SEGURIDAD EN INTERNET. PARTE I:
ATAQUES, TECNICAS Y FIREWALLS

RESUMEN

En este trabajo presentamos los posibles problemas de seguridad externa
que se le pueden presentar a una organización que decida conectarse a
Internet. Para disminuir razonablemente el peligro, la mejor herramienta es
un firewall. Se describirán los distintos tipos de ataques que se pueden sufrir,
las técnicas para evitarlos en la medida de lo posible, y las posibles
topologías que puede adoptar un firewall.
Palabras Clave: Seguridad, Internet, Firewalls

INTRODUCCION

La seguridad es un tema que debe inquietar a cualquier organización que hoy día decida
conectar su red a otras sobre Internet. Basta echar un vistazo a las estadísticas para tomar conciencia del riesgo que se corre: el número de incidentes contra sistemas conectados casi se duplica cada año, según el Computer Emergency Response Team Coordination Center (CERT-CC). Y no debe extrañarnos, si tenemos en cuenta el vertiginoso crecimiento de Internet en los últimos años, que implica, por una parte, nuevas redes susceptibles de ser atacadas, y por otra, nuevos atacantes en potencia.
Lo cierto es que tal y como están las cosas, atacar una red conectada a Internet que no haya
sido protegida de un modo "especial" (es tan frecuente como erróneo creer que una filosofía de
seguridad tradicional, basada en passwords y protección de ficheros, es suficiente para protegerse en Internet), es relativamente fácil, y mucho más aún si se utilizan sistemas operativos antiguos que no han sido actualizados ni debidamente "parcheados". En la red es posible encontrar, sin mucho esfuerzo, listas de debilidades tanto de protocolos como de sistemas operativos, así como guías que señalan los pasos a seguir para explotar dichas debilidades. Incluso existen servidores de ftp anónimo con todo tipo de herramientas orientadas a tomar el control de cualquier máquina.
Todas las líneas actuales de investigación en seguridad de redes comparten una idea: la
concentración de la seguridad en un punto. Se obliga a que todo el tráfico entre la red que se pretende proteger y las redes externas pase por un mismo punto. Este punto se conoce con el nombre de firewall, y físicamente puede ser desde un simple host hasta un complejo conjunto de redes separadas por routers. El empleo de un firewall (figura 1) presenta enormes ventajas sobre los enfoques de seguridad en redes tradicionales (que requieren la seguridad individual de cada host conectado, y por tanto sólo pueden justificarse en entornos con un reducido número de máquinas), permitiendo concentrar todos los esfuerzos en el control de tráfico a su paso por el firewall.

SERVICIOS
INTERNET
TECNICAS
+
TOPOLOGIAS
FIREWALL
RED
PRIVADA

PELIGROS Y MODOS DE ATAQUE

El proceso de diseñar un sistema de seguridad podría decirse que es el encaminado a cerrar
las posibles vías de ataque. Se hace imprescindible, por tanto, adquirir un profundo conocimiento
acerca de las debilidades que los atacantes aprovechan, y del modo en que lo hacen. La variedad de ataques posibles contra un sistema es excesivamente amplia y variada a primera vista. Sin embargo, analizándolos con más detenimiento, observamos que la mayoría de ellos no aprovechan una única debilidad, sino una combinación de éstas, y que en el fondo, el tipo de debilidades es, afortunadamente, más reducido. Sin embargo, eso tampoco es tranquilizador si, como veremos, hay problemas de difícil solución.
Últimamente hemos visto aparecer en la red diversas taxonomías de vulnerabilidades y tipos
de ataques. Sin embargo, nos parecen poco homogéneos los criterios que se siguen en sus
clasificaciones. Nosotros hemos preferido presentar aquí una lista con los tipos de ataques que
actualmente se pueden realizar sobre Internet, explicando brevemente en qué consiste cada uno y qué debilidades aprovecha.

Sniffing: este ataque consiste en escuchar los datos que atraviesan la red, sin interferir con la conexión a la que corresponden. Se utiliza principalmente para obtener passwords, y en algunos casos para obtener información confidencial. Para proteger los passwords contra el sniffing basta con emplear mecanismos de autenticación y encriptación.

Spoofing: es el nombre que se le da a los intentos del atacante por ganar el acceso a un sistema
haciéndose pasar por otro que dispone de los privilegios suficientes para realizar la conexión. El
ataque que más se suele utilizar sobre conexiones TCP es el conocido como adivinación del número de secuencia. Se basa en la idea de que si un atacante puede predecir el número inicial de secuencia de la conexión TCP generado por la máquina destino, entonces el atacante puede adoptar la identidad de máquina "confiada".

Hijacking: consiste en robar una conexión después de que el usuario ha superado con éxito el proceso de identificación ante el sistema. El ordenador desde el que se lanza el ataque ha de estar en alguna de las dos redes extremo de la conexión, o al menos en la ruta entre ambas. El único método seguro para protegerse contra este tipo de ataques es el uso de encriptación.

Ingeniería social: son ataques que aprovechan la buena voluntad de los usuarios de los sistemas
atacados. Un ejemplo de ataque de este tipo es el siguiente: se envía un correo con el remite "root" a un usuario, en una gran red académica (donde frecuentemente los usuarios no conocen a los administradores), con el mensaje "por favor, cambie su password a murcia1". El atacante entonces espera un poco, y entra con ese password. A partir de ahí puede emplear otras técnicas de ataque (bugs del sistema para obtener un control total de la máquina, confianza transitiva para entrar en otras máquinas de la red, etc). Ante este tipo de ataques la mejor defensa es educar a los usuarios acerca de qué tareas no deben realizar jamás, y qué información no deben suministrar a nadie, salvo aladministrador en persona.

Explotar bugs del software: aprovechan errores del software. A la mayor parte del software se le ha añadido la seguridad demasiado tarde, cuando ya no era posible rediseñarlo todo. Además, muchos programas corren con demasiados privilegios, lo que les convierte en objetivo de los hackers, que únicamente han de hacerse con una copia del software a explotar y someterlo a una batería de pruebas para detectar alguna debilidad que puedan aprovechar.

Confianza transitiva: en sistemas Unix existen los conceptos de confianza entre hosts y entre
usuarios. Se dice que un sistema es confiado para otro cuando desde el primero, cualquier usuario puede establecer un conexión al segundo sin necesidad de dar un password. Se dice que un usuario sobre un sistema es confiado para otro sistema cuando ese usuario, desde el primer sistema, puede establecer un conexión al segundo sin necesidad de dar un password. Así, cualquier atacante que tome el control de una máquina, probablemente podrá conectarse a otras gracias a la confianza entre hosts y/o entre usuarios.

Ataques dirigidos por datos: son ataques que tienen lugar en modo diferido, sin la participación
activa por parte del atacante en el momento en el que se producen. El atacante se limita a hacer llegar a la víctima una serie de datos que al ser interpretados ejecutarán el ataque propiamente dicho.

Caballo de Troya: un programa que se enmascara como algo que no es, normalmente con el propósito de conseguir acceso a una cuenta o ejecutar comandos con los privilegios de otro usuario.

Denegación de servicios: estos ataques no buscan ninguna información contenida en las máquinas
atacadas ni conseguir acceso a ellas. Únicamente van encaminados a impedir que sus usuarios
legítimos puedan usarlas. El caso más típico es el mail bombing: envío de cantidades ingentes de
correo a la máquina atacada hasta saturarla. Puesto que es casi imposible evitar todos los ataques de denegación de servicio, lo más importante es configurar los servicios para que si uno de ellos es inundado, el resto permanezca funcionando mientras se encuentra y soluciona el problema.

Enrutamiento fuente: los paquetes IP admiten opcionalmente el enrutamiento fuente, con el que la persona que inicia la conexión TCP puede especificar una ruta explícita hacia él. La máquina destino debe usar la inversa de esa ruta como ruta de retorno, tenga o no sentido, lo que significa que un atacante puede hacerse pasar por cualquier máquina en la que el destino confíe (obligando a que la ruta hacia la máquina real pase por la del atacante). Dado que el enrutamiento fuente es raramente usado, la forma más fácil de defenderse contra ésto es deshabilitarlo en el router.

Adivinación de passwords: un elevado porcentaje de penetraciones en sistemas se deben al fallo del sistema de passwords. El fallo más común es la mala elección de passwords por parte de los usuarios. Este se suele llevar a cabo en dos formas básicas. La primera consiste en intentar entrar usando pares cuenta-password conocidos o asumidos (muchos sistemas operativos disponen de cuentas administrativas con passwords por defecto, que pese a no ser comentadas en los manuales del sistema, son conocidas por los atacantes). El segundo modo en que los hackers obtienen los passwords es mediante el uso de crackers (programas que comparan un diccionario de términos contra ficheros de passwords robados). Para protegerse contra estos ataques es vital tanto la educación al usuario sobre cómo elegir su password, como mantener asegurado el fichero de passwords, de modo que no pueda ser robado.
Icmp redirect y destination unreachable: muchos mensajes ICMP recibidos en un host son
específicos a una conexión particular o son disparados por un paquete enviado por ese host. La
intención es limitar el alcance de los cambios dictados por ICMP. Desafortunadamente las viejas
implementaciones de ICMP no usan esta información extra, y cuando llega uno de esos mensajes,
todas las conexiones entre el par de hosts que intervienen en la conexión que propició el mensaje se ven afectadas. Además, con la opción redirect, alguien puede alterar la ruta a un destino para que las conexiones en las que esté interesado pasen por su máquina, de forma que pueda intervenirlas. Los mensajes redirect deben obedecerlos sólo los hosts, no los routers, y sólo cuando estos provengan de un router de una red directamente conectada.

Tempest: el barrido de los electrones por las pantallas de los ordenadores emana unas señales que pueden captarse incluso a varios kilómetros de distancia. La tecnología tempest es capaz de
reconstruir, a partir de las señales captadas, la imagen mostrada en la pantalla que las provocó. Esta tecnología es todavía excesivamente cara, de modo que de momento no es problema a tener en cuenta.

TECNICAS DE DEFENSA

Una vez conocidos los peligros a los que nos enfrentamos, necesitamos medios para
pretegernos contra ellos. En principio, limitando el tráfico entre nuestra red y las externas, a aquel quese considere seguro, o al menos que esté justificado, limitaremos el número de ataques posibles.
A continuación veremos que el filtro de paquetes y los servidores proxy nos permiten ésto. Además, si decidimos permitir que se pueda acceder a nuestras máquinas desde el exterior, habremos de asegurarnos de que los intentos de conexión provienen de quienes dicen provenir. Para ello no podemos fiarnos de los passwords convencionales, puesto que un ataque por sniffing daría el password al atacante. Veremos a continuación métodos de autenticación que nos solucionan este problema. Por último, si creemos que nuestra red puede ser objeto de un ataque hijacking, necesitamos alguna técnica para impedirlos. En este caso necesitaremos encriptar la conexión. Filtro de paquetes: los routers permiten realizar un filtrado de paquetes en base a la
información contenida en sus cabeceras. Básicamente, la información que se suele examinar es: la dirección IP origen, la dirección IP destino, el tipo de protocolo (TCP, UDP o ICMP), el campo de opciones IP, el puerto origen TCP o UDP, el puerto destino TCP o UDP, el campo de banderas TCP y el tipo de mensaje ICMP. Además de la información contenida en el paquete, se puede tener en cuenta la interfaz de red por la que llega el paquete. El hecho de que los servidores de servicios Internet residan en ciertos números de puertos concretos, permite al router bloquear o permitir la conexión a esos servicios simplemente especificando el número de puerto apropiado en el conjunto de reglas especificado para el filtro de paquetes. El filtro de paquetes es transparente a los usuarios, es decir, no requiere conocimientos ni cooperación por su parte. Sin embargo, las reglas de filtro son difíciles de definir, y una vez definidas, duras de testear.

Servidores proxy: son aplicaciones que nos permiten redirigir el tráfico del nivel de
aplicación a través de un firewall. Al cliente le presentan la ilusión de que está tratando directamente con el servidor real. El servidor real cree que está tratando directamente con un usuario en el host donde está corriendo el proxy. Este sistema no siempre es transparente al usuario, puesto que algunos proxies requieren software cliente especial, o bien el software estándar utilizándolo con procedimientos especiales. Los servicios proxy sólo son efectivos usados en conjunción con un mecanismo que restrinja las comunicaciones directas entre los hosts internos y externos (bien con un dual-homed host, bien con filtro de paquetes).

Criptografía:mediante el uso de la criptografía se intenta proteger la información a base de
codificarla de una forma desconocida a los elementos que no forman parte de la comunicación. Se
distinguen, básicamente, dos tipos de encriptación: algoritmos de clave privada o simétricos (DES, TDES, IDEA, RC4 y Skipjack), dónde el emisor y el receptor utilizan la misma clave para cifrar y descifrar respectivamente el mensaje; algoritmos de clave pública o asimétricos (RSA y Diffie-Hellman), en los que un proceso matemático generea dos claves matemáticamente relacionadas para cada individuo, de forma que un mensaje que se cifre con una de las claves sólo puede ser desencriptado con la otra. Las aplicaciones básicas de los algoritmos criptográficos son: el cifrado es la encriptación de un mensaje con una clave; la firma digital se define como el conjunto de datos que se añaden a una unidad de datos para protegerlos contra la falsificación, permitiendo al receptor probar la fuente y la integridad de los mismos.; una función hash segura es una función capaz de reducir una secuencia de caracteres de longitud arbitraria a un número tal que un cambio mínimo en la entrada produce una salida completamente distinta, no existe su función inversa y su rango es lobastante extenso como para hacer inviable una búsqueda exhaustiva.

autenticación: la autenticación es el proceso seguido por una entidad para probar su
identidad ante otra. Distinguimos dos tipos de autenticación: la de un usuario a una máquina durante la secuencia de login inicial, y la de máquina a máquina durante una operación. Los passwords tradicionales son demasiado débiles para usarlos sobre una red, y por tanto se usan passwords no reusables. Estos cambian cada vez que se usan, y por tanto no son sensibles al sniffing. El método de autenticación por dirección IP del host (o bien su nombre DNS) es susceptible de ser atacado mediante spoofing con relativa facilidad, y por tanto se usan técnicas de criptografía, contando con un Centro de Distribución de Claves (KDC) para la distribución y verificación de las mismas. El KDC más conocido es Kerberos.

TOPOLOGIAS DE FIREWALLS

Básicamente se utilizan tres modelos diferentes, aunque dependiendo de la topología
concreta de la red que pretendemos proteger, se admiten diversas modificaciones a estos modelos iniciales.

Dual-homed gateway

Se trata de un host con dos tarjetas de red, cada una de ellas conectada a una red diferente. En principio un sistema Unix instalado sobre un host con estas características enrutará paquetes de una red a otra. Para aislar las dos redes es necesario deshabilitar la función de enrutamiento. La ventaja de estos sistemas es su sencillez, pues sólo requieren un ordenador. La desventaja es que sólo soportan servicios mediante proxy y no filtro de paquetes, ya que al tener la función de enrutamiento deshabilitada, se fuerza a que el tráfico deba ser tratado por una aplicación en el propio host.

Screened host

En este modelo la conexión de las dos redes se produce en un router configurado para
bloquear todo el tráfico entre la red externa y todos los hosts de la red interna, excepto un único
bastión, donde se instala todo el software necesario para la implementación del firewall
Esta topología nos permite soportar servicios tanto mediante proxy (en el bastión) como mediante filtro de paquetes (en el router). El problema de esta topología es que no hay nada previsto a nivel de seguridad entre el bastión y el resto de hosts internos, de modo que si un atacante logra entrar en el bastión, tiene "campo abierto".

Screened subnet

En este modelo se sitúa una red entre las dos redes a conectar. A ésta red se le conoce como
red perímetro o zona desmilitarizada (DMZ), y se conecta a las otras dos mediante sendos routers Los routers se configuran, mediante reglas de filtro, para que tanto los nodos de la red
interna como los de la externa, sólo pueden comunicarse con nodos de la red perímetro. Esto permite a la red interna ser efectivamente invisible a la externa.
Si un atacante lograra entrar a alguno de los bastiones de la red perímetro, aún estaría el
router interno protegiendo las máquinas de nuestra red privada. En particular no podría realizar un sniffing del tráfico interno.

Variaciones de los modelos básicos

Algunas organizaciones disponen una serie de redes perímetro por capas, situando los
servicios más vulnerables en las redes más externas. Esto sólo ayudará cuando haya diferencias en los pasos de una a otra, porque si todos los routers tienen las mismas configuraciones de filtro, quien sea capaz de saltar la primera barrera tendrá todas pasadas. En general, si la topología de nuestra red obliga a matizar la configuración screened subnet básica, se han de tener en cuenta luna serie de normas. Es correcto: usar múltiples host bastion, mezclar el router interior y el exterior, mezclar el host bastión y el router exterior, usar múltiples routers exteriores, tener múltiples redes de perímetro, usar dual-homed hosts y screened subnets. Por contra, es peligroso: mezclar el host bastión y el router interior, usar múltiples routers interiores.

Manual de conexión VPN (Virtual Private Network)
a ECOSUR Unidad Chetumal.

Introducción.

Actualmente nuestros servidores de correo, algunos de Web y el antivirus se encuentran protegidos por un firewall, por lo que no es posible llegar a ellos desde otro sitio de Internet. El servidor de correo permite que desde otro sitio se lea el correo pero que no envié, ya que se puede abusar de él y usarlo para envió de correo spam. A través del Web Access podemos mandar y recibir correo de nuestro servidor, pero cuando estamos mucho tiempo fuera de la Unidad lo más cómodo es usar el Outlook que esta configurado en la máquina y poder enviar y recibir correo a través de dicho programa.

El servicio de vpn funciona sobre una conexión existente, es necesario que antes de conectar el vpn tengamos una conexión a Internet, ya sea por modem, red local o inalámbrica.

Para poder hacer esto es necesario que contemos con el servicio de vpn en nuestra institución y que configuremos en nuestra máquina una conexión de este tipo. Para poder hacer esto damos a continuación.

Para Windows XP, desde el menú de inicio damos click en conectar a y le pedimos mostrar todas las conexiones de red.

Nos muestra una ventana como la de abajo y hacemos clic en la opción de crear una nueva conexión.

Después de hacer clic en la opción mencionada, empieza a ejecutarse el asistente para una conexión nueva. Hacemos click en siguiente

En la siguiente pantalla seleccionamos Conectarse a la red de mi lugar de trabajo, tal como se muestra en la siguiente figura.

Hacemos click en siguiente

En la siguiente pantalla seleccionamos Conexión de red privada virtual, hacemos click en siguiente

En la siguiente pantalla asignamos un nombre a la conexión que estoy creando.

En la siguiente pantalla le indicamos que no haga ninguna conexión inicial.

En esta pantalla tecleamos la dirección IP del servidor al cual me voy a conectar y que es 200.34.194.252

Damos clic en siguiente y nos aparece la última ventana de configuración
Aquí le decimos que agregue un icono al escritorio y finalizamos, con esto tenemos una conexión vpn a la Unidad Chetumal.

Automáticamente después de finalizar la configuración nos muestra la siguiente pantalla para logearnos en la vpn. Para ello necesitamos un login y password el cual es asignado por el departamento de informática. Podemos pedir que grabe la contraseña y así cada vez que me conecte lo hace automáticamente, y podemos decirle que cualquier usuario que use nuestra máquina pueda conectarse a la vpn o si damos clic en solo yo solo el usuario en donde se creo la cuenta podrá conectarse.

Este tipo de conexión es únicamente para el protocolo tcp/ip, si tenemos otro protocolo en nuestra máquina como IPX/SPX o Netbeui, nos manda el siguiente mensaje y le decimos que no vuelva solicitar esos protocolos y le damos aceptar, después de esto sigue la conexión.

En la barra de abajo vemos un icono a parte de la conexión por cable, telefónica o inalámbrica la cual nos servirá para desconectar el servicio, haciendo click con el botón derecho y dando click en desconectar. Al hacer esto nos regresa a la red en donde iniciamos y salimos de la vpn.

antena inalambrica

antena inalmbrica

Espectro electromagnetico

Se denomina espectro electromagnético al conjunto de ondas electromagnéticas. También se utiliza la expresión para hacer referencia a la radiación electromagnética que emite o absorbe una sustancia.

difraccion

En física, la difracción es un fenómeno característico de las ondas que consiste en la dispersión y curvado aparente de las ondas cuando encuentran un obstáculo. La difracción ocurre en todo tipo de ondas, desde ondas sonoras, ondas en la superficie de un fluido y ondas electromagnéticas como la luz y las ondas de radio. También sucede cuando un grupo de ondas de tamaño finito se propaga; por ejemplo, por causa de la difracción, un haz angosto de ondas de luz de un láser deben finalmente divergir en un rayo más amplio a una distancia suficiente del emisor.
La refracción es el cambio de dirección que experimenta una onda al pasar de un medio material a otro. Sólo se produce si la onda incide oblicuamente sobre la superficie de separación de los dos medios y si éstos tienen índices de refracción distintos. La refracción se origina en el cambio de velocidad que experimenta la onda. El índice de refracción es precisamente la relación entre la velocidad de la onda en un medio de referencia (el vacío para las ondas electromagnéticas) y su velocidad en el medio de que se trate.

dispercion

En Física se denomina dispersión al fenómeno de separación de las ondas de distinta frecuencia al atravesar un materl. Todos los medios materiales son más o menos dispersivos, y la dispersión afecta a todas las ondas; por ejemplo, a las ondas sonoras que se desplazan a través de la atmósfera, a las ondas de radio que atraviesan el espacio interestelar o a la luz que atraviesa el agua, el vidrio o el aire.
Efecto Doppler, llamado así por el austríaco Christian Doppler consiste en la variación de la longitud de onda de cualquier tipo de onda emitida o recibida por un objeto en movimiento. Doppler propuso este efecto en 1842 en una monografía titulada Über das farbige Licht der Doppelsterne und einige andere Gestirne des Himmels ("Sobre el color de la luz en estrellas binarias y otros astros").
Sólo has de asegurarte de que la potecia e impedancia del altavoz sea acorde con el amplificador que va a suministrar esa potencia. ...

multiplexacion

La señal que es enviada al modulador puede ser un simple canal telefónico, analógico o digital; esto es típico en servicios móviles y a menudo se usa en servicios fijos en estaciones terrenas con poco tráfico. Pero es usual que las estaciones terrenas de servicios fijos tengan cientos o miles de canales telefónicos que transmitir y recibir. En ese caso se combinarán mediante multiplexación, los canales analógicos en múltiplex por división en frecuencia y los digitales en múltiplex por división en el tiempo.

IEEE 802.11

De Wikipedia, la enciclopedia libre
(Redirigido desde 802.11)
Saltar a navegación, búsqueda
El estándar IEEE 802.11 o Wi-Fi de IEEE que define el uso de los dos niveles inferiores de la arquitectura OSI (capas física y de enlace de datos), especificando sus normas de funcionamiento en una WLAN. Los protocolos de la rama 802.x definen la tecnología de redes de área local y redes de área metropolitana.
Wifi n ó 802.11n, en la actualidad la mayoría de productos son de la especificación b y de la g , sin embargo ya se ha ratificado el primer borrador del estándar 802.11n que sube el límite teórico hasta los 600 Mbps. Actualmente ya existen varios productos que cumplen un primer borrador del estándar N con un máximo de 300 Mbps (80-100 estables).
El estándar 802.11n hace uso simultáneo de las ambas bandas, 2,4 Ghz y 5,4 Ghz. Las redes que trabajan bajo los estándares 802.11b y 802.11g, tras la reciente ratificación del estándar, se empieza a fabricar de forma masiva y es objeto de promociones de los operadores ADSL, de forma que la masificación de la citada tecnología, parece estar de camino. Todas las versiones de 802.11xx, aportan la ventaja de ser compatibles entre si, de forma que el usuario no necesitara nada mas que su adaptador wifi integrado, para poder conectar se a la red.
Sin duda esta es la principal ventaja que diferencia wifi de otras tecnologías propietarias, como LTE, UMTS y Wimax, las tres tecnologías mencionadas, únicamente están accesibles a los usuarios mediante la suscripción a los servicios de un operador que autorizado para uso de espectro radioeléctrico, mediante concesión de ámbito nacional.
La mayor parte de los fabricantes ya incorpora a sus líneas de producción equipos wifi 802.11n, por este motivo la oferta ADSL, de, ya suele venir acompañada de wifi 802.11n, como novedad en el mercado de usuario domestico.

modelo osi

Capa Física (Capa 1)

La Capa Física del modelo de referencia OSI es la que se encarga de las conexiones físicas de la computadora hacia la red.
Sus principales funciones se pueden resumir como:
Definir el medio o medios físicos por los que va a viajar la comunicación: cable de pares trenzados (o no, como en RS232/EIA232), coaxial, guías de onda, aire, fibra óptica.
Definir las características materiales (componentes y conectores mecánicos) y eléctricas (niveles de tensión) que se van a usar en la transmisión de los datos por los medios físicos.
Definir las características funcionales de la interfaz (establecimiento, mantenimiento y liberación del enlace físico).
Transmitir el flujo de bits a través del medio.
Manejar las señales eléctricas/electromagnéticas
Especificar cables, conectores y componentes de interfaz con el medio de transmisión, polos en un enchufe, etc.
Garantizar la conexión (aunque no la fiabilidad de ésta).

Capa de enlace de datos (Capa 2)

La capa de enlace de datos se ocupa del direccionamiento físico, de la topología de la red, del acceso a la red, de la notificación de errores, de la distribución ordenada de tramas y del control del flujo.

Capa de red (Capa 3)

El cometido de la capa de red es hacer que los datos lleguen desde el origen al destino, aun cuando ambos no estén conectados directamente. Los dispositivos que facilitan tal tarea se denominan en castellano encaminadores, aunque es más frecuente encontrar el nombre inglés routers y, en ocasiones enrutadores.
En este nivel se realiza el direccionamiento lógico y la determinación la ruta de los datos hasta su receptor final.

Capa de transporte (Capa 4)

Su función básica es aceptar los datos enviados por las capas superiores, dividirlos en pequeñas partes si es necesario, y pasarlos a la capa de red. En el caso del modelo OSI, también se asegura que lleguen correctamente al otro lado de la comunicación
En resumen, podemos definir a la capa de transporte como:
Capa encargada de efectuar el transporte de los datos (que se encuentran dentro del paquete) de la máquina origen a la de destino, independizándolo del tipo de red física que se esté utilizando. La PDU de la capa 4 se llama Segmentos

Capa de sesión (Capa 5)

Esta capa establece, gestiona y finaliza las conexiones entre usuarios (procesos o aplicaciones) finales. Ofrece varios servicios que son cruciales para la comunicación, como son:
Control de la sesión a establecer entre el emisor y el receptor (quién transmite, quién escucha y seguimiento de ésta).
Control de la concurrencia (que dos comunicaciones a la misma operación crítica no se efectúen al mismo tiempo).
Mantener puntos de verificación (checkpoints), que sirven para que, ante una interrupción de transmisión por cualquier causa, la misma se pueda reanudar desde el último punto de verificación en lugar de repetirla desde el principio.

· En conclusión esta capa es la que se encarga de mantener el enlace entre los dos computadores que estén transmitiendo datos de cualquier índole.

Capa de presentación (Capa 6)

El objetivo de la capa de presentación es encargarse de la representación de la información, de manera que aunque distintos equipos puedan tener diferentes representaciones internas de caracteres (ASCII, Unicode, EBCDIC), números (little-endian tipo Intel, big-endian tipo Motorola), sonido o imágenes, los datos lleguen de manera reconocible.
Esta capa es la primera en trabajar más el contenido de la comunicación que en como se establece la misma. En ella se tratan aspectos tales como la semántica y la sintaxis de los datos transmitidos, ya que distintas computadoras pueden tener diferentes formas de manejarlas.
Por lo tanto, podemos resumir definiendo a esta capa como la encargada de manejar las estructuras de datos abstractas y realizar las conversiones de representación de datos necesarias para la correcta interpretación de los mismos.
Esta capa también permite cifrar los datos y comprimirlos. En pocas palabras es un traductor

Capa de aplicación (Capa 7)

Ofrece a las aplicaciones (de usuario o no) la posibilidad de acceder a los servicios de las demás capas y define los protocolos que utilizan las aplicaciones para intercambiar datos, como correo electrónico (POP y SMTP), gestores de bases de datos y servidor de ficheros (FTP). Hay tantos protocolos como aplicaciones distintas y puesto que continuamente se desarrollan nuevas aplicaciones el número de protocolos crece sin parar.

subredes o subnet

• La definición de subredes es una forma de organizar los hosts que hay dentro de una red en grupos lógicos.
• El encaminamiento de subred permite que numerosas subredes existan dentro de una misma red.
• La subred permite subdividir una netid (generalmente la dirección clase C, pero puede también hacerse con direcciones clase A o B) en dos o más redes.
• Una máscara de subred es un patrón de 32 bits que se representan en notación decimal igual que las direcciones IP.
– Permite distinguir e interpretar que bits de la dirección IP pertenecen a la dirección de red y cuáles a la dirección de host.
– Por lo tanto las submáscaras más usadas son:
• 255.255.255.0
• 255.255.0.0
• 255.0.0.0
• El identificador de red se determina
– Aplicando la función AND a la dirección IP original con la máscara.
150.214. 58 .9 AND 255.255.255.0
Dirección de RED 150.214.58.0 (Dirección lógica de tipo C)
• Dirección de difusión en la red.
– Aplicando la función OR a la dirección IP de red con la inversa de la máscara
150.214. 58 .0 OR 0.0.0.255
Dirección de difusión en la red (broadcasting) RED 150.214.58.255



La siguiente explicación lleva un proceso sistemático de ejercitación constante, de nada servirá que usted sea un genio configurando dispositivos si no es capaz de direccionar correctamente.
Paso 1- Piense en binariosPaso 2- Encuentre la máscara adecuada para la cantidad de subredes que le solicitan, independientemente de la dirección IP lo que nos importa es la clase de red.Razone, red clase C, el primer octeto, el segundo y el tercero corresponden a la dirección de red por lo tanto trabaje con el cuarto octeto correspondiente a los host. De izquierda a derecha tome la cantidad de bits necesarios de la máscara para la cantidad de subredes que le solicitan:
Ejemplo) Crear 10 subredes a partir de una red clase C
Máscara de red 255.255.255.0Rango de red (Netid) Rango de host11111111.11111111.11111111.00000000Cuarto octeto 00000000Tomo prestados cuatro bits: 11110000Según la fórmula 2N-2 debemos tomar 4 bits del rango de host, por lo tanto:
Dos a la cuarta menos dos igual a 1424-2=16-2=14
Recuerde que no siempre los valores son exactos, coloque en uno los bits que resultaron de la operación anterior y súmelos, recuerde el valor de cada bit dentro del octeto: 128, 64, 32, 16, 8, 4, 2, 111110000128+64+32+16=240La máscara de subred de clase C para obtener 10 subredes válidas es:255.255.255.240
Paso 3- Identifique las correspondientes direcciones IP de las subredes restando a 256, que es la cantidad máxima de combinaciones que tiene un octeto, el valor de la máscara obtenida. Este número será la dirección de la primera subred utilizable que a su vez es el incremento o la constante para determinar las siguientes subredes._256240016 El resultado indica la primera dirección válida de subred.
Número Valor del ValorSubred octeto decimal0 00000000 01 00010000 162 00100000 323 00110000 484 01000000 645 01010000 806 01100000 967 01110000 1128 10000000 1289 10010000 14410 10100000 16011 10110000 17612 11000000 19213 11010000 20814 11100000 22415 11110000 240
El incremento constante en este caso será de 16Paso 4- Obtenga las direcciones IP de las Subredes
Dirección IP de la red original: 192.168.1.0 255.255.255.0Dirección IP de la 1º subred: 192.168.1.16 255.255.255.240Dirección IP de la 2º subred: 192.168.1.32 255.255.255.240Dirección IP de la 3º subred: 192.168.1.48 255.255.255.240Dirección IP de la 4º subred: 192.168.1.64 255.255.255.240……………………………………………………………………………………………………………Dirección IP de la 13º subred: 192.168.1.208 255.255.255.240Dirección IP de la 14º subred: 192.168.1.224 255.255.255.240- Otra forma de identificar las máscaras es sumar los bits en uno y colocarlos detrás de la dirección IP separados por una barra:
Dirección IP de la red original: 192.168.1.0/24Dirección IP de la 1º subred: 192.168.1.16/28Dirección IP de la 2º subred: 192.168.1.32/28Dirección IP de la 3º subred: 192.168.1.48/28Dirección IP de la 4º subred: 192.168.1.64/28
……………………………………………………………………………………………………………Dirección IP de la 13º subred: 192.168.1.208/28 Dirección IP de la 14º subred: 192.168.1.224/28Recuerde que la dirección de subred 0 no se utiliza por ser el ID de la red, y la 240 tampoco por ser la dirección de broadcast. Esto será siempre así, ni la primera ni la última.Paso 5- Identifique el rango de Host que integran las subredes.Hasta ahora hemos trabajado con los bits del rango de red, es decir de izquierda a derecha en el octeto correspondiente, ahora lo haremos con los bits restantes del rango de host, es decir de derecha a izquierda. Tomemos como ejemplo la subred 196.168.1.16/28 y apliquemos la formula 2N-2, nos han quedado 4 bits libres por lo tanto: 24-2=16-2=14 Estas subredes tendrán 14 host válidos utilizables cada una.Número Valor Valorde Host del octeto decimal00010000 subred1 00010001 172 00010010 183 00010011 194 00010100 205 00010101 216 00010110 227 00010111 238 00011000 249 00011001 2510 00011010 2611 00011011 2712 00011100 2813 00011101 2914 00011110 3015 00011111 broadcastEl Rango de Host válido para la subred 192.168.1.16/28 será:192.168.1.17 al 30El mismo procedimiento se lleva a cabo con el resto de las subredes:Nº de Rango de hostsubred válidos Broadcast 192.168.1.16 17 al 30 31192.168.1.32 31 al 62 63192.168.1.64 65 al 78 79192.168.1.80 81 al 94 95192.168.1.96 97 al 110 111………………. ……………. ……..192.169.1.224 225 al 238 239La dirección de broadcast de una subred será la inmediatamente inferior a la subred siguiente

La base de todo esto es primero que nada comprender que es y para que sirve un número binario, antes de que se asusten esto es muy sencillo y no es necesario ser ningún genio de las matemáticas. Un bit es un valor binario que solo puede tener dos valores, estos valores son uno o cero. Toda la ciencia computacional esta basada en este concepto básico de números binarios y las redes computacionales no son la excepción. El bit es la unidad básica de numeración binaria, pero lo que usamos en la práctica son los octetos que no son más que 8 bits agrupados en forma consecutiva.

De esta forma estamos listos para comprender exáctamente que es una dirección IP. Bien pues una dirección IP no es más que una agrupación de 4 octetos (32 bits) consecutivos y nadamás. Un Subnet Mask y un Wildcard Mask también son grupos de 4 octetos. En el caso de una dirección IP la suma de todos los bits activados (con valor 1) en cada octeto nos da como resultado un identificador indivual para cada dispositivo conectado a la red que conocemos justamente como Dirección IP. Cada uno de los octetos representados en forma decimal se une a los otros octetos por medio de un punto lo que nos dá como resultado la conocida notación decimal con puntos (dotted decimal notation) por ejemplo la dirección IP 192.168.0.1

¿ Porqué Subnet Masks ?
Cuando se inventó originalmente el protocolo TCP/IP se definió un esquema bajo el cuál una parte de la dirección IP representaría el número de Red (Network) mientras que la parte restante representaría el número de dispositivo o computadora contectada a la red (Host)
Este esquema de direccionamiento IP original era muy rígido ya que este definía en forma fija cuantos hosts podiamos conectar en esa red, una vez asignado el número de red por una autoridad administrativa central. Por ejemplo si nos asignaban el número de red 134.1.0.0 (a esta dirección se llama también inicio de red), nuestra dirección de red quedaría dentro del rango de una clase B ( 134 decimal = 10000110 binario, una clase B siempre inicia con 1 0 binario como se aprecia en el diagrama abajo) nuestro límite de hosts dentro de esa red sería de 64,534 lo cuál suena muy bien en primera instancia.