIX y Windows NT / 2000 son
mejores, aunque Windows NT / 2000 es más difícil de configurar correctamente que UNIX.
Uso de software comercialde firewall
Muchos paquetes de firewall están disponibles en el mercado, y generalmente son bastante caros.
Un ejemplo de una solución de firewall es Cyberguard de Cyberguard Corporation. Otros incluyen
BorderManager de Novell, Checkpoint de Check Point Software Technologies y el firewall Eagle
de Raptor Systems. Consulte el sitio web http://www.thegild.com/ firewall / para obtener otros
nombres de soluciones de firewall comerciales.

38. Capítulo 21
Seguridad de red y sistema
Los firewalls son una parte importante para proporcionar seguridad a una red, evitando
intrusiones, y acceso a datos confidenciales.
Debe Asegurarse de que los datos que envía por Internet no pueden ser leídos por terceros no
deseados, asegurándose de que la persona a la que le envía el correo (o recibe correo) es la
persona que cree que él o ella es, y proporciona niveles adicionales de seguridad dentro de su red
en caso de que alguien lo haga consigue atravesar tus firewalls.
Niveles de seguridad, según el Departamento de Defensa de los Estados Unidos
para sus minicomputadoras y mainframes (la mayoría de las versiones en ejecución de Unix o
propietarias sistemas operativos). Los niveles de defensa del DoD y su descripción:
❏ D (protección mínima): ninguna disposición para seguridad o protección de datos
❏ C1 (seguridad discrecional): los usuarios se identifican mediante un inicio de sesión y
acceso a archivos o los directorios pueden ser controlados
❏ C2 (acceso controlado): C1 más capacidades de auditoría (registrar la actividad del
sistema) y asignación de privilegios de administrador a inicios de sesión
❏ B1 (seguridad etiquetada): C2 más controles de acceso que no pueden anularse
❏ B2 (protección estructurada): B1 más seguridad para todos los dispositivos, soporte para
confianza hosts, controles de acceso para aplicaciones
❏ B3 (dominios de seguridad): capacidad B2 plus para agrupar objetos del sistema en
discretos grupos con controles de acceso dentro de ese grupo
❏ A1 (diseño verificado): B3 más diseño de sistema confiable verificado de hardware y
software (inalcanzable)
Niveles conocidos en sistemas operativos:
❏ Most Unix systems y Windows NT: Nivel C2
❏ Máxima Seguridad en el mercado: B1
❏ Inalcanzable: A1
Si está conectado a Internet a través de TCP / IP, debe estar consciente de los problemas de
seguridad asociados con ese protocolo y sus aplicaciones.

39. Uso del cifrado
Cifrado
Proteger los datos que se envían de un lado a otro de Internet y líneas telefónicas es su centro.
Aunque los sistemas de cifrado se consideran un arma, la facilidad de acceso a productos de
cifrado gratuitos o shareware a través de Internet, así como la presión de los proveedores de
aplicaciones y sistemas operativos, los convierten en una herramienta.
1. Cifrado de contraseña simple: El cifrado usa una clave para codificar datos, haciéndolo
ilegible para alguien que no tiene la clave para decodificarlo.
CodedDrag ofrece métodos de cifrado DES, TripleDES y Blowfish; los dos últimos son mucho
más difíciles de romper.
Cifrado de clave pública-privada
Es mucho más popular entre los usuarios de Internet porque permite para decodificar mensajes sin
conocer una contraseña diferente para cada uno.
La forma en que funciona un sistema de clave pública-privada es simple: tiene dos claves o
cadenas de contraseña, una de los cuales está disponible gratuitamente para cualquiera; la otra
cadena, su clave privada, solo se conoce por ti. Para que alguien le envíe un mensaje cifrado,
necesita su clave pública.
2. Seguridad de datos RSA
Es económico, muy seguro y fácil de usar. Al seleccionar un archivo y usar la opción de menú
Cifrar, se cifra automáticamente el archivo del documento después de ingresar una contraseña.
Para descifrar, una opción de menú muestra una ventana que solicita la contraseña, y si es
correcto, el archivo restaurado está disponible.
3. Cifrado simétrico de clave privada
La forma más básica de cifrado se denomina clave privada simétrica.Por ejemplo, todos los a son
reemplazados por x, todas las b se reemplazan por d, y así sucesivamente. La forma más simple de
una clave simétrica.
Elige un nuevo punto de partida para el alfabeto y se mueve en orden (a se convierte en d, b se
convierte en e, c se convierte en f, y así sucesivamente).
4. Triple cifrado DES (3DES)
modificación del algoritmo básico que utiliza más bits, lo que hace que sea mucho más difícil de
romper.
❏ El sistema es Tiny IDEA. IDEA se cree que es más fuerte que DES (claves de 56 bits) y
triple-DES (claves de 112 bits). IDEA también tiene la distinción de ser la cifra convencional
utilizado en PGP junto con el algoritmo de clave pública RSA. Algunas características de Tiny

40. IDEA son:
❏ Los archivos se procesan en su lugar (limpiando efectivamente el original).
❏ Utiliza 8 IDEA redondas en modo de retroalimentación de texto cifrado.
❏ El vector de inicialización se establece en ceros.
❏ La retroalimentación se realiza en bloques de 8 bytes.
❏ La clave IDEA es la clave de usuario seguida de " r" y llena de ceros.
❏ Está optimizado para el tamaño, no para la velocidad, pero de todos modos funciona
rápido.
5. CAST
Llamado así por los desarrolladores Carlisle Adams y Stafford Tavares, usa un 64-bit clave y
bloque de 64 bits para encriptación. Hay muchas cosas sucediendo en el fondo con CAST,
llamado S-boxes, que utilizan entradas de 8 y 32 bits. CAST no se ha descifrado hasta la fecha,
pero al igual que IDEA, puede ser más lento encriptar y desencriptar.
6. Skipjack
La Agencia de Seguridad Nacional desarrolló un sistema de cifrado específicamente para el chip
Clipper, que el gobierno de EE. UU. quería incluir todos los dispositivos en línea (por lo tanto,
permiten el monitoreo).
se sabe que tiene una clave de 80 bits con 32 rondas de procesamiento. Skipjack usa dos claves:
una privada y un maestro en poder del gobierno. En teoría, tomaría 400 mil millones de años para
rompa Skipjack usando el mejor hardware disponible hoy.
AT&T proporciona el chip Clipper (y, por lo tanto, Skipjack) a varios fabricantes, incluidos ellos
mismos.
7. RC2 y RC4
Son algoritmos secretos desarrollados por RSA Data Security. Desafortunadamente
para ellos, el código fuente fue publicado en Internet RC4 se consideraba bastante seguro y
Netscape lo utilizaba para sus versiones exportadas de navegador. El cifrado fue roto por dos
grupos diferentes aproximadamente al mismo tiempo,
Tomando alrededor de ocho días para completar la tarea.
DES, IDEA y otros
IBM desarrolló el Estándar de cifrado de datos en 1976 para el gobierno de EE. UU. El DES
El algoritmo utiliza una clave de cifrado de 56 bits, lo que significa que 72,057,594,037,927,936
claves es posible.
Una máquina construida por Cryptography Research, Advanced Wireless Technologies,
y EFF se utilizó para demostrar búsquedas rápidas de teclas para el DES. La clave DES

41. Search Project desarrolló hardware y software especialmente diseñados para buscar
90 mil millones de claves por segundo, buscaron durante 56 horas.
¿Cuál es el algoritmo de cifrado más rápido y seguro mencionado?
Se puede ver entre, Triple DES, IDEA, Triple IDEA y Skipjack, todo lo suficientemente seguro
hacer que el descifrado no autorizado sea casi imposible.
Si consideramos que:
❏ DES tarda 1 segundo en cifrar o descifrar un documento
❏ Triple DES requiere 3 segundos
❏ IDA 2.5 segundos
❏ Triple IDEA 4 segundos.
Autenticación con firmas digitales
Las firmas digitales usan cifrado público-privado, confiando en la clave pública para permitir que
cualquier persona verifique la identidad del remitente porque el mensaje está codificado con su
clave privada.
❏ Digital Signature Standard (DSS)
Ofrece autenticación de firma digital. Tiene una falla importante, ya que es fácil revelar
accidentalmente sus claves si se elige el mismo número de cifrado aleatorio dos veces y un hacker
tiene ambos mensajes utilizando ese número aleatorio. Peor aún, el contenido del mensaje a veces
es fácil de descifrar.
❏ El algoritmo Secure Hash (SHA) y el estándar Secure Hash (SHS), son más seguros que
el DSS. SHS utiliza un algoritmo de hash que involucra claves de 160 bits. Desafortunadamente,
SHS es algo lento. Dada la velocidad con qué RSA y PGP funcionan, es difícil entender por qué
alguien adoptaría SHS.
❏ Algoritmos de resumen de mensajes (MD2, MD4 y MD5)
generar una huella digital basada en la entrada. La huella digital es un código de 128 bits, llamado
un resumen del mensaje. No habrá dos mensajes que tengan el mismo resumen de mensajes (en
teoría).
MD5 es el más seguro del conjunto, Microsoft usa MD4 en sus archivos de usuario de Windows
NT
❏ Kerberos
Llamados centros de distribución de claves (KDC). Kerberos se basa en el uso de un sistema de
cifrado de clave privada basado en DES.

42. Kerberos es una forma de proporcionar seguridad de red controlando el acceso a los servicios de
red a nivel de usuario. Un servidor Kerberos está ubicado en algún lugar de la red (generalmente
en una máquina segura).
Cracking de datos cifrados
El proceso consiste en intentar leer un mensaje cifrado sin conocer las claves que se utilizaron
para generar el mensaje en primer lugar.
Este tipo de descifrado criptográfico se conoce como texto sin formato porque conoce parte del
mensaje y lo utiliza para aprovechar la clave del resto del mensaje.
Conocer alguna parte de una clave, o tener una buena idea de qué puede estar compuesta la clave,
ayuda a acortar el tiempo de craqueo, también.
Se puede interceptar una idea de las claves de un usuario, si un cracker puede obtener claves
parciales o claves públicas de ambos extremos de una ruta de mensajes, las probabilidades de
romper el mensaje completo son mucho mayores.
El método de texto cifrado se puede usar cuando solo tiene el mensaje cifrado para trabajar.
Luego, las computadoras prueban diferentes claves para descifrar el mensaje, a veces con la ayuda
del cracker que puede adivinar las palabras del mensaje. Puede usar parte del mensaje cifrado para
ayudar a elegir una clave para romper todo el contenido.
Si se conoce el algoritmo de cifrado, se puede utilizar un método de texto sin formato modificado.
Con este método, el cracker cifra un mensaje con la misma técnica (pero no la misma clave) que el
mensaje de destino. Al repetir el proceso con diferentes mensajes y claves, una idea de la clave
utilizada para cifrar el mensaje de destino se puede desarrollar.
Protección de su red
La mayoría de las LAN no se consideran un problema de seguridad, pero tienden a ser uno de los
métodos más fáciles de ingresar a un sistema.
Las PC y Macintosh generalmente tienen poca seguridad, especialmente en módems de llamada,
por lo que pueden usarse de manera similar para acceder a los servicios de red.
Por lo tanto, cualquier solución para una máquina debe implementarse para todas las máquinas en
la red.
❏ Inicios de sesión y contraseñas
El método de acceso más común para entrar en un sistema a través de una red, a través de una
conexión de módem o sentado frente a un terminal es a través de contraseñas débiles (lo que
significa que se pueden adivinar fácilmente).
Si está administrando un sistema que tiene varios usuarios, debe implementar una política que
requiera que los usuarios establezcan sus contraseñas a intervalos regulares (por lo general, una
buena idea es de seis a ocho semanas) y que utilicen palabras que no estén en inglés.

43. Es posible que desee considerar forzar un uso de contraseña más fuerte mediante el uso de
dominio público o software comercial que verifique la susceptibilidad de las contraseñas
potenciales.
En los sistemas Unix, debe ejecutar la utilidad pwconv, que utiliza archivos shadow para
almacenar la información de la contraseña. A diferencia del archivo de contraseña, los archivos de
sombra no son legibles en todo el mundo.
Los usuarios de Windows NT / 2000 necesitan implementar adecuadamente las cuentas de usuario
a través del Administrador de usuarios para dominios o el Directorio activo para usuarios y
computadoras, que le permite configurar cuentas de grupos de trabajo y dominios.
❏ Permisos de archivo y directorio
La forma en que establece los permisos de archivos y directorios varía según el sistema operativo.
En los sistemas Unix y Linux puede usar el comando chmod (modo de cambio), mientras que en
los sistemas Windows 95, 98 y NT / 2000 necesita usar las listas de control de acceso (ACL)
❏ Módems
Los módems son la interfaz más utilizada en todos los sistemas (a menos que se ejecute de manera
completamente independiente o en una red cerrada).
La técnica más segura para evitar el acceso no autorizado a través de módems es emplear un
módem de devolución de llamada. Un módem de devolución de llamada permite a los usuarios
conectarse al sistema como de costumbre; luego cuelga y consulta una lista de usuarios válidos y
sus números de teléfono antes de llamar al usuario volver a establecer la llamada. Son vulnerables
al abuso debido a las características de reenvío de llamadas de los conmutadores telefónicos
modernos.
❏ Relaciones de confianza
En una relación de confianza, una máquina decide permitir a los usuarios de otra máquina acceder
a los recursos sin tener que iniciar sesión nuevamente.
Las relaciones de confianza no son lo mismo que ejecutar el Servicio de información de red (NIS)
o las Páginas amarillas (YP), que utilizan un archivo central de usuario y contraseña.
El problema con las relaciones de confianza es fácil de ver: si alguien irrumpe en una máquina,
puede acceder a cualquier otra máquina que tiene una relación de confianza con esa máquina.
❏ UUCP en sistemas Unix y Linux
UCP requiere un poco de atención de la administración del sistema para garantizar que funcione
de manera adecuada y segura.Si no planea usar UUCP, elimine por completo al usuario uucp del
archivo / etc / password o proporcione una contraseña segura que no pueda adivinarse (colocando
un asterisco como primer carácter del campo de contraseña en / etc / passwd deshabilita

44. efectivamente el inicio de sesión). Eliminar uucp del archivo / etc / passwd no afectará nada más
en el sistema Linux.
Los permisos para estos directorios tienden a ser laxos con la mayoría de los sistemas, así que use
chown, chmod y chgrp para restringir
acceso solo al inicio de sesión uucp. El grupo y el nombre de usuario para todos los archivos
deben establecerse en uucp.
Preparándosepara lo peor
1. Descubra cómo entró el invasor y asegure ese método de acceso para que no pueda
volver a usarse. Si no está seguro del método de acceso, cierre todos los módems y terminales y
revise cuidadosamente todos los archivos de configuración y configuración en busca de agujeros.
2. Si es víctima de ataques repetidos, considere habilitar un sistema de auditoría para
realizar un seguimiento de cómo entran los intrusos y qué hacen. Tan pronto como veas a un
intruso ingresar, haz que se retire.
3. Si los robos continúan, llame a las autoridades locales. Irrumpir en los sistemas
informáticos (ya sea en una gran corporación o en un hogar) es ilegal en la mayoría de los países
Bibliografía
Shah, R., Parker, T. y Sportack, M. (1999). TCP / IP desatado . Sams