Curso de Redes para Hackers – La Capa de Red

Bienvenidos a este capítulo de este Curso de redes para hackers – La Capa de Red. Comparte este articulo y síguenos para recibir más capítulos, guías y cursos gratis.

Esta guía es parte de un curso mucho más grande en donde te enseñamos a convertirte en hacker de 0 a 100. Desde los conocimientos más básicos hasta conseguir empleo.

En esta guía veremos desde cero un tema tan amplio como son las redes informáticas y lo haremos desde el punto de vista del hacking y la ciberseguridad.

Para saber más comente a continuación, respondemos todos y cada uno de los comentarios.

Índice

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

El Modelo de Referencia OSI

OSI (Open System Interconection – Interconexión de Sistemas Abiertos) y es un modelo de referencia que describe cómo la información de una aplicación de software en una computadora se mueve a través de un medio físico a la aplicación de software en otra computadora.

OSI consta de siete capas y cada capa realiza una función de red particular. El modelo OSI fue desarrollado por la Organización Internacional de Normalización (ISO) en 1984 y ahora se considera un modelo arquitectónico para las comunicaciones entre computadoras. El modelo OSI divide toda la tarea en siete tareas más pequeñas y manejables. A cada capa se le asigna una tarea específica.

Cada capa es autónoma, por lo que la tarea asignada a cada capa se puede realizar de forma independiente. Lo utilizamos para explicar y entender una comunicación entre un host y su destino en una red LAN, MAN o WAN. Hay dos tipos básicos de modelos para describir las funciones que deben estar presentes para que las comunicaciones de red sean exitosas: modelos de protocolo y modelos de referencia.

Este modelo de vinculación de sistemas presenta diferentes niveles que se encuentran relacionados entre sí, se estandariza la comunicación a fin de poder lograr, a través de diferentes niveles, el intercambio de información.

El modelo OSI en redes es muy útil cuando se trata de solucionar problemas relacionados con las redes .

Por ejemplo, si alguien no puede conectar su computadora a Internet o un sitio web se vuelve inaccesible para cientos de usuarios, el modelo OSI ayuda a encontrar el problema y solucionarlo. Los profesionales de redes suelen llevar los problemas a una capa específica para solucionarlos fácilmente.

Lista de protocolos y dispositivos del modelo OSI en cada capa

Cada uno de sus niveles tiene una función específica, solucionando el problema de la incompatibilidad que existía en diferentes redes. Las capas: son niveles dentro de una estructura de red, y cada uno de los niveles tiene una función que debe cumplirse de manera concatenada.

Este modelo de comunicación permitía lograr que toda forma de enviar información a través de un dispositivo hacia Internet y viceversa tuviese un camino bien estructurado y fácil de comprender, a fin de que en cuestión de segundos lograra el resultado esperado. Ese camino se reflejaba en una estructura de 7 tipos de capas, teniendo en cuenta que se comienza desde la séptima hasta la primera.

A continuación se muestran los protocolos y dispositivos del modelo OSI compatibles en diferentes capas:

A continuación se muestran los protocolos y dispositivos del modelo OSI compatibles en diferentes capas:

Capa – Función	Protocolos	Dispositivo	Unidad de datos
7. Aplicación: Interacción humano-computadora a través de aplicaciones que acceden a servicios de red.	SMTP, HTTP, FTP, POP3, SNMP, UPnP, DHCP, DNS, HTTPS, NFS, NPT, Telnet, SSH, TFTP, IMAP, etc.	Gateway (puerta de enlace)	Mensaje/datos
6. Presentación: Formato de datos y cifrado/descifrado	MPEG, HTML, DOC, JPEG, MP3, MP4, ASCH, SSL, TLS, AFP, etc.	Redireccionador de puerta de enlace	Mensaje/datos
5. Sesión: Comunicación entre hosts.	NetBIOS, SAP, RPC, SMB, Socks, SIP, RPT, etc.	Gateway (puerta de enlace)	Mensaje/datos
4. Transporte: Transmisión de datos.	TCP, UDP, SCTP, SSL, TLS	Cortafuegos	TCP: Segmentos – UDP: datagrama
3. Red: Determinación de ruta y direccionamiento lógico.	(IPV) y (IPS). ARP, IP, NAT, ICMP, IGMP, IPsec, OSPF, etc.	Enrutador	Paquete, datagrama
2. Enlace de datos: Direccionamiento físico.	ARP, Ethernet, L2PT, LLDP, MAC, LLC, ATM, HDP, NDP, PPP, PPTP, VTP, VLAN, etc.	Conmutador, puente, punto de acceso	Frame, celda
1. Físico: Transmisión de señales binarias a través de medios físicos.	Ethernet, IEEE802.11, ISDN, USB, Bluetooth, RS-232, SDH, DSL, etc.	Concentrador, NIC, cable, inalámbrico, modem	bit, frame

3 Capa de red

La capa de red es responsable de facilitar la transferencia de datos entre dos redes diferentes. Si los dos dispositivos que se comunican están en la misma red, entonces la capa de red es innecesaria. La capa de red divide segmentos de la capa de transporte en unidades más pequeñas, llamadas paquetes, en el dispositivo del remitente y vuelve a ensamblar estos paquetes en el dispositivo receptor. La capa de red también encuentra la mejor ruta física para que los datos lleguen a su destino; esto se conoce como enrutamiento.

Después de recibir los segmentos de la capa de transporte, la capa de red del modelo OSI divide estos segmentos en paquetes. Los segmentos se dividen en el extremo del emisor y luego se vuelven a ensamblar en el extremo del receptor.

La capa de red también encuentra la mejor ruta para transmitir datos entre el remitente y el receptor.

Sin embargo, recuerda que la capa de red funciona solo cuando ambos dispositivos están en redes diferentes. Si están en la misma red, entonces no es necesario.

IP e ICMP son los protocolos principales utilizados en la capa 3.

Es una capa 3 que administra el direccionamiento de dispositivos y rastrea la ubicación de los dispositivos en la red.
Determina la mejor ruta para mover datos desde el origen al destino en función de las condiciones de la red, la prioridad del servicio y otros factores.
La capa de enlace de datos es responsable de enrutar y reenviar los paquetes.
Los enrutadores son dispositivos de capa 3, se especifican en esta capa y se utilizan para proporcionar servicios de enrutamiento dentro de una interconexión de redes.
Los protocolos que se utilizan para enrutar el tráfico de red se conocen como protocolos de capa de red. Algunos ejemplos de protocolos son IP e Ipv6.

Funciones de la capa de red:

Interconexión de redes: La interconexión de redes es la principal responsabilidad de la capa de red. Proporciona una conexión lógica entre diferentes dispositivos.
Direccionamiento: una capa de red agrega la dirección de origen y destino al encabezado de la trama. El direccionamiento se utiliza para identificar el dispositivo en Internet.
Enrutamiento : el enrutamiento es el componente principal de la capa de red y determina la mejor ruta óptima entre las múltiples rutas desde el origen hasta el destino.
Empaquetado: Una capa de red recibe los paquetes de la capa superior y los convierte en paquetes. Este proceso se conoce como empaquetado y se logra mediante el protocolo de Internet (IP).
La dirección IP (Protocolo de Internet) es un identificador único asignado a cada dispositivo informático de una red. La capa de red es responsable de adjuntar la dirección IP de destino y de origen a los datos para transmitirlos a diferentes redes. Utiliza IPv4 e IPv6 para el direccionamiento lógico.

¿Qué funciones desempeña la capa de red?

Tener un direccionamiento correcto es un requisito previo para que dos sistemas diferentes de una misma red puedan comunicarse entre sí e intercambiar datos. La capa de red ofrece diferentes servicios y funciones que pone principalmente a disposición de la capa de transporte (capa 4).

La tarea principal del network layer consiste tanto en conmutar como en establecer e interrumpir conexiones. Las conexiones seguras del sistema están vinculadas entre sí, aunque para ello tengan que ser enrutadas a través de varias redes. En este caso, la capa de red selecciona una ruta y luego proporciona a las capas superiores una conexión transparente entre el sistema de origen y el de destino.

Otras funciones de la capa de red son el control de flujo, la supervisión de la conexión física, el análisis y la corrección de errores. Entre otras cosas, el control de flujo permite almacenar los datos transmitidos en caso de que el flujo de datos sea interrumpido por parte del receptor. Para ello, la capa de red del modelo OSI adapta el tamaño de los paquetes de datos o datagramas a las condiciones de la red correspondiente para permitir una transmisión lo más fluida posible.

La capa de red también se encarga de evitar la congestión en el caso de los servicios orientados a conexión. El network layer puede soportar tanto las redes orientadas como no orientadas a conexión, pero solo puede dar servicio a un tipo a la vez.

¿Qué servicios presta la capa de red?

La capa de red ofrece un gran número de servicios diferentes. Si la comunicación directa entre el emisor y el receptor no es posible, la capa de red del modelo OSI se encarga de reenviar primero los paquetes individuales a los nodos, pero sin llegar a los niveles superiores.

La capa de red proporciona tanto las conexiones como las direcciones de red adecuadas, las cuales son únicas y están estructuradas jerárquicamente. Otros servicios incluyen la transmisión de unidades de datos y la identificación de los puntos de conexión pertinentes entre el emisor y el receptor. A diferencia de la capa de enlace (capa 2), la información de la capa de red puede moverse a través de los límites de la red local.

Protocolos de capa de red

Las tramas Ethernet tienen campos que permiten que las tramas viajen entre un origen y un destino de una misma red. Cuando los dispositivos están en redes diferentes se requiere otro protocolo que permita la comunicación.

Uno de ellos, ampliamente utilizado, se denomina Internet Protocolo o IP. Un protocolo de capa de red debe cumplir dos funciones básicas:

Empaquetado: recibir datos de la capa superior y construir un paquete.
Enrutamiento: enrutar significa recibir paquetes de una red y enviarlos a otras siguiendo ciertas reglas que hagan que el paquete llegue a destino.

En la siguiente imagen se observa el encabezado del paquete o datagrama IP. El header o encabezado tiene un tamaño mínimo de 20 bytes y máximo de 60. Asimismo, el protocolo IP contempla un área para datos de usuario.

Entre ambos el datagrama IP puede tener un tamaño de entre 20 y 65535 bytes. es necesario saber que cada campo cumple su función para que un datagrama viaje de origen a destino. Datagrama IPv4:

Actualmente existen dos versiones del protocolo IP: IPv4 e IPv6.

IPv6 surge por el crecimiento de internet y la necesidad de disponer de más direcciones para asignar dispositivos.

Así como una dirección MAC se compone de 48 bits, una dirección IPv4 utiliza 32 bits lo que determina la cantidad de dispositivos que pueden estar conectados en Internet: 224.

Este número puede parecer muy grande, pero en la actualidad las direcciones IP asignables a dispositivos están prácticamente agotadas. IPv6 utiliza direcciones de 128 bits lo cual soluciona el inconveniente.

El protocolo IP funciona bajo el mecanismo de “mejor esfuerzo”, es decir, no garantiza que los paquetes lleguen a destino, aunque hace su mejor esfuerzo.

Que no garantice que los paquetes lleguen a destino puede hacer pensar que el protocolo es malo, pero en realidad esta función se realiza en la capa superior y además en determinadas situaciones no resulta conveniente.

¿Cuáles son los protocolos de la capa de red?

Son muchos los protocolos que utilizan la capa de red. Entre ellos se encuentran los siguientes:

CLNS (Connectionless-mode Network Service): un protocolo de red usado en redes de telecomunicaciones administradas.
DDP (Datagram Delivery Protocol): un protocolo de transmisión de datos de AppleTalk.
EGP (Exterior Gateway Protocol): un protocolo que comprueba el alcance de las redes de dos sistemas autónomos e independientes.
EIGRP (Enhanced Interior Gateway Routing Protocol): un protocolo que almacena los routers y las rutas que hay entre dos redes.

ICMP (Internet Control Message Protocol): un protocolo para el intercambio de información y mensajes de error en las redes. Pertenece a la IPv4.
IGMP (Internet Group Management Protocol): un protocolo de red para organizar las comunicaciones grupales.
IPsec (Internet Protocol Security): un conjunto de protocolos diseñado para proporcionar una conectividad segura en redes potencialmente inseguras.
IPv4: la versión 4 y antiguo estándar del Internet Protocol (IP).
IPv6: el nuevo estándar de Internet que amplía el número de posibles direcciones al incrementar las direcciones de 32 a 128 bits.
IPX (Internetwork Packet Exchance): el protocolo de red utilizado principalmente para el sistema operativo NetWare.
OSPF (Open Shortest Path First): un protocolo de enrutamiento del IETF para su uso en grandes redes corporativas.
NetBEUI (NetBIOS Extended User Interface): un protocolo de red que ha sido sustituido por TCP/IP.
PIM (Protocol Independent Multicast): un método de enrutamiento dinámico en la comunicación de grupo.
RIP (Routing Information Protocol): un protocolo de enrutamiento para ser empleado en sistemas autónomos.
X.25: una familia de protocolos para Wide Area Networks que también utiliza la capa de red.

Ataques y defensa de la Capa de red

Ataques Comunes

Secuestro de Sesiones: Interceptar una sesión IP activa y tomar el control, lo que permite al atacante hacerse pasar por uno de los participantes.
Ataques DDoS: Sobrecargar una red o un router con una gran cantidad de tráfico para interrumpir el servicio.
IP Spoofing: Un atacante falsifica la dirección IP de origen en un paquete para hacerse pasar por otro dispositivo en la red, lo que puede ser utilizado para eludir medidas de seguridad o para realizar un ataque de denegación de servicio.

Estrategias de Defensa

Listas de Control de Acceso (ACLs): Configurar ACLs para controlar qué direcciones IP pueden acceder a la red y restringir el acceso no autorizado.
Seguridad en BGP y Routing: Implementar medidas de seguridad en los protocolos de enrutamiento, como BGP, para evitar secuestros de rutas y asegurar que el tráfico siga las rutas correctas.
Filtrado de IP y Firewalls: Implementar firewalls que filtren el tráfico basado en direcciones IP, previniendo el IP Spoofing.

Capa de red

La capa de red es la tercera capa del modelo OSI. Maneja las solicitudes de servicio de la capa de transporte y luego reenvía la solicitud de servicio a la capa de enlace de datos. La capa de red traduce las direcciones lógicas en direcciones físicas

Determina la ruta desde el origen hasta el destino y también gestiona los problemas de tráfico como conmutación, enrutamiento y controla la congestión de paquetes de datos. La función principal de la capa de red es mover los paquetes desde el host emisor al host receptor.

Las principales funciones que realiza la capa de red son:

Enrutamiento: cuando un paquete llega al enlace de entrada del enrutador, este lo traslada al enlace de salida del enrutador. Por ejemplo, un paquete de S1 a R1 debe reenviarse al siguiente enrutador en la ruta a S2.
Direccionamiento lógico: la capa de enlace de datos implementa el direccionamiento físico y la capa de red implementa el direccionamiento lógico. El direccionamiento lógico también se utiliza para distinguir entre el sistema de origen y el de destino. La capa de red agrega un encabezado al paquete que incluye las direcciones lógicas tanto del remitente como del receptor.
Interconexión de redes: Esta es la función principal de la capa de red, que proporciona la conexión lógica entre diferentes tipos de redes.
Fragmentación: La fragmentación es un proceso de división de los paquetes en unidades de datos individuales más pequeñas que viajan a través de diferentes redes.

Reenvío y enrutamiento

En la capa de red, se utiliza un enrutador para reenviar los paquetes. Cada enrutador tiene una tabla de reenvío. Un enrutador reenvía un paquete examinando el campo de encabezado de un paquete y luego utilizando el valor del campo de encabezado para indexarlo en la tabla de reenvío.

El valor almacenado en la tabla de reenvío correspondiente al valor del campo de encabezado indica el enlace de interfaz saliente del enrutador al que se reenviará el paquete.

Por ejemplo, el enrutador con un valor de campo de encabezado de 0111 llega a un enrutador y, luego, el enrutador indexa este valor de encabezado en la tabla de reenvío que determina que la interfaz de enlace de salida es 2.

El enrutador reenvía el paquete a la interfaz 2. El algoritmo de enrutamiento determina los valores que se insertan en la tabla de reenvío. El algoritmo de enrutamiento puede ser centralizado o descentralizado.

Servicios proporcionados por la capa de red

Entrega garantizada: esta capa proporciona el servicio que garantiza que el paquete llegará a su destino.
Entrega garantizada con retraso limitado: este servicio garantiza que el paquete se entregará dentro de un límite de retraso de host a host especificado.
Paquetes en orden: este servicio garantiza que los paquetes lleguen al destino en el orden en el que se envían.
Jitter máximo garantizado: este servicio garantiza que el tiempo transcurrido entre dos transmisiones sucesivas en el remitente sea igual al tiempo transcurrido entre su recepción en el destino.
Servicios de seguridad: La capa de red proporciona seguridad mediante el uso de una clave de sesión entre el host de origen y el de destino. La capa de red en el host de origen encripta las cargas útiles de los datagramas que se envían al host de destino. La capa de red en el host de destino desencripta la carga útil. De esta manera, la capa de red mantiene la integridad de los datos y los servicios de autenticación de origen.

Direccionamiento de red

El direccionamiento de red es una de las principales responsabilidades de la capa de red. Las direcciones de red son siempre lógicas, es decir, direcciones basadas en software. Un host también se conoce como sistema final que tiene un enlace a la red. El límite entre el host y el enlace se conoce como interfaz. Por lo tanto, el host solo puede tener una interfaz.

Un enrutador se diferencia del host en que tiene dos o más enlaces que lo conectan. Cuando un enrutador reenvía el datagrama, reenvía el paquete a uno de los enlaces. El límite entre el enrutador y el enlace se conoce como interfaz, y el enrutador puede tener múltiples interfaces, una para cada uno de sus enlaces. Cada interfaz es capaz de enviar y recibir los paquetes IP, por lo que IP requiere que cada interfaz tenga una dirección.

Cada dirección IP tiene una longitud de 32 bits y se representan en forma de “notación decimal con punto”, donde cada byte se escribe en formato decimal y se separan por un punto. Una dirección IP se vería así: 193.32.216.9, donde 193 representa la notación decimal de los primeros 8 bits de una dirección y 32 representa la notación decimal de los segundos 8 bits de una dirección.

Vamos a entenderlo con un ejemplo sencillo.

En la figura anterior, un enrutador tiene tres interfaces etiquetadas como 1, 2 y 3 y cada interfaz del enrutador contiene su propia dirección IP. Cada host contiene su propia interfaz y dirección IP.

Todas las interfaces conectadas a la LAN 1 tienen una dirección IP en el formato 223.1.1.xxx, y las interfaces conectadas a la LAN 2 y LAN 3 tienen una dirección IP en el formato 223.1.2.xxx y 223.1.3.xxx respectivamente. Cada dirección IP consta de dos partes. La primera parte (los primeros tres bytes de la dirección IP) especifica la red y la segunda parte (el último byte de una dirección IP) especifica el host de la red.

Direccionamiento con clases

Una dirección IP tiene una longitud de 32 bits y se divide en subclases:

Clase A
Clase B
Clase C
Clase D
Clase E

Una dirección IP se divide en dos partes:

ID de red: Representa el número de redes.
ID de host: Representa el número de hosts.

En el diagrama anterior, observamos que cada clase tiene un rango específico de direcciones IP. La clase de dirección IP se utiliza para determinar la cantidad de bits utilizados en una clase y la cantidad de redes y hosts disponibles en la clase.

Clase A

En la clase A, se asigna una dirección IP a aquellas redes que contienen una gran cantidad de hosts.

El ID de red tiene una longitud de 8 bits.
El ID del host tiene una longitud de 24 bits.

En la clase A, el primer bit de los bits de orden superior del primer octeto siempre se establece en 0 y los 7 bits restantes determinan el ID de red. Los 24 bits determinan el ID de host en cualquier red.

El número total de redes en la clase A = 2 ⁷ = 128 direcciones de red

El número total de hosts en la clase A = 2 ²⁴ – 2 = 16.777.214 direcciones de host

Clase B

En la clase B, se asigna una dirección IP a aquellas redes que van desde redes de tamaño pequeño a redes de gran tamaño.

El ID de red tiene una longitud de 16 bits.
El ID del host tiene una longitud de 16 bits.

En la clase B, los bits de orden superior del primer octeto siempre se establecen en 10 y los 14 bits restantes determinan el ID de red. Los otros 16 bits determinan el ID de host.

El número total de redes en la clase B = 2 ¹⁴ = 16384 direcciones de red

El número total de hosts en la clase B = 2 ¹⁶ – 2 = 65534 direcciones de host

Clase C

En la clase C, una dirección IP se asigna solo a redes de tamaño pequeño.

El ID de red tiene una longitud de 24 bits.
El ID del host tiene una longitud de 8 bits.

En la clase C, los bits de orden superior del primer octeto siempre se establecen en 110 y los 21 bits restantes determinan el identificador de red. Los 8 bits del identificador de host determinan el host en una red.

El número total de redes = 2 ²¹ = 2097152 direcciones de red

El número total de hosts = 2 ⁸ – 2 = 254 direcciones de host

Clase D

En la clase D, una dirección IP está reservada para direcciones de multidifusión. No posee subredes. Los bits de orden superior del primer octeto siempre se establecen en 1110 y los bits restantes determinan el ID del host en cualquier red.

Clase E

En la clase E, una dirección IP se utiliza para uso futuro o con fines de investigación y desarrollo. No posee subredes. Los bits de orden superior del primer octeto siempre se establecen en 1111 y los bits restantes determinan el ID del host en cualquier red.

Reglas para asignar ID de host:

El ID de host se utiliza para determinar el host dentro de cualquier red. El ID de host se asigna según las siguientes reglas:

El ID del host debe ser único dentro de cualquier red.
El ID de host en el que todos los bits están configurados en 0 no se puede asignar, ya que se utiliza para representar el ID de red de la dirección IP.
El ID de host en el que todos los bits están configurados en 1 no se puede asignar ya que está reservado para la dirección de multidifusión.

Reglas para asignar ID de red:

Si los hosts se encuentran dentro de la misma red local, se les asigna el mismo ID de red. Las siguientes son las reglas para asignar el ID de red:

El ID de red no puede comenzar con 127 ya que la Clase A utiliza 127.
El ID de red en el que todos los bits están configurados en 0 no se puede asignar, ya que se utiliza para especificar un host particular en la red local.
El ID de red en el que todos los bits están configurados en 1 no se puede asignar ya que está reservado para la dirección de multidifusión.

Arquitectura de red con clases

Clase	Bits más altos	Bits de identificación de red	Bits de identificación del HOST	Número de redes	Número de hosts por red	Rango
A	0	8	24	2 ⁷	2 ²⁴	0.0.0.0 a 127.255.255.255
B	10	16	16	2 ¹⁴	2 ¹⁶	128.0.0.0 a 191.255.255.255
C	110	24	8	2 ²¹	2 ⁸	192.0.0.0 a 223.255.255.255
D	1110	No definido	No definido	No definido	No definido	224.0.0.0 a 239.255.255.255
E	1111	No definido	No definido	No definido	No definido	240.0.0.0 a 255.255.255.255

Enrutamiento

Un enrutador es un proceso de selección de la ruta a lo largo de la cual se pueden transferir los datos desde el origen hasta el destino. El enrutamiento se realiza mediante un dispositivo especial conocido como enrutador. Un enrutador funciona en la capa de red en el modelo OSI y en la capa de Internet en el modelo TCP/IP.

Un enrutador es un dispositivo de red que reenvía el paquete según la información disponible en el encabezado del paquete y la tabla de reenvío. Los algoritmos de enrutamiento se utilizan para enrutar los paquetes. El algoritmo de enrutamiento no es más que un software encargado de decidir la ruta óptima por la que se puede transmitir el paquete.

Los protocolos de enrutamiento utilizan la métrica para determinar la mejor ruta para la entrega de paquetes. La métrica es el estándar de medición, como el número de saltos, el ancho de banda, el retraso, la carga actual en la ruta, etc., que utiliza el algoritmo de enrutamiento para determinar la ruta óptima al destino. El algoritmo de enrutamiento inicializa y mantiene la tabla de enrutamiento para el proceso de determinación de ruta.

Métricas y costos de enrutamiento

Las métricas y los costos de enrutamiento se utilizan para determinar la mejor ruta hacia el destino. Los factores que utilizan los protocolos para determinar la ruta más corta se conocen como métricas.

Las métricas son las variables de red que se utilizan para determinar la mejor ruta hacia el destino. Para algunos protocolos, el uso de métricas estáticas significa que su valor no se puede cambiar y, para otros protocolos de enrutamiento, el uso de métricas dinámicas significa que su valor puede ser asignado por el administrador del sistema.

Los valores métricos más comunes se dan a continuación:

Recuento de saltos

El recuento de saltos se define como una métrica que especifica la cantidad de pasos que debe realizar un paquete a través de dispositivos de interconexión de redes, como un enrutador, en una ruta para llegar desde el origen hasta el destino.

Si el protocolo de enrutamiento considera el salto como un valor de métrica principal, entonces la ruta con el menor recuento de saltos se considerará la mejor ruta para llegar desde el origen hasta el destino.

Retardo

Es el tiempo que tarda el enrutador en procesar, poner en cola y transmitir un datagrama a una interfaz. Los protocolos utilizan esta métrica para determinar los valores de retardo para todos los enlaces a lo largo de la ruta de extremo a extremo. La ruta que tenga el valor de retardo más bajo se considerará la mejor ruta.

Ancho de banda

La capacidad del enlace se conoce como ancho de banda del enlace. El ancho de banda se mide en términos de bits por segundo. El enlace que tiene una tasa de transferencia más alta, como gigabit, es preferible al enlace que tiene una capacidad más baja, como 56 kb.

El protocolo determinará la capacidad de ancho de banda para todos los enlaces a lo largo de la ruta, y el ancho de banda general más alto se considerará la mejor ruta.

Carga

La carga se refiere al grado en el que un recurso de red, como un enrutador o un enlace de red, está ocupado. La carga se puede calcular de diversas maneras, como la utilización de la CPU o los paquetes procesados por segundo. Si el tráfico aumenta, el valor de la carga también aumentará. El valor de la carga cambia con respecto al cambio en el tráfico.

Fiabilidad

La fiabilidad es un factor métrico que puede estar compuesto por un valor fijo. Depende de los enlaces de la red y su valor se mide de forma dinámica. Algunas redes dejan de funcionar con más frecuencia que otras.

Después de una falla de la red, algunos enlaces de la red se reparan con más facilidad que otros. Cualquier factor de fiabilidad puede tenerse en cuenta para la asignación de índices de fiabilidad, que generalmente son valores numéricos asignados por el administrador del sistema.

Tipos de enrutamiento

El enrutamiento se puede clasificar en tres categorías:

Enrutamiento estático
Enrutamiento predeterminado
Enrutamiento dinámico

Enrutamiento estático

El enrutamiento estático también se conoce como enrutamiento no adaptativo.
Es una técnica en la que el administrador agrega manualmente las rutas en una tabla de enrutamiento.
Un enrutador puede enviar los paquetes al destino a lo largo de la ruta definida por el administrador.
En esta técnica, las decisiones de enrutamiento no se toman en función de la condición o la topología de las redes.

Ventajas del enrutamiento estático

Las siguientes son las ventajas del enrutamiento estático:

Sin sobrecarga: no hay sobrecarga en el uso de CPU del enrutador. Por lo tanto, se puede usar el enrutador más económico para obtener enrutamiento estático.
Ancho de banda: No tiene uso de ancho de banda entre los enrutadores.
Seguridad: Proporciona seguridad ya que al administrador del sistema sólo se le permite tener control sobre el enrutamiento a una red en particular.

Desventajas del enrutamiento estático:

Las siguientes son las desventajas del enrutamiento estático:

Para una red grande, se vuelve una tarea muy difícil agregar manualmente cada ruta a la tabla de enrutamiento.
El administrador del sistema debe tener un buen conocimiento de la topología, ya que debe agregar cada ruta manualmente.

Enrutamiento predeterminado

El enrutamiento predeterminado es una técnica en la que se configura un enrutador para enviar todos los paquetes al mismo dispositivo de salto, sin importar si pertenece a una red en particular o no. Un paquete se transmite al dispositivo para el cual está configurado en el enrutamiento predeterminado.
El enrutamiento predeterminado se utiliza cuando las redes tratan con un único punto de salida.
También es útil cuando la mayor parte de las redes de transmisión tienen que transmitir los datos al mismo dispositivo.
Cuando se menciona una ruta específica en la tabla de enrutamiento, el enrutador elegirá la ruta específica en lugar de la ruta predeterminada. La ruta predeterminada se elige solo cuando no se menciona una ruta específica en la tabla de enrutamiento.

Enrutamiento dinámico

También se conoce como enrutamiento adaptativo.
Es una técnica en la que un enrutador agrega una nueva ruta en la tabla de enrutamiento para cada paquete en respuesta a los cambios en la condición o topología de la red.
Se utilizan protocolos dinámicos para descubrir las nuevas rutas para llegar al destino.
En el enrutamiento dinámico, RIP y OSPF son los protocolos utilizados para descubrir las nuevas rutas.
Si alguna ruta falla, se realizará el ajuste automático para llegar al destino.

El protocolo dinámico debe tener las siguientes características:

Todos los enrutadores deben tener el mismo protocolo de enrutamiento dinámico para poder intercambiar las rutas.
Si el enrutador detecta algún cambio en la condición o topología, transmite esta información a todos los demás enrutadores.

Ventajas del enrutamiento dinámico:

Es más fácil de configurar.
Es más eficaz para seleccionar la mejor ruta en respuesta a los cambios en la condición o topología.

Desventajas del enrutamiento dinámico:

Es más caro en términos de uso de CPU y ancho de banda.
Es menos seguro en comparación con el enrutamiento predeterminado y estático.

Protocolos de capa de red

ARP

ARP (Address Resolution Protocol) Se encarga de traducir las direcciones IP a direcciones MAC. Utiliza las tablas ARP, cada interfaz tiene tanto una dirección IP como una dirección física MAC.

ARP significa Protocolo de resolución de direcciones. Se utiliza para asociar una dirección IP con la dirección MAC. Cada dispositivo de la red se reconoce por la dirección MAC impresa en la NIC. Por lo tanto, podemos decir que los dispositivos necesitan la dirección MAC para comunicarse en una red de área local.

La dirección MAC se puede cambiar fácilmente. Por ejemplo, si la NIC de una máquina en particular falla, la dirección MAC cambia, pero la dirección IP no cambia. ARP se utiliza para encontrar la dirección MAC del nodo cuando se conoce una dirección de Internet.

Pasos seguidos por el protocolo ARP

Si un dispositivo desea comunicarse con otro dispositivo, éste realiza los siguientes pasos:

El dispositivo primero buscará en su lista de Internet, llamada caché ARP, para verificar si una dirección IP contiene una dirección MAC coincidente o no. Verificará la caché ARP en el símbolo del sistema mediante el comando arp-a .
Si el caché ARP está vacío, el dispositivo transmite el mensaje a toda la red solicitando a cada dispositivo una dirección MAC coincidente.
El dispositivo que tenga la dirección IP correspondiente responderá al remitente con su dirección MAC.
Una vez que el dispositivo recibe la dirección MAC, la comunicación puede tener lugar entre dos dispositivos.
Si el dispositivo recibe la dirección MAC, esta se almacena en la caché ARP. Podemos comprobar la caché ARP en el símbolo del sistema mediante el comando arp -a.

En la captura de pantalla anterior, observamos la asociación de la dirección IP con la dirección MAC.

Hay dos tipos de entradas ARP:

Entrada dinámica: Es una entrada que se crea automáticamente cuando el remitente difunde su mensaje a toda la red. Las entradas dinámicas no son permanentes y se eliminan periódicamente.
Entrada estática: es una entrada donde alguien ingresa manualmente la asociación de la dirección IP a MAC mediante la utilidad de comando ARP.

RAP

RARP significa Protocolo de resolución de direcciones inversa. Si el host desea conocer su dirección IP, transmite el paquete de consulta RARP que contiene su dirección física a toda la red. Un servidor RARP de la red reconoce el paquete RARP y responde con la dirección IP del host.

El protocolo que se utiliza para obtener la dirección IP de un servidor se conoce como Protocolo de resolución de direcciones inversa. El formato del mensaje del protocolo RARP es similar al del protocolo ARP. Al igual que la trama ARP, la trama RARP se envía de una máquina a otra encapsulada en la parte de datos de una trama.

Protocolo ICMP

El protocolo de mensajes de control de Internet (Internet Control Message Protocol) es parte del conjunto de protocolos IP. Es utilizado para enviar mensajes de error e información operativa indicando, por ejemplo, que un host no puede ser localizado o que un servicio que se ha solicitado no está disponible.

Estos mensajes del protocolo ICMP se envían a la dirección IP de origen del paquete. Siendo un protocolo de la “Capa de Red” ICMP difiere de los protocolos de la “Capa de Transporte” (tales como TCP y UDP), en que no es generalmente usado para intercambiar información entre sistemas, ni tampoco por las aplicaciones de usuario (con excepción de algunas herramientas como ping y traceroute, que emplean mensajes ICMP con fines de diagnóstico).

El ICMP es un protocolo de capa de red utilizado por hosts y enrutadores para enviar notificaciones de problemas con datagramas IP al remitente. ICMP utiliza una prueba/respuesta de eco para verificar si el destino es alcanzable y responde.

ICMP maneja tanto mensajes de control como de error, pero su función principal es informar el error, pero no corregirlo. Un datagrama IP contiene las direcciones tanto de origen como de destino, pero no conoce la dirección del enrutador anterior por el que pasó. Por este motivo, ICMP sólo puede enviar los mensajes al origen, pero no a los enrutadores inmediatos.

El protocolo ICMP comunica los mensajes de error al remitente. Los mensajes ICMP hacen que los errores se devuelvan a los procesos del usuario. Los mensajes ICMP se transmiten dentro de un datagrama IP.

El formato de un mensaje ICMP

El primer campo especifica el tipo de mensaje.
El segundo campo especifica el motivo de un tipo de mensaje particular.
El campo de suma de comprobación cubre todo el mensaje ICMP.

Informe de errores

El protocolo ICMP informa los mensajes de error al remitente. El protocolo ICMP gestiona cinco tipos de errores:

Destino inalcanzable
Fuente Quench
Tiempo excedido
Problemas de parámetros
Redirección

Destino inalcanzable: el mensaje de “Destino inalcanzable” se envía del receptor al remitente cuando no se puede alcanzar el destino, o el paquete se descarta cuando no se puede alcanzar el destino.

Source Quench: el propósito del mensaje source quench es el control de la congestión. El mensaje se envía desde el enrutador congestionado al host de origen para reducir la velocidad de transmisión. ICMP tomará la IP del paquete descartado y luego agregará el mensaje source quench al datagrama IP para informar al host de origen que reduzca su velocidad de transmisión. El host de origen reducirá la velocidad de transmisión para que el enrutador esté libre de congestión.

Tiempo excedido: el tiempo excedido también se conoce como “tiempo de vida”. Es un parámetro que define cuánto tiempo debe vivir un paquete antes de que se lo descarte.

Hay dos formas en las que se puede generar el mensaje de tiempo excedido:

A veces, se descartan paquetes debido a una mala implementación de enrutamiento, lo que provoca problemas de bucle y congestión de la red. Debido al problema de bucle, el valor de TTL sigue disminuyendo y, cuando llega a cero, el enrutador descarta el datagrama. Sin embargo, cuando el enrutador descarta el datagrama, el enrutador envía el mensaje de tiempo excedido al host de origen.

Cuando el host de destino no recibe todos los fragmentos en un límite de tiempo determinado, los fragmentos recibidos también se descartan y el host de destino envía un mensaje de tiempo excedido al host de origen.

Problemas de parámetros: cuando un enrutador o host descubre algún valor faltante en el datagrama IP, el enrutador descarta el datagrama y el mensaje de “problema de parámetro” se envía de vuelta al host de origen.

Redirección: el mensaje de redirección se genera cuando el host consta de una tabla de enrutamiento pequeña. Cuando el host consta de una cantidad limitada de entradas, por lo que envía el datagrama a un enrutador incorrecto. El enrutador que recibe un datagrama lo reenvía a un enrutador correcto y también envía el “mensaje de redirección” al host para actualizar su tabla de enrutamiento.

IGMP

El protocolo de red IGMP se utiliza para intercambiar información acerca del estado de pertenencia entre enrutadores IP que admiten la multidifusión y miembros de grupos de multidifusión. Los hosts miembros individuales informan acerca de la pertenencia de hosts al grupo de multidifusión y los enrutadores de multidifusión sondean periódicamente el estado de la pertenencia. La última versión disponible de este protocolo es la IGMPv3 descrita en el [RFC 3376]

IGMP significa Protocolo de mensajes de grupo de Internet. El protocolo IP admite dos tipos de comunicación:

Unicasting: Es una comunicación entre un emisor y un receptor, por lo que podemos decir que es una comunicación uno a uno.
Multidifusión: en ocasiones, el remitente desea enviar el mismo mensaje a una gran cantidad de receptores simultáneamente. Este proceso se conoce como multidifusión y consiste en una comunicación de uno a muchos.

Los hosts y enrutadores utilizan el protocolo IGMP para admitir la multidifusión. Los hosts y enrutadores utilizan el protocolo IGMP para identificar los hosts en una LAN que son miembros de un grupo.

Todos los mensajes IGMP se transmiten en datagramas IP y tienen el formato mostrado en la figura adjunta. Los campos son los siguientes:

El snooping de Internet Group Management Protocol (IGMP) es una actividad realizada por conmutadores para realizar el seguimiento del intercambio de paquetes relacionados con las comunicaciones IGMP y adaptarse al filtrado de paquetes de multidifusión.

IGMP es parte de la capa IP y tiene un mensaje de tamaño fijo. El mensaje IGMP está encapsulado dentro de un datagrama IP.

El formato del mensaje IGMP

Tipo: determina el tipo de mensaje IGMP. Existen tres tipos de mensajes IGMP: Consulta de membresía, Informe de membresía e Informe de baja.

Tiempo máximo de respuesta: este campo solo lo utiliza el mensaje de consulta de membresía. Determina el tiempo máximo que el host puede enviar el mensaje de informe de membresía en respuesta al mensaje de consulta de membresía.

Suma de comprobación: determina la carga útil completa del datagrama IP en el que está encapsulado el mensaje IGMP.

Dirección del grupo: el comportamiento de este campo depende del tipo de mensaje enviado.

Para la consulta de membresía , la dirección del grupo se establece en cero para la consulta general y en la dirección del grupo de multidifusión para una consulta específica.
Para el Informe de membresía , la dirección del grupo se establece en la dirección del grupo de multidifusión.
Para Salir del grupo , se establece en la dirección del grupo de multidifusión.

Mensajes IGMP

Mensaje de consulta de membresía

Este mensaje es enviado por un enrutador a todos los hosts en una red de área local para determinar el conjunto de todos los grupos de multidifusión a los que se ha unido el host. También determina si los hosts se han unido a un grupo de multidifusión específico en una interfaz adjunta.

La dirección de grupo en la consulta es cero ya que el enrutador espera una respuesta de un host para cada grupo que contiene uno o más miembros en ese host.

Mensaje de informe de membresía

El anfitrión responde al mensaje de consulta de membresía con un mensaje de informe de membresía. El host también puede generar mensajes de informe de membresía cuando un host desea unirse al grupo de multidifusión sin esperar un mensaje de consulta de membresía del enrutador.

Los mensajes de informe de membresía son recibidos por un enrutador así como por todos los hosts en una interfaz conectada. Cada mensaje de informe de membresía incluye la dirección de multidifusión de un solo grupo al que el anfitrión desea unirse.

Al protocolo IGMP no le importa qué host se ha unido al grupo ni cuántos hosts hay en un solo grupo. Solo le importa si uno o más hosts conectados pertenecen a un solo grupo de multidifusión.

El mensaje de consulta de membresía enviado por un enrutador también incluye un ” Tiempo máximo de respuesta “. Después de recibir un mensaje de consulta de membresía y antes de enviar el mensaje de informe de membresía, el host espera una cantidad aleatoria de tiempo desde 0 hasta el tiempo máximo de respuesta.

Si un host observa que algún otro host conectado ha enviado el ” Mensaje de informe máximo “, descarta su ” Mensaje de informe máximo “, ya que sabe que el enrutador conectado ya sabe que uno o más hosts se han unido a un solo grupo de multidifusión. Este proceso se conoce como supresión de retroalimentación.

Proporciona la optimización del rendimiento, evitando así la transmisión innecesaria de un ” Mensaje de informe de membresía “.

Informe de abandono

Cuando el anfitrión no envía el “mensaje de informe de membresía”, significa que el anfitrión ha abandonado el grupo. El anfitrión sabe que no hay miembros en el grupo, por lo que incluso cuando reciba la siguiente consulta, no informará sobre el grupo.

Ipsec

IPsec (Internet Protocol security) es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec también incluye protocolos para el establecimiento de claves de cifrado.

OSMF

OSPF (Open Shortest Path First) Es un protocolo de red para encaminamiento jerárquico de pasarela interior o Interior Gateway Protocol, que usa el algoritmo Dijkstra, para calcular la ruta más corta entre dos nodos. Además hace otras funciones como:

Aprende información de enrutamiento sobre las subredes IP de los routers vecinos.
Anuncia información de enrutamiento sobre subredes IP a los routers vecinos.

Si existe más de una ruta posible para llegar a una subred, elije la mejor ruta en base a una métrica.
Si la tipología de la red cambia, por ejemplo si un enlace falla, reacciona anunciando que algunas rutas han fallado y elige la nueva mejor ruta. (Este proceso se denomina convergencia).

Ataques y Defensa para los Protocolos de la Capa de Red

Exploremos los ataques más comunes a los protocolos de la capa de red y las estrategias de defensa para proteger esta capa vital de las redes.

IP Spoofing

Descripción: IP Spoofing es una técnica en la que un atacante falsifica la dirección IP de origen en los paquetes que envía para hacerse pasar por otro dispositivo en la red. Esto se utiliza para eludir medidas de seguridad, como listas de control de acceso (ACLs), o para lanzar ataques más avanzados como los ataques de denegación de servicio (DoS).

Consecuencias:

Bypass de Filtros de Seguridad: El atacante puede acceder a recursos restringidos al hacerse pasar por un dispositivo autorizado.
Ataques de Denegación de Servicio (DoS): El atacante puede inundar a un objetivo con tráfico malicioso, utilizando direcciones IP falsificadas para ocultar su origen.
Ataques Man-in-the-Middle (MitM): El atacante puede interceptar y modificar el tráfico entre dos dispositivos al hacerse pasar por uno de ellos.

Defensa Contra IP Spoofing

Filtrado de Paquetes Ingresados/Egresados: Configurar firewalls y routers para filtrar paquetes entrantes y salientes con direcciones IP falsificadas o sospechosas.
RPF (Reverse Path Forwarding): Implementar RPF, que verifica si la dirección IP de origen en un paquete es alcanzable desde la ruta por la que llegó el paquete, lo que ayuda a detectar y bloquear IP spoofing.
Monitoreo de Red: Utilizar herramientas de monitoreo que detecten y alerten sobre posibles intentos de spoofing, especialmente si se detectan patrones inusuales en las direcciones IP de origen.

Ataques de Denegación de Servicio (DoS) y DDoS

Descripción: Los ataques DoS y DDoS (Distributed Denial of Service) tienen como objetivo sobrecargar un servidor, red o servicio con una gran cantidad de tráfico, haciendo que los recursos se agoten y que los usuarios legítimos no puedan acceder al servicio. En la capa de red, estos ataques suelen aprovechar el protocolo IP y las vulnerabilidades en el enrutamiento.

Consecuencias:

Interrupción del Servicio: Los servicios pueden volverse inalcanzables para los usuarios legítimos, lo que provoca pérdidas económicas y daños a la reputación.
Consumo de Recursos: Los recursos de la red y del servidor se agotan, lo que puede llevar a una caída del sistema.
Compromiso de la Seguridad: Mientras se lleva a cabo un DoS, otros ataques más sutiles pueden pasar desapercibidos.

Defensa Contra DoS/DDoS

CDN y Servicios Anti-DDoS: Utilizar redes de distribución de contenido (CDN) y servicios anti-DDoS para distribuir el tráfico y absorber ataques.
Rate Limiting y Filtrado: Configurar limitaciones de tasa en routers y firewalls para controlar la cantidad de tráfico que un dispositivo puede generar o recibir en un período determinado.
Enrutamiento BGP Seguro: Implementar medidas de seguridad en BGP para mitigar los ataques que intentan manipular rutas y sobrecargar segmentos específicos de la red.

Routing Attacks (Ataques de Enrutamiento)

Descripción: Los ataques de enrutamiento buscan manipular las tablas de enrutamiento para redirigir el tráfico a través de rutas controladas por el atacante. Esto puede incluir ataques como BGP Hijacking (secuestro de rutas BGP) y OSPF Spoofing.

BGP Hijacking: Un atacante anuncia rutas falsas en BGP, redirigiendo el tráfico hacia su red donde puede ser interceptado o desviado.
OSPF Spoofing: Manipulación de las actualizaciones OSPF (Open Shortest Path First) para influir en la tabla de enrutamiento y redirigir el tráfico.

Consecuencias:

Intercepción de Tráfico: El atacante puede capturar y analizar tráfico que normalmente no debería pasar por su red.
Desvío de Rutas: El tráfico puede ser desviado hacia rutas ineficientes, causando retrasos y pérdida de paquetes.
Compromiso de la Seguridad: Si se manipulan las rutas de tráfico, los datos sensibles pueden terminar en manos del atacante.

Defensa Contra Routing Attacks

Filtrado de Prefijos BGP: Configurar políticas de filtrado en BGP para evitar que se acepten rutas no deseadas o sospechosas.
Autenticación de Protocolos de Enrutamiento: Utilizar autenticación fuerte para OSPF, BGP y otros protocolos de enrutamiento para asegurarse de que solo routers autorizados puedan intercambiar información de enrutamiento.
Monitoreo de Rutas: Implementar sistemas de monitoreo que alerten sobre cambios inesperados en las rutas y permitan una rápida respuesta ante intentos de hijacking o spoofing.

Ataques ICMP

Descripción: ICMP (Internet Control Message Protocol) se utiliza para enviar mensajes de error y control, como las respuestas de ping. Sin embargo, debido a su naturaleza simple y su falta de autenticación, ICMP puede ser explotado en ataques como ICMP Flood, ICMP Redirect y Ping of Death.

ICMP Flood: Un ataque DoS en el que el atacante inunda el objetivo con solicitudes ICMP (ping) para consumir sus recursos.
ICMP Redirect: Manipulación de los mensajes ICMP para redirigir el tráfico de red hacia una ruta maliciosa.
Ping of Death: Enviar paquetes ICMP malformados o de gran tamaño para causar un desbordamiento de buffer en el sistema objetivo, lo que puede provocar una caída.

Consecuencias:

Interrupción del Servicio: Los recursos de red y del sistema se agotan, provocando una caída del servicio.
Redirección Maliciosa: El tráfico legítimo puede ser redirigido a través de rutas controladas por el atacante.
Compromiso del Sistema: Vulnerabilidades explotadas por ICMP malformado pueden comprometer la estabilidad del sistema.

Defensa Contra Ataques ICMP

Filtrado de ICMP: Configurar firewalls para filtrar o limitar el tráfico ICMP no esencial, reduciendo la superficie de ataque.
Rate Limiting: Implementar limitaciones de tasa en los paquetes ICMP para evitar que una avalancha de paquetes pueda sobrecargar el sistema.
Desactivar ICMP en Sistemas Críticos: Considerar desactivar ICMP en sistemas y servidores críticos si no es necesario para el diagnóstico o la administración.

Ataques de Fragmentación IP

Descripción: La fragmentación IP divide grandes paquetes en fragmentos para su transmisión. Los atacantes pueden explotar esto mediante ataques como Fragmentation Overlap y Tiny Fragment Attack.

Fragmentation Overlap: Enviar fragmentos que se superponen parcialmente, causando que el sistema los reensamble incorrectamente.
Tiny Fragment Attack: Dividir un paquete en fragmentos muy pequeños para ocultar contenido malicioso, eludiendo la detección.

Consecuencias:

Evasión de Firewalls: Los fragmentos pequeños pueden eludir las inspecciones de seguridad.
Compromiso de la Seguridad: El atacante puede ejecutar código malicioso en el sistema objetivo.

Defensa Contra Ataques de Fragmentación

Filtrado de Fragmentos: Configurar firewalls para rechazar fragmentos sospechosos o demasiado pequeños.
Monitoreo de Tráfico Fragmentado: Utilizar herramientas de monitoreo que detecten patrones anómalos en la fragmentación de paquetes.
Reensamblaje Seguro: Implementar políticas de reensamblaje que detecten y bloqueen fragmentos que se superponen de manera sospechosa.

Seguridad en la capa de red

Los controles de seguridad de la capa de red se han utilizado con frecuencia para proteger las comunicaciones, particularmente en redes compartidas como Internet, porque pueden brindar protección para muchas aplicaciones a la vez sin modificarlas.

En los capítulos anteriores, analizamos que han evolucionado muchos protocolos de seguridad en tiempo real para la seguridad de la red, garantizando principios básicos de seguridad como la privacidad, la autenticación del origen, la integridad de los mensajes y el no repudio.

La mayoría de estos protocolos se mantuvieron centrados en las capas superiores de la pila de protocolos OSI, para compensar la falta de seguridad inherente al protocolo de Internet estándar. Aunque son valiosos, estos métodos no se pueden generalizar fácilmente para su uso en cualquier aplicación.

Por ejemplo, SSL se desarrolló específicamente para proteger aplicaciones como HTTP o FTP, pero hay muchas otras aplicaciones que también necesitan comunicaciones seguras.

Esta necesidad dio lugar al desarrollo de una solución de seguridad a nivel de IP para que todos los protocolos de capas superiores pudieran aprovecharla. En 1992, el Internet Engineering Task Force (IETF) comenzó a definir un estándar: “IPsec”.

Cualquier esquema que se desarrolle para proporcionar seguridad de red debe implementarse en alguna capa de la pila de protocolos, como se muestra en el diagrama a continuación:

Capa	Protocolos de comunicación	Protocolos de seguridad
Capa de aplicación	HTTP FTP SMTP	PGP.S/MIME, HTTPS
Capa de transporte	Protocolo TCP/UDP	SSL, TLS, SSH
Capa de red	Propiedad intelectual	IPsec

El marco popular desarrollado para garantizar la seguridad en la capa de red es el Protocolo de Seguridad de Internet (IPsec).

Características de IPsec

IPsec no está diseñado para funcionar únicamente con TCP como protocolo de transporte. Funciona con UDP y con cualquier otro protocolo por encima de IP, como ICMP, OSPF, etc.
IPsec protege todo el paquete presentado a la capa IP, incluidos los encabezados de capas superiores.
Dado que los encabezados de capa superior que contienen el número de puerto están ocultos, el análisis del tráfico es más difícil.
IPsec funciona de una entidad de red a otra, no de un proceso de aplicación a otro. Por lo tanto, se puede adoptar la seguridad sin necesidad de realizar cambios en las computadoras o aplicaciones de los usuarios individuales.
Aunque se utiliza ampliamente para proporcionar comunicación segura entre entidades de red, IPsec también puede proporcionar seguridad de host a host.
El uso más común de IPsec es proporcionar una red privada virtual (VPN), ya sea entre dos ubicaciones (de puerta de enlace a puerta de enlace) o entre un usuario remoto y una red empresarial (de host a puerta de enlace).

Funciones de seguridad

Las funciones de seguridad importantes que proporciona IPsec son las siguientes:

Confidencialidad
- Permite que los nodos en comunicación cifren mensajes.
- Evita escuchas por parte de terceros.
Autenticación de origen e integridad de datos.
- Proporciona garantía de que un paquete recibido fue realmente transmitido por la parte identificada como la fuente en el encabezado del paquete.
- Confirma que el paquete no ha sido alterado ni de ninguna manera.
Gestión de claves.
- Permite el intercambio seguro de claves.
- Protección contra ciertos tipos de ataques de seguridad, como ataques de repetición.

Red privada virtual

Lo ideal sería que cualquier institución tuviera su propia red privada de comunicaciones para garantizar la seguridad. Sin embargo, establecer y mantener dicha red privada en un área geográficamente dispersa puede resultar muy costoso, ya que requeriría gestionar una infraestructura compleja de enlaces de comunicaciones, enrutadores, DNS, etc.

IPsec ofrece un mecanismo sencillo para implementar una red privada virtual (VPN) para dichas instituciones. La tecnología VPN permite que el tráfico entre oficinas de la institución se envíe a través de Internet público mediante el cifrado del tráfico antes de ingresar a Internet público y separándolo de manera lógica del resto del tráfico. El funcionamiento simplificado de la VPN se muestra en el siguiente diagrama:

Descripción general de IPsec

IPsec es un marco/conjunto de protocolos para proporcionar seguridad en la capa IP.

A principios de los años 90, Internet era utilizado por pocas instituciones, sobre todo con fines académicos. Pero en décadas posteriores, el crecimiento de Internet se volvió exponencial debido a la expansión de la red y a que varias organizaciones la utilizan para comunicarse y para otros fines.

Con el crecimiento masivo de Internet, combinado con las debilidades de seguridad inherentes del protocolo TCP/IP, surgió la necesidad de una tecnología que pudiera proporcionar seguridad de red en Internet. En 1994, el Internet Architecture Board (IAB) publicó un informe titulado “Seguridad en la arquitectura de Internet”, en el que se identificaban las áreas clave para los mecanismos de seguridad.

La IAB incluyó la autenticación y el cifrado como características de seguridad esenciales en el IPv6, la próxima generación de IP. Afortunadamente, estas capacidades de seguridad se definieron de tal manera que se pueden implementar tanto con IPv4 e IPv6.

El marco de seguridad IPsec se ha definido en varias “solicitudes de comentarios” (RFC). Algunas RFC especifican algunas partes del protocolo, mientras que otras abordan la solución en su totalidad.

Operaciones dentro de IPsec

Se puede considerar que la suite IPsec tiene dos operaciones independientes que, cuando se realizan al unísono, proporcionan un conjunto completo de servicios de seguridad. Estas dos operaciones son la comunicación IPsec y el intercambio de claves de Internet.

Comunicación IPsec
- Generalmente se asocia con la funcionalidad estándar de IPsec. Implica la encapsulación, el cifrado y el procesamiento de hashes de los datagramas IP y el manejo de todos los procesos de paquetes.
- Es responsable de gestionar la comunicación de acuerdo a las Asociaciones de Seguridad (SA) disponibles establecidas entre las partes que se comunican.
- Utiliza protocolos de seguridad como Authentication Header (AH) y Encapsulated SP (ESP).
- La comunicación IPsec no está involucrada en la creación de claves ni en su gestión.
- La operación de comunicación IPsec en sí se conoce comúnmente como IPsec.
Intercambio de claves de Internet (IKE)
- IKE es el protocolo de gestión automática de claves utilizado para IPsec.
- Técnicamente, la gestión de claves no es esencial para la comunicación IPsec y las claves se pueden gestionar manualmente. Sin embargo, la gestión manual de claves no es recomendable para redes grandes.
- IKE es responsable de la creación de claves para IPsec y de proporcionar autenticación durante el proceso de establecimiento de claves. Aunque IPsec se puede utilizar para cualquier otro protocolo de gestión de claves, IKE se utiliza de forma predeterminada.
- IKE define dos protocolos (Oakley y SKEME) que se utilizarán con el marco de gestión de claves ya definido, el Protocolo de gestión de claves de la Asociación de seguridad de Internet (ISAKMP).
- ISAKMP no es específico de IPsec, pero proporciona el marco para crear SA para cualquier protocolo.

Este capítulo analiza principalmente la comunicación IPsec y el protocolo asociado empleado para lograr la seguridad.

Modos de comunicación IPsec

La comunicación IPsec tiene dos modos de funcionamiento: el modo de transporte y el modo túnel. Estos modos se pueden utilizar en combinación o individualmente según el tipo de comunicación deseado.

Modo de transporte

IPsec no encapsula un paquete recibido de la capa superior.
Se mantiene el encabezado IP original y los datos se reenvían según los atributos originales establecidos por el protocolo de capa superior.
El siguiente diagrama muestra el flujo de datos en la pila de protocolos.

La limitación del modo de transporte es que no se pueden proporcionar servicios de puerta de enlace. Está reservado para comunicaciones punto a punto, como se muestra en la siguiente imagen.

Modo túnel

Este modo de IPsec proporciona servicios de encapsulación junto con otros servicios de seguridad.
En las operaciones en modo túnel, se encapsula todo el paquete de la capa superior antes de aplicar el protocolo de seguridad. Se agrega un nuevo encabezado IP.
El siguiente diagrama muestra el flujo de datos en la pila de protocolos.

El modo túnel suele estar asociado a las actividades de puerta de enlace. La encapsulación permite enviar varias sesiones a través de una única puerta de enlace.
La comunicación en modo túnel típica se muestra en el siguiente diagrama.

En lo que respecta a los puntos finales, estos tienen una conexión directa a la capa de transporte. El datagrama de un sistema que se envía al gateway se encapsula y luego se envía al gateway remoto. El gateway remoto asociado desencapsula los datos y los envía al punto final de destino en la red interna.
Mediante IPsec también se puede establecer el modo de tunelización entre la puerta de enlace y el sistema final individual.

Protocolos IPsec

IPsec utiliza los protocolos de seguridad para proporcionar los servicios de seguridad deseados. Estos protocolos son el núcleo de las operaciones de IPsec y todo lo demás está diseñado para respaldar estos protocolos en IPsec.

Las asociaciones de seguridad entre las entidades que se comunican se establecen y mantienen mediante el protocolo de seguridad utilizado.

Hay dos protocolos de seguridad definidos por IPsec: encabezado de autenticación (AH) y carga útil de seguridad encapsulada (ESP).

Encabezado de autenticación

El protocolo AH proporciona servicios de integridad de datos y autenticación de origen. Opcionalmente, ofrece resistencia a la reproducción de mensajes, pero no proporciona ningún tipo de confidencialidad.

AH es un protocolo que permite la autenticación de todo o parte del contenido de un datagrama mediante la adición de un encabezado. El encabezado se calcula en función de los valores del datagrama. Las partes del datagrama que se utilizan para el cálculo y dónde se coloca el encabezado dependen del modo de cooperación (túnel o transporte).

El funcionamiento del protocolo AH es sorprendentemente sencillo. Puede considerarse similar a los algoritmos utilizados para calcular sumas de comprobación o realizar comprobaciones CRC para la detección de errores.

El concepto detrás de AH es el mismo, excepto que en lugar de usar un algoritmo simple, AH usa un algoritmo de hash especial y una clave secreta que solo conocen las partes que se comunican. Se establece una asociación de seguridad entre dos dispositivos que especifica estos detalles.

El proceso de AH pasa por las siguientes fases.

Cuando se recibe un paquete IP de la pila de protocolos superior, IPsec determina la Asociación de seguridad (SA) asociada a partir de la información disponible en el paquete; por ejemplo, la dirección IP (origen y destino).
Desde SA, una vez que se identifica que el protocolo de seguridad es AH, se calculan los parámetros del encabezado AH. El encabezado AH consta de los siguientes parámetros:

El campo de encabezado especifica el protocolo del paquete que sigue al encabezado AH. El índice de parámetros de secuencia (SPI) se obtiene a partir de la SA existente entre las partes que se comunican.
Se calcula y se inserta el número de secuencia. Estos números proporcionan a AH la capacidad opcional de resistir ataques de repetición.
Los datos de autenticación se calculan de forma diferente según el modo de comunicación.
En el modo de transporte, el cálculo de los datos de autenticación y el ensamblaje del paquete IP final para la transmisión se muestran en el siguiente diagrama. En el encabezado IP original, solo se realiza el cambio en el número de protocolo, que es 51, para indicar la aplicación de AH.

En el modo Túnel, el proceso anterior se lleva a cabo como se muestra en el siguiente diagrama.

Protocolo de seguridad de encapsulación (ESP)

ESP proporciona servicios de seguridad como confidencialidad, integridad, autenticación de origen y resistencia a la repetición opcional. El conjunto de servicios proporcionados depende de las opciones seleccionadas en el momento de la creación de la Asociación de Seguridad (SA).

En ESP, los algoritmos utilizados para el cifrado y la generación de autenticadores están determinados por los atributos utilizados para crear la SA.

El proceso de ESP es el siguiente. Los dos primeros pasos son similares al proceso de AH, como se indicó anteriormente.

Una vez que se determina que el ESP está involucrado, se calculan los campos del paquete ESP. La disposición de los campos ESP se muestra en el siguiente diagrama.

El proceso de cifrado y autenticación en modo de transporte se muestra en el siguiente diagrama.

En el caso del modo Túnel, el proceso de cifrado y autenticación es el que se muestra en el siguiente diagrama.

Aunque la autenticación y la confidencialidad son los principales servicios que ofrece ESP, ambos son opcionales. Técnicamente, podemos utilizar el cifrado NULL sin autenticación. Sin embargo, en la práctica, se debe implementar uno de los dos para utilizar ESP de forma eficaz.

El concepto básico es utilizar ESP cuando se desea autenticación y cifrado, y utilizar AH cuando se desea autenticación extendida sin cifrado.

Asociaciones de seguridad en IPsec

La Asociación de Seguridad (SA) es la base de una comunicación IPsec. Las características de SA son:

Antes de enviar los datos, se establece una conexión virtual entre la entidad emisora y la entidad receptora, denominada “Asociación de Seguridad (SA)”.
IPsec ofrece muchas opciones para realizar el cifrado y la autenticación de la red. Cada conexión IPsec puede proporcionar cifrado, integridad, autenticidad o los tres servicios. Cuando se determina el servicio de seguridad, las dos entidades IPsec pares deben determinar exactamente qué algoritmos utilizar (por ejemplo, DES o 3DES para el cifrado; MD5 o SHA-1 para la integridad). Después de decidir los algoritmos, los dos dispositivos deben compartir las claves de sesión.
SA es un conjunto de parámetros de comunicación anteriores que proporciona una relación entre dos o más sistemas para crear una sesión IPsec.
SA es simple por naturaleza y, por lo tanto, se requieren dos SA para las comunicaciones bidireccionales.
Las SA se identifican mediante un número de índice de parámetro de seguridad (SPI) que existe en el encabezado del protocolo de seguridad.
Tanto las entidades emisoras como las receptoras mantienen información de estado sobre la SA. Es similar a los puntos finales TCP, que también mantienen información de estado. IPsec está orientado a la conexión, al igual que TCP.

Parámetros de SA

Cualquier SA se identifica de forma única mediante los siguientes tres parámetros:

Índice de parámetros de seguridad (SPI).
- Es un valor de 32 bits asignado a SA. Se utiliza para distinguir entre diferentes SA que terminan en el mismo destino y utilizan el mismo protocolo IPsec.
- Cada paquete de IPsec incluye un encabezado que contiene un campo SPI. El SPI se proporciona para asignar el paquete entrante a una SA.
- El SPI es un número aleatorio generado por el remitente para identificar la SA ante el destinatario.
Dirección IP de destino : puede ser la dirección IP del enrutador final.
Identificador de protocolo de seguridad : indica si la asociación es una SA AH o ESP.

En el siguiente diagrama se muestra un ejemplo de SA entre dos enrutadores involucrados en la comunicación IPsec.

Bases de datos administrativas de seguridad

En IPsec, hay dos bases de datos que controlan el procesamiento de datagramas IPsec. Una es la base de datos de asociación de seguridad (SAD) y la otra es la base de datos de política de seguridad (SPD). Cada punto final que se comunica mediante IPsec debe tener una SAD y una SPD lógicamente separadas.

Base de datos de la Asociación de Seguridad

En la comunicación IPsec, el punto final guarda el estado de SA en la base de datos de asociación de seguridad (SAD). Cada entrada de SA en la base de datos SAD contiene nueve parámetros, como se muestra en la siguiente tabla:

N° – Parámetros y descripción

1 – Contador de números de secuencia Para comunicaciones salientes. Este es el número de secuencia de 32 bits que se proporciona en los encabezados AH o ESP.

2 – Contador de desbordamiento de número de secuencia Establece un indicador de opción para evitar futuras comunicaciones que utilicen la SA específica

3 – Ventana anti-reproducción de 32 bits Se utiliza para determinar si un paquete AH o ESP entrante es una repetición

4 – Duración de la SA Tiempo hasta que SA permanezca activo

5 – Algoritmo – AH Utilizado en el AH y la clave asociada

6 – Algoritmo – Autenticación ESP Se utiliza en la parte de autenticación del encabezado ESP

7 – Algoritmo – Encriptación ESP Se utiliza en el cifrado del ESP y su información clave asociada.

8 – Modo de funcionamiento IPsec Modo transporte o túnel

9 – MTU de ruta (PMTU) Cualquier unidad de transmisión máxima de la ruta observada (para evitar la fragmentación)

Todas las entradas SA en el SAD están indexadas por los tres parámetros SA: Dirección IP de destino, Identificador de protocolo de seguridad y SPI.

Base de datos de políticas de seguridad

SPD se utiliza para procesar paquetes salientes. Ayuda a decidir qué entradas SAD se deben utilizar. Si no existe ninguna entrada SAD, se utiliza SPD para crear nuevas.

Cualquier entrada del SPD contendría:

Puntero a SA activo mantenido en SAD.
Campos selectores: campos en el paquete entrante de la capa superior que se utilizan para decidir la aplicación de IPsec. Los selectores pueden incluir direcciones de origen y destino, números de puerto si corresponde, identificadores de aplicaciones, protocolos, etc.

Los datagramas IP salientes van desde la entrada SPD a la SA específica para obtener los parámetros de codificación. Los datagramas IPsec entrantes llegan a la SA correcta directamente mediante el triplete SPI/DEST IP/Protocolo y desde allí extraen la entrada SAD asociada.

SPD también puede especificar el tráfico que debe eludir IPsec. SPD puede considerarse como un filtro de paquetes donde las acciones que se deciden son la activación de procesos SA.

Resumen

IPsec es un conjunto de protocolos para proteger las conexiones de red. Es un mecanismo bastante complejo, ya que en lugar de ofrecer una definición sencilla de un algoritmo de cifrado específico y una función de autenticación, proporciona un marco que permite la implementación de cualquier cosa que acuerden ambos extremos de la comunicación.

El encabezado de autenticación (AH) y la carga de seguridad encapsulada (ESP) son los dos principales protocolos de comunicación que utiliza IPsec. Mientras que el AH solo autentica, el ESP puede cifrar y autenticar los datos transmitidos a través de la conexión.

El modo de transporte proporciona una conexión segura entre dos puntos finales sin cambiar el encabezado IP. El modo de túnel encapsula todo el paquete IP de carga útil y agrega un nuevo encabezado IP. Este último se utiliza para formar una VPN tradicional, ya que proporciona un túnel seguro virtual a través de una Internet no confiable.

La configuración de una conexión IPsec implica todo tipo de opciones de cifrado. La autenticación suele basarse en un hash criptográfico como MD5 o SHA-1. Los algoritmos de cifrado más comunes son DES, 3DES, Blowfish y AES. También son posibles otros algoritmos.

Ambos puntos finales que se comunican deben conocer los valores secretos utilizados en el hash o el cifrado. Las claves manuales requieren la entrada manual de los valores secretos en ambos extremos, presumiblemente transmitidos por algún mecanismo fuera de banda, e IKE (Internet Key Exchange) es un mecanismo sofisticado para hacer esto en línea.

Conclusión

La capa de red del modelo OSI es vital para la comunicación en cualquier red, pero también es un objetivo frecuente para atacantes que buscan comprometer la seguridad de una red. Los ataques a esta capa, como IP spoofing, DoS/DDoS, routing attacks, y fragmentación IP, pueden tener consecuencias devastadoras si no se mitigan adecuadamente. Implementar defensas efectivas, como filtrado de paquetes, autenticación en protocolos de enrutamiento

No te detengas, sigue avanzando

Aquí tienes un propósito para este 2024 que debes considerar seriamente: si has querido mejorar tus habilidades en hacking, Ciberseguridad y programación ahora es definitivamente el momento de dar el siguiente paso. ¡Desarrolla tus habilidades aprovechando nuestros cursos a un precio increíble y avanza en tu carrera! El mundo necesita más hackers…

Se Necesitan más Hackers – La escasez de habilidades en ciberseguridad está empeorando

Universidad Hacking. Todo en Ciberseguridad. Curso Completo

Aprende Hacking Ético y Ciberseguridad sin necesitar conocimientos Previos. Practica Hacking Ético y Ciberseguridad aquí

Calificación: 4,6 de 5 (2.877 calificaciones) 15.284 estudiantes Creado por Alvaro Chirou • 1.800.000+ Enrollments Worldwide

Lo que aprenderás

Seguridad informática
Hacking Ético en profundidad
Redes
Programación (Python) (Hacking con Python)
Análisis de Malware con laboratorios, practicas y ejecución de Malware para que veas su comportamiento.
Cómo reforzar tu Privacidad y Anonimato
Uso avanzado de Metasploit
Top 10 de Owasp Web, Top 10 de Owasp mobile y Top 10 de Owasp API
Seguridad informática para empresas
Kali linux de 0 a 100, Veremos su suite de herramientas de hacking y como explotar fallos en sistemas.
Termux y como hackear desde el celular
Seguridad informática server/web, profundizaremos en WordPress
Análisis de trafico en Wireshark
Y mucho, pero mucho más

¿Esto que significa?

Hoy más que nunca, se necesitan personas capacitadas en este rubro para trabajar.

Por esa razón cree esta formación profesional para compartirte mis conocimientos y experiencia en la materia y puedas iniciar en este mundo del Hacking Ético y Ciberseguridad.

Te voy a estar acompañando en el proceso de aprendizaje, donde si estas empezando desde 0, sin conocimientos previos, no es un impedimento ya que iniciaremos como si no supieras nada de la materia.

Si sos una persona con conocimientos, podrás iniciar directamente en el nivel más avanzado o en el que tu elijas.

Como en todos mis cursos en udemy, tendrás muchísima practica para que materialices lo que vas aprendiendo.

Empieza a aprender ya mismo!

Aprende con nuestros más de 100 cursos que tenemos disponibles para vos

Todos los Cursos

No solo te enseñamos, tambien te guíamos para que puedas conseguir trabajo como desarrollador y hacker…

Cómo conseguir trabajo de hacker en 2024

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Sobre los autores

Álvaro Chirou

Yo soy Álvaro Chirou, tengo más de 20 Años de experiencia trabajando en Tecnología, eh dado disertaciones en eventos internacionales como OWASP, tengo más de 1.800.000 estudiantes en Udemy y 100 formaciones profesionales impartidas en la misma. Puedes seguirme en mis redes:

Laprovittera Carlos

Soy Laprovittera Carlos. Con más de 20 años de experiencia en IT brindo Educación y Consultoría en Seguridad de la Información para profesionales, bancos y empresas. Puedes saber más de mi y de mis servicios en mi sitio web: laprovittera.com y seguirme en mis redes:

¿Quieres iniciarte en hacking y ciberseguridad pero no sabes por dónde empezar? Inicia leyendo nuestra guia gratuita: https://achirou.com/como-iniciarse-en-ciberseguridad-y-hacking-en-2024/ que te lleva de 0 a 100. Desde los fundamentos más básicos, pasando por cursos, recursos y certificaciones hasta cómo obtener tu primer empleo.