CONEXION A INTERNET POR: A. CABLE MODEM B. LINEA ADSL C.

CONEXION PPP LAN PEQUEA: EL FIREWALL ES EL EQUIPO QUE SE CONECTA DIRECTAMENTE A INTERNET. (En mi caso sera el mdem), la tarjeta de interfaz de red externa es el punto de co nexin o pasarela a internet (en mi caso una conexion RJ, debo verificar marca de la tarjeta de red -destapar el mdem-), la configuracin simple de un firewall recib e el nombre de firewall bastin (primer y nico bastin de defensa). REDES: Existen principalmente dos estructuras de red (formas de analizar una red): la ISO y la TCP/IP, la ISO es la ms antigua y fue propuesta desde el punto de vis ta acadmico, tcnico, ideal, y la TCP/IP es posterior, y fue propuesta desde el pun to de vista prctico llevando el nombre de un protocolo de red por cuanto quienes disearon el protocolo TCP/IP fueron quienes propusieron este tipo de estructura a su parecer mas simple (una especie de ISO simplificada). LA ISO: se mira la red como una composicin de 7 capas, que son adyacentes dentro de cada equipo y paralelas entre los equipos. LA TCP/IP: se mira la red como una composicin de 4 capas, son las mismas que las del ISO pero simplifica las 7 capas a solo 4. Los datos o mensajes son empaquetados como una cebolla, o como una matrusca* (o un cohete), la matrusca exterior (en un cohete no seran capas sino motores: el pr imer motor es el de arranque el que permite despegar al cohete), la ms grande que contiene el resto es la capa de red externa o internet, es una porcin del mensaj e que contiene la informacin suficiente para que el mensaje pueda viajar a travs d e una red, como son los puertos y las IP de destino y origen, al desechar la pri mera capa (o motor), queda la segunda capa a la vista (se enciende el segundo mo tor), esta capa es la de subred (o red interna, generalmente ethernet), contiene la suficiente informacin para mover el mensaje a travs de la subred como la direc cin MAC y las IP internas origen/destino, una vez se desecha esta capa el mensaje tiene que ya haber llegado al equipo de destino que recibe el mensaje; pero des tapa una capa mas, la de transporte, que dice qu protocolo se debe usar y en qu pu erto interno debe entregarse, luego viene una ltima capa (*o matrusca: la matrusc a es una mueca rusa, se caracteriza porque son varias muecas una metida dentro de la otra, una mas grande hueca que contiene mnimo a otra mas pequea, casi siempre s on tres o cuatro la mas pequea es solida porque no contiene a otra matrusca dentr o, pero la cadena de matruscas dentro de una matrusca mas grande puede ser tan g rande como uno quiera) que es la que recibe la aplicacin que leer el mensaje por l o general un navegador web, este se encarga de abrir el ltimo paquete para sacar el mensaje, en este proceso se pueden implementar mas o menos capas o cajas de e mpaquetamiento, la tendencia es a quitar, simplificar, pero a veces tambin se sue le usar bastantes paquetes en donde se pueda, especialmente antes de la capa de red y despus de esta, ya que la capa de internet se rige bajo estndares internacio nales, es mejor usar un mismo tipo de paquete en esta capa, para as hacer compati bles todas las redes del mundo, y puedan viajar toda clase de paquetes, pero en la etapa anterior o anteriores pueden agregarse otros paquetes que pueden destap arse en esa misma etapa o antes de pasar a la capa de red; tanto como empaquetar antes para que se desempaqueten despues de la capa de red. De la misma forma pu ede suceder despues de la capa de red donde se pueden agregar nuevos empaquetado s para trmite interno en la subred o dentro del mismo equipo terminal de la comun icacin (el destinatario del mensaje). Por ejemplo si se emapqueta antes de la cap a de red. puede haber una capa de seguridad ssl, que se aplica antes de enviar p or la capa red y que se quita despus de pasar dicha capa, cada capa debe tener un orden para que sea efeciva, en el orden que se ponen en ese orden deben quitars en, si la capa de codificacin se aplica inmediatamente despus de crear el mensaje

debe quitarse inmediatamente antes de leerlo, si la capa ssl se aplica justo ant es de la capa de red debe quitarse justo despues de quitarse esta, lo cual tiene implicaciones tcnicas, porque al existir una capa de subred quiere decir que la capa de seguridad se quita antes de quitar la de subred, es decir que cualquiera en la subred que intercepte el mensaje no necesitar quitar esa capa de seguridad porque ya habr desaparecido, por lo que la capa de codificacin se suele poner jus to despus de hacer el mensaje sobre la capa de aplicacin, con lo que es la aplicac ion destinataria la encargada de retirar esa capa (verbi gracia cuando se redact a un texto en procesador de textos, esta aplicacin va aplicando una capa de segur idad al instante que crea el mensaje, de tal forma que esta capa se quita solo e n la aplicacin destinataria, que es otro procesador de texto, asi que an hya desap arecido la capa de seguridad de red, si el mensaje es escuchado en la subred don de ya no existe la seguridad de la capa de red porque se a quitado, el mensaje d e todas formas sigue encriptado, inetendible para las mauqinas y aplicaciones qu e no son destinatarias, en este caso debera suplantarse al destinatario engaar al mensajero para que entregue el mensaje a otra aplicacin y esta pueda desincriptar la, siempre que sepa cmo hacerlo). En un mensaje de 0's y 1's, suelen existir marcas que sealan el inicio y el fin d e cada capa, pueden borrarse o sobreescribirse esos bits o simplemente conservar los y usar banderas que indiquen que ya se us la informacin de esa capa, y el mens aje original es un conjunto de bits en aparente desorden, sin un significado esp ecial acompaado de unos bits que indicarn al destinatario cmo debe leerlos (en la c omunicacin se entiende que todo mensaje est codificado, esa es la razn de ser de un lenguaje -servir de vehculo apto dentro de un canal de comunicacin, todo el que c onozca el lenguaje y reciba el mensaje puede entenderlo, su fin no es ocultar un mensaje o hacerlo inentendible sino que se codifica para que pueda viajar a tra vs del medio o pueda aprovecharlo de mejor forma, esto podra ser una diferencia en tre la codificacin y la encriptacin, a pesar qeu pueden verse iguales su finalidad es distinta, la encirptacin si busca hacer inentendible, inperceptible un mensaj e, ocultarlo, viene de criptos, oculto, no solo tiene en cuenta el medio en el q ue se va a enviar le mensaje sino qeu debe asegurarse qeu este debidamente ocult o, invisible, inentendible, inaprehensible, a veces una codificacin sin proponers elo puede ocultar suficientemente un mensaje, por ejemplo cuando se habal en un lengua o dialecto desconocido por muchas personas y este dialecto o lengua resul ta imposible de analizar estructuralmetne como un lenguaje comn, esto se uso por EEUU en la guerra con el dialecto navajo), esto para indicar que en todo caso el mensaje puede ser siempre leido en su totalidad, como si se dispusiera de un es caner de rayos x de un aeropuerto analizando el contenido de los paquetes, evita ndo mensajes terroristas, o paquetes bombas, o algn tipo de contrabando, por lo g eneral estos escaneres solan ser costosos, pero en software son fciles de adquirir , cualquiera puede hacerlo, un sniff, captura paquetes (sniffea, huele, aspira p rofunda y cortamente, como absorber por la nariz olores, o cocana), hace copias d e ello, toma fotografas o imgenes de estos atravesando todas sus capas, como un es caner de resonancia magntica, mostrando un conjunto de bits, si la informacin no e st encriptada puede entenderse lo que hay dentro del paquete, no hay formas raras que uno no pueda entender, lo que parece un baln, es un baln, lo que parece un pa r de zapatos son un par de zapatos, adems puede conocerse la ruta (origen y desti no) de un mensaje observando la informacin de cada capa (algunos protocolos tiend en a desechar por esa razn las capas usadas para evitar rastrear los paquetes, si es interceptado cerca al destinatario, pero en todo caso si se intercepta en su origen puede saberse su destino y al igual que como se rastrea con gps en la vi da real un paquete puede incluir unos bits de rastreo, o un pequeo programa que s e encarga de estar dejando rastros por la red para que algunos servidores puedan recogerlos y determinar que por all pas, por ejemplo un nmero o identificacin de se sin dejado en un servidor de paso puede servir para identificar un origen y un me nsaje determinado, con lo que podran rastrear el mensaje desde su origen hasta lo s diversos puntos que va cruzando al identificarse, por ejemplo cuando un paquet e tiene un nmero de gua, cada vez que pasa por un punto de control o servidor de p aso este nmero se usa para registrar ese paso, con lo que el propietario del paqu

ete o interesados pueden saber si paso por all su paquete y hacer seguimiento al mismo hasta que llega a su destino final), entonces la seguridad para una person a puede ser la inseguridad para otra, lo realmente indispensable es que cada usu ario sepa qu servicio necesita, para as obtener lo que quiere, sin embargo, en red es digitales, eso es poco probable, o muy inusual debido a la poca informacin y a la falta de voluntad de las empresas que patentan protocolos, o dispositivos de red, razn por la cual los sistemas como linux tienden a desplazar o imponer sus estndares abiertos, lo que mejorara y ampliara tambin lo que se denomina en el comer cio como paquetes de servicios, es decir la variedad de productos que aparecern u ofertarn brindando una determinada forma de entregar mensajes, o de establecer u na comunicacin. PUERTOS DE SERVICIOS: Por estandarizacin de la IANA, los puertos se asignan a aplicaciones especificas (aunque cualquier aplicacin podra usar cualquier puerto), de esta manera las aplic aciones de sistema usaran los puertos 0 a 1023, y solo estas aplicaciones deberan ejecutarse o tendran permisos de administracin, de root, por esta razn a estos puer tos se les denomina "puertos privilegiados", los dems puertos del 1024 al 65535 s e llamaran "puertos no privilegiados" y se usaran por el resto de aplicaciones que no tienen por qu ejecutarse con derechos de administracin y no deben poder modifi car archivos de sistema, solo tienen privilegios de usuario, dentro de este segu ndo grupo encontramos otros subgrupos como por ejemplo el que va del puerto 1024 al 49151 que estan registrados (sugeridos) por el IANA, la lista de la IANA de las recomendaciones para la asignacion de puertos a determinados programas puede consultarse en la pgina de la IANA o las asignaciones mas comunes en el archivo /etc/services que viene en las distribuciones linux. Los puertos de servicios son nmeros identificativos para cada aplicacin de un sist ema que se conecta a la red, estos nmeros se componen de 32 bits, del 00000000 00 000000 00000000 00000000 al 11111111 11111111 11111111 11111111, que en decimal es 0 a 65535, y en hexadecimal 0000 a FFFF. En los sistemas de correo internacional el rastreo de mensajes o paquetes suele ser legal, y obligatorio, cuando no se puede seguir o rastrear un paquete se con sidera sospechoso, contrabando, algo peligroso, sin embargo el envo annimo de paqu etes suele estar permitido, o por lo menos un servicio de entrega discreto, en el que solo la empresa de mensajera conoce quien es el remitente y el destinatari o (el destinatario casi nunca suele ser annimo, por alguna costumbre todos los pa quetes deben llevar exteriormente, visiblemente el destiantario, por si por ejem plo el paquete se extrava y pueda ser entregado en su destino por cualquier perso na, pero tambien puede remplazarse el destinatario y remitente por la empresa re sponsable de entregar el paquete, en cuyo caso ella dispondr de un sistema de ide ntificacin interno como por ejemplo un serial o numero hash, o algo parecido, en las redes esto es lo ms comn, y uno por lo general no puede identificar al remiten te o al destinatario, solo la empresa encargada de hacerlo puede (por hardware n o por software, es decir suelen tener canales exclusivos de comunicacin o trasnpo rte de paquetes, con lo cual no se corre el riesgo que alguien pueda interceptar los, son canales exclusivos, dedicados, pero en la prctica no es as, y las mismas rutas de trasnporte de una empresa son las de otra y todos los paquetes de todas las empresas se mueven por los mismos canales, esto es tambien una ventaja en e l sentido que hace mas econmica la explotacin de esta actividad de mensajera, no ha y que invertir en redes porque ya estn creadas, solo en algn software especial o p rotocolo para mover los paquetes junto al resto y casi siemrpe se usan protocolo s gratuitos, libres por lo que no casi todo se va en publicidad de la empresa y recoger ganancias), por lo cual cuentan con servicios de servidores de correo o de comunicacin, o pasarela propios que encriptan el remitente y el destinatario, por ejemplo redes privadas, pero esto tambien quiere decir que una empresa conce ntra todo la informacin de un cliente, en las teoras del estado esta solo era perm itido al propio Estado y no a particulares, y la justificacin estaba en la legiti

macin, en la representatividad, el estado nos representa, somos nosotros mismos p or lo que la base de datos que el Estado hace de nosotros es como si nosotros mi smos la hicieramos, pero una empresa privada que justificacin tiene?, la delegacin que le da el Estado para que haga su trabajo como si l msimo lo hiciera; pero en la prctica se sabe que una vez el Estado deja de hacer por l mismo lo que tiene q ue hacer, las jurisdicciones cambian, las reglamentaciones, y a los particulares por ms que se les homologue a servidores publicos suelen ser mas irresponsables, se es mas condescendientes con ellos, se les tolera mas los abusos, y en ltimas entran en juego las jurisdicciones publicas con las privadas, en conflicto de in tereses prcticamente irreconciliables, por lo que estos sistemas de "confianza" d eben prohibirse a todo particular, asi este desempee funciones pblicas, es decir e n este caso las empresas de mensajeria o ISP (las ISP seran la analoga de estas), deben usar otros portocolos de red o comunicacion que impida que se sientan obli gados a recaudar bases de datos del uso que hacen los usuarios de las redes, sin que esto se constituya en una violacion de los principios internacionales de la seguridad de los Estados, que se suelen sostener en el control o soberana que ej ercen sobre sus comunicaciones, lo cual adems resulta contrario a movimientos de libertad comunicacional como internet porque estos proponen una legislacin supran acional, no estatal, es decir que sea cada quien el que se autorregule y no que exista una nueva base de datos internacional como de la ONU que absorba las func iones de todos los Estados como un gran hermano; si llevamos el espacio virtual (digital) al real, lo que internet o una red de redes libre pide es que cualquie r persona pueda ir de un lugar a otro llevando todo lo que quiera sin dar explic acin a nadie, sin tener que portar papeles de identidad o facturas que verifquen quin es y la propiedad y pago de impuesto de lo que lleva, los pases no permiten e so, -todos deben tributar y deben constatar esa situacin (es obligatorio mantener al Estado) -la administracin o recursos del Estado deben priorizarse o enfocarse en sus ciud adanos y no en los extranjeros por lo que igualmente deben poder demostrar su co ndicin de ciudadanos nacionales en todo momento que se les requiera. -Los recursos dentro de un territorio son para el uso y disfrute de sus habitant es (priorizados los nacionales) y debe impedirse su saqueo, o hurto, mover o sa car esos recursos hacia otro lugar perjudicando a quienes posean esos recursos, p or lo que cada quien debe poder demostrar la licitud y propiedad de lo que carga , de lo que tiene. -la sociedad a travs del Estado impone sus valores culturales a todos los habitan tes, crea una identidad nacional, no puede permitirse la fuga o desercin de sus m iembros porque se destruyen esos valores, as mismo como la incorporacin de element os que no estn de acuerdo o se sometan a esos principios por la misma razn, debe p or tanto controlarse quien entra y quien sale aceptando siempre condiciones para salir o entrar, someterse a las leyes del Estado. -El Estado debe poder sancionar a quien infrinja la ley o amenace su supervivenc ia o el de la sociedad, por lo que debe poder saber quin es quien y dnde se encuen tra en todo momento. Para lo que no sirve el Estado: - para repartir las utilidades del Estado: esto se puede hacer sin Estado porque no es necesario censar a quin recibe si por ejemplo se crean servicios pblicos, u na fuente pblica que satisfaga la sed, comedores comunitarios en donde se pueda c omer, se ha demostrado que las personas que necesitan comedores comunitarios, qu e los usan suelen no identifcarse, no sirve de nada, salvo para estadisticas de nmero, o para impedir la corrupcin, sin embargo ante la corrupcin solo basta el nmer o de usuarios y constatar y no es necesario la identidad de nadie, estos servici os suelen ser annimos. En los hospitales para recibir atencin mdica no es necesario saber quin es cada persona para atenderlo ya que la necesidad de atencin se puede establecer por estudios fisiolgicos, mdicos, en los servicios de urgencias por ej emplo se suele obligar la atencin a cualquier persona sin necesidad de tener algu na identificacin o documento.

y sobre las funciones en las que es necesario el Estado: -mantener al Estado: el Estado para su creacin debe recibir alguna tributacin o ca pital inicial como toda sociedad comercial, pero luego no tiene por qu estar pidi endo dinero, eso querra decir que la empresa no es viable, no produce utilidades, solo prdidas y a todo momento tiene que volverse a capitalizar, esto quiere deci r tambin que est mal administrada, el Estado no tiene por qu pedir tributacin, debe autosostenerse, por lo que sta obligacin de demostrar la tributacin resulta una car ga innecesaria para los ciudadanos, es el Estado o su adminstracin quien debera de mostrar que ha repartido las utilidades apropiadamente. Por qu la sociedad debe s ostener un sector parsito, ineficiente, costoso, por qu sostener una empresa en qu iebra, eso es una dictadura disfrazada como sistema estatal. -Debe asegurarse que los recursos estatales sean recibidos por quienes son nacio nales: los recursos estatales salvo el dinero no suele concentrarse en un mismo lugar, el Estado debe encargarse de mantener distribuidos apropiadamente los rec ursos y no concentrarlos, esto solo demmuestra escaces, o carencia de los recurs os que se dicen proteger, los recursos deben poderse ver, ser palpables, los alm acenes de depsitos deben ser distribuidos por todo el territorio, en el caso de l os alimentos cultivables, los frigorificos, las droguerias, son prcticamente los n icos recursos que la sociedad usufructa, y el dinero casi siempre se entrega es a travs de especies y no de dinero en efectivo, los subsdidios que se imponen, como en Colombia con accin social se entregan para adquirir esos otros recursos (el d inero no se come), y a lo mejor es el dinero el nico bien que necesita identifica rse para adquirirse porque es un bien que no representa valor en s mismo sino que tiene un valor simblico, un compromiso de entregar valores equivalentes al que s e representa, y se puede vender (o comprometer) todos los recursos de un pas al e mitir un moneda o terminar desconociendo su valor. Asi que una solucin sera que el Estado no manejara dinero, y su papel capitalista sea el de regular el precio y autenticidad de las monedas, manteniendo reservas de divisas, cambindolas por bi enes cuando cumpla un tope para permitir el comercio con dinero dentro de su ter riotrio, en ese caso solo podra permitir el uso de dinero garantizado que proveng a o sea moeda de pases con los que tiene relaciones comerciales y en los que tien e acuerdos para cambiar el dinero que reciba en sus bancos por mercancas en esos pases, asi como adquirir dinero cuando necesite crear reservas del mismo, para lo cual las personas no necesitan identificarse para manejar dinero, solo el Estad o necesita hacerlo frente a otros Estados si entre ellos lo requieren. Otra situ acin en que la se necesita identificacin tiene que ver tambin con el dinero y se re fiere a la remuneracin laboral, lo mximo que se logra en el anonimato laboral es q ue sean las empresas las que manejen su nmina actuando de proxys, y creando pequea s bases de datos (en ese caso podran las empresas ser propiedad de la comunidad d onde estn establecidas y al igual que los comedores comunitarios son centros de t rabajo comunitario en donde solo se necesita reportar el nmero de trabajadores. TIPOS DE MENSAJES Tipos de mensaje IP (ICMP, UDP, TCP): todos los mensajes de protocolo IP contien en las direcciones origen y destino IP y el tipo de mensaje de Protocolo IP que contiene el paquete. -ICMP (Internet Control Message Protocol- Protocolo de Mensajes de Control de In ternet): Es un mensaje IP de control y estado del nivel de red. Contienen un cam po tipo que identifica el tipo de mensaje de control o estado, junto a un segund o campo que define el mensaje en forma ms especfica. Su encabezado contiene las di recciones Ip origen y destino, el identificador de protocolo ICMP y del tipo de mensaje ICMP (si es un comando, una respuesta a un comando, informacin de estado o una condicin de error), no contienen puertos origen y destino. -mensaje IP tipo UDP: transporta los datos en la capa de transporte sin prueba d e su entrega, es como enviar una postal. su encabezado contiene la direccin IP de origen y destino asi como puertos de servicio origen y destino (unidireccional) .

-TCP: transporta datos en la capa de transporte manteniendo en el encabezado inf ormacion adicional de estado para mantener una conexion fiable y activa, es como una comunicacion telfonica con otro programa (bidireccional), contiene igual que los UDP nmero de puerto de servicio origen y destino- Cada segmento TCP se entrega sin error, sin prdidas o duplicaciones y d e forma ordenada, - Cada segmento TCP se identifica mediante un nmero de secuencia nico - Cada segmento TCP se confirma su entrega. - Se usan bits indicadores para definir el estaado de conexin. - Un segemento TCP puede fragementarse en segmentos ms pequeos para cumpli r el largo de segmento permitido en una red, por ejemplo el MTU de ethernet es d e mximo 1500 Bytes por trama, estos fragementos se envan individualmente y se reco nstruyen en el destino como partes del segmento TCP al que pertenecen. [socket: es el par IP/puerto, del lado del cliente se llama socket cliente y del servidor socket servidor. la conexin entre dos equipos se define por el par sock et (cliente/servidor)] La conexin TCP de 3 pasos (o saludo de tres vas): 1. El cliente enva una peticin al servidor que contiene un par socket (puerto e IP origen/puerto e IP destino), el identificador del tipo de mensaje IP (en este caso que es el protocolo TCP), unos bits SYN (que indican sincronizacin activa o peticin de sincronizacin), un nmero de secuencia de sincronizacin junto al SYN (que se usar como base para numerar el resto de menajes), un nmero identificativo del paquete. 2. El servidor recibe el paquete y lo enva al puerto solicitado, el SYN del paque te acta como peticin de conexin entrante, si el puerto est habilitado asigna un nuev o socket en su extremo y lo asocia al socket cliente, aade una confirmacin (bits i ndicadores ACK en modo activado) como respuesta a al mensaje de peticin SYN, tamb in incluye el numero de secuencia SYN enviado por el cliente incrementado en 1 (+ 1) como forma de reconocer que ha recibido el mensaje del cliente y que se trata de esa peticin y no de otra, asi mismo enviar por esta nica vez los bits SYN en es tado activado y su propia secuencia de sincronizacin. (este mensaje contiene bits ACK y SYN activados o sea de bit 0 pasan a bit 1). El servidor espera en el cua rto paso y en todos las demas recepciones posteriores recibir el numero de secue ncia que increment (y qu pasa con su numero de secuencia?) 3. EL cliente recibe el mensaje del servidor y lo responde con su propia confirm acin, despues de lo cual se establece la conexin. de ahora en adelante tanto clien te como servidor tienen activados los bits indicadores ACK, el indicador SYN no lo volvera a activar ningn programa. el cliente enva la secuencia del servidor incr ementada en 1? o su propia secuencia?, cual es la copia del SYN original que enva en este tercer paso? la suya o la del servidor? (no se si durante la conexin se m anejan las dos secuencias SYN incrementandose a cada lado y si solo es una secue ncia la del cliente la que siempre se incrementar) despus del tercer paso se seguir incrementando la secuencia en mas 1 cada vez que se reciba (pero solo en el servidor o tambien cuando la recibe el cliente?) hasta que se enva una peticin de terminacin disponible solo a nivel de aplicacin no de re d o filtrado. El filtrado se hace a nivel de red, sobre el protocolo IP sin entrar en el conte nido del paquete. FIREWALL: Tres tipos: -Firewall de filtrado de paquetes: suele implementarse dentro de un S.O. y funci ona en la capa de transporte y red de la re IP. Protege al sistema realizando de cisiones de enrutamiento despus de filtrar los paquetes, basndose en la informacin del encabezado del paquete IP. -Firewall de host explorado (o pasarela de aplicacin): se implementa en los nivel

es de arquitctura de red y configuracin del sistema. Todo el trfico interno y exte rno se enruta por la mquina de pasarela (como un hombre en el medio), cada usuari o debe autenticarse (iniciar sesin) para poder usar la pasarela y realizar una co nexin a internet u otra mquina, esta pasarela puede tambin implementar dentro de si en la interfaz interna o externa un firewall de filtrado de paquetes. -Firewall Proxy (o de pasarela de circuito): se suele implementar como una aplic acin independiente para cada servicio con el que se desea usar el proxy, la aplic aci proxy aparece ante el cliente como el servidor real y ante el servidor como e l cliente. los tres tipos controlan a qu servicios y por quin se peuden acceder. FIREWALL DE FILTRADO DE PAQUETES DE RED Conjunto o lista de reglas de aceptacin y denegacin (Las listas de reglas se les l lama cadenas), definen explcitamente los paquetes que se permiten pasar y los que no a travs de la interfaz de red. Usan los campos del encabezado del paquete para decidir si: - enrutar un paquete hacia su destino. - eliminar un paquete | - bloquear (rechazar) un paquete devolviendo una condicin de error a la mquina emi sora. - denegar el acceso a un paquete no genera respuesta las reglas se basan en: -interfaz de red usada -direccin IP del host -direcciones Ip origen y destino del nivel de red -puertos de servicio UDP y TCP de la capa de transporte -Los indicadores de conexin TCP. -Los tipos de mensaje ICMP del nivel de red -Si los paquetes son entrantes o salientes. Lo que hace el firewall es cotejar cada paquete con cada regla de la lista y act uar segn la regla (permitir /denegar) A nivel de trasnporte o red no se puede verificar que el remitente es quien dice ser, ni que lso datos sean correctos, las direcciones IP o la informacin de cabe cera puede manipularse fcilmente sin embargo permite una rpida clasificacin de los paquetes y asignacin de puertos a los mismos (la verificiacion de autenticidad de un mensaje deber ir en otra capa). Dos directivas bsicas: -Denegar de forma predeterminada el ingreso o salida de cualquier paquete y solo permitirlo a paquetes seleccionados explcitamente. -Aceptar de forma predeterminada el ingreso o salida de cualquier paquete y solo prohibirlo a paquetes seleccionados explcitamente. La primera directiva es la recomendada, un firewall que lo acepte todo implica m as trabajo, mayor dificultad y es mas propenso a errores. a nivel de red: el filtrado solo se realiza basado en la informacin de la cabecer a del paquete, no se peude acceder al paquete por tanto las decisiones se toman respecto a la IP, a los puerto y el protocolo de transporte que dice contener. respecto a la IP: Spoofing: cambiar la direccin Ip original por una falsa, cmo se previene?, aunque p arezca que ante tan poca informacin que se maneja en la cabecera no se cometan er rores al supalntar una IP se suelen cometer lso siguetes errores qeu permiten de tectar un paquete adulterado y por tanto debe ser rechzado por el firewall: -La IP no corresponde a una IP de red (internet) sino a una IP interna de LAN (I Ps clase A, B y C), estas IP no son las de las capas de red, no pueden viajar a travs de ninguna red IP, por tanto denotan que son paquetes adulterados con spoof ing (tratan hacer creer qeu vienen de la red Ip cuando porceden de la interna o

que viniendo de afuera han sdo adulteradas. -La IP de destino es la misma que la del remitente: se usa la IP de la propia ma quina para adulterar el paquete, obviamente el destinatario no puede ser el mism o remitente (bueno se puede intentar uando un puerto disitnto y teniendo solo un a IP externa, pero generlamente uno sabe que acaba de enviarse una paquete, or e jemplo puede tener un servidor web cuya Ip es mi Ip externa, usando mi nevagador accedo al servidor no a travs de la IP interna generalmente 192.168.1.1 sino a t ravs de mi p externa por el puerto donde tenga configurado mi servidor, la IP que introduzco en el navegadore es mi Ip externa, el mensaje IP TCP o UDP que envo l leva como Ip de origen mi propia IP por tanto la de destino tambins ser esa misma IP, pero en ese caso sabra que es lo que estoy haciendo y que me acabo de enviar un mensaje, sino lo he hecho yo mismo debe ser un mensaje adulterado). *Direcciones reservadas IP Privadas: -IP (Privadas) clase A: 10.0.0.0 a 10.255.255.255 -IP (Privadas) clase B: 172.16.0.0 a 172.31.255.255 -IP (Privadas) clase C: 192.168.0.0 a 192.168.255.255 *Direcciones reservadas IP multidifusion de clase D: estan reservadas como IP de stino (no de origen) cuando se participa en una red multidifusin (ej. difusion au dio y video): -IP (multidifusion) clase D: 224.0.0.0 a 239.255.255.255 *Direcciones reservadas IP de clase E: Usos futuro y experimentales (no se asign an pblicamente), redes de defensa e inteligencia. -IP (militares) clase E: 240.0.0.0 a 247.255.255.255 *Direcciones de interfaz de bucle invertido: se usan en UNIX como atajo usando s u propia interfaz local y no usar la interfaz de red. IP de bucle invertido: 127.0.0.0 a 127.255.255.255 *Direcciones IP especiales o mal formadas: 0.0.0.0 suele ser usado por el DHCP c omo direccin de difusin, si un paquete usa esta direccin de origen es probable que sea una direccin falsificada. *Direcciones de difusin: es una nica direccin que se usa para dirigirse a todos los equipos dentro de una rama de red, evitando dirirgirse a cada uno de ellos, las direcciones son la 255.255.255.255, en un rama 192.168.0.0 tambin su direccin de difusin sera 192.168.255.255, en 192.168.1.0 sera 192.168.1.255, la direccin especia l 0.0.0.0 es solo de origen especial pero algunas veces se usa como destino, en cuyo caso puede sospecharse de una falsificacin, en los sistemas UNIX se suele re chazar (no denegar) los mensajes que tnegan como destino esta direccin, enviando un mensaje de error tipo 3 (lo que puede enviar informacin del sistema por lo que es mejor denegar) *Puertos asignados: los servidores a los que se conecten usarn por defecto los pu ertos asignados (ver puertos IANA) a cada aplicacin, por ejemplo si es HTTP el pe rto origen del servidor web ser el 80, cualquier otro puerto origen es sospechoso . *Puerto 0: una paquete que use como origen el puerto 0 es un paquete falso o adu lterado. USO DEL INDICADOR ACK: Los servidores nunca intentaran una conexion con el cliente, siempre su conexin s er una respuesta que tiene el indicador ACK activado (una peticion desde una IP d e servidor que solo lleve el indicador SYN activado es falsa, est solicitando con exin) SONDEOS Y EXPLORACIONES DE PUERTOS (ESCANEO): Una misma IP de origen que intenta conectarse a diferentes puertos de conexin pueden revelar el inicio de un ataque , la bsqueda de informacin (puertos abiertos y respuestas en las que se incluyan o tros datos como la MAC o el hostname o aplicaciones sin ninguna seguridad de aut enticacion que permita su uso remotamente por ejemplo puertos comunes: sh-22TCP-, telnet-23TCP-, smtp -25TCP-, pop-110TCP-sunrcp-111UD P/TCP-, ftp, imap -143TCP- snmp-161UDP-, route-520UDP-, mount-635UDP-, socks-108 0TCP- que permitan acceso a archivos del sistema). Estos escaneos pueden ser dir igidos hacia todos los puertos, un rango de puertos o puertos comunes.

WINDOWS:netbios-137,138TCP/UDP, 139TCP-, NETBUS-12345TCP- BACK ORIFICE -31337UDP -. BLOQUEAR SITIOS PROBLEMATICOS: Se puede bloquear la conexin a sitios considerados problemticos, poniendo su IP en una lista para denegacin o todo un rango de IP de la ISP que sea problemtica, des de donde se suelen realizar ataques a las redes. De la misma forma podra permitirse el ingreso de paquetes que procedan solo de un a direccin o un rango de direcciones, por ejemplo para permitir el ingreso de paq uetes especiales que solo se permitirian de un origen confiable. DENEGACION DE SERVICIO (incluyen ataques clsicos como inundacin SYN TCP, inundacin ping, inundacin UDP y bombas de redireccin de enrutamiento ICMP): Lograr ocupado u n sistema para que no pueda hacer nada til e inmovilizar recursos crticos INUNDACION SYN (TCP): en el saludo de tres vas, el atacante usa una direccin de un cliente leitimo para enviar una peticin TCP SYN, el servidor contesta con una pet icin SYNACK de la direccion falsa no obteniendo respeusta y quedando la conexin se miabierta esperando una respuesta o agotar dicho tiempo de espera, antes que est o termine se enva una nueva o nuevas peticiones con lo que el servidor debe usar mas recursos para mantenerse a la espera de una respuesta a sus SYN-ACK, hasta e l punto que ya no puede recibir mas peticiones, dejando ese puerto inutilizado. Algunas soluciones son el filtrado de direcciones anticipando o previendo algun direccion falsa que suela usarse, en redhat existen las llamadas SYN cookies ins taldas en el ncleo, que generan un retardo a la inundaci SYN. INUNDACION PING: Cualquier mensaje que provoque una respuesta de la mquina se pue de usar para degradar la conexin de red, obligando al sistema a gastar la mayor p arte del tiempo respondiendo. El mensaje de peticin echo ICMP que enva mediante pi ng suele ser responsable de este ataque. Linux es invulnerable al ping de la mue rte un programa que se dedicaba a enviar grandes paquetes ping. Otras personas d eciden simplemente deshabilitan el ping entrante, aunque el ping suele ser una h erramienta importante de la red. INUNDACION UDP: Se supone que es realtivamente fcil mantener ocupado a uns sistem a respondiendo a sondeos UDP entrantes, hasta el punto que no quede ancho de ban da para el trfico legtimo. se suele deshabilitar todos los puertos UDP que no son absolutamente necesarios. BOMBAS DE REDIRECCION ICMP: se usa el mensaje de redireccin de ICMP tipo 5, que i ndica al sistema destino que cambie sus tablas de enrutamiento por una ruta ms co rta, es posible engaar al sistema para que piense que la mquina atacante es una de las mquinas locales o una de las mquinas del ISP o engaar al sistema para que lanc e todo el tafico a algn otro host. DESBORDAMIENTO DE LOS SISTEMAS DE ARCHIVOS: puede desbordarse si se obliga al si stema a escribir gran cantidad de mensajes en lso registros de errores, o muchas copias de mensajes de correo grandes, una solucin es configurar los lmites de los recursos y usar una particin independiente para sistemas de archivos que crezcan rpidamente. DESBORDAMIENTO DE BUFER: muchos servidores pueden bloquearse si reciben demasiad os datos o se envan datos inesperados, los guiones CGI son vulnerables a este tip o de ataque a menos que se tomen precauciones. debe mantenerse actualizado el si stema e instalar las revisiones de software mas recientes. OTROS: la memoria del sistema, las ranuras de la tabla de procesos, los ciclos d e CPU y otros recursos pueden agotarse debido a repetidas y rpidas invocaciones d e servicos de red, una solucin es limitar el uso de estos recursos por parte de c ada servicio, habilitar cookies SYN y denegar en vez de rechazar los paquetes. ENRUTAMIENTO EN ORIGEN: Es la opcin que en el mensaje de origen se indique que ru ta se debe emplear para transportar el mensaje, el atacante suele usar un IP ori gen de confianza y enviar este tipo de paquetes preenrutados, la solucin es no us ar ni permitir paquetes preenrutados, muchos enrutadores ya no toman en cuenta e ste tipo de ordenes por ser demasiado inseguros y usarse mayormente para fines d elictivos o maliciosos. Linux red hat desde la verion 6.o descarta este tipo de paquetes preenrutados.

Servicios: de administracin, se encuentran en la carpeta /etc/rc.d, se inician co n el sistema, por regla general debe solo permitirse aquellos que conozca y comp renda las subcarpetas son enlaces que se refieren a los servicios que se se usan en cada nivel de ejecucin, se indica con una K los servicios qeu deben detenerse y con una S los que deben iniciarse otros menos importantes, se localizan en la carpeta /etc/inetd.conf son iniciali zados por aplicaciones cliente. Niveles de ejecucin (el sistema de usuario funcionar en los niveles 2,3 o 5, los o tros niveles representan estados especiales del sistema) 0. Define acciones de limpieza final que se deben realizar antes de detener el s istema. 1. Define las acciones a realizar cuando se entra y se sale del modo monousuario . 2.Igual que el 3 pero sin disponibilidad de los servicios del sistema de archivo s de red (NFS) 3.(predeterminado) normal, estado de sistema multiusuario 4. NO SE USA, se puede configurar un estado personalizado. 5.Igual al 3 con la adicin del X Windows Display Manager (que muestra un inicio d e sesin basado en X windows y pantalla de seleccin de host) idealmente una mquina f irewall no deber ejecutar XWDM. 6. Define las acciones de limpieza finales a realizar antes de reiniciar el sist ema. Administrador de nivel de ejecucin: interfaz grfica para configuracin o administrac in de archivos de inicio del sistema en /etc/rc.d Inicio del sistema: el proceso maestro, init, lee el archivo de configuracin, /et c/inittab. Este archivo indica a init que ejecute varias secuencias de comandos en el directorio /etc/rc.d, incluyendo rc.sysinit y rc. /etc/rc.d/rc.sysinit: se ejecuta una vez en tiempo de inicio para inicailizar el sistema, cargar mdulos, comprobar sistemas de archivo, leer valores de configura cin de todo el sistema, etc. /etc/rc.d/rc : se ejecuta cada vez que se cambia el nivel de ejecucin. Detiene lo s servicios que no estn definidos para ejecutarse en el nivel de ejecucin activo, y luego lanzar los servicios que si esten definidos para ejecutarse en ese nivel de ejecucin en particular. /etc/inittab : en este archivo se define el nivel predeterminado de ejecucin (por lo general el 3) en la siguiente forma id:3:initdefult. El nivel 2 es la mejor opcin para un firewall.