REPUBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO PARA EL PODER POPULAR DE LA DCEFENZA

UNIVERSIDAD NACIONAL EXPERIMENTAL

DE LA FUERZA ARMADA NACIONAL

UNEFA – CHUAO

CATEDRA: AUDITORIA DE SISTEMAS

AUDITORIA DE SISTEMAS
“FIREWALL, ROUTER, RED VPN, SWITCH, PROXY”

INTEGRANTES:
CASTILLO DAYANA CAROLINA 18.809.616

DIAZ JOHANNES 17.476.977

ESCOBAR DELGADO RONALD 16.564.983

MALDONADO DANIEL 15.621.552

RIVAS VEGAS JOSE LUIS 17.289.109

PADILLA ARMANDO 13.873.156

CARACAS, 2 DE JULIO DE 2010

POFESOR: DANIEL CARNEIRO

1
 INTRODUCCION

Un firewall es un sistema de defensa que se basa en la instalación de una

(barrera) entre la PC y la red, por la que circulan todos los datos, Este tráfico entre
la red y la PC está autorizado o denegado por el firewall (la barrera), siguiendo las
instrucciones que le hayamos configurado o indicado. El funcionamiento de éste
tipo de programas se basa en el "filtrado de paquetes". Todo dato o información
que circule entre nuestra PC y la red es analizada por el programa (firewall) con la
misión de permitir o denegar su paso en ambas direcciones.

El servidor proxy, es un ordenador que intercepta las conexiones de red que

un cliente hace a un servidor de destino. De ellos, el más famoso es el servidor
proxy de web (comúnmente conocido solamente como «proxy»). El cual intercepta
la navegación de los clientes por páginas web, por varios motivos como los es la
seguridad, rendimiento, anonimato, entre otros.

Los Switch son los que están encargado de resolver Problemas con
rendimiento de la red, por los anchos de banda pequeños y los embotellamientos,
una de las cualidades del Switch es que puede agregar mayor ancho a la banda,
acelerar la salida de paquetes, reduce tiempo de espera y bajar costo por puerto,
opera en la capa 3 del modelo OSI.

2
 Los Router su propósito General está diseñado para segmentar la red, con
la función de limitar el tráfico de Brodcast y proporcionar más seguridad y control
entre los dominios individuales de Brodcast, también para proporcionar servicio de
firewall y un acceso a un servicio económico de WAN. EL Router trabaja en la
capa 3 del modelo OSI, el ruteador tiene dos funciones básicas, es el responsable
de crear y mantener las tablas de ruteo para cada capa de cada protocolo y
servicio, el router se basa muchos en las tablas de ruteo para empezar a hacer el
envió de los paquetes a su destino, el destino es ubicado por medio de la IP.

El router lo que hace es escoger el mejor “camino” para empezar el envió

de los datos y evalúa los siguientes factores como lo es la velocidad de
transmisión, trafico de la transmisión, seguridad de la transmisión, procedencia de
transmisión, recepción de la transmisión, entre otros factores.

3
 FIREWALL

Un muro de fuego o firewall en inglés, es una parte de un sistema o una red

que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo
tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de
dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los
diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.

Los cortafuegos pueden ser implementados en hardware o software, o una

combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que
los usuarios de Internet no autorizados tengan acceso a redes privadas
conectadas a Internet, especialmente intranets. Todos los mensajes que entren o
salgan de la intranet pasan a través del cortafuego, que examina cada mensaje y
bloquea aquellos que no cumplen los criterios de seguridad especificados.
También es frecuente conectar a los cortafuegos a una tercera red, llamada Zona
desmilitarizada o DMZ, en la que se ubican los servidores de la organización que
deben permanecer accesibles desde la red exterior. Un cortafuego correctamente
configurado añade una protección necesaria a la red, pero que en ningún caso
debe considerarse suficiente.

TIPOS DE CORTAFUEGOS
4
 Nivel de aplicación de pasarela

Aplica mecanismos de seguridad para aplicaciones específicas, tales como

servidores FTP y Telnet. Esto es muy eficaz, pero puede imponer una degradación
del rendimiento.

Circuito a nivel de pasarela

Aplica mecanismos de seguridad cuando una conexión TCP o UDP es

establecida. Una vez que la conexión se ha hecho, los paquetes pueden fluir entre
los anfitriones sin más control. Permite el establecimiento de una sesión que se
origine desde una zona de mayor seguridad hacia una zona de menor seguridad.

Cortafuegos de capa de red o de filtrado de paquetes

Funciona a nivel de red (nivel 3) de la pila de protocolos (TCP/IP) como filtro

de paquetes IP. A este nivel se pueden realizar filtros según los distintos campos
de los paquetes IP: dirección IP origen, dirección IP destino, etc. A menudo en
este tipo de cortafuegos se permiten filtrados según campos de nivel de transporte
(nivel 4) como el puerto origen y destino, o a nivel de enlace de datos (nivel 2)
como la dirección MAC. Este es uno de los principales tipos de cortafuegos. Se
considera bastante eficaz y transparente pero difícil de configurar.

Cortafuegos de capa de aplicación

Trabaja en el nivel de aplicación (nivel 7), de manera que los filtrados se

pueden adaptar a características propias de los protocolos de este nivel. Por

5
ejemplo, si se trata de tráfico HTTP, se pueden realizar filtrados según la URL a la
que se está intentando acceder.

Un cortafuego a nivel 7 de tráfico HTTP suele denominarse proxy, y permite

que los computadores de una organización entren a Internet de una forma
controlada. Un proxy oculta de manera eficaz las verdaderas direcciones de red.

Cortafuego personal

Es un caso particular de cortafuegos que se instala como software en un

computador, filtrando las comunicaciones entre dicho computador y el resto de la
red. Se usa por tanto, a nivel personal.

Ventajas de un cortafuego

 Establece perímetros confiables.

 Protege de intrusiones.- El acceso a ciertos segmentos de la red de una
organización sólo se permite desde máquinas autorizadas de otros
segmentos de la organización o de Internet.
 Protección de información privada.- Permite definir distintos niveles de
acceso a la información, de manera que en una organización cada grupo de
usuarios definido tenga acceso sólo a los servicios e información que le son
estrictamente necesarios.

6
  Optimización de acceso.- Identifica los elementos de la red internos y
optimiza que la comunicación entre ellos sea más directa. Esto ayuda a
reconfigurar los parámetros de seguridad.

LIMITACIONES DE UN CORTAFUEGOS

 Un cortafuego no puede proteger contra aquellos ataques cuyo tráfico no

pase a través de él.
 El cortafuego no puede proteger de las amenazas a las que está sometido
por ataques internos o usuarios negligentes. El cortafuego no puede
prohibir a espías corporativos copiar datos sensibles en medios físicos de
almacenamiento (discos, memorias, etc.) y sustraerlas del edificio.
 El cortafuego no puede proteger contra los ataques de ingeniería social.
 El cortafuego no puede proteger contra los ataques posibles a la red interna
por virus informáticos a través de archivos y software. La solución real está
en que la organización debe ser consciente en instalar software antivirus en
cada máquina para protegerse de los virus que llegan por cualquier medio
de almacenamiento u otra fuente.
 El cortafuego no protege de los fallos de seguridad de los servicios y
protocolos cuyo tráfico esté permitido. Hay que configurar correctamente y
cuidar la seguridad de los servicios que se publiquen en Internet.

POLITICAS DE CORTAFUEGOS

Hay dos políticas básicas en la configuración de un cortafuego que cambian

radicalmente la filosofía fundamental de la seguridad en la organización:

7
  Política restrictiva: Se deniega todo el tráfico excepto el que está
explícitamente permitido. El cortafuego obstruye todo el tráfico y hay que
habilitar expresamente el tráfico de los servicios que se necesiten.
 Política permisiva: Se permite todo el tráfico excepto el que esté
explícitamente denegado. Cada servicio potencialmente peligroso
necesitará ser aislado básicamente caso por caso, mientras que el resto del
tráfico no será filtrado.

NOTA: La política restrictiva es la más segura, ya que es más difícil permitir

por error tráfico potencialmente peligroso, mientras que en la política permisiva es
posible que no se haya contemplado algún caso de tráfico peligroso y sea
permitido por omisión.

CORTAFUEGOS DE HARDWARE

Los cortafuegos de hardware proporcionan una fuerte protección contra la

mayoría de las formas de ataque que vienen del mundo exterior y se pueden
comprar como producto independiente o en routers de banda ancha.

Desafortunadamente, luchando contra virus, gusanos y Troyanos, un

cortafuegos de hardware puede ser menos eficaz que un cortafuegos de software,
pues podría no detectar gusanos en emails.

CORTAFUEGOS DE SOFTWARE

Para usuarios particulares, el cortafuego más utilizado es un cortafuego de

software. Un buen cortafuego de software protegerá tu ordenador contra intentos
de controlar o acceder a tu ordenador desde el exterior, y generalmente

8
proporciona protección adicional contra los troyanos o gusanos de E-mail más
comunes.

La desventaja de los cortafuegos de software es que protegen solamente al

ordenador en el que están instalados y no protegen una red.

TIPOS DE CORTAFUEGOS

 Packet filter (filtro de paquetes): verifica cada paquete que entra o sale
de la red y lo acepta o rechaza basándose en reglas definidas por el usario.
La filtración del paquete es bastante eficaz y transparente a los usuarios,
pero es difícil de configurar. Además, es susceptible al IP spoofing.
 Application Gateway (aplicación de puerta de enlace): Aplica
mecanismos de seguridad a ciertas aplicaciones, tales como servidores ftp
y servidores telnet. Esto es muy eficaz, pero puede producir una
disminución de las prestaciones.
 Circuit-level Gateway(circuito de nivel de puerta de enlace): Aplica
mecanismos de seguridad cuando se establece una conexión TCP o UDP.
Una vez que se haya hecho la conexión, los paquetes pueden fluir entre los
anfitriones sin más comprobaciones.
 Proxy server (servidor proxy): Intercepta todos los mensajes que entran y
salen de la red. El servidor proxy oculta con eficacia las direcciones de red
verdaderas.

Un cortafuego se considera la primera línea de defensa en la protección de la

información privada. Para mayor seguridad.

9
 1.- ROUTER O ENRUTADOR

El enrutador (calco del inglés router), direccionador, ruteador o encaminador

es un dispositivo de hardware para interconexión de red de ordenadores que
opera en la capa tres (nivel de red). Un enrutador es un dispositivo para la
interconexión de redes informáticas que permite asegurar el enrutamiento de
paquetes entre redes o determinar la ruta que debe tomar el paquete de datos.

A diferencia de una red local del tipo Ethernet en la que un mensaje de una
persona a otra se transmite a todos los ordenadores de la red, y solo lo recoge el
que se identifica como destinatarios, en Internet, el volumen es tan alto que sería
imposible que cada ordenador recibiese la totalidad del tráfico que se mueve para
seleccionar sus mensajes, así que podríamos decir que el router en vez de mover
un mensaje entre todas las Redes que componen Internet, solo mueve el mensaje

10
entre las dos Redes que están involucradas, la del emisor y la del destinatario. Es
decir, un router tiene dos misiones distintas aunque relacionadas:

 El router se asegura de que la información no va a donde no es necesario.

 El router se asegura que la información si llegue al destinatario.

El router une las Redes del emisor y el destinatario de una información

determinada (email, página Web) y además solo transmite entre las mismas la
información necesaria. Los enrutadores operan en dos planos diferentes:

 Plano de Control, en la que el enrutador se informa de qué interfaz de salida

es la más apropiada para la transmisión de paquetes específicos a
determinados destinos.
 Plano de Reenvío, que se encarga en la práctica del proceso de envío de
un paquete recibido en una interfaz lógica a otra interfaz lógica saliente.

Comúnmente los enrutadores se implementan también como puertas de

acceso a Internet (por ejemplo un enrutador ADSL), usándose normalmente en
casas y oficinas pequeñas. Es correcto utilizar el término enrutador en este caso,
ya que estos dispositivos unen dos redes (una red de área local con Internet).

11
 1.1.- PLANO DE CONTROL

El Plano de Control de procesamiento conduce a la construcción de lo que

suele llamarse una tabla de enrutamiento o base de información de enrutamiento
(RIB). El RIB podrá ser utilizado por el plano de reenvío para buscar la interfaz
externa para un determinado paquete, o, en función de la implementación del
enrutador, el Plano de Control puede crear por separado Transmisión de
Información Base un (FIB) con la información de destino.

El Plano de Control construye la tabla de enrutamiento del conocimiento de

la subida y bajada de sus interfaces locales, de los códigos duros de los
enrutadores estáticos, y del intercambio de información del protocolo de
enrutamiento con otros enrutadores. No es obligatorio para un enrutador el utilizar
protocolos de enrutamiento para funcionar, por ejemplo, si se configura
únicamente con rutas estáticas. La tabla de enrutamiento almacena las mejores
rutas a determinados destinos de la red, las “métricas de enrutamiento” asociados
con esas rutas, y el camino al próxima esperado enrutador.

Los enrutadores mantienen el estado de las rutas en la RIB / tabla de

enrutamiento, pero esto es muy distinto a no mantener el estado de los paquetes
individuales que se han transmitido.

1.2.- PLANO DE REENVIO

El plano de reenvío es también conocido como Plano de datos. Por la

función de reenvío del Protocolo puro de Internet (IP), el diseño de enrutadores
procura reducir a un mínimo la información del estado almacenada sobre los
paquetes individuales. Una vez que se envía un paquete, el enrutador no debe

12
mantener más que la información estadística del envío .Es en el punto final del
envío y de la recepción en el que se mantiene la información sobre cosas como
errores o los paquetes que faltan. Decisiones de reenvío pueden implicar
decisiones en capas distintas de la capa IP internetwork o capa OSI 3.

Entre las decisiones más importantes de reenvío está decidir qué hacer
cuando se produce congestión, por ejemplo, que los paquetes llegan al enrutador
a un ritmo mayor del que puede procesar. Tres políticas de uso común en Internet
son Tail drop, Random early detection (RED), y Weighted random early
detection.Tail Drop es la más sencilla y fácil de implementar; el enrutador
simplemente manda paquetes una vez que la longitud de la cola excede el tamaño
de los buffers en el enrutador. El RED probabilísticamente manda primero
datagramas de la cola cuando se supera un tamaño configurado. Weighted
random early detection requiere un tamaño de cola de media ponderada para
exceder el tamaño de la configuración, de modo que ráfagas cortas no
desencadenan envíos al azar.

2.- ¿COMO FUNCIONA UN ROUTER?

La primera función de un router es saber si el destinatario de un paquete de

información está en nuestra propia red o en una remota. Para determinarlo, el
router utiliza un mecanismo llamado "máscara de subred". La máscara de subred
es parecida a una dirección IP (la identificación única de un ordenador en una red
de ordenadores, algo así como su nombre y apellido) y determina a que grupo de
ordenadores pertenece uno en concreto. Si la máscara de subred de un paquete
de información enviado no se corresponde a la red de ordenadores de por
ejemplo, nuestra oficina, el router determinará, lógicamente que el destino de ese
paquete está en alguna otra red.

A diferencia de un Hub o un switch del tipo layer 2, un router inspecciona

cada paquete de información para tomar decisiones a la hora de encaminarlo de
un lugar a otro. Un switch del tipo "layer 3" si tiene también esta funcionalidad.

13
 Cada PC conectado a una red (bien sea una local o a la red de redes -
Internet-) tiene lo que llamamos una tarjeta de red. La tarjeta de red gestiona la
entrada/salida de información y tiene una identificación propia llamada
identificación MAC. A esta identificación MAC la podríamos llamar identificación
física, sería como las coordenadas terrestres de nuestra casa. Es única, real y
exacta. A esta identificación física le podemos asociar una identificación lógica, la
llamada IP. Siguiendo con el ejemplo de la casa, la identificación física (MAC)
serian sus coordenadas terrestres, y su identificación lógica sería su dirección
(Calle Pepe nº3). La identificación lógica podría cambiar con el tiempo (por
ejemplo si cambian de nombre a la calle) pero la identificación física no cambia.

Pues bien, el router asocia las direcciones físicas (MAC) a direcciones

lógicas (IP). En comunicaciones informáticas, una dirección física (Mac) puede
tener varias direcciones lógicas (IP). Podemos conocer las direcciones Mac e IP
de nuestro PC tecleando, desde una ventana de DOS, "winipcfg" (en Windows 98)
o "ipconfig" (en Windows 2000 / XP).

Una vez nos identificamos en internet por nuestras direcciones lógicas, los
routers entre nosotros y otros puntos irán creando unas tablas que, por decirlo de
algún modo localizan donde estamos. Es como si estamos en un cruce de
carreteras, y vemos que los coches de Francia siempre vienen del desvío del
norte, pues lo memorizamos, y cuando un coche nos pregunte como se va a
Francia le diremos que por el desvió del norte. Los routers crean unas tablas de
como se suele ir a donde. Si hay un problema, el router prueba otra ruta y mira si
el paquete llega al destino, si no es así, prueba otra, y si esta tiene éxito, la
almacena como posible ruta secundaria para cuando la primera, la más rápida, no
funcione. Toda esta información de rutas se va actualizando miles de veces por
segundo durante las 24 horas del día.

14
 3.- TIPOS DE ROUTERS

Los Routers puede proporcionar conectividad dentro de las empresas, entre

las empresas e Internet, y en el interior de proveedores de servicios de Internet
(ISP).Los routers más grandes (por ejemplo, el CRS-1 de Cisco o el Juniper
T1600) interconectan ISPs,Se utilizan dentro de los ISPs, o pueden ser utilizados
en grandes redes de empresas.

3.1.- ROUTERS PARA LA CONEXIÓN A INTERNET Y DE USO

INTERNO.

Los Routers destinados a ISPs y a las principales empresas de conexión

invariablemente intercambian información de enrutamiento con el Border Gateway
Protocol (BGP). RFC 4098 [3] define varios tipos de BGP-speaking routers:

 Proveedor Edge Router: Situado en el borde de una red ISP, habla BGP
externo (eBGP) a un speaker en otro proveedor o gran empresa de Sistema
autónomo.
 Suscriptor Edge Router: Situado en el borde de la red del suscriptor,
habla eBGP a su proveedor de Sistema autónomo. Pertenece a un usuario
final (empresa) organización.
 Interproveedor Border Router: La interconexión de ISPs, este es un BGP-
speaking router que mantiene sesiones BGP con otros routers BGP-
speaking en otros proveedores de Sistemas Autónomos.
 Core router: Un router que se encuentra en el centro o columna vertebral
de la red y no en su periferia.

15
 Dentro de un ISP: Interno al proveedor de Sistemas Autónomos, por
ejemplo, un router habla BGP interno (iBGP) a un proveedor de edge routers, a
otros interproveedores core routers, o la del proveedor de interproveedores de
border routers... "Columna vertebral de Internet:" Internet no tiene una columna
vertebral claramente identificables, como lo hicieron sus predecesores. Sin
embargo, es el principal de los routers de los ISPs, que conforma lo que muchos
consideran el núcleo. Estos ISPs operan los cuatro tipos de BGP-speaking routers
aquí descritos. En el uso ISP, un router "núcleo" es interno a un ISP, y suelen
interconectar edge y border routers. Los Core routers pueden tener funciones
especializadas en redes privadas virtuales basadas en una combinación de BGP y
Multi-Protocol Label Switching MPLS.

3.2. – CONECTIVIDAD SMALL OFFICE, HOME OFFICE (SOHO)

Routers se utilizan con frecuencia en los hogares para conectar a un

servicio de banda ancha, tales como IP sobre cable o DSL. Un router usado en
una casa puede permitir la conectividad a una empresa a través de una red
privada virtual segura.

Si bien funcionalmente similares a los routers, los routers residenciales

usan traducción de dirección de red en lugar de enrutamiento.

En lugar de conectar computadores locales a la red directamente, un router

residencial debe hacer que los computadores locales parezcan ser un solo equipo.

16
 3.3.- ROUTERS DE EMPRESA

Todos los tamaños de routers se pueden encontrar dentro de las empresas.

Si bien los routers más poderosos tienden a ser encontrados en ISPs,
instalaciones académicas y de investigación, las grandes empresas pueden
necesitar routers grandes.

El modelo de tres capas es de uso común, no todos de ellos necesitan estar

presentes en otras redes más pequeñas.

3.3.1.- ACCESO

Routers de acceso, incluyendo SOHO, se encuentran en sitios de clientes

como de sucursales que no necesitan de enrutamiento jerárquico de los propios.
Normalmente, son optimizados para un bajo coste.

3.3.2.- DISTRIBUCION

Los Routers de distribución agregan tráfico desde Routers de acceso

múltiple, ya sea en el mismo lugar, o de la obtención de los flujos de datos
procedentes de múltiples sitios a la ubicación de una importante empresa. Los
Routers de distribución son a menudo responsables de la aplicación de la calidad
del servicio a través de una WAN, por lo que deben tener una memoria
considerable, múltiples interfaces WAN, y transformación sustancial de
inteligencia.

17
 También pueden proporcionar conectividad a los grupos de servidores o
redes externas. En la última solicitud, el sistema de funcionamiento del router debe
ser cuidadoso como parte de la seguridad de la arquitectura global. Separado del
router puede estar un Firewall o VPN concentrador, o el router puede incluir estas
y otras funciones de seguridad. Cuando una empresa se basa principalmente en
un campus, podría no haber una clara distribución de nivel, que no sea tal vez el
acceso fuera del campus. En tales casos, los routers de acceso, conectados a una
red de área local (LAN), se interconectan a través de Core routers.

3.3.3.- CORE

En las empresas, el core router puede proporcionar una "columna vertebral"

interconectando la distribución de los niveles de los routers de múltiples edificios
de un campus, o a las grandes empresas locales. Tienden a ser optimizados para
ancho de banda alto.

Cuando una empresa está ampliamente distribuido sin ubicación central, la

función del Core router puede ser subsumido por el servicio de WAN al que se
suscribe la empresa, y la distribución de routers se convierte en el más alto nivel.

18
 3.4.- ROUTERS INALAMBRICO

A pesar de que tradicionalmente los routers solían tratar con redes fijas
(Ethernet, ADSL, RDSI...), en los últimos tiempos han comenzado a aparecer
routers que permiten realizar una interfaz entre redes fijas y móviles (Wi-Fi, GPRS,
Edge, UMTS, Fritz!Box, WiMAX).... Un router inalámbrico comparte el mismo
principio que un router tradicional. La diferencia es que éste permite la conexión
de dispositivos inalámbricos a las redes a las que el router está conectado
mediante conexiones por cable. La diferencia existente entre este tipo de routers
viene dada por la potencia que alcanzan, las frecuencias y los protocolos en los
que trabajan.

4.- HISTORIA

El primer dispositivo que tenía fundamentalmente las mismas funciones que

hoy tiene un enrutador era el procesador del interfaz de mensajes (IMP). Eran los
dispositivos que conformaban ARPANET, la primera red de conmutación de
paquetes. La idea de enrutador venía inicialmente de un grupo internacional de
investigadores de las redes de ordenadores llamado el Grupo Internacional de
Trabajo de la Red (INWG). Creado en 1972 como un grupo informal para
considerar las cuestiones técnicas en la conexión de redes diferentes, que años
más tarde se convirtió en un subcomité de la Federación Internacional para
Procesamiento de Información.

Estos dispositivos eran diferentes de la mayoría de los conmutadores de

paquetes de dos maneras. En primer lugar, que conecta diferentes tipos de redes,
como la de puertos en serie y redes de área local. En segundo lugar, eran
dispositivos sin conexión, que no desempeñaba ningún papel en la garantía de
que el tráfico se entregó fiablemente, dejándoselo enteramente a los hosts
(aunque esta idea en particular se había iniciado en la red CYCLADES).

19
 La idea fue explorada con más detalle, con la intención de producir un
verdadero prototipo de sistema, en el marco de dos programas contemporáneos.
Uno de ellos era el primer programa iniciado por DARPA, que se creó el TCP / IP
de la arquitectura actual. El otro fue un programa en Xerox PARC para explorar
nuevas tecnologías de red, que ha elaborado el sistema de paquetes PARC
Universal, aunque debido a la propiedad intelectual de las empresas ha recibido
muy poca atención fuera de Xerox hasta años más tarde.

Los primeros enrutadores de Xerox se pusieron en marcha poco después

de comienzos de 1974. El primer verdadero enrutador IP fue desarrollado por
Virginia Strazisar en BBN, como parte de ese esfuerzo iniciado por DARPA,
durante 1975-1976. A finales de 1976, tres enrutadores basados en PDP-11
estuvieron en servicio en el prototipo experimental de Internet.

El primer enrutador multiprotocolo fue creado de forma independiente por el

personal de investigadores del MIT de Stanford en 1981, el enrutador de Stanford
fue hecho por William Yeager, y el MIT uno por Noel Chiappa; ambos se basan
también en PDP-11s.

Como ahora prácticamente todos los trabajos en redes usan IP en la capa

de red, los enrutadores multiprotocolo son en gran medida obsoletos, a pesar de
que fueron importantes en las primeras etapas del crecimiento de las redes de
ordenadores, cuando varios protocolos distintos de TCP / IP eran de uso
generalizado. Los enrutadores que manejan IPv4 e IPv6 son multiprotocolo, pero
en un sentido mucho menos variable que un enrutador que procesaba AppleTalk,
DECnet, IP, y protocolos de XeroX.

20
 En la original era de enrutamiento (desde mediados de la década de 1970 a
través de la década de 1980), los mini-ordenadores de propósito general sirvieron
como enrutadores. Aunque los ordenadores de propósito general pueden realizar
enrutamiento, los modernos enrutadores de alta velocidad son ahora
especializados ordenadores, generalmente con el hardware extra añadido tanto
para acelerar las funciones comunes de enrutamiento como el reenvío de
paquetes y funciones especializadas como el cifrado IPsec.

Todavía es importante el uso de máquinas Unix y Linux, ejecutando el

código de enrutamiento de código abierto, para la investigación de enrutamiento y
otras aplicaciones seleccionadas. Aunque el sistema operativo de Cisco fue
diseñado independientemente, otros grandes sistemas operativos enrutador, tales
como las de Juniper Networks y Extreme Networks, han sido ampliamente
modificadas, pero aún tienen ascendencia Unix.

Otros cambios también mejorar la fiabilidad, como los procesadores

redundantes de control con estado de fallos, y que usan almacenamiento que
tiene partes no móviles para la carga de programas. Mucha fiabilidad viene de las
técnicas operacionales para el funcionamiento de los enrutadores críticos como
del diseño de enrutadores en sí mismo. Es la mejor práctica común, por ejemplo,
utilizar sistemas de alimentación ininterrumpida redundantes para todos los
elementos críticos de la red, con generador de copia de seguridad de las baterías
o de los suministros de energía.

21
 PROXY

La palabra proxy se usa en situaciones en donde tiene sentido

un intermediario. El uso más común es el de servidor proxy, que es un ordenador
que intercepta las conexiones de red que un cliente hace a un servidor de destino.

TIPOS DE PROXY:

 servidor proxy web (comúnmente conocido solamente como «proxy»).

Intercepta la navegación de los clientes por páginas web, por varios motivos
posibles: seguridad, rendimiento, anonimato, etc.

 También existen proxies para otros protocolos, como el proxy de FTP.

 El proxy ARP: puede hacer de enrutador en una red, ya que hace de

intermediario entre ordenadores.

 Proxy (patrón de diseño) también es un patrón de diseño (programación)

con el mismo esquema que el proxy de red.

 Un componente hardware también puede actuar como intermediario para

otros (por ejemplo, un teclado USB al que se le pueden conectar más
dispositivos USB).

 Fuera de la informática, un proxy puede ser una persona autorizada para

actuar en representación de otra persona; por ejemplo, alguien a quien le
han delegado el derecho a voto.

 Una guerra proxy es una en la que las dos potencias usan a terceros para
el enfrentamiento directo.

Como se ve, proxy tiene un significado muy general, aunque siempre es

sinónimo de intermediario. También se puede traducir
pordelegado o apoderado (el que tiene el poder).

22
 En el contexto de las redes informáticas, el término proxy hace referencia a
un programa o dispositivo que realiza una acción en representación de otro. Su
finalidad más habitual es la de servidor proxy, que sirve para permitir el acceso a
Internet a todos los equipos de una organización cuando sólo se puede disponer
de un único equipo conectado, esto es, una única dirección IP.

Funcionamiento:

Un proxy permite a otros equipos conectarse a una red de forma indirecta a

través de él. Cuando un equipo de la red desea acceder a una información o
recurso, es realmente el proxy quien realiza la comunicación y a continuación
traslada el resultado al equipo inicial. En unos casos esto se hace así porque no
es posible la comunicación directa y en otros casos porque el proxy añade una
funcionalidad adicional, como puede ser la de mantener los resultados obtenidos
(p.ej.: una página web) en una caché que permita acelerar sucesivas consultas
coincidentes. Con esta denominación general de proxy se agrupan diversas
técnicas.

Proxy de web:

Se trata de un proxy para una aplicación específica; el acceso a la web.

Aparte de la utilidad general de un proxy, proporciona una caché para las páginas
web y los contenidos descargados, que es compartida por todos los equipos de la
red, con la consiguiente mejora en los tiempos de acceso para consultas
coincidentes. Al mismo tiempo libera la carga de los enlaces hacia Internet.

 El cliente realiza una petición (p. ej. mediante un navegador web) de un

recurso de Internet (una página web o cualquier otro archivo) especificado
por una URL.

23
  Cuando el proxy caché recibe la petición, busca la URL resultante en su
caché local. Si la encuentra, contrasta la fecha y hora de la versión de la
página demanda con el servidor remoto. Si la página no ha cambiado desde
que se cargo en caché la devuelve inmediatamente, ahorrándose de esta
manera mucho tráfico pues sólo intercambia un paquete para comprobar la
versión. Si la versión es antigua o simplemente no se encuentra en la
caché, lo captura del servidor remoto, lo devuelve al que lo pidió y guarda o
actualiza una copia en su caché para futuras peticiones.

El caché utiliza normalmente un algoritmo para determinar cuándo un

documento está obsoleto y debe ser eliminado de la caché, dependiendo de su
antigüedad, tamaño e histórico de acceso. Dos de esos algoritmos básicos son
el LRU (el usado menos recientemente, en inglés "Least Recently Used") y
el LFU (el usado menos frecuentemente, "Least Frequently Used").

Los proxies web también pueden filtrar el contenido de las páginas Web
servidas. Algunas aplicaciones que intentan bloquear contenido Web ofensivo
están implementadas como proxies Web. Otros tipos de proxy cambian el formato
de las páginas web para un propósito o una audiencia específicos, para, por
ejemplo, mostrar una página en un teléfono móvil o una PDA. Algunos operadores
de red también tienen proxies para interceptar virus y otros contenidos hostiles
servidos por páginas Web remotas.

Un cliente de un ISP manda una petición a Google la cual llega en un inicio

al servidor Proxy que tiene este ISP, no va directamente a la dirección
IP del dominio de Google. Esta página concreta suele ser muy solicitada por un
alto porcentaje de usuarios, por lo tanto el ISP la retiene en su Proxy por un cierto
tiempo y crea una respuesta en mucho menor tiempo. Cuando el usuario crea una

24
búsqueda en Google el servidor Proxy ya no es utilizado; el ISP envía su petición y
el cliente recibe su respuesta ahora sí desde Google.

Ventajas:

 Ahorro de Tráfico: las peticiones de páginas Web se hacen al servidor

Proxy y no a Internet directamente. Por lo tanto, aligera el tráfico en la red y
descarga los servidores destino, a los que llegan menos peticiones.
 Velocidad en Tiempo de respuesta: el servidor Proxy crea un caché que
evita transferencias idénticas de la información entre servidores durante un
tiempo (configurado por el administrador) así que el usuario recibe una
respuesta más rápida.
 Demanda a Usuarios: puede cubrir a un gran número de usuarios, para
solicitar, a través de él, los contenidos Web.
 Filtrado de contenidos: el servidor proxy puede hacer un filtrado de páginas
o contenidos basándose en criterios de restricción establecidos por el
administrador dependiendo valores y características de lo que no se
permite, creando una restricción cuando sea necesario.
 Modificación de contenidos: basándose en la misma función del filtrado, y
llamado Privoxy, tiene el objetivo de proteger la privacidad en Internet,
puede ser configurado para bloquear direcciones y Cookies por expresiones
regulares y modifica en la petición el contenido.

Desventajas:

 Las páginas mostradas pueden no estar actualizadas si éstas han sido

modificadas desde la última carga que realizó el proxy caché.
 El hecho de acceder a Internet a través de un Proxy, en vez de mediante
conexión directa, impide realizar operaciones avanzadas a través de
algunos puertos o protocolos.

25
  Almacenar las páginas y objetos que los usuarios solicitan puede suponer
una violación de la intimidad para algunas personas.

OTROS TIPOS DE PROXY:

 Proxy transparente: Muchas organizaciones (incluyendo empresas, colegios

y familias) usan los proxies para reforzar las políticas de uso de la red o
para proporcionar seguridad y servicios de caché. Normalmente, un proxy
Web o NAT no es transparente a la aplicación cliente: debe ser configurada
para usar el proxy, manualmente. Por lo tanto, el usuario puede evadir el
proxy cambiando simplemente la configuración. Una ventaja de tal es que
se puede usar para redes de empresa.

Un proxy transparente combina un servidor proxy con NAT(Network

Address Translation) de manera que las conexiones son enrutadas dentro del
proxy sin configuración por parte del cliente, y habitualmente sin que el propio
cliente conozca de su existencia. Este es el tipo de proxy que utilizan los
proveedores de servicios de internet (ISP). En España, la compañía más
expandida en cuanto a ADSL se refiere, ISP Telefónica, dejó de utilizar proxy
transparente con sus clientes a partir de Febrero de 2006.

 Proxy inverso o reverse proxy: Un reverse proxy es un servidor proxy

instalado en el domicilio de uno o más servidores web. Todo el tráfico
entrante de Internet y con el destino de uno de esos servidores web pasa a
través del servidor proxy. Hay varias razones para instalar un "reverse
proxy":

 Seguridad: el servidor proxy es una capa adicional de defensa y por lo

tanto protege los servidores web.
 Cifrado / Aceleración SSL: cuando se crea un sitio web seguro,
habitualmente el cifrado SSL no lo hace el mismo servidor web, sino que es

26
 realizado por el "reverse proxy", el cual está equipado con un hardware de
aceleración SSL (Security Sockets Layer).

 Distribución de Carga: el "reverse proxy" puede distribuir la carga entre

varios servidores web. En ese caso, el "reverse proxy" puede necesitar
reescribir las URL de cada página web (traducción de la URL externa a la
URL interna correspondiente, según en qué servidor se encuentre la
información solicitada).
 Caché de contenido estático: Un "reverse proxy" puede descargar los
servidores web almacenando contenido estático como imágenes u otro
contenido gráfico.

 Proxy NAT (Network Address Translation) / enmascaramiento: La

traducción de direcciones de red (NAT, Network Address Translation)
también es conocida como enmascaramiento de IPs. Es una técnica
mediante la cual las direcciones fuente o destino de los paquetes IP son
reescritas, sustituidas por otras (de ahí el "enmascaramiento").Esto es lo
que ocurre cuando varios usuarios comparten una única conexión
a Internet. Se dispone de una única dirección IP pública, que tiene que ser
compartida. Dentro de la red de área local (LAN) los equipos emplean
direcciones IP reservadas para uso privado y será el proxy el encargado de
traducir las direcciones privadas a esa única dirección pública para realizar
las peticiones, así como de distribuir las páginas recibidas a aquel usuario
interno que la solicitó. Estas direcciones privadas se suelen elegir en
rangos prohibidos para su uso en Internet como 192.168.x.x, 10.x.x.x,
172.16.x.x y 172.31.x.x.

27
 Esta situación es muy común en empresas y domicilios con varios
ordenadores en red y un acceso externo a Internet. El acceso a Internet mediante
NAT proporciona una cierta seguridad, puesto que en realidad no hay conexión
directa entre el exterior y la red privada, y así nuestros equipos no están
expuestos a ataques directos desde el exterior….Mediante NAT también se puede
permitir un acceso limitado desde el exterior, y hacer que las peticiones que llegan
al proxy sean dirigidas a una máquina concreta que haya sido determinada para
tal fin en el propio proxy.

La función de NAT reside en los Cortafuegos y resulta muy cómoda porque

no necesita de ninguna configuración especial en los equipos de la red privada
que pueden acceder a través de él como si fuera un mero encaminador.

 Proxy abierto: Este tipo de proxy que acepta peticiones desde cualquier
ordenador, esté o no conectado a su red. En esta configuración el proxy
ejecutará cualquier petición de cualquier ordenador que pueda conectarse a
él, realizándola como si fuera una petición del proxy. Por lo que permite que
este tipo de proxy se use como pasarela para el envío masivo de correos
de spam. Un proxy se usa, normalmente, para almacenar y redirigir
servicios como el DNS o la navegación Web, mediante el cacheo de
peticiones en el servidor proxy, lo que mejora la velocidad general de los
usuarios. Este uso es muy beneficioso, pero al aplicarle una configuración
"abierta" a todo internet, se convierte en una herramienta para su uso
indebido.

28
 Debido a lo anterior, muchos servidores, como los de IRC, o correo
electrónicos, deniegan el acceso a estos proxys a sus servicios, usando
normalmente listas negras ("BlackList").

 Cross domain proxy: Típicamente usado por Tecnologías web asíncronas

(flash, ajax, comet, etc) que tienen restricciones para establecer una
comunicación entre elementos localizados en distintos dominios.

En el caso de Ajax, por seguridad sólo se permite acceder al mismo

dominio origen de la página web que realiza la petición. Si se necesita acceder a
otros servicios localizados en otros dominios, se instala un (Cross-Domain
proxy) en el dominio origen que recibe las peticiones ajax y las reenvia a los
dominios externos.En el caso de flash, también han solucionado creando la
revisión de archivos xml de Cross-Domain, que permiten o no el acceso a ese
dominio o subdominio.

RED PRIVADA VIRTUAL

Una red privada virtual o VPN (siglas en inglés de virtual private network),
es una tecnología de red que permite una extensión de la red local sobre una red
pública o no controlada, como por ejemplo Internet.

Ejemplos comunes son, la posibilidad de conectar dos o más sucursales de

una empresa utilizando como vínculo Internet, permitir a los miembros del equipo
de soporte técnico la conexión desde su casa al centro de cómputo, o que un

29
usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por
ejemplo un hotel. Todo ello utilizando la infraestructura de Internet.

MEDIOS

Para hacerlo posible de manera segura es necesario proporcionar los medios

para garantizar la autentificación, integridad y confidencialidad de toda la
comunicación:

 Autentificación y autorización: ¿Quién está del otro lado? Usuario/equipo

y qué nivel de acceso debe tener.
 Integridad: de que los datos enviados no han sido alterados. Para ello se
utiliza funciones de Hash. Los algoritmos de hash más comunes son los
Message Digest (MD2 y MD5) y el Secure Hash Algorithm (SHA).
 Confidencialidad: Dado que los datos viajan a través de un medio tan
hostil como Internet, dichos datos son susceptibles de intercepción, por lo
que resulta fundamental el cifrado de los mismos. De este modo, la
información no debe poder ser interpretada por nadie más que los
destinatarios de la misma. Se hace uso de algoritmos de cifrado como Data
Encryption Standard (DES), Triple DES (3DES) y Advanced Encryption
Standard (AES).
 No repudio: es decir, un mensaje tiene que ir firmado, y el que lo firma no
puede negar que el mensaje lo envió él.

REQUERIMIENTOS BASICOS

30
  Identificación de usuario: las VPN deben verificar la identidad de los
usuarios y restringir su acceso a aquellos que no se encuentren
autorizados.
 Codificación de datos: los datos que se van a transmitir a través de la red
pública (Internet), antes deben ser cifrados, para que así no puedan ser
leídos. Esta tarea se realiza con algoritmos de cifrado como DES o 3DES
que solo pueden ser leidos por el emisor y receptor.
 Administración de claves: las VPN deben actualizar las claves de cifrado
para los usuarios.

TIPOS DE VPN

Básicamente existen tres arquitecturas de conexión VPN:

VPN de acceso remoto

Es quizás el modelo más usado actualmente, y consiste en usuarios o

proveedores que se conectan con la empresa desde sitios remotos (oficinas
comerciales, domicilios, hoteles, aviones preparados, etcétera) utilizando Internet
como vínculo de acceso. Una vez autentificados tienen un nivel de acceso muy
similar al que tienen en la red local de la empresa. Muchas empresas han
reemplazado con esta tecnología su infraestructura dial-up (módems y líneas
telefónicas).

31
 VPN punto a punto

Este esquema se utiliza para conectar oficinas remotas con la sede central
de la organización. El servidor VPN, que posee un vínculo permanente a Internet,
acepta las conexiones vía Internet provenientes de los sitios y establece el túnel
VPN. Los servidores de las sucursales se conectan a Internet utilizando los
servicios de su proveedor local de Internet, típicamente mediante conexiones de
banda ancha. Esto permite eliminar los costosos vínculos punto a punto
tradicionales, sobre todo en las comunicaciones internacionales. Es más común el
siguiente punto, también llamado tecnología de túnel o tunneling.

Tunneling

La técnica de tunneling consiste en encapsular un protocolo de red sobre

otro (protocolo de red encapsulador) creando un túnel dentro de una red de
computadoras. El establecimiento de dicho túnel se implementa incluyendo una
PDU determinada dentro de otra PDU con el objetivo de transmitirla desde un
extremo al otro del túnel sin que sea necesaria una interpretación intermedia de la
PDU encapsulada. De esta manera se encaminan los paquetes de datos sobre
nodos intermedios que son incapaces de ver en claro el contenido de dichos
paquetes. El túnel queda definido por los puntos extremos y el protocolo de
comunicación empleado, que entre otros, podría ser SSH..

El uso de esta técnica persigue diferentes objetivos, dependiendo del

problema que se esté tratando, como por ejemplo la comunicación de islas en
escenarios multicast, la redirección de tráfico, etc.

32
 Uno de los ejemplos más claros de utilización de esta técnica consiste en la
redirección de tráfico en escenarios IP Móvil. En escenarios de IP móvil, cuando
un nodo-móvil no se encuentra en su red base, necesita que su home-agent
realice ciertas funciones en su puesto, entre las que se encuentra la de capturar el
tráfico dirigido al nodo-móvil y redirigirlo hacia él. Esa redirección del tráfico se
realiza usando un mecanismo de tunneling, ya que es necesario que los paquetes
conserven su estructura y contenido originales (dirección IP de origen y destino,
puertos, etc.) cuando sean recibidos por el nodo-móvil.

VPN interna VLAN

Este esquema es el menos difundido pero uno de los más poderosos para
utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en
vez de utilizar Internet como medio de conexión, emplea la misma red de área
local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna.
Esta capacidad lo hace muy conveniente para mejorar las prestaciones de
seguridad de las redes inalámbricas (WiFi).

Un ejemplo clásico es un servidor con información sensible, como las

nóminas de sueldos, ubicado detrás de un equipo VPN, el cual provee
autenticación adicional más el agregado del cifrado, haciendo posible que sólo el
personal de recursos humanos habilitado pueda acceder a la información.

Implementaciones

El protocolo estándar de hecho es el IPSEC, pero también tenemos PPTP,

L2F, L2TP, SSL/TLS, SSH, etc. Cada uno con sus ventajas y desventajas en
cuanto a seguridad, facilidad, mantenimiento y tipos de clientes soportados.

Actualmente hay una línea de productos en crecimiento relacionada con el

protocolo SSL/TLS, que intenta hacer más amigable la configuración y operación
de estas soluciones.
33
  Las soluciones de hardware casi siempre ofrecen mayor rendimiento y
facilidad de configuración, aunque no tienen la flexibilidad de las versiones
por software. Dentro de esta familia tenemos a los productos deFortinet,
SonicWALL, WatchGuard, Nortel, Cisco, Linksys, Netscreen (Juniper
Networks), Symantec, Nokia, U.S. Robotics, D-link, etc.
 Las aplicaciones VPN por software son las más configurables y son ideales
cuando surgen problemas de interoperatividad en los modelos anteriores.
Obviamente el rendimiento es menor y la configuración más delicada,
porque se suma el sistema operativo y la seguridad del equipo en general.
Aquí tenemos por ejemplo a las soluciones nativas de Windows, GNU/Linux
y los Unix en general. Por ejemplo productos de código abierto como
OpenSSH, OpenVPN y FreeS/Wan.

En ambos casos se pueden utilizar soluciones de firewall ("barrera de

fuego" en castellano o cortafuego), obteniendo un nivel de seguridad alto por la
protección que brinda, en detrimento del rendimiento.

Ventajas

 Integridad, confidencialidad y seguridad de datos.

 Las VPN reducen los costos y son sencillas de usar.
 Facilita la comunicación entre dos usuarios en lugares distantes.
 Se utiliza más en campus de universidades.

TIPOS DE CONEXIONES

Conexión de acceso remoto

Una conexión de acceso remoto es realizada por un cliente o un usuario de

una computadora que se conecta a una red privada, los paquetes enviados a

34
través de la conexión VPN son originados al cliente de acceso remoto, y éste se
autentifica al servidor de acceso remoto, y el servidor se autentifica ante el cliente.

Conexión VPN router a router

Una conexión VPN router a router es realizada por un router, y este a su

vez se conecta a una red privada. En este tipo de conexión, los paquetes enviados
desde cualquier router no se originan en los routers. El router que realiza la
llamada se autentifica ante el router que responde y este a su vez se autentica
ante el router que realiza la llamada y también sirve para la intranet.

Conexión VPN firewall a firewall

Una conexión VPN firewall a firewall es realizada por uno de ellos, y éste a
su vez se conecta a una red privada. En este tipo de conexión, los paquetes son
enviados desde cualquier usuario en Internet. El firewall que realiza la llamada se
autentifica ante el que responde y éste a su vez se autentifica ante el llamante.

CONFIGURACION DE LA PARTE SERVIDOR DE UNA VPN EN WINDOWS

Es importante saber que la mayor parte de aplicaciones de este estilo

trabajan usando un esquema Cliente-Servidor. Esto significa que habrá que
configurar los dos extremos de la comunicación, en un extremo tendremos la
máquina que va a funcionar como servidor, es decir, la máquina a la que nos
vamos a conectar, y en el otro un cliente que es la que usaremos para
conectarnos.

35
 SWITCH DE CAPA 3

Switching IP de nivel 3 OSI es equivalente al enrutado TCP/IP. En esta

capa se encuentra el protocolo IP y es la encargada del enrutamiento y de dirigir
los paquetes IP de una red a otra. Normalmente los “routers” se encuentran en
esta capa. El protocolo ARP (Address Resolution Protocol) es el que se utiliza
para asignar direcciones IP a direcciones MAC. La función router es incluida en el
hardware de los switches. De esta forma se consigue una enorme mejora en el
rendimiento comparando un switch operando a nivel 3 y esta misma función
realizada por un router normal. Un switch de nivel 3 puede trabajar a mas de 10
veces la velocidad de un router tradicional.

Un switch capa 3 funciona en las mismas capas que el router. Puede

realizar tareas de ruteo, la diferencia es que el switch realiza sus tareas con chips
especializados para que el ruteo y switcheo de paquetes se haga lo mas rapido
posible (esto se le conoce como wire-speed).

La comunicación entre dos estaciones pertenecientes al mismo subnet IP

es realizada mediante función switch de nivel 2 mientras que esto mismo es
realizado en nivel 3 entre estaciones de diferente subnet IP.

36
 Este tipo deswitches integranrouting yswitching para producir altas
velocidades medidas en millones de paquetes por segundo). Esta es una
tecnología nueva (Lippis, 1997) a los cuales los vendedores se refieren muchas
veces como: Netflow, tag witching (Packet, 1998), Fast IP (3Com, 1997), etc.

Este nuevo tipo de dispositivos es el resultado de un proceso de evolución

natural de las redes de área local, ya que, combinan las funciones de losswitches
capa 2 con las capacidades de los routers (3Com, 1997).

TIPOS DE SWITCHES CAPA 3:

La capa 3 de la pila OSI es la encargada del control del encaminamiento de

mensajes a través de las diferentes redes, como también el control del flujo y del
tráfico, tarea que realizan normalmente los routers. Normalmente un switch opera
a nivel 2, controlando el flujo de datos entre nodos (Ethernet). En cambio
actualmente hablamos de que los “switches de nivel 3” operan en ambos niveles,

37
integrando también la funcionalidad tradicionalmente asociada a los router y
trabajando básicamente con dos tipos de implementación.

 Packet-by-packet (PPL3).

 Cut-trough (CTL3).

Packet by packet routing

Donde trabajan igual que un router, el switch puede realizar todas las
funciones de un router Standard, enrutando todos los paquetes hacia su destino.
Trabajan con los protocolos Standard de los routers, pudiendo así interoperar con
los otros switchs y los routers de la red.

Flow-based routing

Implementación basada en el enrutamiento rápido de los paquetes (“cut &

throw”), procesando solamente la cabecera y enrutando al destino, esto puede
tener el inconveniente de que en un medio con colisiones, éstas no desapareceran
nunca.

En ambos tipos deswitches, se examinan todos los paquetes y se envían a

sus destinos. La diferencia real entre ellos es el rendimiento. PPL3 enruta todos
los paquetes, en tanto que losswitches CTL3 efectúan la entrega de paquetes de
una forma un poco distinta, estos switches investigan el destino del primer paquete
en una serie. Una vez que lo conoce, se establece una conexión y el flujo es
conmutado en capa 2 (con el consiguiente, rendimiento delswitching de capa 2)

38
 FUNCIONES

 Procesamiento de rutas: esto incluye construcción y mantenimiento de la

tabla de enrutamiento usando RIP y OSPF.

 Envío de paquetes: una vez que el camino es determinado, los paquetes

son enviados a su dirección destino. El TTL (Time-To- Live) es
decrementado, las direcciones MAC son resueltas y el checksum IP es
calculado.

 Servicios especiales: traslación de paquetes, prioritización, autenticación,

filtros, etc.

El switch de nivel 3, se diferencian de los routers en que su hardware es

más especifico diseñado especialmente para llevar a cabo esa función.

Un Switch de Capa 3 tiene todos los niveles de control y seguridad con los
que un ruteador normalmente cuenta. Existen mecanismos de seguridad para
prevenir que un usuario indeseado se conecte a la red, incluso a nivel físico. Estos
switches pueden filtrar información no deseada incluso de los usuarios que tienen
permitido el acceso a la red, para prevenir ataques a servidores, bases de datos, o
proteger aplicaciones con ciertos niveles de seguridad. También cuentan con

39
mecanismos de protección para evitar que un usuario no deseado pueda infiltrarse
a la configuración del switch.

Un Switch de Capa 3 cuenta con la suficiente "inteligencia" para interactuar

con el tráfico que va o viene de la Internet, y participa con ella en el manejo
eficiente de los diferentes tipos de tráfico como Voz sobre IP por ejemplo, que ya
es una realidad. Un switch de Capa 2 simplemente no tiene nada que hacer al
respecto.

Además, a un Switch de Capa 3 se le pueden agregar funcionalidades que

van más allá de la Capa 3, como Server Load Balancing, por ejemplo. Un Switch de
Capa 3 tiene la capacidad paradistinguir cuando los puertos donde se conectan los
servidores de la empresa están,ocupados, saturados o caídos, de tal manera que
pude reenviar eficientemente el tráfico y las peticiones de los usuarios de la red,
hacia aquellos puertos que puedan responder.

Un Switch de Capa 2, no entiende este concepto y en el caso de que se

presente esta situación, no hacen más que reintentar y retransmitir, generando más
tráfico y empeorando la situación. La tendencia tecnológica es así como
eventualmente los Switches de Capa 2, remplazaron a los concentradores (HUB),
los nuevos mecanismos de swicheo en Capa 3, están sustituyendo a los switches
de Capa 2, por sus rendimientos, sus altas funcionalidades, sus mecanismos
redundantes y de tolerancia a fallas, su mejor control y su escalabilidad.
Eventualmente una empresa que requiera de nuevas aplicaciones, que demande
comunicación hacia y de la Internet, y que requiera
de altos mecanismos de seguridad, tendrá que migrar hacia el switcheo de Capa 3

40