Internet Control Message Protocol

El Protocolo de Mensajes de Control de Internet o ICMP (por sus siglas en ingls

de Internet Control Message Protocol) es el sub protocolo de control y notificacin de errores
del Protocolo de Internet (IP). Como tal, se usa para enviar mensaes de error, indicando por
eemplo !ue un servicio determinado no est" disponible o !ue un router o #ost no puede ser
locali$ado. %ambin puede ser utili$ado para transmitir mensaes ICMP &uery.
ICMP difiere del propsito de %CP y '(P ya !ue generalmente no se utili$a directamente por
las aplicaciones de usuario en la red. )a *nica e+cepcin es la #erramienta ping y traceroute,
!ue env,an mensaes de peticin Ec#o ICMP (y recibe mensaes de respuesta Ec#o) para
determinar si un #ost est" disponible, el tiempo !ue le toma a los pa!uetes en ir y regresar a
ese #ost y cantidad de #osts por los !ue pasa.
Este protocolo es parte de la suite de protocolo de Internet, de esta manera se define en -.C
/01. )os mensaes de este protocolo se utili$an con fines de diagnstico o control y se
generan en respuesta a los errores en IP operaciones (como se especifica en el -.C 2211).
Estos errores del protocolo ICMP se dirigen a la direccin IP de origen del pa!uete originario.
Podr,amos decir, !ue todos los dispositivos (como intermedio enrutador) reenv,an un
datagrama IP !ue disminuye el tiempo de vida en el encabe$ado IP por uno. 3i el tiempo de
vida (%%)) resultante es 4, el pa!uete se descartara y un ICMP de tiempo de vida superado
en tr"nsito enviara un mensae de direccin al origen del datagrama.
SSH (Secure SHell, en espa5ol6 intrprete de rdenes segura) es el nombre de
un protocolo y del programa !ue lo implementa, y sirve paraacceder a m"!uinas remotas a
travs de una red. Permite manear por completo la computadora mediante un intrprete de
comandos, y tambin puede redirigir el tr"fico de 7 para poder eecutar programas gr"ficos si
tenemos un 3ervidor 7 (en sistemas 'ni+ y 8indo9s) corriendo.
:dem"s de la cone+in a otros dispositivos, 33; nos permite copiar datos de forma segura
(tanto arc#ivos sueltos como simular sesiones .%Pcifradas), gestionar claves -3: para no
escribir claves al conectar a los dispositivos y pasar los datos de cual!uier otra aplicacin por
un canal seguro tuneli$ado mediante 33;.
3eguridad<editar = editar cdigo>
33; trabaa de forma similar a como se #ace con telnet. )a diferencia principal es !ue 33;
usa tcnicas de cifrado !ue #acen !ue la informacin !ue viaa por el medio de comunicacin
vaya de manera no legible, evitando !ue terceras personas puedan descubrir el usuario y
contrase5a de la cone+in ni lo !ue se escribe durante toda la sesin? aun!ue es posible
atacar este tipo de sistemas por medio de ata!ues de -EP):@ y manipular as, la informacin
entre destinos.
'n FQDN (sigla en ingls de fully qualified domain name) es un nombre !ue incluye
el nombre de la computadora y el nombre de dominio asociado a ese e!uipo. Por eemplo,
dada la computadora llamada Aserv2B y el nombre de dominio Abar.com.B, el .&(C ser"
Aserv2.bar.com.B? a su ve$, un .&(C asociado a serv2 podr,a ser Apost.serv2.bar.com.B. En
los sistemas de nombre de dominio de $onas, y m"s especialmente en los .&(C, los
nombres de domino se especificar"n con un punto al final del nombre.
)a longitud m"+ima permitida para un .&(C es 1DD caracteres (bytes), con una restriccin
adicional a EF bytes por eti!ueta dentro de un nombre de dominio. )as eti!uetas .&(C se
restringen a un uego de caracteres limitado6 letras :GH de :3CII, los d,gitos, y el car"cter AGB
, y no distinguen may*sculas de min*sculas. En 144I se a5adieron algunos caracteres como
AJ, K, L, , M, N...B como caracteres permitidos para las eti!uetas.
Hypertext Transfer Protocol Secure (en espa5ol6 Protocolo seguro de transferencia de
hipertexto), m"s conocido por sus siglas HTTPS, es unprotocolo de aplicacin basado en el
protocolo ;%%P, destinado a la transferencia segura de datos de ;iperte+to, es decir, es la
versin segura de;%%P.
Es utili$ado principalmente por entidades bancarias, tiendas en l,nea, y cual!uier tipo de
servicio !ue re!uiera el env,o de datos personales ocontrase5as.
El sistema ;%%P3 utili$a un cifrado basado en 33)O%)3 para crear un canal cifrado (cuyo
nivel de cifrado depende del servidor remoto y del navegador utili$ado por el cliente) m"s
apropiado para el tr"fico de informacin sensible !ue el protocolo ;%%P. (e este modo se
consigue !ue la informacin sensible (usuario y claves de paso normalmente) no pueda ser
usada por un atacante !ue #aya conseguido interceptar la transferencia de datos de la
cone+in, ya !ue lo *nico !ue obtendr" ser" un fluo de datos cifrados !ue le resultar"
imposible de descifrar.
El puerto est"ndar para este protocolo es el IIF.
SSL son las siglas en ingls de Secure Socket Layer (en espa5ol capa de conexin
segura ). Es un protocolo criptogr"fico (un conunto de reglas a seguir relacionadas a
seguridad, aplicando criptograf,a) empleado para reali$ar cone+iones seguras entre un
cliente (como lo es un navegador de Internet) y un servidor (como lo son las computadoras
con p"ginas 9eb).
Este protocolo #a sido sucedido por TLS , !ue son las siglas en ingls de Transport Layer
Security (en espa5ol seguridad de la capa de transporte). Persiones de %)3 tienen un
e!uivalente en 33), por eemplo %)3 2.1 corresponde a 33) F.F? de a#, !ue a*n sea com*n
!ue se refiera a este protocolo como 33).
Cmo funciona una conexin con SSL en pocas palabras
(e forma b"sica, una cone+in usando el protocolo 33) funciona de la siguiente forma6
El cliente y el servidor entran en un proceso de negociacin, conocido
como handshake (apretn de manos). Este proceso sirve para !ue se estable$ca varios
par"metros para reali$ar la cone+in de forma segura.
'na ve$ terminada la negociacin, la cone+in segura es establecida.
'sando llaves preestablecidas, se codifica y descodifica todo lo !ue sea enviado #asta
!ue la cone+in se cierre.
El traffic s!aping o catalogacin de tr"fico (tambin conocido como catalogacin de
pa!uetes, por su nombre en ingls QpacRet s#apingQ) intenta controlar el tr"fico en redes
de ordenadorespara as, lograr optimi$ar o garanti$ar el rendimiento, baa latencia, yOo un
anc#o de banda determinado retrasando pa!uetes.2 )a catalogacin de tr"fico propone
conceptos de clasificacin, colas, imposicin de pol,ticas, administracin de congestin,
calidad de servicio (&o3) y regulacin. Por otra parte, esto consiste en una pr"ctica
utili$ada por diversos I3Ps para no sobrepasar sus capacidades de servicio.
(ebido al aumento de tr"fico especialmente por aplicaciones P1P, los I3Ps #an aumentado
su maneo de este tipo de tr"fico. (ebido a la adaptacin de las aplicaciones para
enmascarar este tipo de tr"fico, se #a empe$ado a implementar Inspeccin Profunda de
Pa!uetes ((eep PacRet Inspection en ingls).
3i bien normalmente se usa traffic s#aping en conte+to de I3Ps, desde #ace muc#o tiempo el
control de tr"fico est" soportado por distintas tecnolog,as de transporte en forma nativa
(como :%My MP)3) lo !ue permite la clasificacin y priori$acin de tr"ficos como PoIP por
sobre otros de meor tolerancia al retraso y a itter.
Comunicaciones unificadas
El trmino Comunicaciones unificadas es utili$ado com*nmente por los proveedores
de tecnolog,as de la informacin para designar la integracin de Qlos servicios de telefon,a,
mensaer,a unificada (la misma bandea de entrada para correo electrnico, correo de vo$
y fa+), mensaer,a instant"nea corporativa, conferencias 9eb y estado de disponibilidad del
usuario en una sola e innovadora e+periencia para los colaboradores y para el personal !ue
administra y da mantenimiento a la infraestructuraQ.
)as comunicaciones unificadas son una frase utili$ada para describir cual!uier sistema de
comunicaciones, por lo general un sistema de negocio, !ue abarca una amplia gama de
tecnolog,as y aplicaciones !ue #an sido dise5ados, vendidos y soportados como plataforma
de comunicacin *nica o como una sola entidad. 3istema de comunicaciones unificadas en
general, permiten a las empresas utili$ar los datos integrados, v,deo y vo$ en un producto
compatible.
M(.
M a in ( istribution F rame, un estante de cable !ue interconecta y gestiona el cableado de
telecomunicaciones entre s, y cual!uier n*mero de los IDF . : diferencia de un .I(, !ue
conecta las l,neas internas a la M(., la M(. conecta las l,neas privadas o p*blicas !ue
entran en un edificio con la red interna. Por eemplo,una empresa !ue abarca un edificio
con varias plantas puede tener una M(. centrali$ada en el primer piso y una I(. en cada
uno de los pisos !ue se conectan al M(..
;oneypot
3e denomina honeypot al soft9are o conunto de computadores cuya intencin es atraer a
atacantes, simulando ser sistemas vulnerables o dbiles a los ata!ues. Es una #erramienta
de seguridad inform"tica utili$ada para recoger informacin sobre los atacantes y sus
tcnicas. )os honeypots pueden distraer a los atacantes de las m"!uinas m"s importantes
del sistema, y advertir r"pidamente al administrador del sistema de un ata!ue, adem"s de
permitir un e+amen en profundidad del atacante, durante y despus del ata!ue al honeypot.
:lgunos #oneypots son programas !ue se limitan a simular sistemas operativos no e+istentes
en la realidad y se les conoce como honeypots de baja interaccin y son usados
fundamentalmente como medida de seguridad. Stros sin embargo trabaan sobre sistemas
operativos reales y son capaces de reunir muc#a m"s informacin? sus fines suelen ser de
investigacin y se los conoce como honeypots de alta interaccin.
'n tipo especial de #oneypot de baa interaccin son los sticky honeypots (honeypots
pegaosos) cuya misin fundamental es la de reducir la velocidad de los ata!ues
automati$ados y los rastreos.
En el grupo de los #oneypot de alta interaccin nos encontramos tambin con los honeynet.
;oneynet
)os Honeynet son un tipo especial de Honeypots de alta interaccin !ue act*an sobre una
red entera, dise5ada para ser atacada y recobrar as, muc#a m"s informacin sobre posibles
atacantes. 3e usan e!uipos reales con sistemas operativos reales y corriendo aplicaciones
reales.
Este tipo de #oneypots se usan principalmente para la investigacin de nuevas tcnicas de
ata!ue y para comprobar el modus-operandi de los intrusos.
SNMP
El Protocolo Simple de #dministracin de $ed o S%MP (del ingls Simple Network Manaement Protocol) es
un protocolo de la capa de aplicacin !ue facilita el intercambio de informacin de administracin entre dispositivos
de red. Permite a los administradores supervisar el funcionamiento de la red, buscar y resolver sus problemas, y
planear su crecimiento.
)as versiones de 3CMP m"s utili$adas son 3CMP versin 2 (3CMPv2) y 3CMP versin 1 (3CMPv1).
3CMP en su *ltima versin (3CMPvF) posee cambios significativos con relacin a sus predecesores, sobre todo
en aspectos de seguridad, sin embargo no #a sido mayoritariamente aceptado en la industria.
&xtensible #ut!entication Protocol (E:P) es una autenticacin frame9orR usada #abitualmente en
redes 8):C PointGtoGPoint Protocol. :un!ue el protocolo E:P no est" limitado a ):C inal"mbricas y puede ser
usado para autenticacin en redes cableadas, es m"s frecuentemente su uso en las primeras. -ecientemente los
est"ndares 8P: y 8P:1 #an adoptado cinco tipos de E:P como sus mecanismos oficiales de autenticacin.
Es una estructura de soporte, no un mecanismo espec,fico de autenticacin. Provee algunas funciones comunes y
negociaciones para el o los mecanismos de autenticacin escogidos. Estos mecanismos son llamados mtodos
E:P, de los cuales se conocen actualmente unos I4. :dem"s de algunos espec,ficos de proveedores comerciales,
los definidos por -.C de la IE%.incluyen E:PGM(D, E:PGS%P, E:PGT%C, E:PG%)3, E:PGIUEv1, E:PG3IM, y
E:PG:U:.
)os mtodos modernos capaces de operar en ambientes inal"mbricos incluyen E:PG%)3, E:PG3IM, E:PG:U:,
PE:P, )E:P y E:PG%%)3. )os re!uerimientos para mtodos E:P usados en ):C inal"mbricas son descritos en
la -.C I42/. Cuando E:P es invocada por un dispositivo C:3 (Cet9orR :ccess 3erver) capacitado para V41.27,
como por eemplo un punto de accesoV41.22 aObOg, los mtodos modernos de E:P proveen un mecanismo seguro
de autenticacin y negocian un PMU (PairG9ise Master Uey) entre el dispositivo cliente y el C:3. En esas
circunstancias, la PMU puede ser usada para abrir una sesin inal"mbrica cifrada !ue usa cifrado %UIP o :E3.
E:P fue dise5ado para utili$arse en la autenticacin para acceso a la red, donde la conectividad de la capa IP
puede no encontrase disponible. (ado a !ue E:P no re!uiere conectividad IP, solamente provee el suficiente
soporte para el transporte confiable de protocolos de autenticacin y nada m"s.
E:P es un protocolo locRGstep, el cual solamente soporta un solo pa!uete en transmisin. Como resultado, E:P no
pude transportar eficientemente datos robustos, a diferencia de protocolos de capas superiores como %CP.
:un!ue E:P provee soporte para retransmisin, este asume !ue el ordenamiento de pa!uetes es brindado por las
capas inferiores, por lo cual el control de orden de recepcin de tramas no est" soportado. @a !ue no soporta
fragmentacin y reGensamblae, los mtodos de autenticacin basados en E:P !ue generan tramas m"s grandes
!ue el soportado por defecto por E:P, deben aplicar mecanismos especiales para poder soportar la fragmentacin
(Por eemplo E:PG%)3). Como resultado, puede ser necesario para un algoritmo de autenticacin agregar
mensaes adicionales para poder correr sobre E:P. Cuando se utili$a autentificacin a base de certificados, el
certificado es m"s grande !ue el M%' de E:P, por lo !ue el n*mero de roundGtrips (viae redondo de pa!uetes)
entre cliente y servidor puede aumentar debido a la necesidad de fragmentar dic#o certificado.
3e debe considerar !ue cuando E:P corre sobre una cone+in entre cliente y servidor donde se e+perimenta una
significante prdida de pa!uetes, los mtodos E:P re!uerir"n muc#os roundGtrips y se reflear" en dificultades de
cone+in.
)1%P
L2TP (Layer 2 Tunneling Protocol) fue diseado por un grupo de trabajo de IET como el !eredero
aparente de los protocolos PPTP y L2" creado para corregir las deficiencias de estos protocolos y
establecerse como un est#ndar aprobado por el IET ($% 2&&')( L2TP utili)a PPP para proporcionar
acceso telef*nico +ue puede ser dirigido a trav,s de un t-nel por Internet !asta un punto determinado(
L2TP define su propio protocolo de establecimiento de t-neles" basado en L2( El transporte de L2TP
est# definido para una gran variedad de tipos de pa+uete de datos" incluyendo .(2/" rame
$elay y 0T1(
:l utili$ar PPP para el establecimiento telefnico de enlaces, )1%P incluye los mecanismos
de autenticacin de PPP, P:P y C;:P. (e forma similar a PP%P, soporta la utili$acin de
estos protocolos de autenticacin, como -:(I'3.
: pesar de !ue )1%P ofrece un acceso econmico, con soporte multiprotocolo y acceso a
redes de "rea local remotas, no presenta unas caracter,sticas criptogr"ficas especialmente
robustas. Por eemplo6
3lo se reali$a la operacin de autenticacin entre los puntos finales del t*nel, pero no para
cada uno de los pa!uetes !ue viaan por l. Esto puede dar lugar a suplantaciones de
identidad en alg*n punto interior al t*nel.
3in comprobacin de la integridad de cada pa!uete, ser,a posible reali$ar un ata!ue de
denegacin del servicio por medio de mensaes falsos de control !ue den por acabado el
t*nel )1%P o la cone+in PPP subyacente.
)1%P no cifra en principio el tr"fico de datos de usuario, lo cual puede dar problemas cuando
sea importante mantener la confidencialidad de los datos.
: pesar de !ue la informacin contenida en los pa!uetes PiPP puede ser cifrada, este
protocolo no dispone de mecanismos para generacin autom"tica de claves, o refresco
autom"tico de claves. Esto puede #acer !ue alguien !ue escuc#e en la red y descubra una
*nica clave tenga acceso a todos los datos transmitidos.
: causa de estos inconvenientes, el grupo del IE%. !ue trabaa en el desarrollo de PPP
consider la forma de solventarlos. :nte la opcin de crear un nuevo conunto de protocolos
para )1%P del mismo estilo de los !ue se est"n reali$ando para IP3ec, y dado la duplicacin
del trabao respecto al propio grupo de desarrollo de IP3ec !ue supondr,a, se tom la
decisin de utili$ar los propios protocolos IP3ec para proteger los datos !ue viaan por un
t*nel )1%P.
)1%P es en realidad una variacin de un protocolo de encapsulamiento IP. 'n t*nel )1%P se
crea encapsulando una trama )1%P en un pa!uete '(P, el cual es encapsulado a su ve$ en
un pa!uete IP, cuyas direcciones de origen y destino definen los e+tremos del t*nel. 3iendo
el protocolo de encapsulamiento m"s e+terno IP, los protocolos IP3ec pueden ser utili$ados
sobre este pa!uete, protegiendo as, la informacin !ue se transporta por el t*nel.