1. tecnologias conceptos y protocolos



Descargar 332.65 Kb.
Página1/11
Fecha de conversión22.04.2018
Tamaño332.65 Kb.
  1   2   3   4   5   6   7   8   9   10   11



INTRODUCCION


La seguridad Informática mediante la aplicación de un software de firewall hoy en día es de extrema importancia, dado que muchos sistemas de comunicaciones a nivel de empresas privadas e instituciones en general, manejan información que dada la confidencialidad que los datos requieren, muchas empresas no la poseen y es necesario e importante su aplicación para darle mayor seguridad.


A continuación se realizará una descripción de cada capítulo.
Capítulo I
Este capítulo se refiere a los conceptos de redes sus topologías, conceptos de Firewall y protocolos de seguridad.
Capítulo II
Describe los problemas y falencias de la red del cliente y del carrier. Realizando una evaluación de dichas redes y solución a la inseguridad informática.
Capítulo III
Describe la implementación del proyecto, el hardware y software utilizado, los pasos para la instalación del Firewall, instalación del software de administración, creación de reglas y políticas de seguridad.
Capítulo IV
Se refiere al análisis económico del software a utilizar, costos de instalación, licenciamiento y actualizaciones de licencias.
Capítulo V
En este capítulo se realiza una demostración de la seguridad, utilizando el software Check Point en una pequeña red simulando el proyecto.

CAPITULO 1



1. TECNOLOGIAS CONCEPTOS Y PROTOCOLOS

1.1 TECNOLOGIAS Y CONCEPTOS

1.1.1 REDES DE DATOS

Cada uno de los tres siglos pasados ha estado dominado por una sola tecnología. El siglo XVIII fue la etapa de los grandes sistemas mecánicos que acompañaron a la Revolución Industrial. El siglo XIX fue la época de la máquina de vapor. Durante el siglo XX, la tecnología clave ha sido la recolección, procesamiento y distribución de información. Entre otros desarrollos, hemos asistido a la instalación de redes telefónicas en todo el mundo, a la invención de la radio y la televisión, al nacimiento y crecimiento sin precedente de la industria de los ordenadores ( computadores ), así como a la puesta en órbita de los satélites de comunicación.

A medida que avanzamos hacia los últimos años de este siglo, se ha dado una rápida convergencia de estas áreas, y también las diferencias entre la captura, transporte almacenamiento y procesamiento de información están desapareciendo con rapidez. Organizaciones con centenares de oficinas dispersas en una amplia área geográfica esperan tener la posibilidad de examinar en forma habitual el estado actual de todas ellas, simplemente oprimiendo una tecla. A medida que crece nuestra habilidad para recolectar procesar y distribuir información, la demanda de más sofisticados procesamientos de información crece todavía con mayor rapidez.
La industria de ordenadores ha mostrado un progreso espectacular en muy corto tiempo. El viejo modelo de tener un solo ordenador para satisfacer todas las necesidades de cálculo de una organización se está reemplazando con rapidez por otro que considera un número grande de ordenadores separados, pero interconectados, que efectúan el mismo trabajo. Estos sistemas, se conocen con el nombre de redes de ordenadores. Estas nos dan a entender una colección interconectada de ordenadores autónomos. Se dice que los ordenadores están interconectados, si son capaces de intercambiar información. La conexión no necesita hacerse a través de un hilo de cobre, el uso de láser, microondas y satélites de comunicaciones. Al indicar que los ordenadores son autónomos, excluimos los sistemas en los que un ordenador pueda forzosamente arrancar, parar o controlar a otro, éstos no se consideran autónomos.
1.1.2 REDES WAN
Generalmente, se considera como redes de área amplia a todas aquellas que cubren una extensa área geográfica, requieren atravesar rutas de acceso público, y utilizan parcialmente circuitos proporcionados por una entidad proveedora de servicios de telecomunicación. Típicamente, una WAN consiste en una serie de dispositivos de conmutación interconectados. La transmisión generada por cualquier dispositivo se encaminará a través de estos nodos internos hasta alcanzar el destino. A estos nodos (incluyendo a los situados en los contornos) no les concierne el contenido de los datos, al contrario su función es proporcionar el servicio de conmutación, necesario para transmitir los datos de nodo en nodo hasta alcanzar su destino final.
Tradicionalmente, las WAN se han implementado usando una de las tecnologías siguientes: conmutación de circuitos y conmutación de paquetes.


1.1.2.1 CONMUTACION DE CIRCUITOS

En las redes de conmutación de circuitos se establece a través de los nodos de la red un camino dedicado a la interconexión de dos estaciones. El camino es una secuencia conectada de enlaces físicos entre nodos. En cada enlace, se dedica un canal lógico a cada conexión. Los datos generados por la estación fuente se transmiten por el camino dedicado tan rápido como se pueda. En cada nodo, los datos de entrada se encaminan y conmutan o conmutan por el canal apropiado de salida de sin retardos. El ejemplo más ilustrativo de la conmutación de circuitos es la red telefónica.



1.1.2.2 CONMUTACION DE PAQUETES

Un enfoque diferente al anterior es el adoptado en redes de conmutación de paquetes. En este caso, no es necesario hacer una reserva a priori de recursos (capacidad de transmisión) en el camino (o sucesión de nodos). Por el contrario, los datos se envían en secuencias de pequeñas unidades llamadas paquetes. Cada paquete se pasa de nodo a nodo en la red siguiendo algún camino entre la estación origen y la de destino. En cada nodo, el paquete se recibe completamente, se almacena durante un intervalo breve y posteriormente se trasmite al siguiente nodo. Las redes de conmutación de paquetes se usan fundamentalmente para comunicaciones Terminal-computador y computador-computador.



1.1.2.3 RDSI y RDSI DE BANDA ANCHA
La sinergia y evolución entre las comunicaciones y las tecnologías de la computación, junto con la creciente demanda de servicios eficaces de captación, procesamiento y diseminación de la información, está desembocando en el desarrollo de sistemas integrados que transmiten y procesan todo tipo de datos. Una consecuencia significativa de esta tendencia ha sido el desarrollo de la Red Digital de Servicios Integrados (RDSI).
La RDSI se ha diseñado para sustituir a las redes públicas de telecomunicaciones existentes, proporcionando una gran variedad de servicios. La RDSI se define mediante la estandarización de las interfaces de usuario, y se ha implementado como un conjunto de conmutadores digitales y enlaces que proporcionan una gran variedad de tipos de tráfico, a la vez que servicios de valor añadido. En la práctica, se trata de múltiples redes, implementadas dentro de los límites nacionales, pero desde el punto de vista del usuario se considera como una única red mundial, uniformemente accesible.
A pesar de que la RDSI tiene todavía que conseguir la cobertura mundial para la que fue diseñada, está en su segunda generación. La primera generación, a veces denominada como RDSI de banda estrecha, se basa en el uso de canales de 64 Kbps como unidad básica de conmutación, presentando una clara orientación hacia la conmutación de circuitos. Técnicamente hablando, la principal contribución de la RDSI de banda estrecha ha sido el frame relay. La segunda generación, denominada RDSI de banda ancha, proporciona velocidades de transmisión muy elevadas (cientos de Mbps ) y tiene una clara orientación hacia la conmutación de paquetes. La contribución técnica principal de la RDSI de banda ancha ha sido el modo de transferencia asíncrono (ATM), también denominado retransmisión de celdas cell relay.
1.1.3 FRAME RELAY, HDLC
La conmutación de paquetes se desarrolló en la época en la que los servicios de transmisión a larga distancia sufrían una tasa de error relativamente elevada, comparada con los servicios de los que se dispone actualmente. Por tanto, para compensar esos errores relativamente frecuentes, en los esquemas de conmutación de paquetes se realiza un esfuerzo considerable, que se traduce en añadir información redundante en cada paquete, así como la realización de un procesamiento extra, tanto en el destino final como en los nodos intermedios de conmutación, necesario para detectar los errores y corregirlos.
Con los modernos sistemas de comunicaciones de alta velocidad, este esfuerzo adicional es innecesario y contraproducente. Es innecesario debido a que la tasa de error se ha reducido drásticamente y en los escasos errores que aparecen se pueden tratar en el sistema final mediante dispositivos que operan por encima del nivel de la lógica dedicada a la conmutación de paquetes. A su vez es contraproducente debido a que los bits redundantes significan un desperdicio de parte de la capacidad proporcionada por la red.
La retransmisión de tramas (frame relay) se ha desarrollado teniendo presente las mayores velocidades de transmisión que actualmente se disponen, así como las bajas tasas de error. Mientras que las redes originales de conmutación de paquetes se diseñaron para ofrecer una velocidad de transmisión al usuario final de 64 kbps, las redes ( frame relay ) están diseñadas para operar eficazmente a velocidades de transmisión de usuario de 2 Mbps. La clave para conseguir estas velocidades reside en eliminar la mayor parte de la información redundante y el procesamiento asociado para el control de errores.

Frame Relay comenzó como un movimiento a partir del mismo grupo de normalización que dio lugar a X.25 y RDSI: El ITU (entonces CCITT). Sus especificaciones fueron definidas por ANSI, fundamentalmente como medida para superar la lentitud de X.25, eliminando la función de los conmutadores, en cada "salto" de la red. X.25 tiene el grave inconveniente de su importante "overhead" producido por los mecanismos de control de errores y de flujo.


Hasta hace relativamente poco tiempo, X.25 se ha venido utilizando como medio de comunicación para datos a través de redes telefónicas con infraestructuras analógicas, en las que la norma ha sido la baja calidad de los medios de transmisión, con una alta tasa de errores. Esto justificaba los abundantes controles de errores y sus redundantes mecanismos para el control de flujo, junto al pequeño tamaño de los paquetes. En resumen, se trataba de facilitar las retransmisiones para obtener una comunicación segura.

Frame Relay, por el contrario, maximiza la eficacia, aprovechándose para ello de las modernas infraestructuras, de mucha mayor calidad y con muy bajos índices de error, y además permite mayores flujos de información.


Frame Relay se define, oficialmente, como un servicio portador RDSI de banda estrecha en modo de paquetes, y ha sido especialmente adaptado para velocidades de hasta 2,048 Mbps., aunque nada le impide superarlas.
Frame Relay proporciona conexiones entre usuarios a través de una red pública, del mismo modo que lo haría una red privada con circuitos punto a punto. De hecho, su gran ventaja es la de reemplazar las líneas privadas por un sólo enlace a la red. El uso de conexiones implica que los nodos de la red son conmutadores, y las tramas deben de llegar ordenadas al destinatario, debido a que todas siguen el mismo camino a través de la red.
Las redes Frame Relay se construyen partiendo de un equipamiento de usuario que se encarga de empaquetar todas las tramas de los protocolos existentes en una única trama Frame Relay como se visualiza en la figura 1.1.3.1. También incorporan los nodos que conmutan las tramas Frame Relay en función del identificador de conexión, a través de la ruta establecida para la conexión en la red.



FIGURA 1.1.3.1 ESTRUCTURA FRAME RELAY


Este equipo se denomina FRAD o "Ensamblador/Desensamblador Frame Relay" (Frame Relay Assembler/Disassembler) y el nodo de red se denomina FRND o "Dispositivo de Red Frame Relay"
Las tramas y cabeceras de Frame Relay figuras 1.1.3.2 y 1.1.3.3, pueden tener diferentes longitudes, debido a que hay una gran variedad de opciones disponibles en la implementación, conocidos como anexos a las definiciones del estándar básico.




FIGURA 1.1.3.2 CABECERAS DE FRAME RELAY


La información transmitida en una trama Frame Relay puede oscilar entre 1 y 8.250 bytes, aunque por defecto es de 1.600 bytes.




FIGURA 1.1.3.3 TRAMA DE FRAME RELAY

Lo más increíble de todo, es que, a pesar del gran número de formas y tamaños Frame Relay funciona perfectamente, y ha demostrado un muy alto grado de interoperatibilidad entre diferentes fabricantes de equipos y redes. Ello es debido a que, sean las que sean las opciones empleadas por una determinada implementación de red o equipamiento, siempre existe la posibilidad de "convertir" los formatos de Frame Relay a uno común, intercambiando así las tramas en dicho formato.

En Frame Relay, por tanto, los dispositivos del usuario se interrelacionan con la red de comunicaciones, haciendo que sean aquellos mismos los responsables del control de flujo y de errores. La red sólo se encarga de la transmisión y conmutación de los datos, así como de indicar cual es el estado de sus recursos. En el caso de errores o de saturación de los nodos de la red, los equipos del usuario solicitarán el reenvío (al otro extremo) de las tramas incorrectas y si es preciso reducirán la velocidad de transmisión, para evitar la congestión.

Las redes Frame Relay son orientadas a conexión, como X.25, SNA e incluso ATM. El identificador de conexión es la concatenación de dos campos HDLC (High-level Data Link Control), en cuyas especificaciones originales de unidad de datos (protocolo de la capa 2), se basa Frame Relay. Entre los dos campos HDLC que forman el "identificador de conexión de enlace de datos" o DLCI (Data Link Connection Identifier) se insertan algunos bits de control (CR y EA).

A continuación se añaden otros campos que tienen funciones muy especiales en las redes Frame Relay. Ello se debe a que los nodos conmutadores Frame Relay carecen de una estructura de paquetes en la capa 3, que por lo general es empleada para implementar funciones como el control de flujo y de la congestión de la red, y que estas funciones son imprescindibles para el adecuado funcionamiento de cualquier red.

Los tres más esenciales son DE o "elegible para ser rechazada" (Discard Eligibility), FECN o "notificación de congestión explícita de envío" (Forward Explicit Congestion Notification), y BECN o "notificación de congestión explícita de reenvío" (Backward Explicit Congestion Notification). El bit DE es usado para identificar tramas que pueden ser rechazadas en la red en caso de congestión. FECN es usado con protocolos de sistema final que controlan el flujo de datos entre en emisor y el receptor, como el mecanismo "windowing" de TCP/IP; en teoría, el receptor puede ajustar su tamaño de "ventana" en respuesta a las tramas que llegan con el bit FECN activado. BECN, como es lógico, puede ser usado con protocolos que controlan el flujo de los datos extremo a extremo en el propio emisor.

Según esto, la red es capaz de detectar errores, pero no de corregirlos (en algunos casos podría llegar tan solo a eliminar tramas).

No se ha normalizado la implementación de las acciones de los nodos de la red ni del emisor/receptor, para generar y/o interpretar estos tres bits. Por ejemplo, TCP/IP no tiene ningún mecanismo que le permita ser alertado de que la red Frame Relay está generando bits FECN ni de cómo actuar para responder a dicha situación. Las acciones y funcionamiento de las redes empleando estos bits son temas de altísimo interés y actividad en el "Frame Relay Forum" (equivalente en su misión y composición al "ATM Forum").

Frame Relay también ha sido denominado "tecnología de paquetes rápidos" (fast packet technology) o "X.25 para los 90´", y esto es cierto en gran medida.

El protocolo X.25 opera en la capa 3 e inferiores del modelo OSI, y mediante la conmutación de paquetes, a través de una red de conmutadores, entre identificadores de conexión. En cada salto de la red X.25 se verifica la integridad de los paquetes y cada conmutador proporciona una función de control de flujo. La función de control de flujo impide que un conmutador X.25 envíe paquetes a mayor velocidad de la que el receptor de los mismos sea capaz de procesarlos. Para ello, el conmutador X.25 receptor no envía inmediatamente la señal de reconocimiento de los datos remitidos, con lo que el emisor de los mismos no envía más que un determinado número de paquetes a la red en un momento dado.
Frame Relay realiza la misma función, pero partiendo de la capa 2 e inferiores. Para ello, descarta todas las funciones de la capa 3 que realizaría un conmutador de paquetes X.25, y las combina con las funciones de trama. La trama contiene así al identificador de conexión, y es transmitida a través de los nodos de la red en lugar de realizar una "conmutación de paquetes".

Para una mejor comprensión veamos la figura. 1.1.3.4, en la que primero se observa una comparación entre una Red x.25 y Red Frame Relay y luego se visualiza como operan las dos redes y en la que resaltamos la operación del frame relay, así :






FIGURA 1.1.3.4 COMPARACION Y OPERACION DE RED X.25

Si el usuario "A" desea una comunicación con el usuario "B", primero establecerá un Circuito Virtual (VC o Virtual Circuit), que los una. La información a ser enviada se segmenta en tramas a las que se añade el DLCI.

1.1.4 REDES LAN
Al igual que las redes de área amplia, una red de área local es una red de comunicaciones que interconecta varios edificios y proporciona un medio para el intercambio de información entre ellos. No obstante, hay algunas diferencias entre las LAN y las WAN que se enumeran a continuación:


  1. La cobertura de una LAN es pequeña, típicamente un edificio o como mucho un conjunto de edificios próximos. Como se verá más adelante, esta diferencia en cuanto a la cobertura geográfica, condicionará la solución técnica finalmente adoptada.




  1. Es común que la LAN sea propiedad de la misma entidad que es propietaria de los dispositivos conectados a la red. En WAN, esto no es tan corriente, o al menos una fracción significativa de recursos de la red son ajenos. Esto tiene dos implicaciones. La primera es que se debe cuidar mucho la elección de la LAN, debido a que evidentemente, lleva acarreado una inversión substancial de capital (comparado con los gastos de conexión o alquiler de líneas en redes de área amplia) tanto en la adquisición como en el mantenimiento. La segunda, la responsabilidad de la gestión de la red local recae solamente en el usuario.




  1. Las velocidades de transmisión internas en una LAN son mucho mayores.

Tradicionalmente, en LAN se utiliza la difusión en lugar de utilizar técnicas de conmutación. En una red de difusión, no hay nodos intermedios. En cada estación hay un transmisor/receptor que se comunica con las otras estaciones a través de un medio compartido. Una transmisión desde cualquier estación se recibirá por todas las otras estaciones. Los datos se transmiten en forma de paquetes. Debido a que el medio es compartido, una y sólo una estación en cada instante de tiempo podrá transmitir el paquete.


1.1.5 TOPOLOGIAS
Las topologías usuales en LAN son bus, árbol, anillo y estrella (figura 1.1.5.1). El bus es un caso especial de la topología en árbol, con un solo tronco y sin ramas.






Compartir con tus amigos:
  1   2   3   4   5   6   7   8   9   10   11


La base de datos está protegida por derechos de autor ©composi.info 2017
enviar mensaje

    Página principal