Fortinet Exam
PRINCIPIOS FIREWALL, STATEFULL, STATELESS Un firewall es un dispositivo de seguridad, veamos exactamente lo que hace y e
Views 572 Downloads 55 File size 638KB
Recommend stories
- Categories
- LAN inalámbrico
- Punto de acceso inalámbrico
- Router (Informática)
- Protocolos de Internet
- Era de la información
Citation preview
PRINCIPIOS FIREWALL, STATEFULL, STATELESS Un firewall es un dispositivo de seguridad, veamos exactamente lo que hace y en que se basa su funcionamiento. Un firewall es un dispositivo que funciona como cortafuegos entre redes, permitiendo o denegando las transmisiones de una red a la otra. Un uso típico es situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar que los intrusos puedan acceder a información confidencial. Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en función de lo que sean permite o deniega su paso. Para permitir o denegar una comunicación el firewall examina el tipo de servicio al que corresponde, como pueden ser el web, el correo o el IRC. Dependiendo del servicio el firewall decide si lo permite o no. Además, el firewall examina si la comunicación es entrante o saliente y dependiendo de su dirección puede permitirla o no. De este modo un firewall puede permitir desde una red local hacia Internet servicios de web, correo y ftp, pero no a IRC que puede ser innecesario para nuestro trabajo. También podemos configurar los accesos que se hagan desde Internet hacia la red local y podemos denegarlos todos o permitir algunos servicios como el de la web, (si es que poseemos un servidor web y queremos que accesible desde Internet). Dependiendo del firewall que tengamos también podremos permitir algunos accesos a la red local desde Internet si el usuario se ha autentificado como usuario de la red local. Un firewall puede ser un dispositivo software o hardware, es decir, un aparatito que se conecta entre la red y el cable de la conexión a Internet, o bien un programa que se instala en la máquina que tiene el modem que conecta con Internet. Incluso podemos encontrar ordenadores computadores muy potentes y con softwares específicos que lo único que hacen es monitorizar las comunicaciones entre redes.
TCP/UDP El protocolo UDP UDP es un protocolo no orientado a conexión. Es decir cuando una maquina A envía paquetes a una maquina B, el flujo es unidireccional. La transferencia de datos es realizada sin haber realizado previamente una conexión con la maquina de destino (maquina B), y el destinatario recibirá los datos sin enviar una confirmación al emisor (la maquina A). Esto es debido a que la encapsulación de datos enviada por el protocolo UDP no permite transmitir la información relacionada al emisor. Por ello el destinatario no conocerá al emisor de los datos excepto su IP. El protocolo TCP Contrariamente a UDP, el protocolo TCP está orientado a conexión. Cuando una máquina A envía datos a una máquina B, la máquina B es informada de la llegada de datos, y confirma su buena recepción. Aquí interviene el control CRC de datos que se basa en una ecuación matemática que permite verificar la integridad de los datos transmitidos. De este modo, si los datos recibidos son corruptos, el protocolo TCP permite que los destinatarios soliciten al emisor que vuelvan a enviar los datos corruptos.
3WAY HANDSHAKE Protocolo de acuerdo a 3 vías El mecanismo es el siguiente 0. El host receptor, que en el caso de más común será un servidor, espera pasivamente una conexión ejecutando las primitvas LISTEN y ACCEPT. 1. En primer lugar, el host que deséa iniciar la conexión ejecuta una primitiva CONNECT especificando la dirección IP y el puerto con el que se deséa conectar, el tamaño máximo del segmento que está dispuesto a aceptar y opcionelmente otros datos, como alguna contraseña de usuario. Entonces la primitiva CONNCET hace una apertura activa, enviando al otro host un paquete que tiene el bit SYN (ver formato de un segmento TCP más abajo) activado, indicándole también el número de secuencia inicial "x" que usará para enviar sus mensajes. 2. El host receptor recibe el segmento revisa si hay algún proceso activo que haya ejecutado un LISTEN en el puerto solicitado, es decir, preparado para recibir datos por ese puerto. Si lo hay, el proceso a la escucha recibe el segmento TCP entrante, registra el número de secuencia "x" y, si deséa abrir la conexión, responde con un acuse de recibo "x + 1" con el bit SYN activado e incluye su propio número de secuencia inicial "y", dejando entonces abierta la conexión por su extremo. El número de acuse de recibo "x + 1" significa que el host ha recibido todos los octetos hasta e incluyendo "x", y espera "x + 1" a continuación. Si no deséa establecer la conexión, envía un contestación con el bit RST activado, para que el host en el otro extremo lo sepa. 3. El primer host recibe el segmento y envía su confirmación, momento a partir del cual puede enviar datos al otro extremo, abriendo entonces la conexión por su extremo. 4. La máquina receptora recibe la confirmación y entiende que el otro extremo ha abierto ya su conexión, por lo que a partir de ese momento también puede ella enviar datos. Con ésto, la conexión ha quedado abierta en ambos sentidos
RUTEO LINK STATE A los protocolos de enrutamiento de link-state (como OSPF) también se les conoce como protocolos de shortest path first y se desarrollan en torno al algoritmo shortest path first (SPF) de Edsger Dijkstra.
Los protocolos de estado de enlace son protocolos de enrutamiento de gateway interior, se utilizan dentro de un mismo AS (sistema autónomo) el cual puede dividirse en sectores más pequeños como divisiones lógicas llamadas Áreas.
PAQUETES ESTADO-ENLACE: La información acerca del estado de dichos enlaces se conoce como link-states. esta información incluye: La dirección IP de la interfaz y la máscara de subred. El tipo de red, como Ethernet (broadcast) o enlace serial punto a punto. El costo de dicho enlace. Cualquier router vecino en dicho enlace. CARACTERÍSTICAS LINK-STATE Mediante los paquetes de saludo, los routers conocerán a sus vecinos. Posteriormente enviarán paquetes LSP Con información sobre el estado enlace de las redes conectadas directamente ;Los vecinos son bombardeados con estos paquetes LSP y los almacenan en una base de datos . Gracias a esta base de datos de paquetes LSP ,los routers crean el mapa topológico completo y así pueden calcular la mejor ruta para cada red de destino . Los protocolos de enrutamiento de link-state normalmente requieren más memoria, más procesamiento de CPU y, en ocasiones, un mayor ancho de banda que los protocolos de enrutamiento vector distancia.
UNCIONAMIENTO LINK-STATE 1. Cada router obtiene información sobre sus propios enlaces, sus propias redes conectadas directamente. 2. Cada router es responsable de reunirse con sus vecinos en redes conectadas directamente. (Paquetes de saludo) 3. Cada router crea un Paquete de link-state (LSP) que incluye el estado de cada enlace directamente conectado. ( ID de vecino, el tipo de enlace y el ancho de banda). 4. Cada router satura con el LSP a todos los vecinos, que luego almacenan todos los LSP recibidos en una base de datos. Los vecinos luego saturan con los LSP a sus vecinos hasta que todos los routers del área hayan recibido los LSP. Cada router almacena una copia de cada LSP recibido por parte de sus vecinos en una base de datos local. (Después de la inundación LSP Inicial generalmente requieren menos ancho de banda para comunicar cambios en una topología) . 5. Cada router utiliza la base de datos para construir un mapa completo de la topología y calcula el mejor camino hacia cada red de destino. El algoritmo SPF se utiliza para construir el mapa de la topología y determinar el mejor camino hacia cada red
Otros detalles de su comportamiento y respuestas de exámen Cisco CCNA2: – Mandan paquetes de estado-enlace cuando un enlace se activa o se desactiva. – Cada router determina de manera independiente la ruta a cada red. – IS-IS y OSPF utilizan el algoritmo Dijkastra. Este algoritmo acumula costos a lo largo de cada ruta, desde el origen hasta el destino. – Al recibir un LSP de un router vecino, un router de estado de enlace inmediatamente saturará el LSP a los vecinos. – La base de datos de estado de enlace en los routers de enlace de datos dentro de un área ,debe ser idéntica para construir un árbol SPF preciso. – Eventos que hacen que el router de estado de enlace envíe el LSP a todos los vecinos : Cada vez que la topología de red cambia. En la puesta en marcha inicial del router o del protocolo de enrutamiento . – El último paso en el proceso de enrutamiento de estado de enlace es: SPFcalcula la mejor ruta a cada red destino – Afirmaciones que describen correctamente el proceso de enrutamiento de link state: Todos los Routers en el área tienen bases de datos de link-state Cada router en el área inunda los LSP hacia todos los vecinos – ¿Qué función proporcionan los protocolos de estado de enlace modernos para minimizar el procesamiento y los requisitos de memoria ? Dividir topologías de enrutamiento en áreas más pequeñas – Para alcanzar la convergencia de red cuáles son los tres pasos que realiza cada router de link-state? : Construir un paquete de Link.State (LSP) que contiene el estado de cada enlace directamente conectado . Inundar el LSP a todos los vecinos, los cuales luego almacenan todos los LSP recibidos en una base de datos . Construir un mapa completo de la topología y calcular el mejor camino hacia cada red destino . – Lo que agiliza la convergencia en una red que usa el Enrutamiento de estado de enlace es: Las actualizaciones se desencadenan cuando se producen cambios en la red – ¿Por qué es difícil que se produzcan routing loops en redes que usan enrutamiento de estado de enlace?
Cada router desarrolla una visión completa y sincronizada de la red
VECTOR DISTANCIA Vector Distancia: Su métrica se basa en lo que se le llama en redes “Numero de Saltos”, es decir la cantidad de routers por los que tiene que pasar el paquete para llegar a la red destino, la ruta que tenga el menor numero de saltos es la mas optima y la que se publicará. lgunos protocolos de enrutamiento dinámicos son: - RIP : Protocolo de enrutamiento de gateway Interior por vector distancia. - IGRP: Protocolo de enrutamiento de gateway Interior por vector distancia, del cual es propietario CISCO. - EIGRP: Protocolo de enrutamiento de gateway Interior por vector distancia, es una versión mejorada de IGRP. - OSPF: Protocolo de enrutamiento de gateway Interior por estado de enlace. - BGP: Protocolo de enrutamiento de gateway exterior por vector ditancia. RIP RIP
(Routing information encaminamiento)
protocolo,
protocolo
de
información
de
RIP es un protocolo de encaminamiento interno, es decir para la parte interna de la red, la que no está conectada al backbone de Internet. Es muy usado en sistemas de conexión a internet como infovia, en el que muchos usuarios se conectan a una red y pueden acceder por lugares distintos. Cuando un usuarios se conecta el servidor de terminales (equipo en el que finaliza la llamada) avisa con un mensaje RIP al router más cercano advirtiendo de la dirección IP que ahora le pertenece. Así podemos ver que RIP es un protocolo usado por distintos routers para intercambiar información y así conocer por donde deberían enrutar un paquete para hacer que éste llegue a su destino.
OSPF (Open shortest path first, El camino más corto primero) OSPF se usa, como RIP, en la parte interna de las redes, su forma de funcionar es bastante sencilla. Cada router conoce los routers cercanos y las direcciones que posee cada router de los cercanos. Además de esto cada router sabe a que distancia (medida en routers) está cada router. Así cuando tiene que enviar un paquete lo envía por la ruta por la que tenga que dar menos saltos. Así por ejemplo un router que tenga tres conexiones a red, una a una red local en la que hay puesto de trabajo, otra (A) una red rápida frame relay de 48Mbps y una línea (B) RDSI de 64Kbps. Desde la red local va un paquete a W que esta por A a tres saltos y por B a dos saltos. El paquete iría por B sin tener en cuenta la saturación de la linea o el ancho de banda de la linea. La O de OSPF viene de abierto, en este caso significa que los algoritmos que usa son de disposición pública.
BGP es un protocolo muy complejo que se usa en la interconexión de redes conectadas por un backbone de internet. Este protocolo usa parámetros como ancho de banda, precio de la conexión, saturación de la red, denegación de paso de paquetes, etc. para enviar un paquete por una ruta o por otra. Un router BGP da a conocer sus direcciones IP a los routers BGP y esta información se difunde por los routers BGP cercanos y no tan cercanos. BGP tiene su propios mensajes entre routers, no utiliza RIP. BGP es usado por grandes proveedores de conectividad a internet. Por ejemplo una empresa (A) tiene alquilada una línea a telefónica-data. La empresa A no hace BGP y posiblemente los routers más cercanos no utilizarán BGP pero si los que interconecten Telefónica-Data con Hispanix (punto neutro de interconexión en España).
IPsec IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec también incluye protocolos para el establecimiento de claves de cifrado. Los protocolos de IPsec actúan en la capa de red, la capa 3 del modelo OSI.Otros protocolos de seguridad para Internet de uso extendido, como SSL, TLS y SSH operan de la capa de transporte (capas OSI 4 a 7) hacia arriba. Esto hace que IPsec sea más flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP, los protocolos de capa de transporte más usados. IPsec tiene una ventaja sobre SSL y otros métodos que operan en capas superiores. Para que una aplicación pueda usar IPsec no hay que hacer ningún cambio, mientras que para usar SSL y otros protocolos de niveles superiores, las aplicaciones tienen que modificar su código. IPsec está implementado por un conjunto de protocolos criptográficos para (1) asegurar el flujo de paquetes, (2) garantizar la autenticación mutua y (3) establecer parámetros criptográficos. La arquitectura de seguridad IP utiliza el concepto de asociación de seguridad (SA) como base para construir funciones de seguridad en IP. Una asociación de seguridad es simplemente el paquete de algoritmos y parámetros (tales como las claves) que se está usando para cifrar y autenticar un flujo particular en una dirección. Por lo tanto, en el tráfico normal bidireccional, los flujos son asegurados por un par de asociaciones de seguridad. La decisión final de los algoritmos de cifrado y autenticación (de una lista definida) le corresponde al administrador de IPsec. Para decidir qué protección se va a proporcionar a un paquete saliente, IPsec utiliza el índice de parámetro de seguridad (SPI), un índice a la base de datos de asociaciones de seguridad (SADB), junto con la dirección de destino de la cabecera del paquete, que juntos identifican de forma única una asociación de seguridad para dicho paquete. Para un paquete entrante se realiza un procedimiento similar; en este caso IPsec coge las claves de verificación y descifrado de la base de datos de asociaciones de seguridad. En el caso de multicast, se proporciona una asociación de seguridad al grupo, y se duplica para todos los receptores autorizados del grupo. Puede haber más de una asociación de seguridad para un grupo, utilizando diferentes SPIs, y por ello permitiendo múltiples niveles y conjuntos de seguridad dentro de un grupo. De hecho, cada remitente puede tener múltiples asociaciones de seguridad, permitiendo
autenticación, ya que un receptor sólo puede saber que alguien que conoce las claves ha enviado los datos. Hay que observar que el estándar pertinente no describe cómo se elige y duplica la asociación a través del grupo; se asume que un interesado responsable habrá hecho la elección. Modos de funcionamiento Modo transporte En modo transporte, sólo la carga útil (los datos que se transfieren) del paquete IP es cifrada y/o autenticada. El enrutamiento permanece intacto, ya que no se modifica ni se cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera de autenticación (AH), las direcciones IP no pueden ser traducidas, ya que eso invalidaría el hash. Las capas de transporte y aplicación están siempre aseguradas por un hash, de forma que no pueden ser modificadas de ninguna manera (por ejemplo traduciendo los números de puerto TCP y UDP). El modo transporte se utiliza para comunicaciones ordenador a ordenador. Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definido por RFCs que describen el mecanismo de NAT-T El propósito de este modo es establecer una comunicación segura punto a punto, entre dos hosts y sobre un canal inseguro. Este ejemplo ilustra esto: Modo tunel En el modo túnel, todo el paquete IP (datos más cabeceras del mensaje) es cifrado y/o autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que funcione el enrutamiento. El modo túnel se utiliza para comunicaciones red a red (túneles seguros entre routers, p.e. para VPNs) o comunicaciones ordenador a red u ordenador a ordenador sobre Internet. El propósito de este modo es establecer una comunicación segura entre dos redes remotas sobre un canal inseguro. Este ejemplo ilustra esto: Cabeceras Cabecera IP La cabecera del paquete IP es la siguiente: Donde:
ver Es la versión del protocolo IP. IPsec se monta sobre IPv4. hlen Longitud de la cabecera, en palabras de 32 bits. Su valor mínimo es de 5 para una cabecera correcta, y el máximo de 15. El tamaño de la cabecera nunca incluye el tamaño del payload o de la cabecera siguiente. TOS Indica una serie de parámetros sobre la calidad de servicio deseada durante el tránsito por una red. Algunas redes ofrecen prioridades de servicios, considerando determinado tipo de paquetes “más importantes” que otros (en particular estas redes solo admiten los paquetes con prioridad alta en momentos de sobrecarga). pkt len Es el tamaño total, en octetos, del datagrama, incluyendo el tamaño de la cabecera y el de los datos. El tamaño máximo de los datagramas usados
normalmente es de 576 octetos (64 de cabeceras y 512 de datos). Una máquina no debería envíar datagramas mayores a no ser que tenga la certeza de que van a ser aceptados por la máquina destino. En caso de fragmentación este campo contendrá el tamaño del fragmento, no el del datagrama original.
ID Indica el identificador del fragmento actual en caso de que el paquete estuviera fragmentado fgls Actualmente utilizado sólo para especificar valores relativos a la fragmentación de paquetes:
bit 0: Reservado; debe ser 0 bit 1: 0 = Divisible, 1 = No Divisible (DF) bit 2: 0 = Último Fragmento, 1 = Fragmento Intermedio (le siguen más fragmentos) (MF) La indicación de que un paquete es indivisible debe ser tenida en cuenta bajo cualquier circunstancia. Si el paquete necesitara ser fragmentado, no se enviará.
frag offset En paquetes fragmentados indica la posición, en unidades de 64 bits, que ocupa el paquete actual dentro del datagrama original. El primer paquete de una serie de fragmentos contendrá en este campo el valor 0. TTL Indica el máximo número de enrutadores que un paquete puede atravesar. Cada vez que algún nodo procesa este paquete disminuye su valor en uno por cada router que pase. Cuando llegue a ser 0, el paquete no será reenviado. proto Indica el protocolo de siguiente nivel utilizado en la parte de datos del datagrama. Los más utilizados son:
Codigo 1 2 4 6 17 41 47 50 51
Descripción ICMP — Internet Control Message Protocol IGMP — Internet Group Management Protocol IP en IP (una encapsulación IP) TCP — Transmission Control Protocol UDP — User Datagram Protocol IPv6 — next-generation TCP/IP GRE — Generic Router Encapsulation (usado por PPTP) IPsec: ESP — Encapsulating Security Payload IPsec: AH — Authentication Header
Otros códigos se encuentran en la web de IANA Cabecera IPsec AH (authentication only) AH está dirigido a garantizar integridad sin conexión y autenticación de los datos de origen de los datagramas IP. Para ello, calcula un Hash Message Authentication Code (HMAC) a través de algún algoritmo hash operando sobre una clave secreta, el contenido del paquete IP y las partes inmutables del datagrama. Este proceso restringe la posibilidad de emplear NAT, que puede ser implementada con NAT transversal. Por otro lado, AH puede proteger opcionalmente contra ataques de repetición utilizando la técnica de ventana deslizante y descartando paquetes viejos. AH protege la carga útil IP y todos los campos de la cabecera de un datagrama IP
excepto los campos mutantes, es decir, aquellos que pueden ser alterados en el tránsito. En IPv4, los campos de la cabecera IP mutantes (y por lo tanto no autenticados) incluyen TOS, Flags, Offset de fragmentos, TTL y suma de verificación de la cabecera. AH opera directamente por encima de IP, utilizando el protocolo IP número 51. Un cabecera AH mide 32 bits, he aquí un diagrama de cómo se organizan: * next hdr Identifica cuál es el siguiente protocolo, es decir, cual es el protocolo que será autentificado, cuál es el payload.
AH len El tamaño del paquete AH. RESERVED Reservado para futuras aplicaciones. Debe estar a 0 Security parameters index (SPI) Indica los parametros de seguridad, que en combinación con los parámetros IP, identifican la asociación de seguridad del paquete Sequence Number Es un número creciente usado para prevenir ataques por repetición. El número está incluido en los datos encriptados, así que cualquier alteración será detectada Authentication Data Contiene el valor de identificación de integridad. Puede contener relleno.Se calcula sobre el paquete entero, incluidas la mayoría de las cabeceras. El que recibe calcula otra vez el hash, y si este no coincide, el paquete se tira.
AH en Modo Transporte La manera más fácil de entender el modo transporte es que protege el intercambio de información entre dos usuarios finales. La protección puede ser autentificación o encriptación (o las dos), pero no se hace usando un tunel (para eso está el modo túnel). No es una vpn, es una simple conexión segura entre dos usuarios finales. En AH en Modo Transporte, el paquete IP es modificado ligeramente para incluir una nueva cabecera AH entre la cabecera IP y la información transmitida (TCP, UDP, etc) y después se requiere un proceso “de arrastre” que interconecta las distintas cabeceras entre ellas. Este proceso “de arrastre” se necesita para que el paquete original IP sea reconstituido cuando llegue a su destino; cuando las cabeceras IPsec han sido validadas en el receptor, se despojan las cabeceras IPsec y la carga a transmitir (TCP, UDP, etc) es guardada nuevamente en la cabecera IP.
Cuando el paquete llega a su siguiente destino y pasa el test de autenticidad, la cabecera AH es quitada y el campo proto=AH es reemplazado con el siguiente protocolo de la carga transmitida (TCP, UDP, etc). Esto pone al datagrama es su estado original, y puede ser enviado al proceso original. AH en Modo Túnel
El modo túnel es el más común para dar una funcionalidad de VPN, donde un paquete IP es encapsulado dentro de otro y enviado a su destino.
Igual que en el modo transporte, el paquete es “sellado” con un ICV para autentificar al que envia la información para prevenir modificaciones durante el tránsito. Pero a diferencia del modo de transporte, el modo túnel encapsula todo el paquete IP, no sólo la carga util (TCP, UDP ,etc). Esto hace que el destinatario del paquete sea uno diferente al destinatario original. Esto ayuda a la formación de un túnel. Cuando un paquete en modo túnel llega a su destino, pasa el mismo proceso de autentificación igual que cualquier paquete AH-IPsec. Este proceso hace que se despoje de sus cabeceras IP y AH, luego nos queda el datagrama original, que es enrutado mediante un proceso normal. La mayoria de las implementaciones tratan el final del túnel como una interfaz de red virtual -exactamente igual que una Ethernet o localhost - y el tráfico entrante y saliente de él está sujeto a todas las decisiones normales de enrutamiento. El paquete reconstituido puede ser entregado a la máquina local o enrutado donde sea (dependiendo de la dirección IP encontrada en el paquete encapsulado), pero de ninguna manera vuelve a estar sujeto a las protección de IPsec. Esta finaliza al final del túnel. A partir de allí es tratado como un datagrama IP normal. Tal como el modo de transporte es usado estrictamente para asegurar conexiones de extremo a extremo entre dos ordenadores, el modo túnel es usado normalmente entre pasarelas (routers, firewalls o dispositivos VPN) para proveer una Red Privada Virtual (VPN) ¿Transporte o Túnel? Curiosamente, no hay un campo explícito “Modo” en IPsec que distinga entre el modo de transporte y el modo túnel. Lo que los distingue es el campo *siguiente cabecera (next head)* en la cabecera AH. Cuando el valor de “siguiente cabecera” es IP, significa que este paquete encapsula un datagrama IP entero (incluyendo los campos de destino y origen IP que nos permiten saber donde va el paquete que va encapsulado después de la desencapsulación. Así se comporta el modo túnel. Otro valor cualquiera (TCP, UDP, ICMP, etc) significa que estamos usando el modo transporte y se trata de una conexión segura extremo a extremo. El nivel superior de un datagrama IP es estructurado de la misma manera, sin tener en cuenta el modo, y los routers inmediatos tratan todo tipo de tráfico IPsec/AH de la misma manera que el tráfico normal, sin una inspección más profunda. Hay que darse cuenta que un host - en contraposición a una pasarela - es necesario que soporte los dos modos, de transporte y túnel, pero en una conexión host-to-host parece superfluo usar el modo túnel. Además, una pasarela (router, firewall, etc.) tiene que tener soporte únicamente para modo túnel, sin embargo tener soporte para el modo transporte es útil sólo cuando la pasarela se considera como destino ella misma, como en caso de funciones de administración de red.
Algoritmos de autentificación AH lleva un campo (Integrity Check Value) para comprobar la integridad del paquete y que nadie lo ha manipulado durante el trayecto. El valor de ese campo está dado por algoritmos de encriptación tales como MD5 o SHA-1. Más que usar un checksum convencional, el cual podría no proveer una securidad real contra una manipulación intencional, este usa una Hashed Message Authentication Code (HMAC), que incorpora una clave secreta mienstras se crea el hash. Aunque un atacante puede recalcular un hash fácilmente, sin la clave secreta no sería capaz de crear el ICV apropiado. Huelga decir que IPsec no define ni obliga como debe hacerse la autentificación, simplemente ofrece un marco de seguridad en la que los dos hosts que realizan la comunicación se ponen de acuerdo sobre que sistema usar. Pueden usarse firmas digitales o funciones de encriptación, pero es obligatorio que ambos los conozcan y sepan como usarlos NAT y AH AH da una protección muy fuerte a los paquetes porque cubre todas las partes que se consideran inmutables. Pero esta protección tiene un coste: AH es incompatible con NAT (Network Address Translation). NAT se usa para trazar un rango de direcciones privadas (192.168.1.X) de una conjunto (normalmente más pequeño) de direcciones públicas, para reducir la demanda de direcciones IP públicas. En este proceso, la cabecera IP se modifica “al vuelo” por el dispositivo NAT para cambiar las direcciones IP de origen y destino. Cuando es cambiada la dirección de origen de la cabecera IP, se fuerza a recalcular el checksum de la cabecera. Esto se tiene que hacer a parte, porque el dispositivo NAT es como un “agujero” en el camino del origen al destino, y esta situación requiere decrementar el campo TTL(Time to Live). Dado que el campo TTL y el checksum de la cabecera siempre son modificados “al vuelo”, AH sabe que tiene que excluirlos de su protección, pero no tiene que excluir a las direcciones IP. Estas están incluidas en el constrol de integridad, y cualquier cambio en las direcciones ip de origen y destino va a hacer que el control de integridad falle cuando llegue al destinatario. Dado que el valor del control de integridad contiene una llave secreta que sólo la saben el host origen y el host destino, el dispositivo NAT no puede recalcular el ICV. Las mismas se aplican también al PAT(Port Address Translation), el cual traza múltiples direcciones IP en una en una sola dirección IP externa. No solo se modifican las direcciones IP “al vuelo”, sino además los números de los puertos UDP y TCP (a veces hasta la carga úlil que se transfiere. Esto requiere una sistema más sofisticado por parte del dispositivo NAT, y unas modificaciones más extensas en todo el datagrama IP. Por esta razón,AH - en el modo Túnel o Transporte - es totalmente incompatible con NAT y sólo se puede emplear AH cuando las redes de origen y destino son alcanzables sin traducción.
Hay que decir que esta dificultad no se aplica al ESP, ya que su autentificación y encriptación no incorpora la cabecera IP modificada por NAT. Aún asi, NAT también impone algunos desafíos incluso en ESP (explicado más adelante). NAT traduce las direcciones IP al vuelo, pero también guarda un registro de que conexiones siguen el camino traducido y así poder enviar las respuestas al origen de manera correcta. Cuando se usa TCP o UDP, esto se hace mediante los números de los puertos (que pueden ser reescritos al vuelo o no), pero IPsec no da ninguna interfaz para hacer esto. ESP (Encapsulating Security Payload) Añadir encriptacion hace que ESP sea un poco más complicado, ya que la encapsulación rodea a la carga útil es algo más que precederla con AH: ESP incluye cabecera y campos para dar soporte a la encriptacion y a una autentificación opcional. Además, provee los modos de transporte y túnel, los cuales nos son ya familiares. Las RFCs de IPsec no insisten demasiado en un sistema particular de encriptación, pero normalmente se utiliza DES, triple-DES, AES o Blowfish para asegurar la carga útil de “ojos indiscretos”. El algoritmo usado para una conexión en particular es definido por la Security Association (SA), y esta SA incluye no sólo la el algoritmo, también la llave usada. A diferencia de AH, que da una pequeña cabecera antes de la carga útil, ESP rodea la carga útil con su protección. Los parámetros de seguridad Index y Sequence Number tienen el mismo propósito que en AH, pero nos encontramos como relleno en la cola del paquete el campo “siguiente campo” y el opcional “Authentication data”. Es posible usar ESP sin ninguna encriptación (usar el algoritmo NULL), sin embargo estructura el paquete de la misma forma. No nos da ninguna confidencialidad a los datos que estamos transmitiendo, y sólo tiene sentido usarlo con una la autentificación ESP. No tiene sentido usar ESP sin encriptación o autentificación (a no ser que estemos simplemente probando el protocolo). El relleno sirve para poder usar algoritmos de encriptación orientados a bloques, dado que tenemos que crear una carga a encriptar que tenga un tamaño múltiplo de su tamaño de bloque. El tamaño del relleno viene dado por el campo pad len. El campo next hdr nos da el tipo (IP, TCP, UDP,etc) de la carga útil, aunque esto sea usado como un punto para volver hacia atras en el paquete para ver que hay en el AH. Además de la encriptación, ESP puede proveer autentificación con la misma HMAC de AH. A diferencia de AH, esta autentifica sólo la cabecera ESP y la carca útil encriptada, no todo el paquete IP. Sorprendentemente, esto no hace que la seguridad de la autentificación más débil, pero nos da algunos beneficios importantes. Cuando un forastero examina un paquete IP que contiene datos ESP, es prácticamente imposible adivinar que es lo que tiene dentro, excepto por los datos encontrados en la cabecera IP (siendo interesantes las direcciones IP de origen y destino). El atacante va a saber casi seguro que son datos ESP (está en la cabecera que son datos ESP), pero no va a saber de que tipo es la carga útil.
Incluso la presencia de Authentication Data no puede ser determina solamente con mirar al paquete. Esta resolucion está hecha por la Security Parameters Index, que hace referencia al conjunto de parámetros precompartidos para esta conexión. ESP en Modo Transporte Al igual que en AH, el modo transporte encapsula justamente la carga la carga útil del datagraya y está diseñado justamente para comunicaciones extremo-a-extremo. La cabecera IP original se deja (excepto por el campo cambiado Protocol), y esto hace además de otras cosas - que las direcciones IP de origen y destino se quedan como están.
ESP en Modo Túnel El ESP en modo Túnel encapsula el datagrama IP entero y lo encripta: Proveer una conexión encriptada en modo túnel es dar una forma muy cercana a como se crea una VPN, y es lo que se nos viene a la cabeza a la mayoría cuando pensamos acerca de IPsec. Además de esto, tenemos que añadir autentificación. Esta parte se trata en la siguiente sección. A diferencia de AH, donde un forastero puede ver fácilmente que es lo que sse transmite en modo Túnel o Transporte, usando ESP eso no ocurre; esa información no está disponible para el forastero. El caso es que en el modo túnel (poniendo next=IP), el datagrama IP entero original es parte de la carga útil encriptada, y no será visible para nadie que no pueda desencriptar el paquete. Construyendo una VPN real Con la explicación de AH y ESP ahora somos capaces de habilitar la encriptación y la autentificación para construir una VPN real. El objetivo de la VPN es juntar dos redes seguras a través de una red insegura, tal como sería tirar un cable Ethernet muy grande entre las dos redes seguras. Es una tecnología muy usada para juntar por ejemplo filiales de compañias con la sede central de la compañia, dando a los usuarios acceso a recursos que no pueden caer en manos indebidas, tales como documentos secretos. Claramente, una red VPN segura requiere las dos cosas: autentificación y encriptación. Sabemos que la única manera de conseguir encriptación es ESP, pero ESP y AH pueden proveer autentificacióN: ¿cuál de las dos usar? La solución obvia de envolver ESP dentro de AH es tecnicamente posible, pero en la práctica no es muy usada por las limitaciones de AH respecto al NAT. Usar AH+ESP puede hacer que no podamos atravesar el dispositivo NAT. En cambio, ESP+Auth es usado en modo Túnel para encapsular completamente el tráfico a traves de una red no segura, protegiendo este trafico con encriptación y autentificación. El tráfico protegido de esta manera produce información inútil para un intruso, ya que los dos hosts que se comunican están conectados a través de una VPN. Esta información puede ayudar al atacante a entender que los dos hosts se comunican por un canal seguro, pero nunca revela el contenido del tráfico. Incluso el tipo de tráfico
encapsulado en el protocolo (TCP, UDP o ICMP) está oculto para las personas de fuera. Lo particularmente bonito de este modo de operación es que los usuarios finales no saben nada de la VPN o las medidas de seguridad tomadas. Desde que una VPN está implementada por una pasarela, este trata la VPN como otra interfaz, y enruta el traico que va a otra parte como normalmente lo haría. Este paquete-en-paquete puede ser anidado a más niveles: Host A y Host B pueden establecer su propia conexión autenticada (via AH) y comunicarse sobre una VPN. Esto pondría un paquete AH dentro de un paquete con una cobertura ESP+Auth. Security Association y SPI Es obvio que si los dos hosts o pasarelas van a establecer una conexión segura, se requiere algún tipo de clave secreta compartida para llevar a cabo la función de autentificación o la y/o la clave del algoritmo de encriptación. La cuestión es como esos “secretos” son establecidos a para poder ser dirigidos desde cualquier sitio, y para los propósitos de esta guía vamos a suponer que han llegado “mágicamente” a su lugar. Cuando un datagrama IPsec - AH o ESP - llega a una una interfaz, ¿cómo sabe la interfaz que conjunto de parámetros usar (clave, algoritmo y políticas)? Un host puede tener varias conversaciones simultáneas, cada una con un diferente conjunto de claves y algoritmos, y tenemos que tener un gobernador que lleve todo este proceso. Estos parámetros son especificados por la Security Association (SA), una colección de parametros específicos de conexión, y cada pareja pueden tener uno o más colecciones de parámetros específicos de conexión. Cuando llega el datagrama son usadas tres piezas de los datos para localizar dentro de la base de datos o Security Associations Database (SADB) la SA correcta.
Dirección IP de la pareja (el usuario con el que nos estamos comunicando) Protocolo IPsec (AH o ESP) Security Parameter Index
Hay muchas maneras para asociar este triplete a un socket IP, el cual está denotado de forma única por la dirección IP, protocolo y el número del puerto Una SA es de sentido único, así que una conexión en los dos sentidos (el caso típico) requiere al menos dos. Además, cada protocolo (ESP/AH) tiene su propia SA en cada dirección, por tanto una conexión completa AH+ESP VPN requiere 4 SAs. Todas ellas están en la Security Associations Database. En la SADB tenemos una cantidad ingente de información, pero sólo podemos tocar una parte de esta:
AH: algoritmo de autenticación AH: secreto de autenticación ESP: algoritmo de encriptación ESP: clave secreta de encriptación ESP: autenticación activada si/no Algunos parámetros de intercambio de llaves
Restricciones de enrutamiento Política de filtración de IPs
Algunas implementaciones mantienen la SPD (Security Policy Database) con herramientas de tipo consola, otras con GUIs y otras proveen una interfaz basada en web sobre la red. El grado de detalle mantenido por cualquier implementación en particular depende de las facilidades ofrecidas, así como si está en modo Host o modo Pasarela (Gateway). Administración de claves secretas Finalmente, vamos a cubrir brevemente el asunto de la administración de claves. Este área incluye varios protocolos y muchas opciones, IPsec sería casi inútil sin las facilidades criptográficas de autenticación y encriptación, y este hecho requiere que las llaves que se usan sólo las sepan los participantes en la comunicación y nadie más. La forma más obvia y sencilla de establecer las directivas de securidad es de forma manual: un grupo genera ese conjunto de directivas de securidad y las hace llegar a los otros compañeros. Todas las personas implicadas en la comunicación segura instalan esas directivas como Security Association en la SPD. Este proceso no es muy recomendado, ya que no es del todo seguro: el mero hecho de hacer llegar las directivas de seguridad a otro lado, a su SPD puede exponer esas directivas a personas ajenas a la comunicación en el tránsito. In instalaciones más grandes con más dispositivos usando una clave precompartidas, esas claves pueden transigir un despliegue perjudicial para las nuevas claves. IKE - Internet Key Exchange - existe para que los puntos terminales del túnel puedan montar de manera apropiada sus Security Associations, incluyendo las directivas de seguridad que van a usar. IKE usa el ISAKMP (Internet Security Association Key Management Protocol) como un framework para dar soporte al establecimiento de una SA compatible con los dos extremos Existe un soporte para múltiples protocolos de intercambio de claves, siendo Oakley el mas usado. Huelga decir que el intercambio de claves de IPSec tiene lugar normalmente en el puerto 500 de UDP IKE V1 Y V2 Internet key exchange (IKE) es un protocolo usado para establecer una Asociación de Seguridad (SA) en el protocolo IPsec. IKE emplea un intercambio secreto de claves de tipo Diffie-Hellman para establecer el secreto compartido de la sesión. Se suelen usar sistemas de clave pública o clave pre-compartida. Supone una alternativa al intercambio manual de claves. Su objetivo es la negociación de una Asociación de Seguridad para IPSEC. Permite, además, especificar el tiempo de vida de la sesión IPSEC, autenticación dinámica de otras máquinas, etc. Fases IKE La negociación IKE está compuesta por dos fases: fase 1 y fase 2.1
El objetivo de la primera fase IKE es establecer un canal de comunicación seguro usando el algoritmo de intercambio de claves Diffie-Hellman para generar una clave de secreto compartido y así cifrar la comunicación IKE. Esta negociación establece una única SA ISAKMP Security Association (SA).2 bidireccional. La autenticación puede ser realizada usando tanto una clave compartida (pre-shared key) (secreto compartido), firmas digitales, o cifrado de clave pública.3 La fase 1 opera tanto en modo principal como agresivo. El modo principal protege la identidad de los extremos, mientras que el modo agresivo no lo hace.1
En la segunda fase IKE, los extremos usan el canal seguro establecido en la primera fase para negociar una Asociación de Seguridad (SA) en nombre de otros servicios como IPsec. La negociación consiste en un mínimo de dos SAs unidireccionales.4 Phase 2 opera sólo en Quick Mode.1
Problemas de IKE Originalmente IKE poseía numerosas opciones de configuración, pero carecía de sencillez general para la negociación automática en los entornos donde se implementaba de forma universal. De esta forma, ambos extremos debían estar de acuerdo en implementar exactamente el mismo tipo de asociación de seguridad (SA) (parámetro a parámetro) o la conexión no se establecería. Se añadía a este problema la dificultad de interpretar la salida de depuración (debug), en caso de que existiese. Las especificaciones de IKE estaban abiertas a diferentes interpretaciones, lo que se interpretaba como fallos en su diseño (Dead-Peer-Detection es un ejemplo), provocando que diferentes implementaciones de IKE no fueran compatibles entre sí, haciendo que no fuera posible establecer una asociación de seguridad dependiendo de las opciones que se eligieran, aunque ambos extremos aparecieran como correctamente configurados. Mejoras introducidas con IKEv2 La necesidad de una revisión del protocolo IKE fue incorporada en el apéndice A del RFC 4306. Los siguientes problemas fueron detallados:
Menor número de RFCs: Las especificaciones IKE estaban descritas en al menos tres RFCs, más si incluimos NAT transversal y otras extensiones comunes. IKEv2 combina todas estas descripciones en un solo RFC, además de incorporar mejoras al NAT transversal y en general al método de atravesar cortafuegos. Soporte estándar en movilidad: Existe una extensión para IKEv2 llamada MOBIKE, con objeto de soportar la movilidad y el multihoming para IKE y ESP. Usando esta extensión, IKEv2 y IPsec puede ser usada por usuarios móviles. NAT transversal: La encapsulación de IKE y ESP por UDP en el puerto 4500 permite a estos protocolos atravesar cortafuegos que usan NAT5 Soporte SCTP: IKEv2 permite el uso del protocolo SCTP usado en telefonía IP VoIP. Intercambio simple de mensajes: IKEv2 necesita cuatro mensajes para el mecanismo de intercambio inicial, mientras que IKE necesitaba de ocho. Menor número de mecanismos criptográficos: IKEv2 emplea mecanismos criptográficos para proteger los paquetes que envía, de forma muy parecida a los que hace el protocolo ESP para proteger los paquetes IPsec. Esto repercute en implementaciones y certificaciones más sencillas y para Common
Criteria and FIPS 140-2, que requieren que cada implementación criptográfica sea validada de forma independiente.
Confiabilidad y administración de estado: IKEv2 usa números de secuencia y acuses de recibo para proporcionar confiabilidad. También provee sistemas de procesamiento de errores y compartición del estado. Se descubrió que IKE podría finalizar la conexión debido a la falta de sistemas que intormen sobre el estado, al estar ambos extremos a la espera de la otra parte para iniciar una acción que nunca se produciría. Se desarrollaron algunas soluciones como Dead-Peer-Detection, pero no se llegaron a estandarizar. Esto implica que diferentes implementaciones de este tipo de soluciones no eran siempre compatibles entre sí.
Resistencia al ataque de denegación de servicio (DoS): IKEv2 no realiza procesamiento hasta que determina si el extremo que realiza la petición realmente existe. Esto permite evitar el gasto en procesamiento realizado en cifrado/descifrado que se producía al sufrir un ataque desde IP falsas.
WIRELESS LAN Una red de área local inalámbrica, también conocida como WLAN (del inglés wireless local area network), es un sistema de comunicación inalámbrico flexible, muy utilizado como alternativa a las redes de área local cableadas o como extensión de éstas. Usan tecnologías de radiofrecuencia que permite mayor movilidad a los usuarios al minimizar las conexiones cableadas. Estas redes van adquiriendo importancia en muchos campos, como almacenes o para manufactura, en los que se transmite la información en tiempo real a una terminal central. También son muy populares en los night-clubs para compartir el acceso a Internet entre varias computadoras. Funcionamiento Se utilizan ondas de radio para llevar la información de un punto a otro sin necesidad de un medio físico guiado. Al hablar de ondas de radio nos referimos normalmente a portadoras de radio, sobre las que va la información, ya que realizan la función de llevar la energía a un receptor remoto. Los datos a transmitir se superponen a la portadora de radio y de este modo pueden ser extraídos exactamente en el receptor final. A este proceso se le llama modulación de la portadora por la información que está siendo transmitida. Si las ondas son transmitidas a distintas frecuencias de radio, varias portadoras pueden existir en igual tiempo y espacio sin interferir entre ellas. Para extraer los datos el receptor se sitúa en una determinada frecuencia, frecuencia portadora, ignorando el resto. En una configuración típica de LAN (con cable) los puntos de acceso (transceiver) conectan la red cableada de un lugar fijo mediante cableado normalizado. El punto de acceso recibe la información, la almacena y la transmite entre la WLAN y la LAN cableada. Un único punto de acceso puede soportar un pequeño grupo de usuarios y puede funcionar en un rango de al menos treinta metros y hasta varios cientos. El punto de acceso (o la antena conectada al punto de acceso) es normalmente colocado en alto pero podría colocarse en cualquier lugar en que se obtenga la cobertura de radio deseada. El usuario final accede a la red WLAN a través de adaptadores. Estos proporcionan una interfaz entre el sistema de operación de red del cliente (NOS: Network Operating System) y las ondas, mediante una antena.
La naturaleza de la conexión sin cable es transparente a la capa del cliente. Configuraciones de red para radiofrecuencia Pueden ser de muy diversos tipos y tan simples o complejas como sea necesario. La más básica se da entre dos ordenadores equipados con tarjetas adaptadoras para WLAN, de modo que pueden poner en funcionamiento una red independiente siempre que estén dentro del área que cubre cada uno. Esto es llamado red de igual a igual (peer to peer). Cada cliente tendría únicamente acceso a los recursos del otro cliente pero no a un servidor central. Este tipo de redes no requiere administración o preconfiguración. Instalando un Punto de Acceso se puede doblar la distancia a la cuál los dispositivos pueden comunicarse, ya que estos actúan como repetidores. Desde que el punto de acceso se conecta a la red cableada cualquier cliente tiene acceso a los recursos del servidor y además gestionan el tráfico de la red entre los terminales más próximos. Cada punto de acceso puede servir a varias máquinas, según el tipo y el número de transmisiones que tienen lugar. Los puntos de acceso tienen un alcance finito, del orden de 150 m en lugares o zonas abiertas. En zonas grandes como por ejemplo un campus universitario o un edificio es probablemente necesario más de un punto de acceso. La meta es cubrir el área con células que solapen sus áreas de modo que los clientes puedan moverse sin cortes entre un grupo de puntos de acceso. Esto es llamado roaming. Para resolver problemas particulares de topologías, el diseñador de la red puede elegir usar un Punto de Extensión (EPs) para aumentar el número de puntos de acceso a la red, de modo que funcionan como tales pero no están enganchados a la red cableada como los puntos de acceso. Los puntos de extensión funcionan como su nombre indica: extienden el alcance de la red retransmitiendo las señales de un cliente a un punto de acceso o a otro punto de extensión. Los puntos de extensión pueden encadenarse para pasar mensajes entre un punto de acceso y clientes lejanos de modo que se construye un puente entre ambos. Uno de los últimos componentes a considerar en el equipo de una WLAN es la antena direccional. Por ejemplo: si se quiere una Lan sin cable a otro edificio a 1 km de distancia. Una solución puede ser instalar una antena en cada edificio con línea de visión directa. La antena del primer edificio está conectada a la red cableada mediante un punto de acceso. Igualmente en el segundo edificio se conecta un punto de acceso, lo cual permite una conexión sin cable en esta aplicación. Asignación de canales Los estándares 802.11a y 802.11g utilizan la banda de 2,4 – 2,5 Ghz. En esta banda, se definieron 11 canales utilizables por equipos WIFI, los cuales pueden configurarse de acuerdo a necesidades particulares. Sin embargo, los 11 canales no son completamente independientes (canales contiguos se superponen y se producen interferencias) y en la práctica sólo se pueden utilizar 3 canales en forma simultánea (1, 6 y 11). Esto es correcto para USA y muchos países de América Latina, pues en Europa, el ETSI ha definido 13 canales. En este caso, por ejemplo en España, se pueden utilizar 4 canales no-adyacentes (1, 5, 9 y 13). Esta asignación de canales usualmente se hace sólo en el punto de acceso, pues los “clientes” automáticamente detectan el canal, salvo en los casos en que se forma una red ad hoc o punto a punto cuando no existe punto de acceso.
Seguridad Uno de los problemas de este tipo de redes es precisamente la seguridad ya que cualquier persona con una terminal inalámbrica podría comunicarse con un punto de acceso privado si no se disponen de las medidas de seguridad adecuadas. Dichas medidas van encaminadas en dos sentidos: por una parte está el cifrado de los datos que se transmiten y en otro plano, pero igualmente importante, se considera la autenticación entre los diversos usuarios de la red. En el caso del cifrado se están realizando diversas investigaciones ya que los sistemas considerados inicialmente se han conseguido descifrar. Para la autenticación se ha tomado como base el protocolo de verificación EAP (Extensible Authentication Protocol), que es bastante flexible y permite el uso de diferentes algoritmos. Velocidad Otro de los problemas que presenta este tipo de redes es que actualmente (a nivel de red local) no alcanzan la velocidad que obtienen las redes de datos cableadas. Además, en relación con el apartado de seguridad, el tener que cifrar toda la información supone que gran parte de la información que se transmite sea de control y no información útil para los usuarios, por lo que incluso se reduce la velocidad de transmisión de datos útiles y no se llega a tener un buen acceso.
BALANCEADOR DE CARGA Un balanceador de carga fundamentalmente es un dispositivo de hardware o software que se pone al frente de un conjunto de servidores que atienden una aplicación y, tal como su nombre lo indica, asigna o balancea las solicitudes que llegan de los clientes a los servidores usando algún algoritmo (desde un simple Round Robin hasta algoritmos más sofisticados).1
Es un método para distribuir la carga de trabajo en varias computadoras separadas o agrupadas en un clúster.2 Para que se considere exitoso un balanceador de carga:
Debe minimizar tiempos de respuesta. Mejorar el desempeño del servicio. Evitar la saturación.
Formas de implementar el balanceo de carga
Balanceo de carga basado en DNS. Se hace por medio de registros DNS para que una URL apunte a más de una dirección IP. Es fácil su implementación.
Balanceo de carga basado en software. Por medio de los servidores WEB comparten una dirección IP, la cual resuelve el dominio. Estos servidores negocian entre ellos cual responderá a la siguiente petición. Balanceo de carga dedicado. Cualquier hardware que contenga una aplicación de balanceo de carga de código libre o comercial.
Métodos de Balanceo de Carga
De petición Basado en sesión De métodos
Métodos de Conexiones
Round-Robin. Las peticiones se entregan uno a uno en los servidores.
Weighted Round-Robin Las peticiones se entregan dependiendo del peso que se le de a cada servidor.
LeastConnection. Las peticiones se hacen dependiendo del número de conexiones que tenga cada servidor.
Weighted LeastConnection. Las peticiones se entregan dependiendo del peso y el número de conexiones que se tengan.
Ventajas del Balanceo de Carga
Se puede ampliar su capacidad fácilmente. Es de bajo costo. Transparente para el usuario. Funcionalidad permanente. Evita la saturación de servidores.
Ejemplos de balanceadores A continuación se presenta una tabla de comparación con diferentes balanceadores de carga.
LVS
Contras Pros Para enrutamiento directo se tiene que parchar el kernel
Ultra
Parche solo disponible para versiones 2.4 Soporte limitado
Observaciones Nativo de Linux Soporta varios algoritmos de distribución Failover protection El bug solo se presenta para el modo de (con ldirector) enrutamiento directo Documentación extensa Failover protection
Monkey
Pound
No parece tener actualizaciones para kernel 3.x Fork de LVS Custom kernel Poca documentación Poco conocido Difícil encontrar un paquete pre compilado
Soporta algoritmos distribución
Failover protection
Soporta algoritmos distribución
Documentación extensa Cuenta con soporte Balancea en varias capas La petición http parece Soporta varios que la hace directa, si el algoritmos a nivel sitio no entra directo, no TCP funciona. Fácil configuración
Zen Load Appliance Balancer
Apache
No es principalmente un balanceador
No es principalmente un balanceador
No es sencillo configurarlo
Pfsense
Pirhana
Solo disponible redhat
en
varios de
varios de
Interfaz web Extensa documentación Failover protection Soporta varios algoritmos de distribución Failover protection Cuenta con soporte Soporta balanceo en varias capas Interfaz web Interfaz web Fácil configuración Documentación extensa Failover protection Soporta algoritmos
varios
IPS Un sistema de prevención de intrusos (o por sus siglas en inglés IPS) es un software que ejerce el control de acceso en una red informática para proteger a los
sistemas computacionales de ataques y abusos. La tecnología de prevención de intrusos es considerada por algunos como una extensión de los sistemas de detección de intrusos (IDS), pero en realidad es otro tipo de control de acceso, más cercano a las tecnologías cortafuegos. Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon para resolver ambigüedades en la monitorización pasiva de redes de computadoras, al situar sistemas de detecciones en la vía del tráfico. Los IPS presentan una mejora importante sobre las tecnologías de cortafuegos tradicionales, al tomar decisiones de control de acceso basados en los contenidos del tráfico, en lugar de direcciones IP o puertos. Tiempo después, algunos IPS fueron comercializados por la empresa One Secure, la cual fue finalmente adquirida por NetScreen Technologies, que a su vez fue adquirida por Juniper Networks en 2004. Dado que los IPS fueron extensiones literales de los sistemas IDS, continúan en relación. También es importante destacar que los IPS pueden actuar al nivel de equipo, para combatir actividades potencialmente maliciosas. Funcionamiento Un Sistema de Prevención de Intrusos o Intrusion Prevention System ("IPS" en sus siglas en inglés), es un dispositivo de seguridad de red que monitorea el tráfico de red y/o las actividades de un sistema, en busca de actividad maliciosa. Entre sus principales funciones, se encuentran no sólo la de identificar la actividad maliciosa, sino la de intentar detener esta actividad. Siendo ésta última una característica que distingue a este tipo de dispositivos de los llamados Sistemas de Detección de Intrusos o Intrusion Detection Systems ("IDS" en sus siglas en inglés). Entre otras funciones (como en el caso del IDS) se tiene que puede alertar al administrador ante la detección de intrusiones o actividad maliciosa, mientras que es exclusivo de un Sistema de Prevención de Intrusos (IPS) establecer políticas de seguridad para proteger al equipo o a la red de un ataque. De ahí que se diga que un IPS protege a una red o equipo de manera proactiva mientras que un IDS lo hace de manera reactiva. Otras funciones importantes de estos dispositivos de red, son las de grabar información histórica de esta actividad y generar reportes. Los IPS se clasifican en cuatro difrentes tipos: 1. Basados en Red Lan (NIPS): monitorean la red lan en busca de tráfico de red sospechoso al analizar la actividad por protocolo de comunicación lan. 2. Basados en Red Wireless (WIPS): monitorean la red inalámbrica en busca de tráfico sospechoso al analizar la actividad por protocolo de comunicación inalámbrico. 3. Análisis de comportamiento de red (NBA): Examina el tráfico de red para identifica amenazas que generan tráfico inusual, como ataques de denegación de servicio ciertas formas de malware y violaciones a políticas de red. 4. Basados en Host (HIPS): Se efectúa mediante la instalación de paquetes de software que monitoran un host único en busca de actividad sospechosa Los IPS categorizan la forma en que detectan el tráfico malicioso:
Detección basada en firmas: como lo hace un antivirus.
Detección basada en políticas: el IPS requiere que se declaren muy específicamente las políticas de seguridad. Detección basada en anomalías: en función con el patrón de comportamiento normal de tráfico.
Detección basada en firmas Una firma tiene la capacidad de reconocer una determinada cadena de bytes en cierto contexto, y entonces lanza una alerta. Por ejemplo, los ataques contra los servidores Web generalmente toman la forma de URLs. Por lo tanto se puede buscar utilizando un cierto patrón de cadenas que pueda identificar ataques al servidor web. Sin embargo, como este tipo de detección funciona parecido a un antivirus, el administrador debe verificar que las firmas estén constantemente actualizadas. Detección basada en políticas En este tipo de detección, el IPS requiere que se declaren muy específicamente las políticas de seguridad. Por ejemplo, determinar que hosts pueden tener comunicación con determinadas redes. El IPS reconoce el tráfico fuera del perfil permitido y lo descarta. Detección basada en anomalías Este tipo de detección tiende a generar muchos falsos positivos, ya que es sumamente difícil determinar y medir una condición ‘normal’. En este tipo de detección tenemos dos opciones: 1. Detección estadística de anormalidades: El IPS analiza el tráfico de red por un determinado periodo de tiempo y crea una línea base de comparación. Cuando el tráfico varía demasiado con respecto a la línea base de comportamiento, se genera una alarma. 2. Detección no estadística de anormalidades: En este tipo de detección, es el administrador quien define el patrón «normal» de tráfico. Sin embargo, debido a que con este enfoque no se realiza un análisis dinámico y real del uso de la red, es susceptible a generar muchos falsos positivos. Se podría mencionar un apartado a cerca de las estraegias utilizadas a fin de decubrir nuevos tipos de ataque; entrando en esta clasificación los honey pots.
Detección honey pot (jarra de miel): funciona usando un equipo que se configura para que llame la atención de los hackers.
Detección honey pot (jarra de miel) Aquí se utiliza un distractor. Se asigna como honey pot un dispositivo que pueda lucir como atractivo para los atacantes. Los atacantes utilizan sus recursos para tratar de ganar acceso en el sistema y dejan intactos los verdaderos sistemas. Mediante esto, se puede monitorizar los métodos utilizados por el atacante e incluso identificarlo, y de esa forma implementar políticas de seguridad acordes en nuestros sistemas de uso real.
WAF Un WAF (Web Application Firewall) es un dispositivo hardware o software que permite proteger los servidores de aplicaciones web de determinados ataques específicos en Internet. Se controlan las transacciones al servidor web de nuestro negocio. Básicamente nos permite evitar (entre otras) los siguientes ataques: - Cross-site scripting que consiste en la inclusión de código script malicioso en el cliente que consulta el servidor web. - SQL injection que consiste en introducir un código SQL que vulnere la Base de Datos de nuestro servidor. - Denial-of-service que consiste en que el servidor de aplicación sea incapaz de servir peticiones correctas de usuarios. Hay 2 tipos de WAF: Los que se residen en la red (es decir son un elemento más de la red) y los que se basan en el servidor de aplicaciones (residen en el servidor). Los WAF son elementos complementarios a las medidas de seguridad que soportan los Firewall clásicos.
SMTP El Simple Mail Transfer Protocol (SMTP) o “protocolo para transferencia simple de correo”, es un protocolo de red utilizado para el intercambio de mensajes de correo electrónico entre computadoras u otros dispositivos (PDA, teléfonos móviles, etcétera). Fue definido en el RFC 2821 y es un estándar oficial de Internet.1 El funcionamiento de este protocolo se da en línea, de manera que opera en los servicios de correo electrónico. Sin embargo, este protocolo posee algunas limitaciones en cuanto a la recepción de mensajes en el servidor de destino (cola de mensajes recibidos). Como alternativa a esta limitación se asocia normalmente a este protocolo con otros, como el POP o IMAP, otorgando a SMTP la tarea específica de enviar correo, y recibirlos empleando los otros protocolos antes mencionados (POP O IMAP) Modelo de procesamiento de correo
Modelo de procesamiento del correo. El correo electrónico es presentado por un cliente de correo (MUA, agente de usuario de correo) a un servidor de correo (MSA, agente de sumisión de correo) usando SMTP. Una gran parte de los abastecedores de caja permiten la sumisión. Desde allí, el MSA entrega el correo a su agente de transferencia postal mejor conocido como el
MTA (Mail Transfer Agent, Agente de Transferencia de Correo). En algunas ocasiones, estos dos agentes son casos diferentes aunque hay que destacar que provienen del mismo software de donde fueron lanzados sólo que presentan opciones diferentes dentro de la misma máquina. El procesamiento local que se presenta puede ser realizado en una sola máquina o partido entre varias aplicaciones; en este segundo caso, los procesos implicados pueden compartir archivos; aquí SMTP es usado para la transferencia de mensajes internamente, con cada uno de los hosts configurados para usar la siguiente aplicación como un anfitrión elegante. Para lograr la localización del servidor objetivo, el MTA divisorio tiene que usar el sistema de nombre de dominio (DNS) para lograr la búsqueda del registro interno de cambiado de correo conocido como registro MX para la esfera del recipiente (la parte de la dirección a la derecha). Es en ese instante cuando el registro de MX devuelto contiene el nombre del anfitrión objetivo.[cita requerida] Luego el MTA se une al servidor de cambio como un cliente SMTP. Una vez que MX acepta el mensaje entrante, este a su vez se lo da a un agente de entrega de correo (MDA) para luego ser llevado a la entrega de correo local. El MDA, además de entregar mensajes es también capaz de salvar mensajes en un buzón de formato, y la recepción de correo puede ser realizada usando muchas computadoras. Hay dos formas en que un MDA puede entregar mensajes: ya sea enviándolos directamente al almacenamiento, o expedirlos sobre una red usando SMTP. Una vez entregado al servidor de correo local, dicho correo es almacenado para la recuperación de la hornada. Su recuperación se logra por medio de las aplicaciones de usuario final, conocidas como clientes de correo electrónico, usando el Protocolo de Acceso de Mensaje de Internet (IMAP), este protocolo que facilita tanto el acceso para enviar, como el manejo de correo almacenado. Puertos Los administradores de servidor pueden elegir si los clientes utilizan TCP puerto 25 (SMTP) o el puerto 587 (Presentación) para retransmitir el correo saliente a una inicial del servidor de correo.3 Las especificaciones y muchos servidores soportan ambos. Aunque algunos servidores soportan el puerto 465 para el legado SMTP seguro en violación de las especificaciones, es preferible utilizar los puertos estándar y comandos ESMTP estándar de acuerdo con RFC 3207, si se debe utilizar una sesión segura entre el cliente y el servidor. Algunos servidores están configurados para rechazar toda la retransmisión en el puerto 25, pero los usuarios válidos de autenticación en el puerto 587 pueden retransmitir correo a cualquier dirección válida. [cita requerida] Algunos proveedores de servicios de Internet interceptan el puerto 25, volviendo a dirigir el tráfico a su propio servidor SMTP, independientemente de la dirección de destino. Esto significa que no es posible para sus usuarios acceder a un servidor SMTP fuera de la red del ISP a través del puerto 25. Algunos servidores SMTP soportan el acceso autenticado en otro puerto que no sea 587 o 25 para permitir a los usuarios conectarse a ellos, incluso si el puerto 25 está bloqueado, pero 587 es el puerto estándar y ampliamente apoyada por los usuarios enviar correo nuevo. Microsoft Exchange Server 2013 SMTP puede escuchar en los puertos 25, 587, 465, 475, y 2525, en función de servidor y si los roles se combinan en un solo servidor.[cita requerida] Los puertos 25 y 587 se utilizan para proporcionar la conectividad del cliente con el servicio de transporte en la parte delantera de la función de servidor de acceso de cliente (CAS). Los puertos 25, 465 y 475 son utilizados por el
servicio de transporte de buzón de correo. Sin embargo, cuando la función de buzón se combina con la función de CAS en un único servidor, el puerto 2525 se utiliza por la función de buzón de SMTP desde el servicio de transporte de extremo delantero del CAS, CAS, mientras que continúa para utilizar el puerto 25. Puerto 465 es utilizado por el servicio de transporte de buzón de correo para recibir las conexiones de cliente proxy de la función CAS. Puerto 475 es utilizado por la función de buzón para comunicarse directamente con otras funciones de buzón, la transferencia de correo entre el servicio de envío de transporte de buzón de correo y el servicio de entrega de transporte buzón.4 Descripción del Protocolo SMTP es un protocolo orientado a la conexión basado en texto, en el que un remitente de correo se comunica con un receptor de correo electrónico mediante la emisión de secuencias de comandos y el suministro de los datos necesarios en un canal de flujo de datos ordenado fiable, normalmente un protocolo de control de transmisión de conexión (TCP). Una sesión SMTP consiste en comandos originados por un cliente SMTP (el agente de inicio, emisor o transmisor) y las respuestas correspondientes del SMTP del servidor (el agente de escucha, o receptor) para que la sesión se abra y se intercambian los parámetros de la sesión. Una sesión puede incluir cero o más transacciones SMTP. Una transacción de SMTP se compone de tres secuencias de comando / respuesta (véase el ejemplo a continuación). Ellos son:
MAIL: comando para establecer la dirección de retorno, también conocido como Return-Path, remitente o sobre. Esta es la dirección para mensajes de despedida. RCPT: comando, para establecer un destinatario de este mensaje. Este mandato puede emitirse varias veces, una para cada destinatario. Estas direcciones son también parte de la envolvente. DATA: para enviar el mensaje de texto. Este es el contenido del mensaje, en lugar de su envoltura. Se compone de una cabecera de mensaje y el cuerpo del mensaje separado por una línea en blanco. DATA es en realidad un grupo de comandos, y el servidor responde dos veces: una vez para el comando de datos adecuada, para reconocer que está listo para recibir el texto, y la segunda vez después de la secuencia final de los datos, para aceptar o rechazar todo el mensaje.
Resumen simple del funcionamiento del protocolo SMTP Cuando un cliente establece una conexión con el servidor SMTP, espera a que éste envíe un mensaje “220 Service ready” o “421 Service non available”. Se envía un HELO desde el cliente. Con ello el servidor se identifica. Esto puede usarse para comprobar si se conectó con el servidor SMTP correcto. El cliente comienza la transacción del correo con la orden MAIL FROM. Como argumento de esta orden se puede pasar la dirección de correo al que el servidor notificará cualquier fallo en el envío del correo (Por ejemplo, MAIL FROM:). Luego si el servidor comprueba que el origen es válido, el servidor responde “250 OK”. Ya le hemos dicho al servidor que queremos mandar un correo, ahora hay que comunicarle a quien. La orden para esto es RCPT TO:. Se pueden mandar tantas órdenes RCPT como destinatarios del correo queramos. Por cada destinatario, el servidor contestará “250 OK” o bien “550 No such user here”, si no encuentra al destinatario.
Una vez enviados todos los RCPT, el cliente envía una orden DATA para indicar que a continuación se envían los contenidos del mensaje. El servidor responde “354 Start mail input, end with .” Esto indica al cliente como ha de notificar el fin del mensaje. Ahora el cliente envía el cuerpo del mensaje, línea a línea. Una vez finalizado, se termina con un . (la última línea será un punto), a lo que el servidor contestará “250 OK”, o un mensaje de error apropiado. Tras el envío, el cliente, si no tiene que enviar más correos, con la orden QUIT corta la conexión. También puede usar la orden TURN, con lo que el cliente pasa a ser el servidor, y el servidor se convierte en cliente. Finalmente, si tiene más mensajes que enviar, repite el proceso hasta completarlos.
Puede que el servidor SMTP soporte las extensiones definidas en el RFC 1651, en este caso, la orden HELO puede ser sustituida por la orden EHLO, con lo que el servidor contestará con una lista de las extensiones admitidas. Si el servidor no soporta las extensiones, contestará con un mensaje "500 Syntax error, command unrecognized". En el ejemplo pueden verse las órdenes básicas de SMTP:
HELO, para abrir una sesión con el servidor MAIL FROM, para indicar quien envía el mensaje RCPT TO, para indicar el destinatario del mensaje DATA, para indicar el comienzo del mensaje, éste finalizará cuando haya una línea únicamente con un punto. QUIT, para cerrar la sesión RSET Aborta la transacción en curso y borra todos los registros. SEND Inicia una transacción en la cual el mensaje se entrega a una terminal. SOML El mensaje se entrega a un terminal o a un buzón. SAML El mensaje se entrega a un terminal y a un buzón. VRFY Solicita al servidor la verificación de todo un argumento. EXPN Solicita al servidor la confirmación del argumento. HELP Permite solicitar información sobre un comando. NOOP Se emplea para reiniciar los temporizadores. TURN Solicita al servidor que intercambien los papeles.
De los tres dígitos del código numérico, el primero indica la categoría de la respuesta, estando definidas las siguientes categorías:
2XX, la operación solicitada mediante el comando anterior ha sido concluida con éxito 3XX, la orden ha sido aceptada, pero el servidor esta pendiente de que el cliente le envíe nuevos datos para terminar la operación 4XX, para una respuesta de error, pero se espera a que se repita la instrucción 5XX, para indicar una condición de error permanente, por lo que no debe repetirse la orden
Una vez que el servidor recibe el mensaje finalizado con un punto puede almacenarlo si es para un destinatario que pertenece a su dominio, o bien retransmitirlo a otro servidor para que finalmente llegue a un servidor del dominio del receptor.
Ejemplo de una comunicación SMTP En primer lugar se ha de establecer una conexión entre el emisor (cliente) y el receptor (servidor). Esto puede hacerse automáticamente con un programa cliente de correo o mediante un cliente telnet. En el siguiente ejemplo se muestra una conexión típica. Se nombra con la letra C al cliente y con S al servidor. S: 220 Servidor SMTP C: HELO miequipo.midominio.com S: 250 Hello, please to meet you C: MAIL FROM: S: 250 Ok C: RCPT TO: S: 250 Ok C: DATA S: 354 End data with . C: Subject: Campo de asunto C: From: [email protected] C: To: [email protected] C: C: Hola, C: Esto es una prueba. C: Hasta luego. C: C: . C: . S: 250 Ok: queued as 12345 C: quit S: 221 Bye Formato del mensaje Como se muestra en el ejemplo anterior, el mensaje es enviado por el cliente después de que éste manda la orden DATA al servidor. El mensaje está compuesto por dos partes:
Cabecera: en el ejemplo las tres primeras líneas del mensaje son la cabecera. En ellas se usan unas palabras clave para definir los campos del mensaje. Estos campos ayudan a los clientes de correo a organizarlos y mostrarlos. Los más típicos son subject (asunto), from (emisor) y to (receptor). Éstos dos últimos campos no hay que confundirlos con las órdenes MAIL FROM y RCPT TO, que pertenecen al protocolo, pero no al formato del mensaje. Cuerpo del mensaje: es el mensaje propiamente dicho. En el SMTP básico está compuesto únicamente por texto, y finalizado con una línea en la que el único carácter es un punto.
SMTP vs Recuperación de correo El protocolo de transferencia de correo simple (SMTP) solo se encarga de entregar el mensaje. En un ambiente común el mensaje es enviado a un servidor de correo de salto siguiente a medida que llega a su destino. El correo se enlaza basado en el servidor de destino. Otros protocolos como el protocolo de oficina de correos (POP) y
el protocolo de acceso a mensaje de internet (IMAP) su estructura es para usuarios individuales, recuperación de mensajes, gestión de buzones de correo. SMTP usa una función, el procesamiento de colas de correo en un servidor remoto, permite que un servidor de correo de forma intermitente conectado a mandar mensajes desde un servidor remoto. El IMAP y el POP son protocolos inadecuados para la retransmisión de correo de máquinas de forma intermitente-conectados, sino que están diseñados para funcionar después de la entrega final. Inicio remoto de mensaje en cola Es una característica de SMTP que permite a un host remoto para iniciar el procesamiento de la cola de correo en el servidor por lo que puede recibir mensajes destinados a ella mediante el envío del comando TURN. Esta característica se considera insegura pero usando el comando ETRN en la extensión RFC 1985 funciona de forma más segura. Petición de Reenvío de Correo Bajo Demanda (ODMR) On-Demand Mail Relay (ODMR por sus siglas en Inglés) es una extensión de SMTP estandarizada en la RFC 2645 que permite que el correo electrónico sea transmitido al receptor después de que él ha sido aprobado. Usa la orden de SMTP ampliada ATRN, disponible para la direcciones de IP dinámicas. El cliente publica EHLO y órdenes de AUTH de servicios ODMR de correo, ODMR comienza a actuar como un cliente SMTP y comienza a enviar todos los mensajes dirigidos a un cliente usando el protocolo SMTP, al iniciar sesión el cortafuegos o el servidor pueden bloquear la sesión entrante debido a IP dinámicas. Sólo el servidor ODMR, el proveedor del servicio, debe escuchar las sesiones SMTP en una dirección de IP fija. Internacionalización Muchos usuarios cuyo lenguaje base no es el latín han tenido dificultades con el requisito de correo electrónico en América. RFC 6531 fue creado para resolver ese problema, proporcionando características de internacionalización de SMTP, la extensión SMTPUTF8. RFC 6531 proporciona soporte para caracteres de varios bytes y no para ASCII en las direcciones de correo electrónico. El soporte del internacionalización actualmente es limitada pero hay un gran interés en la ampliación de el RFC 6531. RFC en países como en china, que tiene una gran base de usuarios en América. Correo saliente con SMTP Un cliente de correo electrónico tiene que saber la dirección IP de su servidor SMTP inicial y esto tiene que ser dado como parte de su configuración (usualmente dada como un nombre DNS). Este servidor enviará mensajes salientes en nombre del usuario. Restricción de acceso y salida al servidor de correo En un ambiente de servidores, los administradores deben tomar medidas de control en donde los servidores estén disponibles para los clientes. Esto permite implementar seguridad frente a posibles amenazas. Anteriormente, la mayoría de los sistemas imponían restricciones de uso de acuerdo a la ubicación del cliente, sólo estaba permitido su uso por aquellos clientes cuya dirección IP es una de las controladas por los administradores del servidor. Los servidores SMTP modernos se caracterizan por
ofrecer un sistema alternativo, el cual requiere de una autenticación mediante credenciales por parte de los clientes antes de permitir el acceso. Restringir el acceso por ubicación Mediante este sistema, el servidor SMTP relativo al ISP no permitirá el acceso de los usuarios que están fuera de la red del ISP. Específicamente, el servidor solo puede permitir el acceso de aquellos usuarios cuya dirección IP fue proporcionada por el ISP, lo cual es equivalente a exigir que estén conectados a internet mediante el mismo ISP. Un usuario móvil suele estar a menudo en una red distinta a la normal de su ISP, y luego descubrir que el envío de correo electrónico falla porque la elección del servidor SMTP configurado ya no es accesible. Este sistema tiene distintas variaciones, por ejemplo, el servidor SMTP de la organización sólo puede proporcionar servicio a los usuarios en la misma red, esto se hace cumplir mediante cortafuegos para bloquear el acceso de los usuarios en general a través de Internet. O puede que el servicio realice comprobaciones de alcance en la dirección IP del cliente. Estos métodos son utilizados normalmente por empresas e instituciones, como las universidades que proporcionan un servidor SMTP para el correo saliente solo para su uso interno dentro de la organización. Sin embargo, la mayoría de estos organismos utilizan ahora métodos de autenticación de cliente, tal como se describe a continuación. Al restringir el acceso a determinadas direcciones IP, los administradores de servidores pueden reconocer fácilmente la dirección IP de cualquier agresor. Como esta representa una dirección significativa para ellos, los administradores pueden hacer frente a la máquina o usuario sospechoso. Cuando un usuario es móvil, y puede utilizar diferentes proveedores para conectarse a internet, este tipo de restricción de uso es costoso, y la alteración de la configuración perteneciente a la dirección de correo electrónico del servidor SMTP saliente resulta ser poco práctica. Es altamente deseable poder utilizar la información de configuración del cliente de correo electrónico que no necesita cambiar. Seguridad y spam Artículo principal: Antispam Una de las limitaciones del SMTP original es que no facilita métodos de autenticación a los emisores, así que se definió la extensión SMTP-AUTH en RFC 2554. A pesar de esto, el spam es aún el mayor problema. No se cree que las extensiones sean una forma práctica para prevenirlo. Internet Mail 2000 es una de las propuestas para reemplazarlo.[cita requerida] Diferentes metodologías han aparecido para combatir el spam. Entre ellas destacan DKIM, Sender Policy Framework (SPF) y desde el 2012 Domain-based Message Authentication, Reporting and Conformance (DMARC).5
GATEWAY ANTIVIRUS Gateway Anti-Virus permite a las aplicaciones en toda la empresa para comprobar los archivos en busca de virus, proporcionando una JABÓN detección de virus basada en servicios web. Las aplicaciones cliente adjuntar archivos a los mensajes SOAP y someterlos al servicio Web Gateway Anti-Virus. El servicio web utiliza ClamAV para escanear los archivos adjuntos en busca de virus y devuelve los resultados al cliente.
UTM La gestión unificada de amenazas, que comúnmente se abrevia como UTM, es un término de seguridad de la información que se refiere a una sola solución de seguridad, y por lo general un único producto de seguridad, que ofrece varias funciones de seguridad en un solo punto en la red. Un producto UTM generalmente incluye funciones como antivirus, anti-spyware, anti-spam, firewall de red, prevención y detección de intrusiones, filtrado de contenido y prevención de fugas. Algunas unidades también ofrecen servicios como enrutamiento remoto, traducción de direcciones de red (NAT, network address translation) y compatibilidad para redes privadas virtuales (VPN, virtual private network). El encanto de la solución se basa en la simplicidad, por lo que las organizaciones que puedan haber tenido proveedores o productos para cada tarea de seguridad por separado, ahora los pueden tener todos en una sola solución, con el apoyo de un único equipo o segmento de TI, y que se ejecuta en una sola consola. De qué manera los productos UTM bloquean un virus informático o muchos virus Los productos de gestión unificada de amenazas han ganado fuerza en el sector debido a la aparición de amenazas combinadas, que son el resultado de la combinación de diferentes tipos de malware y ataques que apuntan a partes separadas de la red de forma simultánea. Puede ser difícil evitar estos tipos de ataques cuando se utilizan distintos productos y proveedores para cada tarea de seguridad específica, ya que cada aspecto tiene que administrarse y actualizarse de forma individual a fin de permanecer actualizado de cara a las últimas formas de malware y cibercrimen. A través de la creación de un único punto de defensa y el uso de una sola consola, las soluciones UTM facilitan en gran medida la tarea de tratar con amenazas variadas. Aunque la gestión unificada de amenazas sí resuelve algunos problemas de seguridad de red, no lo hace sin algunas desventajas, siendo la más grande que el único punto de defensa que proporciona un producto UTM también crea un punto único de falla. Debido a esto, muchas organizaciones optan por complementar su dispositivo UTM con un segundo perímetro basado en software para detener cualquier malware que pase por el firewall UTM.
PRODUCTOS FORTINET