7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 1/36

PRINCIPIOS FIREWALL, STATEFULL, STATELESS

Un firewall es un dispositivo de seuridad, vea!os e"a#ta!ente lo $ue %a#e &en $ue se 'asa su fun#iona!iento( Un firewall es un dispositivo que funciona como cortafuegos entre redes, permitiendo odenegando las transmisiones de una red a la otra. Un uso típico es situarlo entre unared local y la red Internet, como dispositivo de seguridad para evitar que los intrusospuedan acceder a información confidencial.

Un firewall es simplemente un filtro que controla todas las comunicaciones que pasande una red a la otra y en función de lo que sean permite o deniega su paso. Parapermitir o denegar una comunicación el firewall examina el tipo de servicio al quecorresponde, como pueden ser el web, el correo o el IR. !ependiendo del servicio elfirewall decide si lo permite o no. "dem#s, el firewall examina si la comunicación esentrante o saliente y dependiendo de su dirección puede permitirla o no.

!e este modo un firewall puede permitir desde una red local $acia Internet servicios de

web, correo y ftp, pero no a IR que puede ser innecesario para nuestro traba%o.&ambi'n podemos configurar los accesos que se $agan desde Internet $acia la redlocal y podemos denegarlos todos o permitir algunos servicios como el de la web, (sies que poseemos un servidor web y queremos que accesible desde Internet).!ependiendo del firewall que tengamos tambi'n podremos permitir algunos accesos ala red local desde Internet si el usuario se $a autentificado como usuario de la redlocal.

Un firewall puede ser un dispositivo software o $ardware, es decir, un aparatito que seconecta entre la red y el cable de la conexión a Internet, o bien un programa que seinstala en la m#quina que tiene el modem que conecta con Internet. Incluso podemosencontrar ordenadores computadores muy potentes y con softwares específicos que lo*nico que $acen es monitori+ar las comunicaciones entre redes.

TCP)U*P

El proto#olo U*P

U!P es un protocolo no orientado a conexión. s decir cuando una maquina " envíapaquetes a una maquina -, el flu%o es unidireccional. a transferencia de datos esreali+ada sin $aber reali+ado previamente una conexión con la maquina de destino(maquina -), y el destinatario recibir# los datos sin enviar una confirmación al emisor (la maquina "). sto es debido a que la encapsulación de datos enviada por el

protocolo U!P no permite transmitir la información relacionada al emisor. Por ello eldestinatario no conocer# al emisor de los datos excepto su IP.

El proto#olo TCP

ontrariamente a U!P, el protocolo &P est# orientado a conexión. uando unam#quina " envía datos a una m#quina -, la m#quina - es informada de la llegada dedatos, y confirma su buena recepción. "quí interviene el control R de datos que sebasa en una ecuación matem#tica que permite verificar la integridad de los datostransmitidos. !e este modo, si los datos recibidos son corruptos, el protocolo &Ppermite que los destinatarios soliciten al emisor que vuelvan a enviar los datoscorruptos.

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 2/36

+WA -AN*S-A.E

Proto#olo de a#uerdo a + v/as

l mecanismo es el siguiente

/. l $ost receptor, que en el caso de m#s com*n ser# un servidor, esperapasivamente una conexión e%ecutando las primitvas I0&1 y "P&.

2. n primer lugar, el $ost que des'a iniciar la conexión e%ecuta una primitiva311& especificando la dirección IP y el puerto con el que se des'a conectar, eltama4o m#ximo del segmento que est# dispuesto a aceptar y opcionelmente otrosdatos, como alguna contrase4a de usuario. ntonces la primitiva 311& $ace unaapertura activa, enviando al otro $ost un paquete que tiene el bit 051 (ver formato deun segmento &P m#s aba%o) activado, indic#ndole tambi'n el n*mero de secuenciainicial 6x6 que usar# para enviar sus mensa%es.

7. l $ost receptor recibe el segmento revisa si $ay alg*n proceso activo que $ayae%ecutado un I0&1 en el puerto solicitado, es decir, preparado para recibir datos por ese puerto. 0i lo $ay, el proceso a la escuc$a recibe el segmento &P entrante,registra el n*mero de secuencia 6x6 y, si des'a abrir la conexión, responde con unacuse de recibo 6x 8 26 con el bit 051 activado e incluye su propio n*mero desecuencia inicial 6y6, de%ando entonces abierta la conexión por su extremo. l n*merode acuse de recibo 6x 8 26 significa que el $ost $a recibido todos los octetos $asta eincluyendo 6x6, y espera 6x 8 26 a continuación. 0i no des'a establecer la conexión,envía un contestación con el bit R0& activado, para que el $ost en el otro extremo losepa.

9. l primer $ost recibe el segmento y envía su confirmación, momento a partir del cualpuede enviar datos al otro extremo, abriendo entonces la conexión por su extremo.

:. a m#quina receptora recibe la confirmación y entiende que el otro extremo $aabierto ya su conexión, por lo que a partir de ese momento tambi'n puede ella enviar datos. on 'sto, la conexión $a quedado abierta en ambos sentidos

RUTEO LIN. STATE

 " los protocolos de enrutamiento de lin;<state (como 30P=) tambi'n se les conocecomo protocolos de s$ortest pat$ first y se desarrollan en torno al algoritmos$ortest pat$ first (0P=) de dsger !i%;stra.

os protocolos de estado de enlace son  protocolos de enrutamiento de gateway 

interior , se utili+an dentro de un mismo "0 (sistema autónomo) el cual puede dividirseen sectores m#s peque4os como divisiones lógicas llamadas >reas.

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 3/36

PA0UETES ESTA*O1ENLACE2

a información acerca del estado de dic$os enlaces se conoce como lin31states. estainformación incluye?a dirección IP de la interfa+ y la m#scara de subred.l tipo de red, como t$ernet (broadcast) o enlace serial punto a punto.l costo de dic$o enlace.ualquier router vecino en dic$o enlace.

CARACTER4STICAS LIN.1STATE

@ediante los paquetes de saludo, los routers conocer#n a sus vecinos. Posteriormenteenviar#n  paquetes LSP   on información sobre el estado enlace de las redesconectadas directamente Aos vecinos son bombardeados con estos paquetes 0P ylos almacenan en una base de datos .

Bracias a esta base de datos de paquetes 0P ,los routers crean el mapa topológico

completo y así pueden calcular la me%or ruta para cada red de destino .

os protocolos de enrutamiento de lin;<state normalmente requieren m#s memoria,m#s procesamiento de PU y, en ocasiones, un mayor anc$o de banda que losprotocolos de enrutamiento vector distancia.

UNCIONA5IENTO LIN.1STATE

2. ada router obtiene información sobre sus propios enlaces, sus propias redesconectadas directamente.7. ada router es responsable de reunirse con sus vecinos en redes conectadas

directamente. (Paquetes de saludo)9. ada router crea un Paquete de lin;<state (LSP ) que incluye el estado de cadaenlace directamente conectado. ( I! de vecino, el tipo de enlace y el anc$o de banda).:. ada router satura con el 0P a todos los vecinos, que luego almacenan todos los0P recibidos en una base de datos. os vecinos luego saturan con los 0P a susvecinos $asta que todos los routers del #rea $ayan recibido los 0P. ada router almacena una copia de cada 0P recibido por parte de sus vecinos en una base dedatos local.(!espu's de la inundación 0P Inicial generalmente requieren menos anc$o de bandapara comunicar cambios en una topología) .C. ada router utili+a la base de datos para construir un mapa completo de la topologíay calcula el me%or camino $acia cada red de destino. l algoritmo SPF  se utili+a para

construir el mapa de la topología y determinar el me%or camino $acia cada red

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 4/36

Otros detalles de su #o!porta!iento & respuestas de e"6!en Cis#o CCNA72

 D @andan paquetes de estado<enlace cuando un enlace se activa o se desactiva. Dada router determina de manera independiente la ruta a cada red. D IS-IS y OSPF utili+an el algoritmo Dijkastra. ste algoritmo acumula costos a lo largo de cada ruta,desde el origen $asta el destino. D "l recibir un 0P de un router vecino, un router de estado de enlace inmediatamentesaturar# el 0P a los vecinos. D a base de datos de estado de enlace en los routers de enlace de datos dentro deun #rea ,debe ser id'ntica para construir un #rbol SPF  preciso. D ventos que $acen que el router de estado de enlace envíe el LSP  a todos losvecinos ?

• ada ve+ que la topología de red cambia.• n la puesta en marc$a inicial del router o del protocolo de enrutamiento .

 D l *ltimo paso en el proceso de enrutamiento de estado de enlace es?SPF calcula la me%or ruta a cada red destino D "firmaciones que describen correctamente el proceso de enrutamiento de link state?

• &odos los Routers en el #rea tienen bases de datos de link-state

• ada router en el #rea inunda los 0P $acia todos los vecinos D EFu' función proporcionan los protocolos de estado de enlace modernos paraminimi+ar el procesamiento y los requisitos de memoria G

• !ividir topologías de enrutamiento en #reas m#s peque4as D Para alcan+ar la convergencia de red cu#les son los tres pasos que reali+a cadarouter de lin;<stateG ?

• onstruir un paquete de  Link.State  (0P) que contiene el estado de cadaenlace directamente conectado .

• Inundar el LSP  a todos los vecinos, los cuales luego almacenan todos los 0Precibidos en una base de datos .

• onstruir un mapa completo de la topología y calcular el me%or camino $aciacada red destino .

 D o que agili+a la convergencia en una red que usa el nrutamiento de estado deenlace es?

• as actuali+aciones se desencadenan cuando se producen cambios en la red

 D EPor qu' es difícil que se produ+can routing loops en redes que usan enrutamientode estado de enlaceG

• ada router desarrolla una visión completa y sincroni+ada de la red

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 5/36

8ECTOR *ISTANCIA

8e#tor *istan#ia2 0u m'trica se basa en lo que se le llama en redes H1umero de0altos, es decir la cantidad de routers por los que tiene que pasar el paquete parallegar a la red destino, la ruta que tenga el menor numero de saltos es la mas optima yla que se publicar#.

lunos proto#olos de enruta!iento din6!i#os son2

< RIP ? Protocolo de enrutamiento de gateway Interior por vector distancia.< IBRP? Protocolo de enrutamiento de gateway Interior por vector distancia, del cual espropietario I03.< IBRP? Protocolo de enrutamiento de gateway Interior por vector distancia, es unaversión me%orada de IBRP.< 30P=? Protocolo de enrutamiento de gateway Interior por estado de enlace.

< -BP? Protocolo de enrutamiento de gateway exterior por vector ditancia.

RIP

RIP (Routing information protocolo, protocolo de información deencaminamiento)

RIP es un protocolo de encaminamiento interno, es decir para la parte interna de lared, la que no est# conectada al bac;bone de Internet. s muy usado en sistemas deconexión a internet como infovia, en el que muc$os usuarios se conectan a una red ypueden acceder por lugares distintos.

uando un usuarios se conecta el servidor de terminales (equipo en el que finali+a lallamada) avisa con un mensa%e RIP al router m#s cercano advirtiendo de la direcciónIP que a$ora le pertenece.

 "sí podemos ver que RIP es un protocolo usado por distintos routers para intercambiar información y así conocer por donde deberían enrutar un paquete para $acer que 'stellegue a su destino.

OSPF (Open shortest path first, El camino más corto primero)

30P= se usa, como RIP, en la parte interna de las redes, su forma de funcionar es

bastante sencilla. ada router conoce los routers cercanos y las direcciones queposee cada router de los cercanos. "dem#s de esto cada router sabe a que distancia(medida en routers) est# cada router. "sí cuando tiene que enviar un paquete lo envíapor la ruta por la que tenga que dar menos saltos.

 "sí por e%emplo un router que tenga tres conexiones a red, una a una red local en laque $ay puesto de traba%o, otra (") una red r#pida frame relay de :J@bps y una línea(-) R!0I de K:Lbps. !esde la red local va un paquete a M que esta por " a tres saltosy por - a dos saltos. l paquete iría por - sin tener en cuenta la saturación de la lineao el anc$o de banda de la linea.

a 3 de 30P= viene de abierto, en este caso significa que los algoritmos que usa sonde disposición p*blica.

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 6/36

 9:P  es un protocolo muy comple%o que se usa en la interconexión de redesconectadas por un bac;bone de internet. ste protocolo usa par#metros como anc$ode banda, precio de la conexión, saturación de la red, denegación de paso depaquetes, etc. para enviar un paquete por una ruta o por otra. Un router -BP da aconocer sus direcciones IP a los routers -BP y esta información se difunde por losrouters -BP cercanos y no tan cercanos. -BP tiene su propios mensa%es entrerouters, no utili+a RIP.

-BP es usado por grandes proveedores de conectividad a internet. Por e%emplo unaempresa (") tiene alquilada una línea a telefónica<data. a empresa " no $ace -BP yposiblemente los routers m#s cercanos no utili+ar#n -BP pero si los que interconecten&elefónica<!ata con Nispanix (punto neutro de interconexión en spa4a).

IPse#

IPsec (abreviatura de Internet Protocol security) es un con%unto de protocolos cuyafunción es asegurar las comunicaciones sobre el Protocolo de Internet (IP)

autenticando yOo cifrando cada paquete IP en un flu%o de datos. IPsec tambi'n incluyeprotocolos para el establecimiento de claves de cifrado.

os protocolos de IPsec act*an en la capa de red, la capa 9 del modelo 30I.3trosprotocolos de seguridad para Internet de uso extendido, como 00, &0 y 00N operande la capa de transporte (capas 30I : a ) $acia arriba. sto $ace que IPsec sea m#sflexible, ya que puede ser utili+ado para proteger protocolos de la capa :, incluyendo&P y U!P, los protocolos de capa de transporte m#s usados. IPsec tiene una venta%asobre 00 y otros m'todos que operan en capas superiores. Para que una aplicaciónpueda usar IPsec no $ay que $acer ning*n cambio, mientras que para usar 00 yotros protocolos de niveles superiores, las aplicaciones tienen que modificar su código.

IPsec est# implementado por un con%unto de protocolos criptogr#ficos para (2)asegurar el flu%o de paquetes, (7) garanti+ar la autenticación mutua y (9) establecer par#metros criptogr#ficos.

a arquitectura de seguridad IP utili+a el concepto de asociación de seguridad (0")como base para construir funciones de seguridad en IP. Una asociación de seguridades simplemente el paquete de algoritmos y par#metros (tales como las claves) que seest# usando para cifrar y autenticar un flu%o particular en una dirección. Por lo tanto, enel tr#fico normal bidireccional, los flu%os son asegurados por un par de asociaciones deseguridad. a decisión final de los algoritmos de cifrado y autenticación (de una listadefinida) le corresponde al administrador de IPsec.

Para decidir qu' protección se va a proporcionar a un paquete saliente, IPsec utili+a elíndice de par#metro de seguridad (0PI), un índice a la base de datos de asociacionesde seguridad (0"!-), %unto con la dirección de destino de la cabecera del paquete,que %untos identifican de forma *nica una asociación de seguridad para dic$o paquete.Para un paquete entrante se reali+a un procedimiento similarA en este caso IPsec cogelas claves de verificación y descifrado de la base de datos de asociaciones deseguridad.

n el caso de multicast, se proporciona una asociación de seguridad al grupo, y seduplica para todos los receptores autori+ados del grupo. Puede $aber m#s de unaasociación de seguridad para un grupo, utili+ando diferentes 0PIs, y por ello

permitiendo m*ltiples niveles y con%untos de seguridad dentro de un grupo. !e $ec$o,cada remitente puede tener m*ltiples asociaciones de seguridad, permitiendo

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 7/36

autenticación, ya que un receptor sólo puede saber que alguien que conoce las claves$a enviado los datos. Nay que observar que el est#ndar pertinente no describe cómose elige y duplica la asociación a trav's del grupoA se asume que un interesadoresponsable $abr# $ec$o la elección.

5odos de fun#iona!iento

5odo transporte

n modo transporte, sólo la carga *til (los datos que se transfieren) del paquete IP escifrada yOo autenticada. l enrutamiento permanece intacto, ya que no se modifica nise cifra la cabecera IPA sin embargo, cuando se utili+a la cabecera de autenticación("N), las direcciones IP no pueden ser traducidas, ya que eso invalidaría el $as$. ascapas de transporte y aplicación est#n siempre aseguradas por un $as$, de forma queno pueden ser modificadas de ninguna manera (por e%emplo traduciendo los n*merosde puerto &P y U!P). l modo transporte se utili+a para comunicaciones ordenador aordenador.

Una forma de encapsular mensa%es IPsec para atravesar 1"& $a sido definido por R=s que describen el mecanismo de 1"&<&

l propósito de este modo es establecer una comunicación segura punto a punto,entre dos $osts y sobre un canal inseguro. ste e%emplo ilustra esto?

5odo tunel

n el modo t*nel, todo el paquete IP (datos m#s cabeceras del mensa%e) es cifrado yOoautenticado. !ebe ser entonces encapsulado en un nuevo paquete IP para que

funcione el enrutamiento. l modo t*nel se utili+a para comunicaciones red a red(t*neles seguros entre routers, p.e. para QP1s) o comunicaciones ordenador a red uordenador a ordenador sobre Internet. l propósito de este modo es establecer unacomunicación segura entre dos redes remotas sobre un canal inseguro. ste e%emploilustra esto?

Ca'e#eras

Ca'e#era IP

a cabecera del paquete IP es la siguiente?

!onde?

• ver  s la versión del protocolo IP. IPsec se monta sobre IPv:.• %len ongitud de la cabecera, en palabras de 97 bits. 0u valor mínimo es de C

para una cabecera correcta, y el m#ximo de 2C. l tama4o de la cabeceranun#a incluye el tama4o del payload o de la cabecera siguiente.

• TOS  Indica una serie de par#metros sobre la calidad de servicio deseadadurante el tr#nsito por una red. "lgunas redes ofrecen prioridades de servicios,considerando determinado tipo de paquetes Hm#s importantes que otros (enparticular estas redes solo admiten los paquetes con prioridad alta enmomentos de sobrecarga).

•

p3t len s el tama4o total, en octetos, del datagrama, incluyendo el tama4o dela cabecera y el de los datos. l tama4o m#ximo de los datagramas usados

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 8/36

normalmente es de CK octetos (K: de cabeceras y C27 de datos). Unam#quina no debería envíar datagramas mayores a no ser que tenga la certe+ade que van a ser aceptados por la m#quina destino.

n caso de fragmentación este campo contendr# el tama4o del fragmento, no el deldatagrama original.

• I*  Indica el identificador del fragmento actual en caso de que el paqueteestuviera fragmentado

• fls  "ctualmente utili+ado sólo para especificar valores relativos a lafragmentación de paquetes?

  bit /? ReservadoA debe ser /  bit 2? / !ivisible, 2 1o !ivisible (!=)  bit 7? / Sltimo =ragmento, 2 =ragmento Intermedio (le siguen m#s fragmentos)(@=)

a indicación de que un paquete es indivisible debe ser tenida en cuenta ba%ocualquier circunstancia. 0i el paquete necesitara ser fragmentado, no se enviar#.

• fra offset n paquetes fragmentados indica la posición, en unidades de K:bits, que ocupa el paquete actual dentro del datagrama original. l primer paquete de una serie de fragmentos contendr# en este campo el valor /.

• TTL Indica el m#ximo n*mero de enrutadores que un paquete puede atravesar.ada ve+ que alg*n nodo procesa este paquete disminuye su valor en uno por cada router que pase. uando llegue a ser /, el paquete no ser# reenviado.

• proto Indica el protocolo de siguiente nivel utili+ado en la parte de datos deldatagrama. os m#s utili+ados son?

Codio *es#rip#i;n2 I@P T Internet ontrol @essage Protocol7 IB@P T Internet Broup @anagement Protocol: IP en IP (una encapsulación IP)K &P T &ransmission ontrol Protocol2 U!P T User !atagram Protocol:2 IPvK T next<generation &POIP: BR T Beneric Router ncapsulation (usado por PP&P)C/ IPsec? 0P T ncapsulating 0ecurity PayloadC2 IPsec? "N T "ut$entication Neader

3tros códigos se encuentran en la web de I"1" 

Ca'e#era IPse# A- <aut%enti#ation onl&=

 "N est# dirigido a garanti+ar integridad sin conexión y autenticación de los datos deorigen de los datagramas IP. Para ello, calcula un Nas$ @essage "ut$entication ode(N@") a trav's de alg*n algoritmo $as$ operando sobre una clave secreta, elcontenido del paquete IP y las partes inmutables del datagrama. ste procesorestringe la posibilidad de emplear 1"&, que puede ser implementada con 1"&transversal. Por otro lado, "N puede proteger opcionalmente contra ataques de

repetición utili+ando la t'cnica de ventana desli+ante y descartando paquetes vie%os. "N protege la carga *til IP y todos los campos de la cabecera de un datagrama IP

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 9/36

excepto los campos mutantes, es decir, aquellos que pueden ser alterados en eltr#nsito. n IPv:, los campos de la cabecera IP mutantes (y por lo tanto noautenticados) incluyen &30, =lags, 3ffset de fragmentos, && y suma de verificaciónde la cabecera. "N opera directamente por encima de IP, utili+ando el protocolo IPn*mero C2. Un cabecera "N mide 97 bits, $e aquí un diagrama de cómo se organi+an?

ne"t %dr  Identifica cu#l es el siguiente protocolo, es decir, cual es el protocoloque ser# autentificado, cu#l es el payload.

• A- len l tama4o del paquete "N.• RESER8E* Reservado para futuras aplicaciones. !ebe estar a /• Se#urit& para!eters inde" <SPI= Indica los parametros de seguridad, que en

combinación con los par#metros IP, identifican la asociación de seguridad delpaquete

• Se$uen#e Nu!'er  s un n*mero creciente usado para prevenir ataques por repetición. l n*mero est# incluido en los datos encriptados, así que cualquier alteración ser# detectada

• Aut%enti#ation *ata ontiene el valor de identificación de integridad. Puedecontener relleno.0e calcula sobre el paquete entero, incluidas la mayoría de lascabeceras. l que recibe calcula otra ve+ el $as$, y si este no coincide, elpaquete se tira.

A- en 5odo Transporte

a manera m#s f#cil de entender el modo transporte es que protege elintercambio de información entre dos usuarios finales. a protección puede ser autentificación o encriptación (o las dos), pero no se $ace usando un tunel (para esoest# el modo t*nel). 1o es una vpn, es una simple conexión segura entre dos usuarios

finales.n "N en @odo &ransporte, el paquete IP es modificado ligeramente para incluir unanueva cabecera A- entre la cabecera IP y la información transmitida (&P, U!P, etc) ydespu's se requiere un proceso Hde arrastre que interconecta las distintas cabecerasentre ellas.

ste proceso Hde arrastre se necesita para que el paquete original IP seareconstituido cuando llegue a su destinoA cuando las cabeceras IPsec $an sidovalidadas en el receptor, se despo%an las cabeceras IPsec y la carga a transmitir (&P,U!P, etc) es guardada nuevamente en la cabecera IP.

uando el paquete llega a su siguiente destino y pasa el test de autenticidad, lacabecera "N es quitada y el campo proto>A- es reempla+ado con el siguienteprotocolo de la carga transmitida (&P, U!P, etc). sto pone al datagrama essu estado original, y puede ser enviado al proceso original.

A- en 5odo T?nel

l modo t*nel es el m#s com*n para dar una funcionalidad de QP1, donde un paqueteIP es encapsulado dentro de otro y enviado a su destino.

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 10/36

Igual que en el modo transporte, el paquete es Hsellado con un IQ para autentificar alque envia la información para prevenir modificaciones durante el tr#nsito. Pero adiferencia del modo de transporte, el modo t*nel encapsula todo el paquete IP, no sólola carga util (&P, U!P ,etc). sto $ace que el destinatario del paquete sea unodiferente al destinatario original. sto ayuda a la formación de un t*nel.

uando un paquete en modo t*nel llega a su destino, pasa el mismo proceso deautentificación igual que cualquier paquete "N<IPsec. ste proceso $ace que sedespo%e de sus cabeceras IP y "N, luego nos queda el datagrama original, que esenrutado mediante un proceso normal.

a mayoria de las implementaciones tratan el final del t*nel como una interfa+ de redvirtual <exactamente igual que una t$ernet o local$ost < y el tr#fico entrante y salientede 'l est# su%eto a todas las decisiones normales de enrutamiento.

l paquete reconstituido puede ser entregado a la m#quina local o enrutado donde sea(dependiendo de la dirección IP encontrada en el paquete encapsulado), pero de

ninguna manera vuelve a estar su%eto a las protección de IPsec. sta finali+a al finaldel t*nel. " partir de allí es tratado como un datagrama IP normal.

&al como el modo de transporte es usado estrictamente para asegurar conexiones deextremo a extremo entre dos ordenadores, el modo t*nel es usado normalmente entrepasarelas (routers, firewalls o dispositivos QP1) para proveer una Red Privada Qirtual(QP1)

@Transporte o T?nel

uriosamente, no $ay un campo explícito H@odo en IPsec que distinga entre el modo

de transporte y el modo t*nel. o que los distingue es el campo siguiente cabecera(next $ead) en la cabecera "N.

uando el valor de Hsiguiente cabecera es IP, significa que este paquete encapsula undatagrama IP entero (incluyendo los campos de destino y origen IP que nos permitensaber donde va el paquete que va encapsulado despu's de la desencapsulación. "síse comporta el modo t*nel.

3tro valor cualquiera (&P, U!P, I@P, etc) significa que estamos usando el modotransporte y se trata de una conexión segura extremo a extremo.

l nivel superior de un datagrama IP es estructurado de la misma manera, sin tener en

cuenta el modo, y los routers inmediatos tratan todo tipo de tr#fico IPsecO"N de lamisma manera que el tr#fico normal, sin una inspección m#s profunda.

Nay que darse cuenta que un $ost < en contraposición a una pasarela < es necesarioque soporte los dos modos, de transporte y t*nel, pero en una conexión $ost<to<$ostparece superfluo usar el modo t*nel.

 "dem#s, una pasarela (router, firewall, etc.) tiene que tener soporte *nicamente paramodo t*nel, sin embargo tener soporte para el modo transporte es *til sólo cuando lapasarela se considera como destino ella misma, como en caso de funciones deadministración de red.

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 11/36

Alorit!os de autentifi#a#i;n

 "N lleva un campo (Integrity $ec; Qalue) para comprobar la integridad del paquete yque nadie lo $a manipulado durante el trayecto. l valor de ese campo est# dado por algoritmos de encriptación tales como @!C o 0N"<2.

@#s que usar un c$ec;sum convencional, el cual podría no proveer una securidad realcontra una manipulación intencional, este usa una Nas$ed @essage "ut$enticationode (N@"), que incorpora una clave secreta mienstras se crea el $as$. "unque unatacante puede recalcular un $as$ f#cilmente, sin la clave secreta no sería capa+ decrear el IQ apropiado.

Nuelga decir que IPsec no define ni o'lia #o!o de'e %a#erse la autentifi#a#i;n,simplemente ofrece un marco de seguridad en la que los dos $osts que reali+an lacomunicación se ponen de acuerdo sobre que sistema usar. Pueden usarse firmasdigitales o funciones de encriptación, pero es obligatorio que a!'os los #onoB#an &sepan #o!o usarlos 

NAT & A-

 "N da una protección muy fuerte a los paquetes porque cubre todas las partesque se consideran inmutables. Pero esta protección tiene un coste? "N esincompatible con 1"& (1etwor; "ddress &ranslation).

1"& se usa para tra+ar un rango de direcciones privadas (2V7.2KJ.2.W) de unacon%unto (normalmente m#s peque4o) de direcciones p*blicas, para reducir lademanda de direcciones IP p*blicas. n este proceso, la cabecera IP se modifica Halvuelo por el dispositivo 1"& para cambiar las direcciones IP de origen y destino.

uando es cambiada la dirección de origen de la cabecera IP, se fuer+a a recalcular elc$ec;sum de la cabecera. sto se tiene que $acer a parte, porque el dispositivo 1"&es como un Hagu%ero en el camino del origen al destino, y esta situación requieredecrementar el campo &&(&ime to ive).

!ado que el campo && y el c$ec;sum de la cabecera siempre son modificados Halvuelo, "N sabe que tiene que excluirlos de su protección, pero no tiene que excluir alas direcciones IP. stas est#n incluidas en el constrol de integridad, y cualquier cambio en las direcciones ip de origen y destino va a $acer que el control de integridadfalle cuando llegue al destinatario. !ado que el valor del control de integridad contieneuna llave secreta que s;lo la sa'en el %ost orien & el %ost destino, el dispositivo

1"& no puede recalcular el IQ.

as mismas se aplican tambi'n al P"&(Port "ddress &ranslation), el cual tra+am*ltiples direcciones IP en una en una sola dirección IP externa. 1o solo se modificanlas direcciones IP Hal vuelo, sino adem#s los n*meros de los puertos U!P y &P (aveces $asta la carga *lil que se transfiere. sto requiere una sistema m#s sofisticadopor parte del dispositivo 1"&, y unas modificaciones m#s extensas en todo eldatagrama IP.

Por esta ra+ón,"N < en el modo &*nel o &ransporte < es totalmente incompatible con1"& y sólo se puede emplear "N cuando las redes de origen y destino sonalcan+ables sin traducción.

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 12/36

Nay que decir que esta dificultad no se aplica al 0P, ya que su autentificación yencriptación no incorpora la cabecera IP modificada por 1"&. "*n asi, 1"& tambi'nimpone algunos desafíos incluso en 0P (explicado m#s adelante).

1"& traduce las direcciones IP al vuelo, pero tambi'n guarda un registro de queconexiones siguen el camino traducido y así poder enviar las respuestas al origen demanera correcta. uando se usa &P o U!P, esto se $ace mediante los n*meros delos puertos (que pueden ser reescritos al vuelo o no), pero IPsec no da ningunainterfa+ para $acer esto.

ESP <En#apsulatin Se#urit& Pa&load=

 "4adir encriptacion $ace que 0P sea un poco m#s complicado, ya que laencapsulación rodea a la carga *til es algo m#s que precederla con "N? 0Pincluye cabecera y campos para dar soporte a la encriptacion y a una autentificaciónopcional. "dem#s, provee los modos de transporte y t*nel, los cuales nos son yafamiliares.

as R=s de IPsec no insisten demasiado en un sistema particular de encriptación,pero normalmente se utili+a !0, triple<!0, "0 o -lowfis$ para asegurar la carga*til de Ho%os indiscretos. l algoritmo usado para una conexión en particular esdefinido por la 0ecurity "ssociation (0"), y esta 0" incluye no sólo la el algoritmo,tambi'n la llave usada.

 " diferencia de "N, que da una peque4a cabecera antes de la carga *til, 0P rodea lacarga *til con su protección. os par#metros de seguridad Index y 0equence 1umber tienen el mismo propósito que en "N, pero nos encontramos como relleno en la coladel paquete el campo Hsiguiente campo y el opcional H"ut$entication data.

s posible usar 0P sin ninguna encriptación (usar el algoritmo 1U), sin embargoestructura el paquete de la misma forma. 1o nos da ninguna confidencialidad a losdatos que estamos transmitiendo, y sólo tiene sentido usarlo con una la autentificación0P. 1o tiene sentido usar 0P sin encriptación o autentificación (a no ser queestemos simplemente probando el protocolo).

l relleno sirve para poder usar algoritmos de encriptación orientados a bloques, dadoque tenemos que crear una carga a encriptar que tenga un tama4o m*ltiplo de sutama4o de bloque. l tama4o del relleno viene dado por el campo pad len. l campone"t %dr  nos da el tipo (IP, &P, U!P,etc) de la carga *til, aunque esto sea usadocomo un punto para volver $acia atras en el paquete para ver que $ay en el "N.

 "dem#s de la encriptación, 0P puede proveer autentificación con la mismaN@" de "N. " diferencia de "N, esta autentifi#a s;lo la #a'e#era ESP & la#ar#a ?til en#riptada, no todo el paquete IP. 0orprendentemente, esto no $ace que laseguridad de la autentificación m#s d'bil, pero nos da algunos beneficios importantes.

uando un forastero examina un paquete IP que contiene datos 0P, espr#cticamente imposible adivinar que es lo que tiene dentro, excepto por los datosencontrados en la cabecera IP (siendo interesantes las direcciones IP de origen ydestino). l atacante va a saber casi seguro que son datos 0P (est# en la cabeceraque son datos 0P), pero no va a saber de que tipo es la carga *til.

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 13/36

Incluso la presencia de "ut$entication !ata no puede ser determina solamente conmirar al paquete. sta resolucion est# $ec$a por la 0ecurity Parameters Index, que$ace referencia al con%unto de par#metros precompartidos para esta conexión.

ESP en 5odo Transporte

 "l igual que en "N, el modo transporte encapsula %ustamente la carga la carga *til deldatagraya y est# dise4ado %ustamente para comunicaciones extremo<a<extremo. acabecera IP original se de%a (excepto por el campo cambiado Protocol), y esto $ace <adem#s de otras cosas < que las direcciones IP de origen y destino se quedan comoest#n.

ESP en Modo Túnel

l 0P en modo &*nel encapsula el datagrama IP entero y lo encripta?

Proveer una conexión encriptada en modo t*nel es dar una forma muy cercana a

como se crea una QP1, y es lo que se nos viene a la cabe+a a la mayoría cuandopensamos acerca de IPsec. "dem#s de esto, tenemos que a4adir autentificación. staparte se trata en la siguiente sección.

 " diferencia de "N, donde un forastero puede ver f#cilmente que es lo que ssetransmite en modo &*nel o &ransporte, usando 0P eso no ocurreA esa información noest# disponible para el forastero. l caso es que en el modo t*nel (poniendo ne"t>IP),el datagrama IP entero original es parte de la carga *til encriptada, y no ser# visiblepara nadie que no pueda desencriptar el paquete.

Constru&endo una 8PN real

on la explicación de "N y 0P a$ora somos capaces de $abilitar laencriptación y la autentificación para construir una QP1 real. l ob%etivo de laQP1 es untar dos redes seuras a travDs de una red inseura, tal como sería tirar un cable t$ernet muy grande entre las dos redes seguras. s una tecnología muyusada para %untar por e%emplo filiales de compa4ias con la sede central de lacompa4ia, dando a los usuarios acceso a recursos que no pueden caer en manosindebidas, tales como documentos secretos.

laramente, una red QP1 segura requiere las dos cosas? autentificación yencriptación. 0abemos que la *nica manera de conseguir encriptación es 0P, pero0P y "N pueden proveer autentificació1? Ecu#l de las dos usarG

a solución obvia de envolver 0P dentro de "N es tecnicamente posible, pero en lapr#ctica no es muy usada por las limitaciones de "N respecto al 1"&. Usar "N80Ppuede $acer que no podamos atravesar el dispositivo 1"&.

n cambio, 0P8"ut$ es usado en modo &*nel para encapsular completamente eltr#fico a traves de una red no segura, protegiendo este trafico con encriptación yautentificación.

l tr#fico protegido de esta manera produce información in*til para un intruso, ya quelos dos $osts que se comunican est#n conectados a trav's de una QP1. sta

información puede ayudar al atacante a entender que los dos $osts se comunican por un canal seguro, pero nunca revela el contenido del tr#fico. Incluso el tipo de tr#fico

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 14/36

encapsulado en el protocolo (&P, U!P o I@P) est# oculto para las personas defuera.

o particularmente bonito de este modo de operación es que los usuarios finales nosaben nada de la QP1 o las medidas de seguridad tomadas. !esde que una QP1 est#implementada por una pasarela, este trata la QP1 como otra interfa+, y enruta el traicoque va a otra parte como normalmente lo $aría.

ste paquete<en<paquete puede ser anidado a m#s niveles? Nost " y Nost - puedenestablecer su propia conexión autenticada (via "N) y comunicarse sobre una QP1.sto pondría un paquete "N dentro de un paquete con una cobertura 0P8"ut$.

Se#urit& Asso#iation & SPI

s obvio que si los dos $osts o pasarelas van a establecer una conexión segura, serequiere alg*n tipo de clave secreta compartida para llevar a cabo la función deautentificación o la yOo la clave del algoritmo de encriptación. a cuestión es como

esos Hsecretos son establecidos a para poder ser dirigidos desde cualquier sitio, ypara los propósitos de esta guía vamos a suponer que $an llegado Hm#gicamente asu lugar.

uando un datagrama IPsec < "N o 0P < llega a una una interfa+, Ecómo sabe lainterfa+ que con%unto de par#metros usar (clave, algoritmo y políticas)G Un $ost puedetener varias conversaciones simult#neas, cada una con un diferente con%unto declaves y algoritmos, y tenemos que tener un gobernador que lleve todo este proceso.

stos par#metros son especificados por la 0ecurity "ssociation (0"), una colección deparametros específicos de conexión, y cada pare%a pueden tener uno o m#s

colecciones de par#metros específicos de conexión. uando llega el datagrama sonusadas tres pie+as de los datos para locali+ar dentro de la base de datos o 0ecurity "ssociations !atabase (0"!-) la 0" correcta.

• !irección IP de la pare%a (el usuario con el que nos estamos comunicando)• Protocolo IPsec ("N o 0P)• 0ecurity Parameter Index

Nay muc$as maneras para asociar este triplete a un soc;et IP, el cual est# denotadode forma *nica por la dirección IP, protocolo y el n*mero del puerto

Una 0" es de sentido *nico, así que una conexión en los dos sentidos (el caso típico)

requiere al menos dos. "dem#s, cada protocolo (0PO"N) tiene su propia 0" en cadadirección, por tanto una conexión completa "N80P QP1 requiere : 0"s. &odas ellasest#n en la 0ecurity "ssociations !atabase.

n la 0"!- tenemos una cantidad ingente de información, pero sólo podemos tocar una parte de esta?

•  "N? algoritmo de autenticación•  "N? secreto de autenticación• 0P? algoritmo de encriptación• 0P? clave secreta de encriptación

• 0P? autenticación activada siOno•  "lgunos par#metros de intercambio de llaves

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 15/36

• Restricciones de enrutamiento• Política de filtración de IPs

 "lgunas implementaciones mantienen la 0P! (0ecurity Policy !atabase) con$erramientas de tipo consola, otras con BUIs y otras proveen una interfa+ basada en

web sobre la red. l grado de detalle mantenido por cualquier implementación enparticular depende de las facilidades ofrecidas, así como si est# en modo Nost o modoPasarela (Bateway).

Ad!inistra#i;n de #laves se#retas

=inalmente, vamos a cubrir brevemente el asunto de la administración de claves. ste#rea incluye varios protocolos y muc$as opciones,

IPsec sería casi in*til sin las facilidades criptogr#ficas de autenticación y encriptación,y este $ec$o requiere que las llaves que se usan sólo las sepan los participantes en lacomunicación y nadie m#s.

a forma m#s obvia y sencilla de establecer las directivas de securidad es de formamanual? un grupo genera ese con%unto de directivas de securidad y las $ace llegar alos otros compa4eros. &odas las personas implicadas en la comunicación segurainstalan esas directivas como 0ecurity "ssociation en la 0P!.

ste proceso no es muy recomendado, ya que no es del todo seguro? el mero $ec$ode $acer llegar las directivas de seguridad a otro lado, a su 0P! puede exponer esasdirectivas a personas a%enas a la comunicación en el tr#nsito. In instalaciones m#sgrandes con m#s dispositivos usando una clave precompartidas, esas claves puedentransigir un despliegue per%udicial para las nuevas claves.

IL < Internet Ley xc$ange < existe para que los puntos terminales del t*nel puedanmontar de manera apropiada sus 0ecurity "ssociations, incluyendo las directivas deseguridad que van a usar. IL usa el I0"L@P (Internet 0ecurity "ssociation Ley@anagement Protocol) como un framewor; para dar soporte al establecimiento de una0" compatible con los dos extremos

xiste un soporte para m*ltiples protocolos de intercambio de claves, siendo 3a;ley elmas usado. Nuelga decir que el intercambio de claves de IP0ec tiene lugar normalmente en el puerto C// de U!P

I.E 8 87

Internet 3e& e"#%ane  (I.E) es un protocolo usado para establecer una "sociaciónde 0eguridad (0") en el protocolo IPsec. IL emplea un intercambio secreto de clavesde tipo !iffie<Nellman para establecer el secreto compartido de la sesión. 0e suelenusar sistemas de clave p*blica o clave pre<compartida.

0upone una alternativa al intercambio manual de claves. 0u ob%etivo es la negociaciónde una "sociación de 0eguridad para IP0. Permite, adem#s, especificar el tiempode vida de la sesión IP0, autenticación din#mica de otras m#quinas, etc.

Fases I.E

a negociación IL est# compuesta por dos fases? fase 2 y fase 7.2

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 16/36

• l ob%etivo de la pri!era fase I.E es establecer un canal de comunicaciónseguro usando el algoritmo de intercambio de claves !iffie<Nellman  paragenerar una clave de secreto compartido y así cifrar la comunicación IL. stanegociación establece una *nica 0"  I0"L@P  0ecurity "ssociation  (0").7

bidireccional. a autenticación puede ser reali+ada usando tanto una clavecompartida (pre<s$ared ;ey) (secreto compartido), firmas digitales, o cifrado declave p*blica.9 a fase 2 opera tanto en modo principal como agresivo. l modoprincipal protege la identidad de los extremos, mientras que el modo agresivono lo $ace.2

• n la seunda fase I.E, los extremos usan el canal seguro establecido en laprimera fase para negociar una "sociación de 0eguridad (0") en nombre deotros servicios como IPsec. a negociación consiste en un mínimo de dos 0"sunidireccionales.: P$ase 7 opera sólo en Fuic; @ode.2

Pro'le!as de I.E

3riginalmente IL poseía numerosas opciones de configuración, pero carecía desencille+ general para la negociación autom#tica en los entornos donde seimplementaba de forma universal. !e esta forma, ambos extremos debían estar deacuerdo en implementar exactamente el mismo tipo de asociación de seguridad (0")(par#metro a par#metro) o la conexión no se establecería. 0e a4adía a este problemala dificultad de interpretar la salida de depuración (debug), en caso de que existiese.

as especificaciones de IL estaban abiertas a diferentes interpretaciones, lo que seinterpretaba como fallos en su dise4o (!ead<Peer<!etection  es un e%emplo),provocando que diferentes implementaciones de IL no fueran compatibles entre sí,$aciendo que no fuera posible establecer una asociación de seguridad dependiendode las opciones que se eligieran, aunque ambos extremos aparecieran comocorrectamente configurados.

5eoras introdu#idas #on I.Ev7

a necesidad de una revisión del protocolo IL fue incorporada en el ap'ndice " delR= :9/K. os siguientes problemas fueron detallados?

• @enor n*mero de R=s? as especificaciones IL estaban descritas en almenos tres R=s, m#s si incluimos 1"& transversal y otras extensiones comunes.ILv7 combina todas estas descripciones en un solo R=, adem#s de incorporar me%oras al 1"& transversal y en general al m'todo de atravesar cortafuegos.

• 0oporte est#ndar en movilidad? xiste una extensión para ILv7 llamada@3-IL, con ob%eto de soportar la movilidad y el multi$oming para IL y 0P.Usando esta extensión, ILv7 y IPsec puede ser usada por usuarios móviles.

• 1"& transversal? a encapsulación de IL y 0P por U!P en el puerto :C//permite a estos protocolos atravesar cortafuegos que usan 1"& C

• 0oporte 0&P? ILv7 permite el uso del protocolo 0&P usado en telefonía IPQoIP.

• Intercambio simple de mensa%es? ILv7 necesita cuatro mensa%es para elmecanismo de intercambio inicial, mientras que IL necesitaba de oc$o.• @enor n*mero de mecanismos criptogr#ficos? ILv7 emplea mecanismos

criptogr#ficos para proteger los paquetes que envía, de forma muy parecida a

los que $ace el protocolo 0P  para proteger los paquetes IPsec. storepercute en implementaciones y certificaciones m#s sencillas y para ommon

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 17/36

riteria and =IP0 2:/<7, que requieren que cada implementación criptogr#ficasea validada de forma independiente.

• onfiabilidad y administración de estado? ILv7 usa n*meros de secuencia yacuses de recibo para proporcionar confiabilidad. &ambi'n provee sistemas de

procesamiento de errores y compartición del estado. 0e descubrió que ILpodría finali+ar la conexión debido a la falta de sistemas que intormen sobre elestado, al estar ambos extremos a la espera de la otra parte para iniciar unaacción que nunca se produciría. 0e desarrollaron algunas soluciones como!ead<Peer<!etection, pero no se llegaron a estandari+ar. sto implica quediferentes implementaciones de este tipo de soluciones no eran siemprecompatibles entre sí.

• Resistencia al ataque de denegación de servicio  (!o0)? ILv7 no reali+aprocesamiento $asta que determina si el extremo que reali+a la peticiónrealmente existe. sto permite evitar el gasto en procesamiento reali+ado encifradoOdescifrado que se producía al sufrir un ataque desde IP falsas.

WIRELESS LANUna red de 6rea lo#al inal6!'ri#a, tambi'n conocida como WLAN  (del ingl'swireless local area network ), es un sistema de comunicación inal#mbrico flexible, muyutili+ado como alternativa a las redes de #rea local cableadas o como extensión de'stas. Usan tecnologías de radiofrecuencia  que permite mayor movilidad a losusuarios al minimi+ar las conexiones cableadas. stas redes van adquiriendoimportancia en muc$os campos, como almacenes o para manufactura, en los que setransmite la información en tiempo real a una terminal central. &ambi'n son muypopulares en los nig$t<clubs para compartir el acceso a Internet  entre variascomputadoras.

Fun#iona!iento

0e utili+an ondas de radio para llevar la información de un punto a otro sin necesidadde un medio físico guiado. "l $ablar de ondas de radio nos referimos normalmente aportadoras de radio, sobre las que va la información, ya que reali+an la función dellevar la energía a un receptor remoto. os datos a transmitir se superponen a laportadora de radio y de este modo pueden ser extraídos exactamente en el receptor final.

 " este proceso se le llama modulación de la portadora por la información que est#

siendo transmitida. 0i las ondas son transmitidas a distintas frecuencias de radio,varias portadoras pueden existir en igual tiempo y espacio sin interferir entre ellas.Para extraer los datos el receptor se sit*a en una determinada frecuencia, frecuenciaportadora, ignorando el resto. n una configuración típica de "1 (con cable) lospuntos de acceso (transceiver) conectan la red cableada de un lugar fi%o mediantecableado normali+ado. l punto de acceso recibe la información, la almacena y latransmite entre la M"1 y la "1 cableada. Un *nico punto de acceso puede soportar un peque4o grupo de usuarios y puede funcionar en un rango de al menos treintametros y $asta varios cientos. l punto de acceso (o la antena conectada al punto deacceso) es normalmente colocado en alto pero podría colocarse en cualquier lugar enque se obtenga la cobertura de radio deseada. l usuario final accede a la red M"1a trav's de adaptadores. stos proporcionan una interfa+ entre el sistema de

operación de red del cliente (130? 1etwor; 3perating 0ystem) y las ondas, medianteuna antena.

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 18/36

a naturale+a de la conexión sin cable es transparente a la capa del cliente.

Confiura#iones de red para radiofre#uen#ia

Pueden ser de muy diversos tipos y tan simples o comple%as como sea necesario. a

m#s b#sica se da entre dos ordenadores equipados con tar%etas adaptadoras paraM"1, de modo que pueden poner en funcionamiento una red independiente siempreque est'n dentro del #rea que cubre cada uno. sto es llamado red de igual a igual(peer to peer). ada cliente tendría *nicamente acceso a los recursos del otro clientepero no a un servidor central. ste tipo de redes no requiere administración opreconfiguración.

Instalando un Punto de "cceso se puede doblar la distancia a la cu#l los dispositivospueden comunicarse, ya que estos act*an como repetidores. !esde que el punto deacceso se conecta a la red cableada cualquier cliente tiene acceso a los recursos delservidor y adem#s gestionan el tr#fico de la red entre los terminales m#s próximos.ada punto de acceso puede servir a varias m#quinas, seg*n el tipo y el n*mero de

transmisiones que tienen lugar. os puntos de acceso tienen un alcance finito, delorden de 2C/ m en lugares o +onas abiertas. n +onas grandes como por e%emplo uncampus universitario o un edificio es probablemente necesario m#s de un punto deacceso. a meta es cubrir el #rea con c'lulas que solapen sus #reas de modo que losclientes puedan moverse sin cortes entre un grupo de puntos de acceso. sto esllamado roaming.

Para resolver problemas particulares de topologías, el dise4ador de la red puede elegir usar un Punto de xtensión (Ps) para aumentar el n*mero de puntos de acceso a lared, de modo que funcionan como tales pero no est#n enganc$ados a la red cableadacomo los puntos de acceso. os puntos de extensión funcionan como su nombreindica? extienden el alcance de la red retransmitiendo las se4ales de un cliente a unpunto de acceso o a otro punto de extensión. os puntos de extensión puedenencadenarse para pasar mensa%es entre un punto de acceso y clientes le%anos demodo que se construye un puente entre ambos.

Uno de los *ltimos componentes a considerar en el equipo de una M"1 es la antenadireccional. Por e%emplo? si se quiere una an sin cable a otro edificio a 2 ;m dedistancia. Una solución puede ser instalar una antena en cada edificio con línea devisión directa. a antena del primer edificio est# conectada a la red cableada medianteun punto de acceso. Igualmente en el segundo edificio se conecta un punto de acceso,lo cual permite una conexión sin cable en esta aplicación.

Asina#i;n de #anales

os est#ndares J/7.22a y J/7.22g utili+an la banda de 7,: D 7,C B$+. n esta banda,se definieron 22 canales utili+ables por equipos MI=I, los cuales pueden configurarsede acuerdo a necesidades particulares. 0in embargo, los 22 canales no soncompletamente independientes (canales contiguos se superponen y se produceninterferencias) y en la pr#ctica sólo se pueden utili+ar 9 canales en forma simult#nea(2, K y 22). sto es correcto para U0" y muc$os países de "m'rica atina, pues enuropa, el &0I $a definido 29 canales. n este caso, por e%emplo en spa4a, sepueden utili+ar : canales no<adyacentes (2, C, V y 29). sta asignación de canalesusualmente se $ace sólo en el punto de acceso, pues los Hclientes autom#ticamentedetectan el canal, salvo en los casos en que se forma una red ad $oc o punto a punto

cuando no existe punto de acceso.

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 19/36

Seuridad

Uno de los problemas de este tipo de redes es precisamente la seguridad ya quecualquier persona con una terminal inal#mbrica podría comunicarse con un punto deacceso privado si no se disponen de las medidas de seguridad adecuadas. !ic$asmedidas van encaminadas en dos sentidos? por una parte est# el cifrado de los datosque se transmiten y en otro plano, pero igualmente importante, se considera laautenticación entre los diversos usuarios de la red. n el caso del cifrado se est#nreali+ando diversas investigaciones ya que los sistemas considerados inicialmente se$an conseguido descifrar. Para la autenticación se $a tomado como base el protocolode verificación "P (xtensible "ut$entication Protocol), que es bastante flexible ypermite el uso de diferentes algoritmos.

8elo#idad

3tro de los problemas que presenta este tipo de redes es que actualmente (a nivel dered local) no alcan+an la velocidad que obtienen las redes de datos cableadas.

 "dem#s, en relación con el apartado de seguridad, el tener que cifrar toda lainformación supone que gran parte de la información que se transmite sea de control yno información *til para los usuarios, por lo que incluso se reduce la velocidad detransmisión de datos *tiles y no se llega a tener un buen acceso.

9ALANCEA*OR *E CAR:A

Un 'alan#eador de #ara  fundamentalmente es un dispositivo de $ardware  osoftware  que se pone al frente de un con%unto de servidores que atienden unaaplicación y, tal como su nombre lo indica, asigna o balancea las solicitudes que llegande los clientes a los servidores usando alg*n algoritmo (desde un simple Round Robin$asta algoritmos m#s sofisticados).2

s un m'todo para distribuir la carga de traba%o en varias computadoras separadas oagrupadas en un cl*ster .7

Para que se considere exitoso un 'alan#eador de #ara?

• !ebe minimi+ar tiempos de respuesta.• @e%orar el desempe4o del servicio.• vitar la saturación.

For!as de i!ple!entar el 'alan#eo de #ara

•

-alanceo de carga basado en !10. 0e $ace por medio de registros !10 paraque una UR apunte a m#s de una dirección IP. s f#cil su implementación.

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 20/36

• -alanceo de carga basado en software. Por medio de los servidores M-comparten una dirección IP, la cual resuelve el dominio. stos servidoresnegocian entre ellos cual responder# a la siguiente petición.

• -alanceo de carga dedicado. ualquier $ardware que contenga una aplicaciónde balanceo de carga de código libre o comercial.

5Dtodos de 9alan#eo de Cara

• !e petición• -asado en sesión• !e m'todos

5Dtodos de Cone"iones

• Round<Robin. as peticiones se entregan uno a uno en los servidores.

•

•

• Meig$ted Round<Robin as peticiones se entregan dependiendo del peso quese le de a cada servidor.

• eastonnection. as peticiones se $acen dependiendo del n*mero deconexiones que tenga cada servidor.

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 21/36

•

• Meig$ted eastonnection. as peticiones se entregan dependiendo del pesoy el n*mero de conexiones que se tengan.

8entaas del 9alan#eo de Cara

• 0e puede ampliar su capacidad f#cilmente.• s de ba%o costo.• &ransparente para el usuario.• =uncionalidad permanente.• vita la saturación de servidores.

Ee!plos de 'alan#eadores

 " continuación se presenta una tabla de comparación con diferentes balanceadores decarga.

ontras Pros 3bservaciones

Q0

• Paraenrutamientodirecto se tieneque parc$ar el;ernel

• Parc$e solodisponible paraversiones 7.:

• 1ativo de inux• 0oporta varios

algoritmos dedistribución

• =ailover protection(con ldirector)

• !ocumentaciónextensa

l bug solo se presentapara el modo deenrutamiento directo

Ultra•

0oportelimitado•

=ailover protection

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 22/36

@on;ey

• 1o parecetener actuali+acionespara ;ernel 9.x

• =or; de Q0

• ustom ;ernel

• 0oporta variosalgoritmos dedistribución

Pound

• Pocadocumentación

• Poco conocido

• !ifícilencontrar unpaquete precompilado

• =ailover protection

• 0oporta variosalgoritmos dedistribución

Xen oad-alancer 

 "ppliance

• !ocumentaciónextensa

• uenta con soporte• -alancea en varias

capas• 0oporta varios

algoritmos a nivel&P

• =#cil configuración

• Interfa+ web

a petición $ttp pareceque la $ace directa, si elsitio no entra directo, nofunciona.

 "pac$e1o es principalmenteun balanceador 

• xtensadocumentación

• =ailover protection

• 0oporta variosalgoritmos dedistribución

Pfsense

• 1o esprincipalmenteun balanceador 

• 1o es sencilloconfigurarlo

• =ailover protection• uenta con soporte• 0oporta balanceo

en varias capas

• Interfa+ web

Pir$ana0olo disponible enred$at

• Interfa+ web• =#cil configuración• !ocumentación

extensa• =ailover protection

• 0oporta variosalgoritmos

IPS

Un siste!a de preven#i;n de intrusos  (o por sus siglas en ingl's  IPS) es unsotware que e%erce el control de acceso en una red inform#tica para proteger a los

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 23/36

sistemas computacionales de ataques y abusos. a tecnología de prevención deintrusos es considerada por algunos como una extensión de los sistemas de detecciónde intrusos (I!0), pero en realidad es otro tipo de control de acceso, m#s cercano alas tecnologías cortafuegos.

os IP0 fueron inventados de forma independiente por Yed Naile y Qern Paxon pararesolver ambigZedades en la monitori+ación pasiva de redes de computadoras, alsituar sistemas de detecciones en la vía del tr#fico. os IP0 presentan una me%oraimportante sobre las tecnologías de cortafuegos tradicionales, al tomar decisiones decontrol de acceso basados en los contenidos del tr#fico, en lugar de direcciones IP opuertos. &iempo despu's, algunos IP0 fueron comerciali+ados por la empresa 3ne0ecure, la cual fue finalmente adquirida por 1et0creen &ec$nologies, que a su ve+ fueadquirida por Yuniper 1etwor;s en 7//:. !ado que los IP0 fueron extensiones literalesde los sistemas I!0, contin*an en relación.

&ambi'n es importante destacar que los IP0 pueden actuar al nivel de equipo, paracombatir actividades potencialmente maliciosas.

Fun#iona!iento

Un 0istema de Prevención de Intrusos o Intrusion Prevention 0ystem (6IP06 en sussiglas en ingl's), es un dispositivo de seguridad de red que monitorea el tr#fico de redyOo las actividades de un sistema, en busca de actividad maliciosa. ntre susprincipales funciones, se encuentran no sólo la de identificar la actividad maliciosa,sino la de intentar detener esta actividad. 0iendo 'sta *ltima una característica quedistingue a este tipo de dispositivos de los llamados 0istemas de !etección deIntrusos o Intrusion !etection 0ystems (6I!06 en sus siglas en ingl's).

ntre otras funciones (como en el caso del I!0) se tiene que puede alertar aladministrador ante la detección de intrusiones o actividad maliciosa, mientras que esexclusivo de un 0istema de Prevención de Intrusos (IP0) establecer políticas deseguridad para proteger al equipo o a la red de un ataque.

!e a$í que se diga que un IP0 protege a una red o equipo de manera proactivamientras que un I!0 lo $ace de manera reactiva.

3tras funciones importantes de estos dispositivos de red, son las de grabar información $istórica de esta actividad y generar reportes.

os IP0 se clasifican en cuatro difrentes tipos?

2. -asados en Red an (1IP0)? monitorean la red lan en busca de tr#fico de redsospec$oso al anali+ar la actividad por protocolo de comunicación lan. 7. -asados enRed Mireless (MIP0)? monitorean la red inal#mbrica en busca de tr#fico sospec$oso alanali+ar la actividad por protocolo de comunicación inal#mbrico. 9. "n#lisis decomportamiento de red (1-")? xamina el tr#fico de red para identifica amena+as quegeneran tr#fico inusual, como ataques de denegación de servicio ciertas formas demalware y violaciones a políticas de red. :. -asados en Nost (NIP0)? 0e efect*amediante la instalación de paquetes de software que monitoran un $ost *nico en buscade actividad sospec$osa

os IP0 categori+an la forma en que detectan el tr#fico malicioso?

• !etección basada en firmas? como lo $ace un antivirus.

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 24/36

• !etección basada en políticas? el IP0 requiere que se declaren muyespecíficamente las políticas de seguridad.

• !etección basada en anomalías? en función con el patrón de comportamientonormal de tr#fico.

*ete##i;n 'asada en fir!asUna firma tiene la capacidad de reconocer una determinada cadena de bytes en ciertocontexto, y entonces lan+a una alerta. Por e%emplo, los ataques contra los servidoresMeb generalmente toman la forma de URs. Por lo tanto se puede buscar utili+andoun cierto patrón de cadenas que pueda identificar ataques al servidor web. 0inembargo, como este tipo de detección funciona parecido a un antivirus, eladministrador debe verificar que las firmas est'n constantemente actuali+adas.

*ete##i;n 'asada en pol/ti#as

n este tipo de detección, el IP0 requiere que se declaren muy específicamente las

políticas de seguridad. Por e%emplo, determinar que $osts pueden tener comunicacióncon determinadas redes. l IP0 reconoce el tr#fico fuera del perfil permitido y lodescarta.

*ete##i;n 'asada en ano!al/as

ste tipo de detección tiende a generar muc$os falsos positivos, ya que es sumamentedifícil determinar y medir una condición [normal\. n este tipo de detección tenemosdos opciones?

2. !etección estadística de anormalidades? l IP0 anali+a el tr#fico de red por un

determinado periodo de tiempo y crea una línea base de comparación. uandoel tr#fico varía demasiado con respecto a la línea base de comportamiento, segenera una alarma.

7. !etección no estadística de anormalidades? n este tipo de detección, es eladministrador quien define el patrón ]normal^ de tr#fico. 0in embargo, debidoa que con este enfoque no se reali+a un an#lisis din#mico y real del uso de lared, es susceptible a generar muc$os falsos positivos.

0e podría mencionar un apartado a cerca de las estraegias utili+adas a fin de decubrir nuevos tipos de ataqueA entrando en esta clasificación los $oney pots.

• !etección !oney pot   (%arra de miel)? funciona usando un equipo que se

configura para que llame la atención de los !ackers.

*ete##i;n honey pot  <arra de !iel=

 "quí se utili+a un distractor . 0e asigna como !oney pot  un dispositivo que pueda lucir como atractivo para los atacantes. os atacantes utili+an sus recursos para tratar deganar acceso en el sistema y de%an intactos los verdaderos sistemas. @ediante esto,se puede monitori+ar los m'todos utili+ados por el atacante e incluso identificarlo, y deesa forma implementar políticas de seguridad acordes en nuestros sistemas de usoreal.

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 25/36

WAF

Un M"= (Meb "pplication =irewall) es un dispositivo $ardware o software que permiteproteger los servidores de aplicaciones web de determinados ataques específicos enInternet. 0e controlan las transacciones al servidor web de nuestro negocio.

-#sicamente nos permite evitar (entre otras) los siguientes ataques?< Cross1site s#riptin que consiste en la inclusión de código script malicioso en elcliente que consulta el servidor web.< S0L ine#tion que consiste en introducir un código 0F que vulnere la -ase de!atos de nuestro servidor.< *enial1of1servi#e que consiste en que el servidor de aplicación sea incapa+ de servir peticiones correctas de usuarios.

Nay 7 tipos de M"=? os que se residen en la red (es decir son un elemento m#s de lared) y los que se basan en el servidor de aplicaciones (residen en el servidor).

os M"= son elementos complementarios a las medidas de seguridad que soportanlos =irewall cl#sicos.

S5TP

l Simple ail !ransfer Protocol   (S5TP) o Hprotocolo para transferencia simple decorreo, es un  protocolo de red utili+ado para el intercambio de mensa%es de correoelectrónico entre computadoras u otros dispositivos (P!", tel'fonos móviles, etc'tera).=ue definido en el R= 7J72 y es un est#ndar oficial de Internet.2

l funcionamiento de este protocolo se da en línea, de manera que opera en los

servicios de correo electrónico. 0in embargo, este protocolo posee algunaslimitaciones en cuanto a la recepción de mensa%es en el servidor de destino (cola demensa%es recibidos). omo alternativa a esta limitación se asocia normalmente a esteprotocolo con otros, como el P3P o I@"P, otorgando a 0@&P la tarea específica deenviar correo, y recibirlos empleando los otros protocolos antes mencionados (P3P 3I@"P)

5odelo de pro#esa!iento de #orreo

@odelo de procesamiento del correo.

l correo electrónico es presentado por un cliente de correo (@U", agente de usuariode correo) a un servidor de correo (@0", agente de sumisión de correo) usando

0@&P. Una gran parte de los abastecedores de ca%a permiten la sumisión. !esde allí,el @0" entrega el correo a su agente de transferencia postal me%or conocido como el

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 26/36

@&" (@ail &ransfer "gent, "gente de #ranserencia de $orreo). n algunas ocasiones,estos dos agentes son casos diferentes aunque $ay que destacar que provienen delmismo software de donde fueron lan+ados sólo que presentan opciones diferentesdentro de la misma m#quina.

l procesamiento local que se presenta puede ser reali+ado en una sola m#quina opartido entre varias aplicacionesA en este segundo caso, los procesos implicadospueden compartir arc$ivosA aquí 0@&P es usado para la transferencia de mensa%esinternamente, con cada uno de los $osts configurados para usar la siguiente aplicacióncomo un anfitrión elegante. Para lograr la locali+ación del servidor ob%etivo, el @&"divisorio tiene que usar el sistema de nombre de dominio (!10) para lograr lab*squeda del registro interno de cambiado de correo conocido como registro @W parala esfera del recipiente (la parte de la dirección a la derec$a). s en ese instantecuando el registro de @W devuelto contiene el nombre del anfitrión ob%etivo._cita requerida`

uego el @&" se une al servidor de cambio como un cliente 0@&P. Una ve+ que @Wacepta el mensa%e entrante, este a su ve+ se lo da a un agente de entrega de correo

(@!") para luego ser llevado a la entrega de correo local. l @!", adem#s deentregar mensa%es es tambi'n capa+ de salvar mensa%es en un bu+ón de formato, y larecepción de correo puede ser reali+ada usando muc$as computadoras. Nay dosformas en que un @!" puede entregar mensa%es? ya sea envi#ndolos directamente alalmacenamiento, o expedirlos sobre una red usando 0@&P. Una ve+ entregado alservidor de correo local, dic$o correo es almacenado para la recuperación de la$ornada. 0u recuperación se logra por medio de las aplicaciones de usuario final,conocidas como clientes de correo electrónico, usando el Protocolo de "cceso de@ensa%e de Internet (I@"P), este protocolo que facilita tanto el acceso para enviar,como el mane%o de correo almacenado.

Puertos

os administradores de servidor pueden elegir si los clientes utili+an &P puerto 7C(0@&P) o el puerto CJ (Presentación) para retransmitir el correo saliente a una inicialdel servidor de correo.9 as especificaciones y muc$os servidores soportan ambos. "unque algunos servidores soportan el puerto :KC para el legado 0@&P seguro enviolación de las especificaciones, es preferible utili+ar los puertos est#ndar ycomandos 0@&P est#ndar de acuerdo con R= 97/, si se debe utili+ar una sesiónsegura entre el cliente y el servidor.

 "lgunos servidores est#n configurados para rec$a+ar toda la retransmisión en elpuerto 7C, pero los usuarios v#lidos de autenticación en el puerto CJ pueden

retransmitir correo a cualquier dirección v#lida._cita requerida`

  "lgunos proveedores deservicios de Internet interceptan el puerto 7C, volviendo a dirigir el tr#fico a su propioservidor 0@&P, independientemente de la dirección de destino. sto significa que noes posible para sus usuarios acceder a un servidor 0@&P fuera de la red del I0P atrav's del puerto 7C.

 "lgunos servidores 0@&P soportan el acceso autenticado en otro puerto que no seaCJ o 7C para permitir a los usuarios conectarse a ellos, incluso si el puerto 7C est#bloqueado, pero CJ es el puerto est#ndar y ampliamente apoyada por los usuariosenviar correo nuevo. @icrosoft xc$ange 0erver 7/29 0@&P puede escuc$ar en lospuertos 7C, CJ, :KC, :C, y 7C7C, en función de servidor y si los roles se combinan enun solo servidor._cita requerida`  os puertos 7C y CJ se utili+an para proporcionar la

conectividad del cliente con el servicio de transporte en la parte delantera de la funciónde servidor de acceso de cliente ("0). os puertos 7C, :KC y :C son utili+ados por el

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 27/36

servicio de transporte de bu+ón de correo. 0in embargo, cuando la función de bu+ónse combina con la función de "0 en un *nico servidor, el puerto 7C7C se utili+a por lafunción de bu+ón de 0@&P desde el servicio de transporte de extremo delantero del"0, "0, mientras que contin*a para utili+ar el puerto 7C. Puerto :KC es utili+ado por el servicio de transporte de bu+ón de correo para recibir las conexiones de clienteproxy de la función "0. Puerto :C es utili+ado por la función de bu+ón paracomunicarse directamente con otras funciones de bu+ón, la transferencia de correoentre el servicio de envío de transporte de bu+ón de correo y el servicio de entrega detransporte bu+ón.:

*es#rip#i;n del Proto#olo

0@&P es un protocolo orientado a la conexión basado en texto, en el que un remitentede correo se comunica con un receptor de correo electrónico mediante la emisión desecuencias de comandos y el suministro de los datos necesarios en un canal de flu%ode datos ordenado fiable, normalmente un protocolo de control de transmisión deconexión (&P). Una sesión 0@&P consiste en comandos originados por un cliente

0@&P (el agente de inicio, emisor o transmisor) y las respuestas correspondientes del0@&P del servidor (el agente de escuc$a, o receptor) para que la sesión se abra y seintercambian los par#metros de la sesión. Una sesión puede incluir cero o m#stransacciones 0@&P. Una transacción de 0@&P se compone de tres secuencias decomando O respuesta (v'ase el e%emplo a continuación).

llos son?

• 5AIL? comando para establecer la dirección de retorno, tambi'n conocidocomo Return<Pat$, remitente o sobre. sta es la dirección para mensa%es dedespedida.

• RCPT? comando, para establecer un destinatario de este mensa%e. stemandato puede emitirse varias veces, una para cada destinatario. stasdirecciones son tambi'n parte de la envolvente.

• *ATA? para enviar el mensa%e de texto. ste es el contenido del mensa%e, enlugar de su envoltura. 0e compone de una cabecera de mensa%e y el cuerpodel mensa%e separado por una línea en blanco. !"&" es en realidad un grupode comandos, y el servidor responde dos veces? una ve+ para el comando dedatos adecuada, para reconocer que est# listo para recibir el texto, y lasegunda ve+ despu's de la secuencia final de los datos, para aceptar orec$a+ar todo el mensa%e.

Resu!en si!ple del fun#iona!iento del proto#olo S5TP

• uando un cliente establece una conexión con el servidor 0@&P, espera a que'ste envíe un mensa%e 77G Servi#e read&H o 7 Servi#e non availa'leH.

• 0e envía un -ELO desde el cliente. on ello el servidor se identifica. stopuede usarse para comprobar si se conectó con el servidor 0@&P correcto.

• l cliente comien+a la transacción del correo con la orden 5AIL FRO5. omoargumento de esta orden se puede pasar la dirección de correo al que elservidor notificar# cualquier fallo en el envío del correo (Por e%emplo, 5AILFRO52JfuenteK%ostG). uego si el servidor comprueba que el origen esv#lido, el servidor responde 7MG O.H.

• 5a le $emos dic$o al servidor que queremos mandar un correo, a$ora $ay quecomunicarle a quien. a orden para esto es RCPT TO2JdestinoK%ost. 0epueden mandar tantas órdenes RP& como destinatarios del correo queramos.Por cada destinatario, el servidor contestar# 7MG O.H o bien MMG No su#%user %ereH, si no encuentra al destinatario.

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 28/36

• Una ve+ enviados todos los RP&, el cliente envía una orden *ATA  paraindicar que a continuación se envían los contenidos del mensa%e. l servidor responde +M Start !ail input, end wit% JCRLF(JCRLFH sto indica alcliente como $a de notificar el fin del mensa%e.

•  "$ora el cliente envía el cuerpo del mensa%e, línea a línea. Una ve+ finali+ado,se termina con un R=.R= (la *ltima línea ser# un punto), a lo que elservidor contestar# 7MG O.H, o un mensa%e de error apropiado.

• &ras el envío, el cliente, si no tiene que enviar m#s correos, con la orden 0UITcorta la conexión. &ambi'n puede usar la orden TURN, con lo que el clientepasa a ser el servidor, y el servidor se convierte en cliente. =inalmente, si tienem#s mensa%es que enviar, repite el proceso $asta completarlos.

Puede que el servidor 0@&P soporte las extensiones definidas en el R= 2KC2, eneste caso, la orden N3 puede ser sustituida por la orden N3, con lo que elservidor contestar# con una lista de las extensiones admitidas. 0i el servidor nosoporta las extensiones, contestar# con un mensa%e 6C// 0yntax error, commandunrecogni+ed6.

n el e%emplo pueden verse las órdenes b#sicas de 0@&P?

• N3, para abrir una sesión con el servidor • @"I =R3@, para indicar quien envía el mensa%e• RP& &3, para indicar el destinatario del mensa%e• !"&", para indicar el comien+o del mensa%e, 'ste finali+ar# cuando $aya una

línea *nicamente con un punto.• FUI&, para cerrar la sesión• R0& "borta la transacción en curso y borra todos los registros.• 01! Inicia una transacción en la cual el mensa%e se entrega a una terminal.•

03@ l mensa%e se entrega a un terminal o a un bu+ón.• 0"@ l mensa%e se entrega a un terminal y a un bu+ón.• QR=5 0olicita al servidor la verificación de todo un argumento.• WP1 0olicita al servidor la confirmación del argumento.• NP Permite solicitar información sobre un comando.• 133P 0e emplea para reiniciar los tempori+adores.• &UR1 0olicita al servidor que intercambien los papeles.

!e los tres dígitos del código num'rico, el primero indica la categoría de la respuesta,estando definidas las siguientes categorías?

• 7WW, la operación solicitada mediante el comando anterior $a sido concluidacon 'xito

• 9WW, la orden $a sido aceptada, pero el servidor esta pendiente de que elcliente le envíe nuevos datos para terminar la operación

• :WW, para una respuesta de error, pero se espera a que se repita la instrucción• CWW, para indicar una condición de error permanente, por lo que no debe

repetirse la orden

Una ve+ que el servidor recibe el mensa%e finali+ado con un punto puede almacenarlosi es para un destinatario que pertenece a su dominio, o bien retransmitirlo a otroservidor para que finalmente llegue a un servidor del dominio del receptor.

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 29/36

Ee!plo de una #o!uni#a#i;n S5TP

n primer lugar se $a de establecer una conexión entre el emisor (cliente) y el receptor (servidor). sto puede $acerse autom#ticamente con un programa cliente de correo omediante un cliente telnet.

n el siguiente e%emplo se muestra una conexión típica. 0e nombra con la letra alcliente y con 0 al servidor.

0? 77/ 0ervidor 0@&P? N3 miequipo.midominio.com0? 7C/ Nello, please to meet you? @"I =R3@? yomidominio.com0? 7C/ 3;? RP& &3? destinatariosudominio.com0? 7C/ 3;? !"&"

0? 9C: nd data wit$ R=.R=? 0ub%ect? ampo de asunto? =rom? yomidominio.com? &o? destinatariosudominio.com?? Nola,? sto es una prueba.? Nasta luego.?? .? R=.R=0? 7C/ 3;? queued as 279:C

? quit0? 772 -ye

For!ato del !ensae

omo se muestra en el e%emplo anterior, el mensa%e es enviado por el cliente despu'sde que 'ste manda la orden !"&" al servidor. l mensa%e est# compuesto por dospartes?

• Ca'e#era? en el e%emplo las tres primeras líneas del mensa%e son la cabecera.n ellas se usan unas palabras clave para definir los campos del mensa%e.

stos campos ayudan a los clientes de correo a organi+arlos y mostrarlos. osm#s típicos son su%ject   (asunto), rom  (emisor) y to  (receptor). stos dos*ltimos campos no $ay que confundirlos con las órdenes @"I =R3@ y RP&&3, que pertenecen al protocolo, pero no al formato del mensa%e.

• Cuerpo del !ensae? es el mensa%e propiamente dic$o. n el 0@&P b#sicoest# compuesto *nicamente por texto, y finali+ado con una línea en la que el*nico car#cter es un punto.

S5TP vs Re#upera#i;n de #orreo

l protocolo de transferencia de correo simple (0@&P) solo se encarga de entregar elmensa%e. n un ambiente com*n el mensa%e es enviado a un servidor de correo de

salto siguiente a medida que llega a su destino. l correo se enla+a basado en elservidor de destino. 3tros protocolos como el protocolo de oficina de correos (P3P) y

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 30/36

el protocolo de acceso a mensa%e de internet (I@"P) su estructura es para usuariosindividuales, recuperación de mensa%es, gestión de bu+ones de correo. 0@&P usa unafunción, el procesamiento de colas de correo en un servidor remoto, permite que unservidor de correo de forma intermitente conectado a mandar mensa%es desde unservidor remoto. l I@"P y el P3P son protocolos inadecuados para la retransmisiónde correo de m#quinas de forma intermitente<conectados, sino que est#n dise4adospara funcionar despu's de la entrega final.

Ini#io re!oto de !ensae en #ola

s una característica de 0@&P que permite a un $ost remoto para iniciar elprocesamiento de la cola de correo en el servidor por lo que puede recibir mensa%esdestinados a ella mediante el envío del comando &UR1. sta característica seconsidera insegura pero usando el comando &R1 en la extensión R= 2VJC funcionade forma m#s segura.

Peti#i;n de Reenv/o de Correo 9ao *e!anda <O*5R=

3n<!emand @ail Relay (3!@R por sus siglas en Ingl's) es una extensión de 0@&Pestandari+ada en la R= 7K:C que permite que el correo electrónico sea transmitido alreceptor despu's de que 'l $a sido aprobado. Usa la orden de 0@&P ampliada "&R1,disponible para la direcciones de IP din#micas. l cliente publica N3 y órdenes de "U&N de servicios 3!@R de correo, 3!@R comien+a a actuar como un cliente 0@&Py comien+a a enviar todos los mensa%es dirigidos a un cliente usando el protocolo0@&P, al iniciar sesión el cortafuegos o el servidor pueden bloquear la sesión entrantedebido a IP din#micas. 0ólo el servidor 3!@R, el proveedor del servicio, debeescuc$ar las sesiones 0@&P en una dirección de IP fi%a.

Interna#ionaliBa#i;n

@uc$os usuarios cuyo lengua%e base no es el latín $an tenido dificultades con elrequisito de correo electrónico en "m'rica. R= KC92 fue creado para resolver eseproblema, proporcionando características de internacionali+ación de 0@&P, laextensión 0@&PU&=J. R= KC92 proporciona soporte para caracteres de varios bytesy no para "0II en las direcciones de correo electrónico. l soporte delinternacionali+ación actualmente es limitada pero $ay un gran inter's en la ampliaciónde el R= KC92. R= en países como en c$ina, que tiene una gran base de usuariosen "m'rica.

Correo saliente #on S5TP

Un cliente de correo electrónico tiene que saber la dirección IP de su servidor 0@&Pinicial y esto tiene que ser dado como parte de su configuración (usualmente dadacomo un nombre !10). ste servidor enviar# mensa%es salientes en nombre delusuario.

Restri##i;n de a##eso & salida al servidor de #orreo

n un ambiente de servidores, los administradores deben tomar medidas de control endonde los servidores est'n disponibles para los clientes. sto permite implementar seguridad frente a posibles amena+as. "nteriormente, la mayoría de los sistemasimponían restricciones de uso de acuerdo a la ubicación del cliente, sólo estabapermitido su uso por aquellos clientes cuya dirección IP es una de las controladas por los administradores del servidor. os servidores 0@&P modernos se caracteri+an por 

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 31/36

ofrecer un sistema alternativo, el cual requiere de una autenticación mediantecredenciales por parte de los clientes antes de permitir el acceso.

Restrinir el a##eso por u'i#a#i;n

@ediante este sistema, el servidor 0@&P relativo al I0P no permitir# el acceso de losusuarios que est#n fuera de la red del I0P. specíficamente, el servidor solo puedepermitir el acceso de aquellos usuarios cuya dirección IP fue proporcionada por el I0P,lo cual es equivalente a exigir que est'n conectados a internet mediante el mismo I0P.Un usuario móvil suele estar a menudo en una red distinta a la normal de su I0P, yluego descubrir que el envío de correo electrónico falla porque la elección del servidor 0@&P configurado ya no es accesible. ste sistema tiene distintas variaciones, por e%emplo, el servidor 0@&P de la organi+ación sólo puede proporcionar servicio a losusuarios en la misma red, esto se $ace cumplir mediante cortafuegos para bloquear elacceso de los usuarios en general a trav's de Internet. 3 puede que el servicio realicecomprobaciones de alcance en la dirección IP del cliente. stos m'todos sonutili+ados normalmente por empresas e instituciones, como las universidades que

proporcionan un servidor 0@&P para el correo saliente solo para su uso interno dentrode la organi+ación. 0in embargo, la mayoría de estos organismos utili+an a$oram'todos de autenticación de cliente, tal como se describe a continuación. "l restringir el acceso a determinadas direcciones IP, los administradores de servidores puedenreconocer f#cilmente la dirección IP de cualquier agresor. omo esta representa unadirección significativa para ellos, los administradores pueden $acer frente a la m#quinao usuario sospec$oso. uando un usuario es móvil, y puede utili+ar diferentesproveedores para conectarse a internet, este tipo de restricción de uso es costoso, y laalteración de la configuración perteneciente a la dirección de correo electrónico delservidor 0@&P saliente resulta ser poco pr#ctica. s altamente deseable poder utili+ar la información de configuración del cliente de correo electrónico que no necesitacambiar.

Seuridad & spa!

 "rtículo principal?  "ntispam

Una de las limitaciones del 0@&P original es que no facilita m'todos de autenticacióna los emisores, así que se definió la extensión 0@&P<"U&N en R= 7CC:.

 " pesar de esto, el spam es a*n el mayor problema. 1o se cree que las extensionessean una forma pr#ctica para prevenirlo. Internet @ail 7/// es una de las propuestaspara reempla+arlo._cita requerida`

!iferentes metodologías $an aparecido para combatir el spam. ntre ellas destacan!LI@, 0ender Policy =ramewor;  (0P=) y desde el 7/27 !omain<based @essage "ut$entication, Reporting and onformance (!@"R).C

:ATEWA ANTI8IRUS:atewa& Anti18irus permite a las aplicaciones en toda la empresa para comprobar losarc$ivos en busca de virus, proporcionando una Y"-1 detección de virus basada enservicios web.  as aplicaciones cliente ad%untar arc$ivos a los mensa%es 03"P ysometerlos al servicio Meb Bateway "nti<Qirus. l servicio web utili+a lam"Q  paraescanear los arc$ivos ad%untos en busca de virus y devuelve los resultados al cliente.

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 32/36

UT5

a gestión unificada de amena+as, que com*nmente se abrevia como U&@, es unt'rmino de seguridad de la información que se refiere a una sola solución deseguridad, y por lo general un *nico producto de seguridad, que ofrece varias

funciones de seguridad en un solo punto en la red. Un producto U&@ generalmenteincluye funciones como antivirus, anti<spyware, anti<spam, firewall de red, prevención ydetección de intrusiones, filtrado de contenido y prevención de fugas. "lgunasunidades tambi'n ofrecen servicios como enrutamiento remoto, traducción dedirecciones de red (1"&, networ; address translation) y compatibilidad para redesprivadas virtuales (QP1, virtual private networ;). l encanto de la solución se basa enla simplicidad, por lo que las organi+aciones que puedan $aber tenido proveedores oproductos para cada tarea de seguridad por separado, a$ora los pueden tener todosen una sola solución, con el apoyo de un *nico equipo o segmento de &I, y que see%ecuta en una sola consola.

*e $uD !anera los produ#tos UT5 'lo$uean un virus infor!6ti#o o !u#%os

virus

os productos de gestión unificada de amena+as $an ganado fuer+a en el sector debido a la aparición de amena+as combinadas, que son el resultado de lacombinación de diferentes tipos de malware y ataques que apuntan a partesseparadas de la red de forma simult#nea. Puede ser difícil evitar estos tipos deataques cuando se utili+an distintos productos y proveedores para cada tarea deseguridad específica, ya que cada aspecto tiene que administrarse y actuali+arse deforma individual a fin de permanecer actuali+ado de cara a las *ltimas formas demalware y cibercrimen. " trav's de la creación de un *nico punto de defensa y el usode una sola consola, las soluciones U&@ facilitan en gran medida la tarea de tratar conamena+as variadas.

 "unque la gestión unificada de amena+as sí resuelve algunos problemas de seguridadde red, no lo $ace sin algunas desventa%as, siendo la m#s grande que el *nico puntode defensa que proporciona un producto U&@ tambi'n crea un punto *nico de falla.!ebido a esto, muc$as organi+aciones optan por complementar su dispositivo U&@con un segundo perímetro basado en software para detener cualquier malware quepase por el firewall U&@.

PRO*UCTOS FORTINET

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 33/36

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 34/36

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 35/36

7/23/2019 Fortinet Exam

http://slidepdf.com/reader/full/fortinet-exam 36/36