sábado, 9 de julio de 2016

Firewall

FIREWALL

Un cortafuegos (firewall) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.
Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.
Los cortafuegos pueden ser implementados en hardware o software, o en una combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. También es frecuente conectar el cortafuegos a una tercera red, llamada zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior.
Un cortafuegos correctamente configurado añade una protección necesaria a la red, pero que en ningún caso debe considerarse suficiente. La seguridad informática abarca más ámbitos y más niveles de trabajo y protección.

ACCESO REMOTO (VPN)

Es un servicio que proporciona una conexión segura a la red de la Universidad. A partir de ese momento, el equipo remoto forma parte de la red complutense, pudiendo acceder a los servicios o recursos que son de uso exclusivo dentro de la UCM.

Este servicio se ofrece mediante el establecimiento de una VPN (red privada virtual) y requiere que el usuario disponga de una conexión a Internet en su ubicación remota.


Teniendo en cuenta lo mencionado en el párrafo anterior, es importante resaltar que no es necesario hacer uso de la conexión VPN para navegar por Internet o para acceder a los recursos públicos de la UCM. Sólo se requiere la conexión mediante la VPN para acceder a servicios restringidos, por ejemplo, licencias de software científico, o bien a servicios de terceros que requieren una IP de la Universidad, tales como los portales de publicaciones electrónicas.


Para establecer la conexión de VPN es necesario disponer de un identificador y su correspondiente contraseña. Son los mismos datos que se usan para acceder al correo electrónico, Campus Virtual, Autoservicio del Empleado, GEA, etc. La conexión se realiza desde un ordenador o un dispositivo móvil de manera segura, es decir, cifrando tanto las credenciales como los datos enviados y recibidos a través de la VPN.

Los protocolos permitidos son:

  • Navegación web:
    • HTTP (80/tcp)
    • HTTPS (443/tcp)
  • Transferencia de ficheros:
    • FTP (21/tcp)
  • Servicios de terminal remoto:
    • TELNET (23/tcp)
    • SSH (22/tcp)
    • RDP (Remote Desktop Protocol)/Windows Terminal Server (3389/tcp)
  • Correo electrónico:
    • POP3 (110/tcp)
    • IMAP (143/tcp)
    • SMTPS (465)
    • SMTP Autenticado/Submission (597/tcp)
    • IMAPS (993/tcp)
    • POP3S (995/tcp)

MASCARA DE RED

La máscara de red o redes es una combinación de bits que sirve para delimitar el ámbito de una red de ordenadores.1 Su función es indicar a los dispositivos qué parte de la dirección IP es el número de la red, incluyendo la subred, y qué parte es la correspondiente al host.
Mediante la máscara de red un sistema (ordenador, puerta de enlacerouter, etc...) podrá saber si debe enviar un paquete dentro o fuera de la subred en la que está conectado. Por ejemplo, si el router tiene la dirección IP 192.168.1.1 y máscara de red 255.255.255.0, entiende que todo lo que se envía a una dirección IP con formato 192.168.1.X, se envía hacia la red local, mientras que direcciones con distinto formato de direcciones IP serán buscadas hacia afuera (internet, otra red local mayor, etc...).

DIRECCIÓN MAC

En las redes de computadoras, la dirección MAC (siglas en inglés de media access control; en español "control de acceso al medio") es un identificador de 48 bits (6 bloques hexadecimales) que corresponde de forma única a una tarjeta o dispositivo de red. Se conoce también como dirección física, y es única para cada dispositivo. Está determinada y configurada por el IEEE (los primeros 24 bits) y el fabricante (los últimos 24 bits) utilizando el organizationally unique identifier. La mayoría de los protocolos que trabajan en la capa 2 del modelo OSI usan una de las tres numeraciones manejadas por el IEEE: MAC-48, EUI-48, y EUI-64, las cuales han sido diseñadas para ser identificadores globalmente únicos. No todos los protocolos de comunicación usan direcciones MAC, y no todos los protocolos requieren identificadores globalmente únicos.
Es también: "La Dirección del Hardware de Control de acceso a soportes de un distribuidor que identifica los equipos, los servidores, los routers u otros dispositivos de red. Al mismo tiempo es un identificador único que está disponible en NIC y otros equipamientos de red. La mayoría de los protocolos de red usan IEEE: MAC-48, EUI-48 y EUI-64, que se diseñan para ser globalmente únicos. Un equipo en la red se puede identificar mediante sus direcciones MAC e IP".1
Las direcciones MAC son únicas a nivel mundial, puesto que son escritas directamente, en forma binaria, en el hardware en su momento de fabricación. Debido a esto, las direcciones MAC son a veces llamadas burned-in addresses, en inglés.
Si nos fijamos en la definición como cada bloque hexadecimal son 8 dígitos binarios (bits), tendríamos:
6 * 8 = 48 bits únicos
En la mayoría de los casos no es necesario conocer la dirección MAC, ni para montar una red doméstica, ni para configurar la conexión a internet, usándose esta sólo a niveles internos de la red. Sin embargo, es posible añadir un control de hardware en un conmutador o un punto de acceso inalámbrico, consistente en un filtro de direcciones MAC para permitir sólo a unas MAC concretas el acceso a la red. En este caso, deberá saberse la MAC de los dispositivos para añadirlos a la lista. Dicho medio de seguridad se puede considerar un refuerzo de otros sistemas de seguridad, ya que teóricamente se trata de una dirección única y permanente, aunque en todos los sistemas operativos hay métodos que permiten a las tarjetas de red identificarse con direcciones MAC distintas de la real.
La dirección MAC es utilizada en varias tecnologías entre las que se incluyen:
  • Ethernet
  • 802.3 CSMA/CD
  • 802.5 o redes en anillo a 4 Mbps o 16 Mbps
  • 802.11 redes inalámbricas (Wi-Fi).
  • Asynchronous Transfer Mode
MAC opera en la capa 2 del modelo OSI, encargada de hacer fluir la información libre de errores entre dos máquinas conectadas directamente. Para ello se generan tramas, pequeños bloques de información que contienen en su cabecera las direcciones MAC correspondiente al emisor y receptor de la información.

PUERTA DE ENLACE

La pasarela (en inglés gateway) o puerta de enlace es el dispositivo que actúa de interfaz de conexión entre aparatos o dispositivos, y también posibilita compartir recursos entre dos o más computadoras.
Su propósito es traducir la información del protocolo utilizado en una red inicial, al protocolo usado en la red de destino.
La pasarela es normalmente un equipo informático configurado para dotar a las máquinas de una red de área local (Local Area Network, LAN) conectadas a él de un acceso hacia una red exterior, generalmente realizando para ello operaciones de traducción de direcciones de red (Network Address Translation, NAT). Esta capacidad de traducción de direcciones permite aplicar una técnica llamada "enmascaramiento de IP" (IP Masquerading), usada muy a menudo para dar acceso a Internet a los equipos de una LAN compartiendo una única conexión a Internet, y por tanto, una única dirección IP externa.
La dirección IP de una pasarela a menudo se parece a 192.168.1.1 o 192.168.0.1 y utiliza algunos rangos predefinidos, 127.x.x.x10.x.x.x172.x.x.x192.x.x.x, que engloban o se reservan a las LAN.
Un equipo que haga de puerta de enlace en una red debe tener necesariamente dos tarjetas de red (Network Interface Card, NIC).
La puerta de enlace predeterminada (default gateway) es la ruta predeterminada o ruta por defecto que se le asigna a un equipo y tiene como función enviar cualquier paquete del que no conozca por cuál interfaz enviarlo y no esté definido en las rutas del equipo, enviando el paquete por la ruta predeterminada.
En entornos domésticos, se usan los routers ADSL como puertas de enlace para conectar la red local doméstica con Internet; aunque esta puerta de enlace no conecta dos redes con protocolos diferentes, sí que hace posible conectar dos redes independientes haciendo uso de NAT.

No hay comentarios.:

Publicar un comentario