Actualmente no existe una fecha definida para dejar de utilizar IPv4 o comenzar a utilizar IPv6 completamente, por lo que al diseñar IPv6 se optó por incluir mecanismos que permitan una coexistencia de ambos esquemas de direccionamiento y que en el largo plazo permitan tener una transición sin complicaciones hacia IPv6. Estos esquemas son los siguientes:
Nodos de Doble Pila sobre redes IPv4.
Islas de Nodos de Sólo IPv6 sobre redes IPv4.
Nodos de IPv4 que puedan comunicarse con redes IPv6.
Nodos de IPv6 que puedan comunicarse con redes IPv4.
Estructura del Protocolo IPv6
Encabezado
Como se especifica en el RFC 2460 Especificación del Protocolo de Internet Versión 6, el encabezado básico de IPv6 consta de 8 campos, 4 menos que el de IPv4, lo que da un total de 40 octetos.
Entre las mejoras propuestas se encuentra el campo Etiqueta de Flujo y las Extensiones de Encabezado. A continuación se presentan todos los campos con su descripción:
Versión (4 bits). Se refiere a la versión de IP y contiene el valor de 6 en lugar de 4, el cual es contenido en un paquete IPv4.
Clase de Tráfico (8 bits). Este campo y sus funciones son similares al de Tipo de Servicio en IPv4. Este campo etiqueta el paquete IPv6 con un Punto de Código de Servicios Diferenciados (DSCP) que especifica cómo debe ser manejado.
Etiqueta de Flujo (20 bits). La etiqueta sirve para marcar un flujo o secuencia de paquetes IPv6 que requieran un tratamiento especial a lo largo de la trayectoria de comunicación.
Longitud de Carga Útil (16 bits). La carga útil es la parte que sigue al encabezado de IPv6.
Siguiente Encabezado (8 bits). Define el tipo de información que va a seguir al encabezado de IPv6 básico, la cual puede ser un protocolo de capa superior como TCP o UDP o puede ser alguna de las Extensiones de Encabezado. Este campo es similar al campo Número de Protocolo en IPv4.
Límite de Saltos (8 bits). Define el número máximo de saltos (ruteadores intermedios) que un paquete IP puede atravesar. Cada salto disminuye el valor por 1, al igual que en IPv4 cuando el campo contiene el valor 0 el paquete es destruido y se envía de regreso al nodo fuente un mensaje ICMP versión 6 de Tipo 3 que significa Tiempo Excedido.
Dirección Fuente (128 bits). Identifica la dirección fuente IPv6 del transmisor.
Dirección Destino (128 bits). Muestra la dirección destino IPv6 del paquete.
Extensiones de Encabezado
Son encabezados opcionales, enlazados uno después de otro, que van después del encabezado básico de IPv6. Un paquete IPv6 puede llevar uno o múltiples extensiones de encabezados o inclusive no llevar ninguno. A continuación se definen las Extensiones de Encabezados:
Encabezado de Opciones Salto-por-Salto (protocolo 0). Este campo es leído y procesado por cada nodo y enrutado a lo largo de la trayectoria de envío. Éste es usado para paquetes Jumbograma y la Alerta de Ruteador.
Encabezado de Opciones de Destino (protocolo 60). Lleva información opcional que está específicamente dirigida a la dirección de destino del paquete.
Encabezado de Enrutamiento (protocolo 43). Puede ser usado por un nodo fuente IPv6 para forzar a que un paquete atraviese ruteadores específicos en su trayectoria al destino. Se puede especificar una lista de ruteadores intermediarios dentro del encabezado cuando se pone en 0 el campo de Tipo de Enrutamiento.
Encabezado de Fragmentación (protocolo 44). En IPv6 se recomienda que el mecanismo PMTUD esté en todos los nodos. Si un nodo no soporta PMTUD y debe enviar un paquete más grande que el MTU se utiliza el Encabezado de Fragmentación. Cuando esa situación ocurre el nodo fragmenta el paquete y envía cada parte utilizando Encabezados de Fragmentación, los cuales son acumulados en el extremo receptor donde el nodo destino los reensambla para formar el paquete original.
Encabezado de Autenticación (protocolo 51). Este se utiliza en IPSec para proveer autenticación, integridad de datos y protección ante una repetición, e incluye también protección a algunos campos del encabezado básico de IPv6. Este encabezado es conocido como AH.
Encabezado de Carga de Seguridad Encapsulada (protocolo 50). Es usado en IPSec para proveer autenticación, integridad de datos, protección ante repetición y confidencialidad del paquete IPv6. Es conocido como ESP.
Direccionamiento
Los cambios introducidos por IPv6 no sólo son en cantidad de direcciones sino que incluyen nuevos tipos, representaciones y sintaxis.
Tipos de direcciones IPv6
Una dirección IPv6 puede ser clasificada en alguno de los tres tipos creados:
· Unicast. Se utiliza únicamente para identificar una interfase de un nodo IPv6. Un paquete enviado a una dirección unicast es entregado a la interfase identificada por esa dirección.
· Multicast. Se utiliza para identificar a un grupo de interfases IPv6. Un paquete enviado a una dirección multicast es procesado por todos los miembros del grupo multicast.
· Anycast. Se asigna a múltiples interfases (usualmente en múltiples nodos). Un paquete enviado a una dirección anycast es entregado a una de estas interfases, usualmente la más cercana.
Cada uno de los tres tipos se subdivide en direcciones diseñadas para resolver casos específicos de direccionamiento IP, los cuales a continuación se presentan y describen.
Unicast agrupa los siguientes tipos:
Enlace Local (Link-Local).
Sitio Local (Site-Local).
Agregable Global (Aggregatable Global).
Loopback.
Sin-Especificar (Unspecified).
Compatible con IPv4.
Anycast agrupa:
Agregable Global (Aggregatable Global).
Sitio Local (Site Local).
Enlace Local (Link Local).
Multicast agrupa:
Asignada (Assigned).
Nodo Solicitado (Solicited Node).
Enlace Local. Se utiliza en un enlace sencillo y no debe nunca ser enrutada. Se usa para mecanismos de autoconfiguración, descubrimiento de vecinos y en redes sin ruteadores. Es útil para crear redes temporales. Puede ser utilizada sin un prefijo global.
Sitio Local. Contiene información de subred dentro de la dirección. Son enrutadas dentro de un sitio, pero los ruteadores no deben enviarlas fuera de éste. Además es utilizada sin un prefijo global.
Formato de direcciones de Enlace Local y Sitio Local.
El prefijo FE80 identifica a una dirección de Enlace Local y el prefijo FEC0 identifica a un Sitio local, ambos en hexadecimal.
Agregable Global. Son las direcciones IPv6 utilizadas para el tráfico de IPv6 genéricos en el Internet de IPv6 y son similares a las direcciones unicast usadas para comunicarse a través del Internet de IPv4. Representan la parte más importante de la arquitectura de direccionamiento de IPv6 y su estructura permite una agregación estricta de prefijos de enrutamiento para limitar el tamaño de la tabla de enrutamiento global de Internet.
Cada Dirección Agregable Global consta de tres partes:
Prefijo recibido del proveedor: el prefijo asignado a una organización por un proveedor debe ser al menos de 48 bits (recomendado por el RFC 3177). El prefijo asignado a la organización es parte del prefijo del proveedor.
Sitio: con un prefijo de 48 bits distribuido a una organización por medio de un proveedor, se abre la posibilidad para esa organización de tener 65,535 subredes (asignando un prefijo de 64 bits a cada una de las subredes). La organización puede usar los bits 49 a 64 (16 bits) del prefijo recibido para subredes.
Computadora: utiliza cada Identificador de interfase del nodo. Esta parte de la dirección IPv6, que representa los 64 bits de más bajo orden de la dirección, es llamada Identificador de Interfase.
La siguiente figura muestra como ejemplo al prefijo 2001:0410:0110::/48 que es asignado por un proveedor a una organización. Dentro de la organización el prefijo 2001:0410:0110:0002::/64 es habilitado en una subred. Finalmente, un nodo en esta subred tiene la dirección 2001:0410:0110:0002:0200:CBCF:1234:4402.
Loopback. Al igual que en IPv4, cada dispositivo tiene una dirección loopback, que es usada por el nodo mismo.
En IPv6 se representa en el formato preferido por el prefijo 0000:0000:0000:0000:0000:0000:0000:0001 y en el formato comprimido por ::1.
Sin-Especificar. Es una dirección unicast sin asignar a alguna interfase. Indica la ausencia de una dirección y es usada para propósitos especiales. Es representada en el formato preferido con el prefijo 0000:0000:0000:0000:0000:0000:0000:0000 y con :: en el formato comprimido.
Compatible con IPv4. Es utilizada por los mecanismos de transición en computadoras y ruteadores para crear automáticamente túneles IPv4. De esa forma se entregan paquetes IPv6 sobre redes IPv4.
En la siguiente figura se muestra el formato descriptivo de una dirección IPv6 compatible con IPv4. En éste el prefijo se crea con el bit puesto a cero del de más alto nivel de los 96 bits, y los restantes 32 bits de menor nivel representan la dirección en formato decimal.
Asignada Multicast. Está definida y reservada por el RFC 2373 para la operación del protocolo IPv6. Dichas direcciones asignadas son usadas en el contexto de mecanismos específicos del protocolo. En la siguiente tabla se presentan las Direcciones Asignadas Multicast y su área de funcionamiento.
Nodo Solicitado Multicast. Es una dirección a la que se debe unir cada nodo por cada dirección unicast y anycast asignada. La dirección se forma tomando los 24 bits de bajo nivel de una dirección IPv6 (es la última parte del identificador de la computadora). La dirección los juntamos con el prefijo FF02:0:0:0:0:1:FF00::/104, de esa manera el rango de direcciones Multicast de Nodo Solicitado va de FF02:0:0:0:0:1:FF00:0000 a FF02:0:0:0:0:1:FFFF:FFFF.
Reglas de Utilización
Las direcciones IPv6 son asignadas a interfases, no a nodos, por lo que cada interfase de un nodo necesita al menos una dirección unicast. A una sola interfase se le pueden asignar múltiples direcciones IPv6 de cualquier tipo (unicast, anycast, multicast). Por lo cual un nodo puede ser identificado por la dirección de cualquiera de sus interfases.
Existe la posibilidad de asignar una dirección unicast a múltiples interfases para balanceo de cargas.
Una dirección típica de IPv6 consiste de tres partes como se muestra en la figura de abajo:
a. El prefijo de enrutamiento global
b. El IDentificador de subred
c. El IDentificador de interfase
Notación de Direcciones
Como lo define el RFC 2373 Arquitectura del Direccionamiento del Protocolo de Internet versión 6, existen tres formatos para representar direcciones IPv6.
El formato preferido es el método más largo. Este representa los 32 caracteres hexadecimales que forman la dirección. Es el más cercano a la forma en que la computadora procesa la dirección.
Mediante una representación comprimida que se utiliza para simplificar la escritura de la dirección.
El tercer método es el relacionado con los mecanismos de transición donde una dirección IPv4 está incluida dentro de una dirección IPv6. Este método es el menos importante de los tres y sólo es útil si se utiliza algún mecanismo de transición como NAT-PT.
Formato preferido de dirección IPv6
Es también conocido como formato completo y se compone de los ocho campos de 16 bits hexadecimales separados por dos puntos. Cada campo de 16 bits representa cuatro caracteres hexadecimales y los valores que puede tomar el campo de 16 bit van de 0x0000 a 0xFFFF. A continuación se presentan ejemplos de direcciones IPv6 en el formato preferido.
Formato comprimido
En IPv6 es común que se presenten cadenas grandes de ceros dentro de las direcciones. Para simplificar su escritura se ha convenido en utilizar una sintaxis especial en donde se suprimen los valores consecutivos de ceros ante dos situaciones: campos sucesivos de ceros y campos con ceros al inicio.
Campos sucesivos de ceros
Para simplificar la longitud de una dirección IPv6, cuando se presentan de uno a múltiples campos de ceros, es legal representar estos como ceros o :: (doble dos puntos). Sin embargo, es permitido usarlo una sola vez en la escritura de la dirección. En la siguiente tabla se presenta del lado izquierdo las direcciones en formato preferido y resaltado en negro los campos sucesivos de ceros que son sustituidos por los dos puntos dobles y del lado derecho se presenta la dirección en su formato comprimido.
La dirección FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF es una dirección que no puede ser comprimida.
Campos con ceros al inicio
El segundo método para comprimir direcciones se aplica a cada uno de los campos hexadecimales de 16 bits que tienen uno o más ceros al inicio. Ello involucra que si hay uno o más ceros al inicio de cada campo, estos pueden ser suprimidos para simplificar su longitud y facilitar su lectura y escritura. No obstante, si cada carácter del campo es cero al menos uno debe de ser mantenido. La siguiente tabla muestra del lado izquierdo las direcciones en su Formato Preferido con los ceros iniciales resaltados en negro y del lado derecho están las direcciones en su Formato comprimido con los ceros suprimidos.
Combinación de ambos métodos de compresión
Se pueden combinar la compresión de campos sucesivos de ceros con la compresión de campos con ceros al inicio para simplificar la longitud de la dirección IPv6. En la siguiente tabla se muestra un ejemplo de la aplicación con ambos métodos de compresión. Al igual que en ejemplos anteriores, los caracteres resaltados en negro son los valores que serán suprimidos.
Direcciones IPv6 con direcciones IPv4 incrustadas
Este cuarto tipo de representación es utilizado en una dirección IPv4 incrustada dentro de una dirección IPv6. La primera parte de la dirección IPv6 utiliza la representación hexadecimal y el otro segmento de IPv4 está en formato decimal. Esta es una representación específica de una dirección usada por mecanismos de transición.
La dirección se divide en dos niveles, superior e inferior, y estos a su vez se subdividen. El nivel superior se fragmenta en seis campos con valores hexadecimales de 16 bits seguidos del nivel inferior compuesto de 4 campos con valores decimales de 8 bits. La siguiente imagen muestra la distribución de la dirección IPv6 con una dirección IPv4 incrustada.
Existen dos tipos de direcciones IPv6 que tienen direcciones IPv4 incrustadas:
Dirección IPv6 compatible con IPv4. Es utilizada para establecer un túnel automático que lleva paquetes IPv6 sobre redes IPv4. Esta dirección está vinculada con un mecanismo de transición del protocolo IPv6.
Dirección IPv6 mapeada a IPv4. Se utiliza sólo en el ámbito local de nodos que tienen las direcciones IPv4 e IPv6. Los nodos usan direcciones IPv6 mapeadas a IPv4 de forma interna solamente. Estas direcciones no son conocidas afuera del nodo y no llegan al cable de comunicación como direcciones IPv6.
En la siguiente tabla se muestran ejemplos de direcciones IPv4 incrustadas en direcciones IPv6, ellas se presentan en el formato comprimido. La primera dirección exhibida es del tipo Dirección IPv6 compatible con IPv4 y la segunda es una Dirección IPv6 mapeada a IPv4.
IPv6 y Subredes
En IPv6 la única forma aceptable de representar una máscara de red es mediante notación CIDR. Aunque las direcciones estén en formato hexadecimal, el valor de la máscara de red se mantiene como un valor decimal. La siguiente tabla muestra ejemplos de direcciones IPv6 y prefijos de red utilizando el valor de red en notación CIDR.
En el apartado de subredes los puntos sobresalientes son los siguientes:
De la misma forma que sucede con IPv4, en IPv6 el número de bits puestos a 1 en la máscara de red define la longitud del prefijo de red y la parte restante es para el direccionamiento del nodo. Esto es importante para las IPs, ya que define cuándo los paquetes van a ser enviados al ruteador por defecto o a un nodo específico en la misma subred.
En IPv6 se suprime el concepto de dirección reservada en un rango de red. A diferencia de IPv4 donde se reservaba la primera (dirección de red) y la última (dirección de difusión) de un rango, en IPv6 no existen estos conceptos.
El número de bits para el direccionamiento del nodo dentro de un prefijo de sitio (48 bits) en IPv6 resulta ser tan grande que no es necesario hacer un plan de direccionamiento para un sitio utilizando diferentes valores de máscara de red. De ahí que el cálculo de máscara de red para cada subred y el uso de VLSM no son requeridos.
Seguridad en IPv6
La seguridad dentro del protocolo IPv6 está basada en el protocolo IPSec, el cual está disponible tanto en IPv4 como en IPv6.
Una implementación de IPv6 incluye inserciones de Encabezados de Autenticación (AH, Authentication Headers) y extensión de encabezados de Carga de Seguridad Encapsulada (ESP, Encapsulating Security Payload). El tener IPSec en cualquier nodo IPv6 debe permitir sesiones de seguridad de extremo a extremo.
Para los ruteadores con soporte IPv6, IPSec puede ser usado en diferentes áreas:
· OSPFv3 –utiliza AH, la extensión de encabezados maneja ESP como un mecanismo de autenticación en lugar de la variedad de esquemas de autenticación y procedimientos definidos en OSPFv2.
· IPv6 Móvil – Esta especificación de protocolo es un proyecto de la IETF propuesto para usar IPSec para hacer obligatoria la autenticación de actualización.
· Túneles – Los túneles IPSec pueden ser configurados entre sitios (ruteadores IPv6) en lugar de que cada computadora utilice IPSec.
· Administración de Red – IPSec se puede utilizar para garantizar el acceso del ruteador para la gestión de la red.
IPSec está definido en dos extensiones de encabezado separados de IPv6 que pueden ser puestas juntas dentro del mismo paquete IPv6. Las dos extensiones son Autenticación de Encabezado IPSec (AH) y extensión de encabezados de Carga de Seguridad Encapsulada (ESP).
1. Autenticación de Encabezado IPSec (AH)
El primer encabezado es el de Autenticación (AH), el cual provee integridad, autenticación del nodo fuente y protección contra repetición. La Autenticación de Encabezado IPSec protege la integridad de la mayoría de los campos de encabezado de IPv6, excepto a aquellos que cambian sobre la trayectoria, tal como lo hacen el campo Límite de Salto. Además, el AH IPSec autentica la fuente a través de un algoritmo basado en una firma.
La diferencia clave entre la seguridad de IPv4 e IPv6 es el hecho de que IPSec es obligatorio para IPv6 tal como lo indica el RFC 2460. Éste es la Especificación del Protocolo de Internet versión 6, traduciéndose en que todas las comunicaciones IP extremo-a-extremo pueden ser seguras si existe suficiente infraestructura para hacerlo en una gran escala.
2. Carga de Seguridad Encapsulada IPSec (ESP)
Es el segundo encabezado IPSec, éste provee confidencialidad, autenticación del nodo fuente, integridad interna del paquete y protección contra repetición.
Enrutamiento con IPv6
El protocolo IPv6 no cambió los fundamentos del enrutamiento del protocolo IP, el cual todavía se basa en:
La coincidencia del mayor prefijo.
El posible uso de enrutamiento fuente.
Redirecciona con ICMP.
Los mismos protocolos de enrutamiento: RIP, OSPF, IS-IS y BGP.
No hay cambios mayores en el enrutamiento, de esa forma el cambio a IPv6 es transparente para el administrador de redes. Únicamente se realizaron modificaciones a la forma en que se maneja el enrutamiento para hacerlo más eficiente o para hacer uso de las características de IPv6.
Rutas Estáticas – Son utilizadas para forzar el enrutamiento de algunos prefijos a través de ruteadores específicos. La ruta por omisión (::/0) es un ejemplo de ruta estática. Las rutas estáticas en una tabla de enrutamiento tienen una mayor preferencia sobre rutas aprendidas por protocolos de enrutamiento.
Una ruta estática contiene el prefijo a ser enrutado y la dirección IP del ruteador. Dicha ruta tiene como nombre el siguiente salto, es el responsable de enrutar cualquier paquete con un destino dentro del rango de prefijo dado. No existen diferencias entre IPv4 e IPv6 para las rutas estáticas, sin embargo, se debe usar una dirección de enlace local como la dirección de siguiente salto.
RIP –(RFC 1058) es un protocolo para redes de tamaño de pequeño a mediano. La versión mejorada para IPv6 conocida como RIP Siguiente Generación (RIPng, RIP next generation) (RFC 2080 y 2081) está basada en RIP versión 2 (RFC 1723) y hereda las mismas características genéricas:
Algoritmo vector-distancia Bellman-Ford.
Actualizaciones cada 30 segundos.
Tiempo de expiración de 180 segundos para rutas desconectadas.
Métricas fijas.
Diámetro de red de 15 saltos.
Horizonte dividido y envenenamiento en reversa de trayectoria.
Etiquetas de ruta.
La siguiente tabla muestra los cambios realizados al protocolo RIP:
Cambios y Nuevas Características de RIPng
Característica | Descripción | ||||
Rutas Anunciadas | RIPng anuncia rutas IPv6 compuestas de prefijos IPv6 con longitud y métrica. | ||||
Siguiente Salto | La dirección de Siguiente Salto es la dirección de enlace local IPv6 de la interfase del ruteador que anuncia el prefijo. | ||||
Transporte de Protocolo IP | IPv6 es utilizado para llevar datagramas RIP usando UDP como protocolo de transporte. | ||||
Dirección IPv6 Fuente | La actualización RIP de la dirección fuente IPv6 es la dirección de enlace-local de la interfase del ruteador fuente. Con excepción de cuando se contesta un Mensaje de Solicitud unicast desde un puerto distinto al puerto RIPng, en dicho caso, la dirección fuente es una dirección global válida). | ||||
Dirección IPv6 Destino | La dirección destino de la actualización RIP es FF02::9, que es la dirección multidifusión de todos los ruteadores RIP. Únicamente los ruteadores RIPng atienden esta dirección multidifusión. Es una dirección multidifusión con alcance de enlace-local, la cual no es retransmitida a otros enlaces. | ||||
Límite de Salto = 255 | Las actualizaciones RIP tienen el Límite de Salto de paquete IPv6 configurado en 255. Esto permite a los involucrados verificar si las actualizaciones vienen de ruteadores externos falsos. | ||||
Número de Puerto = 521 | El puerto UDP es 521, en lugar de 520 para RIPv1 y 2. | ||||
RIPng versión = 1 | El número de versión RIPng en el paquete RIP es 1, lo que representa que es la primera versión de RIPng. Se utiliza un puerto de transporte distinto. Los involucrados pueden diferenciar entre paquetes RIPv1, RIPv2 y RIPng. | ||||
Tabla de Enrutamiento | La tabla de enrutamiento de Pv6 es distinta de la tabla de enrutamiento de IPv4 para RIPv1 o RIPv 2. La ruta por omisión es anunciada como ::/0. | ||||
Autenticación | La autenticación RIPng se basa en la seguridad proveída por IPSec. |
OSPF – (RFC 2328). Como versión 2, es un protocolo sólo para IPv4. OSPFv3 (RFC 2740) es un protocolo de red independiente, similar a IS-IS. De esta manera puede incluir rutas IPv6. OSPFv3 comparte los fundamentos de OSPFv2:
Inundación (flooding).
Elección de ruteador designado.
Área de soporte.
Cálculos de Djikstra para abrir la trayectoria más corta primero.
Soporte de circuito en demanda.
Áreas Stub y NSSA.
Extensiones multidifusión (MOSPF).
Cambios y Nuevas Características de OSPFv3
Características | Descripción | |
LSAs de ruteador y red | Estos no tienen semántica de direccionamiento y sólo llevan información de topología. | |
Nuevo LSA-con-Prefijo-Intra-Area | Este lleva direcciones y prefijos IPv6. | |
Direcciones en LSA | Estas son descritas como prefijo con una longitud de prefijo. La ruta por omisión es ::/0. | |
Identificación de Ruteador | ID del Ruteador es un valor de 32 bit sin importar si es dirección IPv4 o IPv6. Se usa en DR, BDR, LSAs, base de datos. | |
Alcance de la Inundación | Enlace, Area o AS. | |
Siguiente-Salto | La dirección de Siguiente-Salto es la dirección de enlace-local IPv6 de la interfase de ruteador que anuncia el prefijo. | |
Nuevo LSA de Enlace-Local | Este lleva la dirección de enlace local de la interfase de ruteador, los prefijos del enlace y las opciones. | |
Ejecución por cada enlace, en lugar de cada IP de subred | Ahora una interfase OSPF se puede conectar a un enlace en lugar de una subred IP. Están soportadas múltiples instancias en un enlace sencillo. | |
Usa IPv6 para el transporte de paquetes OSPF | Encabezado Siguiente = 89 para identificar un paquete IPv6 OSPFv3. | |
Paquetes OSPF con dirección IPv6 fuente | La dirección fuente del paquete OSPF es la dirección enlace-local de la interfase del ruteador origen. | |
Paquetes OSPF con dirección IPv6 destino | Todos los ruteadores OSPF envían paquetes Hello y atienden a FF02::/5, que es la dirección multidifusión con enlace a todos-los-ruteadores-ospf. | |
Límite de Salto = 1 de paquetes OSPF | 1 significa de enlace-local. | |
OSPF versión = 3 | Versiones previas son iguales a 1 o 2. | |
La Autenticación es realizada con IPSec | Se quitaron todos los datos de autenticación interna OSPF y ahora se provee seguridad con IPSec para proteger la integridad y ofrecer autenticación. |
TAREA 36
1.- Realice un cuestionario de 20 preguntas.
Es el nombre de una familia de sistemas operativos desarrollados y vendidos por Microsoft. Microsoft introdujo un entorno operativo denominado Windows el 20 de noviembre de 1985 como un complemento para MS-DOS en respuesta al creciente interés en las interfaces gráficas de usuario (GUI). Microsoft Windows llegó a dominar el mercado mundial de computadoras personales, con más del 90% de la cuota de mercado, superando a Mac OS, que había sido introducido en 1984.
Las versiones más recientes de Windows son Windows 8 para equipos de escritorio, Windows Server 2012 para servidores y Windows Phone 8 para dispositivos móviles. La primera versión en español fue Windows 3.0
Windows es un sistema operativo basado en ventanas. La primera versión se lanzó en 1990 y comenzó a utilizarse de forma generalizada gracias a su interfaz gráfica de usuario (GUI, Graphical User Interface). Hasta ese momento, el sistema operativo más extendido era MS-DOS (Microsoft Disk Operating System), y la interfaz consistía en una línea de comandos.
Historia
La primera versión de Microsoft Windows, versión 1.0, lanzada en noviembre de 1985, compitió con el sistema operativo de Apple. Carecía de un cierto grado de funcionalidad y logró muy poca popularidad. Windows 1.0 no era un sistema operativo completo; más bien era una extensión gráfica de MS-DOS. Windows versión 2.0 fue lanzado en noviembre de 1987 y fue un poco más popular que su predecesor. Windows 2.03 (lanzado en enero de 1988) incluyó por primera vez ventanas que podían solaparse unas a otras. El resultado de este cambio llevó a Apple a presentar una demanda contra Microsoft, debido a que infringían derechos de autor.
Windows versión 3.0, lanzado en 1990, fue la primera versión de Microsoft Windows que consiguió un amplio éxito comercial, vendiendo 2 millones de copias en los primeros seis meses. Presentaba mejoras en la interfaz de usuario y en la multitarea. Recibió un lavado de cara en Windows 3.1, que se hizo disponible para el público en general el 1 de marzo de 1992. El soporte de Windows 3.1 terminó el 31 de diciembre de 2001.
En julio de 1993, Microsoft lanzó Windows NT basado en un nuevo kernel. NT era considerado como el sistema operativo profesional y fue la primera versión de Windows en utilizar la Multitarea apropiativa. Windows NT más tarde sería reestructurado para funcionar también como un sistema operativo para el hogar, con Windows XP.
El 24 de agosto de 1995, Microsoft lanzó Windows 95, una versión nueva para los consumidores, y grandes fueron los cambios que se realizaron a la interfaz de usuario, y también se utiliza multitarea apropiativa. Windows 95 fue diseñado para sustituir no solo a Windows 3.1, sino también de Windows para Workgroups y MS-DOS. También fue el primer sistema operativo Windows para utilizar las capacidades Plug and Play. Los cambios que trajo Windows 95 eran revolucionarios, a diferencia de los siguientes, como Windows 98 y Windows Me. El soporte estándar para Windows 95 finalizó el 31 de diciembre de 2000 y el soporte ampliado para Windows 95 finalizó el 31 de diciembre de 2001.
El siguiente en la línea de consumidor fue lanzado el 25 de junio de 1998, Microsoft Windows 98. Sustancialmente fue criticado por su lentitud y por su falta de fiabilidad en comparación con Windows 95, pero muchos de sus problemas básicos fueron posteriormente rectificados con el lanzamiento de Windows 98 Second Edition en 1999. El soporte estándar para Windows 98 terminó el 30 de junio de 2002, y el soporte ampliado para Windows 98 terminó el 11 de julio de 2006.
Como parte de su línea «profesional», Microsoft lanzó Windows 2000 en febrero de 2000. La versión de consumidor tras Windows 98 fue Windows Me (Windows Millennium Edition). Lanzado en septiembre de 2000, Windows Me implementaba una serie de nuevas tecnologías para Microsoft: en particular fue el «Universal Plug and Play». Durante el 2004 parte del código fuente de Windows 2000 se filtró en internet, esto era malo para Microsoft porque el mismo núcleo utilizado en Windows 2000 se utilizó en Windows XP.
En octubre de 2001, Microsoft lanzó Windows XP, una versión que se construyó en el kernel de Windows NT que también conserva la usabilidad orientada al consumidor de Windows 95 y sus sucesores. En dos ediciones distintas, «Home» y «Professional», el primero carece por mucho de la seguridad y características de red de la edición Professional. Además, la primera edición «Media Center» fue lanzada en 2002, con énfasis en el apoyo a la funcionalidad de DVD y TV, incluyendo grabación de TV y un control remoto. El soporte estándar para Windows XP terminó el 14 de abril de 2009. El soporte extendido continuará hasta el 8 de abril de 2014.
En abril de 2003, Windows Server 2003 se introdujo, reemplazando a la línea de productos de servidor de Windows 2000 con un número de nuevas características y un fuerte enfoque en la seguridad; lo cual fue seguido en diciembre de 2005 por Windows Server 2003 R2.
El 30 de enero de 2007, Microsoft lanzó Windows Vista. Contiene una serie de características nuevas, desde un shell rediseñado y la interfaz de usuario da importantes cambios técnicos, con especial atención a las características de seguridad. Está disponible en varias ediciones diferentes y ha sido objeto de muy severas críticas debido a su patente inestabilidad, sobredemanda de recursos de hardware, alto costo, y muy alta incompatibilidad con sus predecesores, hecho que no ocurría con éstos.
El 22 de octubre de 2009, Microsoft lanzó Windows 7. A diferencia de su predecesor, Windows Vista, que introdujo a un gran número de nuevas características, Windows 7 pretendía ser una actualización incremental, enfocada a la línea de Windows, con el objetivo de ser compatible con aplicaciones y hardware que Windows Vista no era compatible. Windows 7 tiene soporte multi-touch, un Windows shell rediseñado con una nueva barra de tareas, conocido como Superbar, un sistema red llamado HomeGroup, y mejoras en el rendimiento sobre todo en velocidad y en menor consumo de recursos.
El 26 de octubre de 2012, Microsoft lanzó Windows 8, build 9200. Por primera vez desde Windows 95, el botón Inicio ya no está disponible en la barra de tareas, aunque la pantalla de inicio está aún activa haciendo clic en la esquina inferior izquierda de la pantalla y presionando la tecla Inicio en el teclado. Presenta un Explorador de Windows rediseñado, con la famosa interfaz ribbon de Microsoft Office. Según Microsoft han vendido 60 millones de licencias, aunque ha recibido muchas críticas sobre su nueva interfaz por parte de los usuarios. Conserva casi todas las características de Windows 7.
TAREA 37
1.- Realice un cuestionario de 20 preguntas.
En mantenimiento, es el nombre genérico que recibe cada división presente en una sola unidad física de almacenamiento de datos. Toda partición tiene su propio sistema de archivos (formato); generalmente, casi cualquier sistema operativo interpreta, utiliza y manipula cada partición como un disco físico independiente, a pesar de que dichas particiones estén en un solo disco físico.
Introducción
Una partición de un disco duro es una división lógica en una unidad de almacenamiento (por ejemplo un disco duro o unidad flash), en la cual se alojan y organizan los archivos mediante un sistema de archivos. Existen distintos esquemas de particiones para la distribución de particiones en un disco. Los más conocidos y difundidos son MBR (Master Boot Record) y GPT (GUID Partition Table). Las particiones, para poder contener datos tienen que poseer un sistema de archivos. El espacio no asignado en un disco no es una partición, por lo tanto no puede tener un sistema de archivos. Existen múltiples sistemas de archivos con diferentes capacidades: como FAT, NTFS, FAT32, EXT2, EXT3, EXT4, Btrfs, FedFS, ReiserFS, Reiser4 u otros.
Los discos ópticos (DVD, CD) utilizan otro tipo de particiones llamada UDF (Universal Disc Format) Formato de Disco Universal por sus siglas en inglés, el cual permite agregar archivos y carpetas y es por ello que es usado por la mayoría de software de escritura por paquetes, conocidos como programas de grabación de unidades ópticas. Este sistema de archivos es obligatorio en las unidades de (DVD) pero también se admiten en algunos (CD)
En Windows, las particiones reconocidas son identificadas con una letra seguida por un signo de doble punto (p.ej. C:). Prácticamente todo tipo de discos magnéticos y memorias flash (como pendrives) pueden particionarse. En sistemas UNIX y UNIX-like las particiones de datos son montadas en un mismo y único árbol jerárquico, en el cual se montan a través de una carpeta, proceso que sólo el superusuario (root) puede realizar.
GNU / LINUX.
GNU / Linux es uno de los términos empleados para referirse a la combinación del núcleo o kernel libre similar a Unix denominado Linux con el sistema GNU. Su desarrollo es uno de los ejemplos más prominentes de software libre; todo su código fuente puede ser utilizado, modificado y redistribuido libremente por cualquiera bajo los términos de la GPL (Licencia Pública General de GNU, en inglés: General Public License) y otra serie de licencias libres.
A pesar de que Linux es, en sentido estricto, el sistema operativo, parte fundamental de la interacción entre el núcleo y el usuario (o los programas de aplicación) se maneja usualmente con las herramientas del proyecto GNU y con entornos de escritorio basados en GNOME, que también forma parte del proyecto GNU aunque tuvo un origen independiente. Sin embargo, una parte significativa de la comunidad, así como muchos medios generales y especializados, prefieren utilizar el término Linux para referirse a la unión de ambos proyectos. Para más información consulte la sección "Denominación GNU/Linux" o el artículo "Controversia por la denominación GNU/Linux".
A las variantes de esta unión de programas y tecnologías, a las que se les adicionan diversos programas de aplicación de propósitos específicos o generales se las denomina distribuciones. Su objetivo consiste en ofrecer ediciones que cumplan con las necesidades de un determinado grupo de usuarios. Algunas de ellas son especialmente conocidas por su uso en servidores y supercomputadoras. donde tiene la cuota más importante del mercado. Según un informe de IDC, GNU/Linux es utilizado por el 78% de los principales 500 servidores del mundo, otro informe le da una cuota de mercado de 89% en los 500 mayores supercomputadores. Con menor cuota de mercado el sistema GNU/Linux también es usado en el segmento de las computadoras de escritorio, portátiles, computadoras de bolsillo, teléfonos móviles, sistemas embebidos, videoconsolas y otros dispositivos.
Etimología
El nombre GNU, GNU's Not Unix (GNU no es Unix), viene de las herramientas básicas de sistema operativo creadas por el proyecto GNU, iniciado por Richard Stallman en 1983 y mantenido por la FSF. El nombre Linux viene del núcleo Linux, inicialmente escrito por Linus Torvalds en 1991.
La contribución de GNU es la razón por la que existe controversia a la hora de utilizar Linux o GNU/Linux para referirse al sistema operativo formado por las herramientas de GNU y el núcleo Linux en su conjunto.
Richard Matthew Stallman.
Fundador del Movimiento del software libre, de la FSF y del Proyecto GNU.
Linus Torvalds.
Creador del núcleo Linux.
El proyecto GNU, que se inició en 1983 por Richard Stallman; tiene como objetivo el desarrollo de un sistema operativo Unix completo y compuesto enteramente de software libre. La historia del núcleo Linux está fuertemente vinculada a la del proyecto GNU.
En 1991 Linus Torvalds empezó a trabajar en un reemplazo no comercial para MINIX que más adelante acabaría siendo Linux.
Cuando Torvalds liberó la primera versión de Linux, el proyecto GNU ya había producido varias de las herramientas fundamentales para el manejo del sistema operativo, incluyendo un intérprete de comandos, una biblioteca C y un compilador, pero como el proyecto contaba con una infraestructura para crear su propio núcleo (o kernel), el llamado Hurd, y este aún no era lo suficiente maduro para usarse, comenzaron a usar a Linux a modo de continuar desarrollando el proyecto GNU, siguiendo la tradicional filosofía de mantener cooperatividad entre desarrolladores. El día en que se estime que Hurd es suficiente maduro y estable, será llamado a reemplazar a Linux.
Entonces, el núcleo creado por Linus Torvalds, quien se encontraba por entonces estudiando la carrera de Ingeniería Informática en la Universidad de Helsinki, llenó el "espacio" final que había en el sistema operativo de GNU.
http://www.debian.org/
http://www.ubuntu.com/
TAREA 38
1.- Realice un cuestionario de 20 preguntas.
VIRTUALIZACION.
Una máquina virtual nos permite tener varios ordenadores virtuales ejecutándose sobre el mismo ordenador físico.
En Informática, virtualización es la creación -a través de software- de una versión virtual de algún recurso tecnológico, como puede ser una plataforma de hardware, un sistema operativo, un dispositivo de almacenamiento u otros recursos de red. En los ámbitos de habla inglesa, este término se suele conocer por el numerónimo "v12n".
Dicho de otra manera, se refiere a la abstracción de los recursos de una computadora, llamada Hypervisor o VMM (Virtual Machine Monitor) que crea una capa de abstracción entre el hardware de la máquina física (host) y el sistema operativo de la máquina virtual (virtual machine, guest), dividiéndose el recurso en uno o más entornos de ejecución.
Esta capa de software (VMM) maneja, gestiona y arbitra los cuatro recursos principales de una computadora (CPU, Memoria, Almacenamiento y Conexiones de Red) y así podrá repartir dinámicamente dichos recursos entre todas las máquinas virtuales definidas en el computador central. Esto hace que se puedan tener varios ordenadores virtuales ejecutándose en el mismo ordenador físico.
Tal término es antiguo; se viene usando desde 1960, y ha sido aplicado a diferentes aspectos y ámbitos de la informática, desde sistemas computacionales completos, hasta capacidades o componentes individuales.
La virtualización se encarga de crear una interfaz externa que encapsula una implementación subyacente mediante la combinación de recursos en localizaciones físicas diferentes, o por medio de la simplificación del sistema de control. Un avanzado desarrollo de nuevas plataformas y tecnologías de virtualización ha hecho que en los últimos años se haya vuelto a prestar atención a este concepto.
La máquina virtual en general simula una plataforma de hardware autónoma incluyendo un sistema operativo completo que se ejecuta como si estuviera instalado. Típicamente varias máquinas virtuales operan en un computador central. Para que el sistema operativo "guest" funcione, la simulación debe ser lo suficientemente grande (siempre dependiendo del tipo de virtualización).
VirtualBox
Existen diferentes formas de virtualización: es posible virtualizar el hardware de servidor, el software de servidor, virtualizar sesiones de usuario, virtualizar aplicaciones y también se pueden crear máquinas virtuales en una computadora de escritorio.4
Entre los principales proveedores de software que han desarrollado tecnologías de virtualización integrales (que abarcan todas las instancias: servidor, aplicaciones, escritorio) se encuentran, por ejemplo VMware y Microsoft. Estas compañías han diseñado soluciones específicas para virtualización, como VMware Server y Windows Server 2008 Hyper-V para la virtualización de servidores. Si bien la virtualización no es un invento reciente, con la consolidación del modelo de la Computación en la nube, la virtualización ha pasado a ser uno de los componentes fundamentales, especialmente en lo que se denomina infraestructura de nube privada.
https://www.virtualbox.org/
http://www.vmware.com/
TAREA 39
1.- Realice un cuestionario de 20 preguntas.
En informática los antivirus son programas cuyo objetivo es detectar y/o eliminar virus informáticos. Nacieron durante la década de 1980.
Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e Internet, ha hecho que los antivirus hayan evolucionado hacia programas más avanzados que no sólo buscan detectar virus informáticos, sino bloquearlos, desinfectarlos y prevenir una infección de los mismos, y actualmente ya son capaces de reconocer otros tipos de malware, como spyware, rootkits, etc.
Métodos de contagio
Existen dos grandes grupos de propagación: los virus cuya instalación el usuario en un momento dado ejecuta o acepta de forma inadvertida, o los gusanos, con los que el programa malicioso actúa replicándose a través de las redes.
En cualquiera de los dos casos, el sistema operativo infectado comienza a sufrir una serie de comportamientos anómalos o no previstos. Dichos comportamientos son los que dan la traza del problema y tienen que permitir la recuperación del mismo.
Dentro de las contaminaciones más frecuentes por interacción del usuario están las siguientes:
Mensajes que ejecutan automáticamente programas (como el programa de correo que abre directamente un archivo adjunto).
Ingeniería social, mensajes como: «Ejecute este programa y gane un premio».
Entrada de información en discos de otros usuarios infectados.
Instalación de software que pueda contener uno o varios programas maliciosos.
Unidades extraíbles de almacenamiento (USB).
Seguridad y métodos de protección
Los métodos para contener o reducir los riesgos asociados a los virus pueden ser los denominados activos o pasivos.
Tipos de vacunas
Sólo detección: Son vacunas que sólo actualizan archivos infectados sin embargo no pueden eliminarlos o desinfectarlos.
Detección y desinfección: son vacunas que detectan archivos infectados y que pueden desinfectarlos.
Detección y aborto de la acción: son vacunas que detectan archivos infectados y detienen las acciones que causa el virus.
Comparación por firmas: son vacunas que comparan las firmas de archivos sospechosos para saber si están infectados.
Comparación de firmas de archivo: son vacunas que comparan las firmas de los atributos guardados en tu equipo.
Por métodos heurísticos: son vacunas que usan métodos heurísticos para comparar archivos.
Invocado por el usuario: son vacunas que se activan instantáneamente con el usuario.
Invocado por la actividad del sistema: son vacunas que se activan instantáneamente por la actividad del sistema operativo.
Copias de seguridad (pasivo)
Mantener una política de copias de seguridad garantiza la recuperación de los datos y la respuesta cuando nada de lo anterior ha funcionado.
Asimismo las empresas deberían disponer de un plan y detalle de todo el software instalado para tener un plan de contingencia en caso de problemas.
Planificación
La planificación consiste en tener preparado un plan de contingencia en caso de que una emergencia de virus se produzca, así como disponer al personal de la formación adecuada para reducir al máximo las acciones que puedan presentar cualquier tipo de riesgo. Cada antivirus puede planear la defensa de una manera, es decir, un antivirus puede hacer un escaneado completo, rápido o de vulnerabilidad según elija el usuario.
Consideraciones de software
El software es otro de los elementos clave en la parte de planificación. Se debería tener en cuenta la siguiente lista de comprobaciones para tu seguridad:
Tener el software imprescindible para el funcionamiento de la actividad, nunca menos pero tampoco más. Tener controlado al personal en cuanto a la instalación de software es una medida que va implícita. Asimismo tener controlado el software asegura la calidad de la procedencia del mismo (no debería permitirse software pirata o sin garantías). En todo caso un inventario de software proporciona un método correcto de asegurar la reinstalación en caso de desastre.
Disponer del software de seguridad adecuado. Cada actividad, forma de trabajo y métodos de conexión a Internet requieren una medida diferente de aproximación al problema. En general, las soluciones domésticas, donde únicamente hay un equipo expuesto, no son las mismas que las soluciones empresariales.
Métodos de instalación rápidos. Para permitir la reinstalación rápida en caso de contingencia.
Asegurar licencias. Determinados software imponen métodos de instalación de una vez, que dificultan la reinstalación rápida de la red. Dichos programas no siempre tienen alternativas pero ha de buscarse con el fabricante métodos rápidos de instalación.
Buscar alternativas más seguras. Existe software que es famoso por la cantidad de agujeros de seguridad que introduce. Es imprescindible conocer si se puede encontrar una alternativa que proporcione iguales funcionalidades pero permitiendo una seguridad extra.
Consideraciones de la red
Disponer de una visión clara del funcionamiento de la red permite poner puntos de verificación filtrada y detección ahí donde la incidencia es más claramente identificable. Sin perder de vista otros puntos de acción es conveniente:
Mantener al máximo el número de recursos de red en modo de sólo lectura. De esta forma se impide que computadoras infectadas los propaguen.
Centralizar los datos. De forma que detectores de virus en modo batch puedan trabajar durante la noche.
Realizar filtrados de firewall de red. Eliminar los programas que comparten datos, como pueden ser los P2P; Mantener esta política de forma rigurosa, y con el consentimiento de la gerencia.
Reducir los permisos de los usuarios al mínimo, de modo que sólo permitan el trabajo diario.
Controlar y monitorizar el acceso a Internet. Para poder detectar en fases de recuperación cómo se ha introducido el virus, y así determinar los pasos a seguir.
Formación: Del usuario
Esta es la primera barrera de protección de la red.
Antivirus
Es conveniente disponer de una licencia activa de antivirus. Dicha licencia se empleará para la generación de discos de recuperación y emergencia. Sin embargo no se recomienda en una red el uso continuo de antivirus.
El motivo radica en la cantidad de recursos que dichos programas obtienen del sistema, reduciendo el valor de las inversiones en hardware realizadas.
Aunque si los recursos son suficientes, este extra de seguridad puede ser muy útil.
Sin embargo los filtros de correos con detectores de virus son imprescindibles, ya que de esta forma se asegurará una reducción importante de elecciones de usuarios no entrenados que pueden poner en riesgo la red.
Los virus más comunes son los troyanos y gusanos, los cuales ocultan tu información, creando Accesos Directos.
Firewalls
Filtrar contenidos y puntos de acceso. Eliminar programas que no estén relacionados con la actividad. Tener monitorizado los accesos de los usuarios a la red, permite asimismo reducir la instalación de software que no es necesario o que puede generar riesgo para la continuidad del negocio. Su significado es barrera de fuego y no permite que otra persona no autorizada tenga acceso desde otro equipo al tuyo.
Reemplazo de software
Los puntos de entrada en la red la mayoría de las veces son el correo, las páginas WEB, y la entrada de ficheros desde discos, o de computadoras que no están en la empresa (portátiles…)
Muchas de estas computadoras emplean programas que pueden ser reemplazados por alternativas más seguras.
Es conveniente llevar un seguimiento de cómo distribuyen bancos, y externos el software, valorar su utilidad.
Centralización y backup
La centralización de recursos y garantizar el backup de los datos es otra de las pautas fundamentales en la política de seguridad recomendada.
La generación de inventarios de software, centralización del mismo y la capacidad de generar instalaciones rápidas proporcionan métodos adicionales de seguridad.
Es importante tener localizado donde tenemos localizada la información en la empresa. De esta forma podemos realizar las copias de seguridad de forma adecuada.
Control o separación de la informática móvil, dado que esta está más expuesta a las contingencias de virus.
Empleo de sistemas operativos más seguros
Para servir ficheros no es conveniente disponer de los mismos sistemas operativos que se emplean dentro de las estaciones de trabajo, ya que toda la red en este caso está expuesta a los mismos retos. Una forma de prevenir problemas es disponer de sistemas operativos con arquitecturas diferentes, que permitan garantizar la continuidad de negocio.
Acerca de la seguridad
Existen ideas instaladas por parte de las empresas de antivirus parte en la cultura popular que no ayudan a mantener la seguridad de los sistemas de información.
Mi sistema no es importante para un cracker. Este tema se basa en la idea de que no introducir passwords seguras en una empresa no entraña riesgos pues ¿Quién va a querer obtener información mía? Sin embargo dado que los métodos de contagio se realizan por medio de programas automáticos, desde unas máquinas a otras, estos no distinguen buenos de malos, interesantes de no interesantes… Por tanto abrir sistemas y dejarlos sin claves es facilitar la vida a los virus.
Estoy protegido pues no abro archivos que no conozco. Esto es falso, pues existen múltiples formas de contagio, además los programas realizan acciones sin la supervisión del usuario poniendo en riesgo los sistemas.
Como tengo antivirus estoy protegido. Únicamente estoy protegido mientras el antivirus sepa a lo que se enfrenta y como combatirlo. En general los programas antivirus no son capaces de detectar todas las posibles formas de contagio existentes, ni las nuevas que pudieran aparecer conforme las computadoras aumenten las capacidades de comunicación.
Como dispongo de un firewall no me contagio. Esto únicamente proporciona una limitada capacidad de respuesta. Las formas de infectarse en una red son múltiples. Unas provienen directamente de accesos a mi sistema (de lo que protege un firewall) y otras de conexiones que realizó (de las que no me protege). Emplear usuarios con altos privilegios para realizar conexiones tampoco ayuda.
Tengo un servidor web cuyo sistema operativo es un UNIX actualizado a la fecha. Puede que este protegido contra ataques directamente hacia el núcleo, pero si alguna de las aplicaciones web (PHP, Perl, Cpanel, etc.) está desactualizada, un ataque sobre algún script de dicha aplicación puede permitir que el atacante abra una shell y por ende ejecutar comandos en el UNIX.
SISTEMAS OPERATIVOS ATACADOS.
Las plataformas más atacadas por virus informáticos son la línea de sistemas operativos Windows de Microsoft. Respecto a los sistemas derivados de Unix como GNU/Linux, BSD, Solaris, Mac OS X, estos han corrido con mayor suerte debido en parte al sistema de permisos. No obstante en las plataformas derivadas de Unix han existido algunos intentos que más que presentarse como amenazas reales no han logrado el grado de daño que causa un virus en plataformas Windows.
Archivo de prueba EICAR
El archivo de prueba consiste en copiar la siguiente cadena de caracteres en el bloc de notas y guardarlo en un archivo con la extensión .com:
X5O!P%@AP[4PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Un antivirus con protección en tiempo real debería detectarlo inmediatamente. Un escaneo en busca de virus también debería detectarlo, incluso si está dentro de un archivo comprimido sin contraseña.
Para que la prueba funcione, los programadores de antivirus deben establecer la cadena de EICAR como un virus verificado como cualquier otra firma. Un escaneo de virus, al detectar el archivo, responderá exactamente de la misma manera que si se encontrara un código realmente perjudicial. Su uso puede ser más versátil que la detección directa: un archivo que contiene la cadena de prueba EICAR puede ser comprimido o archivado y, a continuación, el software antivirus se puede ejecutar para ver si se puede detectar la cadena de prueba en el archivo comprimido.
TAREA 40
1.- Realice un cuestionario de 20 preguntas.
RED DE AREA DE ALMACENAMIENTO SAN
Una red de área de almacenamiento, en inglés SAN (Storage Area Network), es una red de almacenamiento integral. Se trata de una arquitectura completa que agrupa los siguientes elementos:
Una red de alta velocidad de canal de fibra o iSCSI.
Un equipo de interconexión dedicado (conmutadores, puentes, etc).
Elementos de almacenamiento de red (discos duros).
Una SAN es una red dedicada al almacenamiento que está conectada a las redes de comunicación de una compañía. Además de contar con interfaces de red tradicionales, los equipos con acceso a la SAN tienen una interfaz de red específica que se conecta a la SAN.
El rendimiento de la SAN está directamente relacionado con el tipo de red que se utiliza. En el caso de una red de canal de fibra, el ancho de banda es de aproximadamente 100 megabytes/segundo (1.000 megabits/segundo) y se puede extender aumentando la cantidad de conexiones de acceso.
La capacidad de una SAN se puede extender de manera casi ilimitada y puede alcanzar cientos y hasta miles de terabytes.
Una SAN permite compartir datos entre varios equipos de la red sin afectar el rendimiento porque el tráfico de SAN está totalmente separado del tráfico de usuario. Son los servidores de aplicaciones que funcionan como una interfaz entre la red de datos (generalmente un canal de fibra) y la red de usuario (por lo general Ethernet).
Por otra parte, una SAN es mucho más costosa que una NAS ya que la primera es una arquitectura completa que utiliza una tecnología que todavía es muy cara. Normalmente, cuando una compañía estima el TCO (Coste total de propiedad) con respecto al coste por byte, el coste se puede justificar con más facilidad.
Además es una red concebida para conectar servidores, matrices (arrays) de discos y librerías de soporte. Principalmente, está basada en tecnología fibre channel y más recientemente en iSCSI. Su función es la de conectar de manera rápida, segura y fiable los distintos elementos que la conforman.
Definición de SAN
Una red SAN se distingue de otros modos de almacenamiento en red por el modo de acceso a bajo nivel. El tipo de tráfico en una SAN es muy similar al de los discos duros como ATA, SATA y SCSI. En otros métodos de almacenamiento, (como SMB o NFS), el servidor solicita un determinado fichero, p.ej."/home/ing.ernesto.pineda.blogspot.com". En una SAN el servidor solicita "el bloque 6000 del disco 4". La mayoría de las SAN actuales usa el protocolo SCSI para acceder a los datos de la SAN, aunque no usen interfaces físicas SCSI. Este tipo de redes de datos se han utilizado y se utilizan tradicionalmente en grandes main frames como en IBM, SUN o HP. Aunque recientemente con la incorporación de Microsoft se ha empezado a utilizar en máquinas con sistemas operativos Microsoft.
Una SAN es una red de almacenamiento dedicada que proporciona acceso de nivel de bloque a LUNs. Un LUN, o número de unidad lógica, es un disco virtual proporcionado por la SAN. El administrador del sistema tiene el mismo acceso y los derechos a la LUN como si fuera un disco directamente conectado a la misma. El administrador puede particionar y formatear el disco en cualquier medio que él elija.
Dos protocolos de red utilizados en una SAN son Fibre Channel e iSCSI. Una red de canal de fibra es muy rápida y no está agobiada por el tráfico de la red LAN de la empresa.
Sin embargo, es muy cara. Las tarjetas de canal de fibra óptica cuestan alrededor de $ 1000.00 USD cada una. También requieren conmutadores especiales de canal de fibra. iSCSI es una nueva tecnología que envía comandos SCSI sobre una red TCP / IP. Este método no es tan rápido como una red Fibre Channel, pero ahorra costes, ya que utiliza un hardware de red menos costoso.
A partir de desastres como lo fue el "martes negro" en el año 2001 la gente de TI, han tomado acciones al respecto, con servicios de cómo recuperarse ante un desastre, cómo recuperar miles de datos y lograr la continuidad del negocio, una de las opciones es contar con la Red de área de almacenamiento.
Sin embargo las compañías se pueden enfrentar a cientos de ataques, por lo que es necesario contar con un plan en caso de contingencia; es de vital importancia que el sitio dónde se encuentre la Red de almacenamiento, se encuentre en un área geográfica distinta a dónde se ubican los servidores que contienen la información crítica; además se trata de un modelo centralizado fácil de administrar, puede tener un bajo costo de expansión y administración, lo que la hace una red fácilmente escalable; fiabilidad, debido a que se hace más sencillo aplicar ciertas políticas para proteger a la red.
Antecedentes
La mayoría de las SAN usa el protocolo SCSI para la comunicación entre los servidores y los dispositivos de almacenamiento, aunque no se haga uso de la interfaz física de bajo nivel. En su lugar se emplea una capa de mapeo, como el estándar FCP.
Sin embargo, la poca flexibilidad que este provee, así como la distancia que puede existir entre los servidores y los dispositivos de almacenamiento, fueron los detonantes para crear un medio de conexión que permitiera compartir los recursos, y a la vez incrementar las distancias y capacidades de los dispositivos de almacenamiento.
Dada la necesidad de compartir recursos, se hizo un primer esfuerzo con los primeros sistemas que compartían el almacenamiento a dos servidores, como el actual HP MSA500G2, pero la corta distancia y la capacidad máxima de 2 servidores, sugirió la necesidad de otra forma de conexión.
Comparativas
Una SAN se puede considerar una extensión de Direct Attached Storage (DAS). Donde en DAS hay un enlace punto a punto entre el servidor y su almacenamiento, una SAN permite a varios servidores acceder a varios dispositivos de almacenamiento en una red compartida. Tanto en SAN como en DAS, las aplicaciones y programas de usuarios hacen sus peticiones de datos al sistema de ficheros directamente. La diferencia reside en la manera en la que dicho sistema de ficheros obtiene los datos requeridos del almacenamiento. En DAS, el almacenamiento es local al sistema de ficheros, mientras que en SAN, el almacenamiento es remoto. SAN utiliza diferentes protocolos de acceso como Fibre Channel y Gigabit Ethernet. En el lado opuesto se encuentra la tecnología Network-attached storage (NAS), donde las aplicaciones hacen las peticiones de datos a los sistemas de ficheros de manera remota mediante protocolos CIFS y Network File System (NFS).
Qlogic SAN-switch with optical Fibre Channel connectors installed.
Estructura básica de una SAN
Las SAN proveen conectividad de E/S a través de las computadoras host y los dispositivos de almacenamiento combinando los beneficios de tecnologías Fibre Channel y de las arquitecturas de redes brindando así una aproximación más robusta, flexible y sofisticada que supera las limitaciones de DAS empleando la misma interfaz lógica SCSI para acceder al almacenamiento.
Las SAN se componen de tres capas:
Capa Host. Esta capa consiste principalmente en Servidores, dispositivos o componentes (HBA, GBIC, GLM) y software (sistemas operativos).
Capa Fibra. Esta capa la conforman los cables (Fibra óptica) así como los SAN Hubs y los SAN switches como punto central de conexión para la SAN.
Capa Almacenamiento. Esta capa la componen las formaciones de discos (Disk Arrays, Memoria Caché, RAIDs) y cintas empleados para almacenar datos.
La red de almacenamiento puede ser de dos tipos:
Red Fibre Channel. La red Fibre Channel es la red física de dispositivos Fibre Channel que emplea Fibre Channel Switches y Directores y el protocolo Fibre Channel Protocol (FCP) para transporte (SCSI-3 serial sobre Fibre Channel).
Red IP. Emplea la infraestructura del estándar LAN con hubs y/o switches Ethernet interconectados. Una SAN IP emplea iSCSI para transporte (SCSI-3 serial sobre IP)
Fibre Channel
Canal de Fibra (Fibre Channel) es un estándar, que transporta en gigabits, está optimizado para almacenamiento y otras aplicaciones de alta velocidad. Actualmente la velocidad que se maneja es de alrededor de 1 gigabit (200 MBps Full-Dúplex). Fibre Channel soportará velocidades de transferencia Full-Dúplex arriba de los 400 MBps, en un futuro cercano.
Hay 3 topologías basadas en Fibre Channel:
Punto a punto (Point to Point)
Bucle Arbitrado (Arbitrated Loop)
Tejido Conmutado (Switched Fabric)
Fibre Channel Fabric
El Tejido de Canal de Fibra (Fibre Channel Fabric) Fue diseñado como un interfaz genérico entre cada nodo y la interconexión con la capa física de ese nodo. Con la adhesión de esta interfaz, cualquier nodo Canal de Fibra, puede comunicarse sobre el Tejido, sin que sea requerido un conocimiento específico del esquema de interconexión entre los nodos.
Fibre Channel Arbitrated Loop
Esta topología, se refiere a la compartición de arquitecturas, las cuales soportan velocidades full-duplex de 100 MBps o inclusive de hasta 200 MBps. Analógicamente a la topología token ring, múltiples servidores y dispositivos de almacenamiento, pueden agregarse a mismo segmento del bucle. Arriba de 126 dispositivos pueden agregarse a un FC-AL (Fibre Channel Arbitrated Loop). Ya que el bucle es de transporte compartido, los dispositivos deben ser arbitrados, esto es, deben ser controlados, para el acceso al bucle de transporte, antes de enviar datos.
Servicios Brindados por una Fábrica.
Cuando un dispositivo se une a una Fábrica su información es registrada en una base de datos, la cual es usada para su acceso a otros dispositivos de la Fábrica, así mismo mantiene un registro de los cambios físicos de la topología. A continuación se presentan los servicios básicos dentro de una Fábrica.
Login Service: Este servicio se utiliza para cada uno de los nodos cuando estos realizan una sesión a la fabrica (FLOGI). Para cada una de las comunicaciones establecidas entre nodos y la fabrica se envía un identificador de origen (S_ID) y del servicio de conexión se regresa un D_ID con el dominio y la información del puerto donde se establece la conexión.
Name services: Toda la información de los equipos "logueados" en la fábrica son registrados en un servidor de nombre que realiza PLOGIN. Esto con la finalidad de tener todas las entradas registradas en una base de datos de los residentes locales.
Fabric Controller: Es el encargado de proporcionar todas las notificaciones de cambio de estado a todos los nodos que se encuentren dados de alta dentro de la Fabrica utilizando RSCNs (Registro notificación de estado de cambio)
Management Server: El papel de este servicio es proporcionar un punto de acceso único para los tres servicios anteriores, basado en "contenedores" llamados zonas. Una zona es una colección de nodos que define a residir en un espacio cerrado.
La arquitecturas SAN (Storage Area Network) implica disponer de una infraestructura de red de alta velocidad dedicada sólo para Almacenamiento y Backup, optimizada para mover grandes cantidades de datos, y consistente en múltiples recursos de almacenamiento geográficamente distribuidos y otros elementos (cables, switches de fibra FC, routers, adaptadores HBA, etc), completamente accesibles desde la red corporativa.
Las redes de almacenamiento SAN geográficamente distribuidas, han facilitado enormemente la creación de Centros de Procesos de Datos (CDP) geográficamente distribuidos, Clusters Geográficos o GeoClusters, creación de centros de respaldo (BDC), etc.La utilización de una arquitectura de almacenamiento SAN implica la existencia y mantenimiento de al menos dos redes: la red LAN y la red SAN. En la práctica, las redes de almacenamiento SAN suelen basarse en la tecnología FC (Fibre Channel), aunque también pueden basarse en Gigabit Ethernet o GigaEthernet .
Cuando se habla de redes conmutadas en Fiber Channel, suele utilizarse el término Switch Fabric. En ambos casos, suele emplearse sobre redes conmutadas, utilizando múltiples switches y múltiples puertos (tanto en los clientes como en los servidores de almacenamiento) para ofrecer Alta Disponibilidad basada en la existencia de múltiples caminos, apoyándose para ello en soluciones y protocolos como MPIO (Multipath Input Output) y SecurePath (solución propietaria de HP), y gracias también a la configuraciones de LUN Masking y Zoning.
Evidentemente, además de la Alta Disponibilidad relativa a la redundancia de caminos, también se utilizan soluciones de Alta Disponibilidad del almacenamiento (Espejo o RAID1, RAID5, RAID10, etc.).
La arquitectura de almacenamiento SAN, lleva experimentando un gran auge en los últimos años, tanto por los beneficios propios de la utilización de redes de almacenamiento SAN, como por la propia evolución de la tecnología, como la incorporación de soluciones de almacenamiento SAN basadas en iSCSI, incluyen soluciones SAN iSCSI por software como Windows Storage Server 2008 y Microsoft iSCSI Target.
Los beneficios o ventajas de las redes de almacenamiento SAN, son evidentes: mayor velocidad de acceso a datos, menor tiempo de recuperación ante desastres (los tiempos de Backup y Restore se minimizan, y se añaden los clonados y Snapshots de LUN), escalabilidad (siempre es posible añadir más bandejas de discos, o incluso, más Cabinas de Discos y Switches), y sobre todo, una gestión centralizada, compartida y concurrente del almacenamiento (indiferentemente de la plataforma y sistema operativo de los Host).
Por ejemplo, si necesitamos un disco de 20GB para un Servidor o Host, ¿para qué voy comprar 2 discos de 320GB y montar un RAID1, si podemos crear una LUN de 20GB? Lo que quiero decir, es que hoy en día, no existen discos de 20GB a la venta (por poner un ejemplo), de tal modo, que la centralización del almacenamiento nos va a permitir optimizar nuestros recursos y minimizar costes (esto último es francamente mentira, pues los costes de infraestructura SAN son bastante altos, pero así al menos se consiguen amortiguar).
Además, existen otros efectos colaterales, como por ejemplo, que la introducción de una infraestructura de almacenamiento SAN en una empresa, liberará de bastante tráfico de red LAN.Por desgracia, las redes de almacenamiento SAN también tienen sus inconvenientes, principalmente su coste (el precio del Gigabyte sale muy caro), y también la existencia de ciertas limitaciones para integrar soluciones y/o dispositivos de diferentes fabricantes. Una de la principales alternativas para la reducción de costes de la redes de almacenamiento SAN es la utilización de soluciones de almacenamiento SAN basadas en iSCSI, que funcionan con tarjetas Ethernet (de las de toda la vida, no hacen falta HBA) y sobre los Switches Ethernet de la LAN. El hecho aquí, es que con las actuales redes Ethernet de 10Gbps, el cuello de botella se transfiere de la red al acceso a disco.
ALMACENAMIENTO CONECTADO A LA RED (NAS).
NAS (del inglés Network Attached Storage) es el nombre dado a una tecnología de almacenamiento dedicada a compartir la capacidad de almacenamiento de un computador (Servidor) con computadoras personales o servidores clientes a través de una red (normalmente TCP/IP), haciendo uso de un Sistema Operativo optimizado para dar acceso con los protocolos CIFS, NFS, FTP o TFTP.
Generalmente, los sistemas NAS son dispositivos de almacenamiento específicos a los que se accede desde los equipos a través de protocolos de red (normalmente TCP/IP). También se podría considerar un sistema NAS a un servidor (Microsoft Windows, Linux, …) que comparte sus unidades por red, pero la definición suele aplicarse a sistemas específicos.
Los protocolos de comunicaciones NAS están basados en archivos por lo que el cliente solicita el archivo completo al servidor y lo maneja localmente, están por ello orientados a información almacenada en archivos de pequeño tamaño y gran cantidad. Los protocolos usados son protocolos de compartición de archivos como NFS o Microsoft Common Internet File System (CIFS).
Muchos sistemas NAS cuentan con uno o más dispositivos de almacenamiento para incrementar su capacidad total. Frecuentemente, estos dispositivos están dispuestos en RAID (Redundant Arrays of Independent Disks) o contenedores de almacenamiento redundante.
NAS head
Un dispositivo hardware simple, llamado «NAS box» o «NAS head», actúa como interfaz entre el NAS y los clientes. Los clientes siempre se conectan al NAS head (más que a los dispositivos individuales de almacenamiento) a través de una conexión Ethernet. NAS aparece en la LAN como un simple nodo que es la Dirección IP del dispositivo NAS head.
Estos dispositivos NAS no requieren pantalla, ratón o teclado, sino que poseen interfaz Web.
Comparativas
El opuesto a NAS es la conexión DAS (Direct Attached Storage) mediante conexiones SCSI o la conexión SAN (Storage Area Network) por fibra óptica, en ambos casos con tarjetas de conexión específicas de conexión al almacenamiento. Estas conexiones directas (DAS) son por lo habitual dedicadas.
En la tecnología NAS, las aplicaciones y programas de usuario hacen las peticiones de datos a los sistemas de archivos de manera remota mediante protocolos CIFS y NFS, y el almacenamiento es local al sistema de archivos. Sin embargo, DAS y SAN realizan las peticiones de datos directamente al sistema de archivos.
Las ventajas del NAS sobre la conexión directa (DAS) son la capacidad de compartir las unidades, un menor coste, la utilización de la misma infraestructura de red y una gestión más sencilla. Por el contrario, NAS tiene un menor rendimiento y confiabilidad por el uso compartido de las comunicaciones.
A pesar de las diferencias, NAS y SAN no son excluyentes y pueden combinarse en una misma solución: Híbrido SAN-NAS
Usos de NAS
NAS es muy útil para proporcionar el almacenamiento centralizado a computadoras clientes en entornos con grandes cantidades de datos. NAS puede habilitar sistemas fácilmente y con bajo costo con balance de carga, tolerancia a fallos y servidor web para proveer servicios de almacenamiento. El crecimiento del mercado potencial para NAS es el mercado de consumo donde existen grandes cantidades de datos multimedia.
Página anterior | Volver al principio del trabajo | Página siguiente |