PROTOCOLOS
DE RED
Un protocolo es
un método estándar que permite la comunicación entre procesos (que
potencialmente se ejecutan en diferentes equipos), es decir, es un conjunto de
reglas y procedimientos que deben respetarse para el envío y la recepción de
datos a través de una red. Existen diversos protocolos de acuerdo a cómo se
espera que sea la comunicación. Algunos protocolos, por ejemplo, se
especializarán en el intercambio de archivos (FTP); otros pueden utilizarse
simplemente para administrar el estado de la transmisión y los errores (como es
el caso de ICMP), etc.
En
Internet, los protocolos utilizados pertenecen a una sucesión de protocolos o a
un conjunto de protocolos relacionados entre sí. Este conjunto de protocolos se
denomina TCP/IP.
Entre
otros, contiene los siguientes protocolos:
TIPOS DE PROTOCOLOS
Los distintos tipos de
protocolos, es decir los más importantes y métodos de ataques contra los
mismos. Obviamente no vamos a analizar todos los tipos de protocolos.
QUE SE PUEDE DECIR QUE ES
UN PROTOCOLO
Un protocolo son ¡una
serie de reglas que utilizan dos ordenadores para comunicar entre sí. Cualquier
producto que utilice un protocolo dado debería poder funcionar con otros
productos que utilicen el mismo protocolo.
EL PROTOCOLO TCP/IP
El protocolo de red
TCP/IP se podría definir como el conjunto de protocolos básicos de
comunicación, de redes, que permite la transmisión de información en redes de
ordenadores. Una conexión TCP no es más que es una corriente de bytes, no una
corriente de mensajes o textos por así decirlo.
EN QUE SE UTILIZA TCP/IP
Muchas grandes redes han sido implementadas con estos protocolos,
incluyendo DARPA Internet "Defense Advanced Research Projects Agency
Internet", en español, Red de la Agencia de Investigación de Proyectos
Avanzados de Defensa. De igual forma, una gran variedad de universidades,
agencias gubernamentales y empresas de ordenadores, están conectadas mediante
los protocolos TCP/IP.
Cualquier máquina de la red puede comunicarse con otra distinta y
esta conectividad permite enlazar redes físicamente independientes en una red
virtual llamada Internet. Las máquinas en Internet son denominadas
"hosts" o nodos.
TCP/IP proporciona la base para muchos servicios útiles,
incluyendo correo electrónico, transferencia de ficheros y login remoto.
El correo electrónico está diseñado para transmitir ficheros de
texto pequeños. Las utilidades de transferencia sirven para transferir ficheros
muy grandes que contengan programas o datos. También pueden proporcionar
chequeos de seguridad controlando las transferencias.
El login
remoto permite a los usuarios de un ordenador acceder a una máquina remota y
llevar a cabo una sesión interactiva.
Este
protocolo deja al programa de aplicación a ser explotado la resposabilidad de
una transmisión fiable. Con él puede darse el caso de que los paquetes se pierdan
o bien no sean reconstruidos en forma adecuada. Permite un intercambio de
datagramas más directo entre aplicaciones y puede elegirse para aquellas que no
demanden una gran cantidad de datagramas para operar optimamente.
EL PROTOCOLO ARP
El protocolo ARP (Address Resolution
Protocol),
Permite
realizar ciertas tareas cuyo objetivo es el asociar un dispositivo IP, que a un
nivel lógico está identificado por una dirección IP, a un dispositivo de red,
que a nivel físico posee una dirección física de red. Este protocolo se utiliza
típicamente en dispositivos de red local, ethernet que es el entorno más
extendido en la actualidad. Existe un protocolo RARP, cuya función es la
inversa.
IP (Internet Protocol)
Para empezar
vamos a hablar de un protocolo básico a nivel de red el protocolo IP o
(Internet Protocol). El IP es un protocolo que pertenece al nivel de red, por
lo tanto, es utilizado por los protocolos del nivel de transporte como TCP para
encaminar los datos hacia su destino. IP tiene únicamente la misión de
encaminar
el datagrama,
sin comprobar la integridad de la información que contiene. Son números de 32
bits representados habitualmente en formato decimal (que varían de con valores
de 255 a 0). Las direcciones ip se podría decir que son nuestro documento de
identidad en la red , nos identifica a nosotros, a nuestro ISP, nuestro país de
provinencia y demás datos. Un atacante podría obtener nuestra IP por muchas y
diversas maneras.
Por
conversaciones normales de mensajería instantánea, voz sobre IP (VoiP), logs de
nuestro acceso a páginas, conexiones de distintos tipos... es decir cientos de
formas distintas. Una vez el atacante allá obtenido nuestra IP se pude sacar
mucha y peligrosa información de ella. Desde el país que nos conectamos hasta
si buscamos páginas de datos (tipo WHOIS) la dirección a la cual esta
registrada la misma línea de conexión a Internet.
El atacante
puede proceder a escanear la IP en busca de puertos TCP o UPD a la escucha,
para poder ejecutar acciones. Un ejemplo simple, seria el puerto 139 (conocido
como NETBIOS)
Puerto
|
Protocolo/
Programa
|
Descripción
|
9
|
discard
|
Basura (Dev/Null)
|
11
|
sysstat
|
Es un servicio
Unix que realiza un listado de todos los procesos que se generan en la
máquina. Esto le proporciona al usuario, una gran cantidad de información con
la que consigue conocer las vulnerabilidades de los programas que están
instalados en la máquina o las cuentas del usuario.
|
13
|
daytime
|
Es un servicio
que proporciona la fecha y hora del sistema.
|
15
|
netstat
|
Comentado ya en
la semana anterior de Internet desde 0, muestra las conexiones de TCP
activas, los puertos en que el equipo escucha, las estadísticas de Ethernet,
la tabla de enrutamiento IP, las estadísticas de IPv4 (para los protocolos
IP, ICMP, TCP y UDP) y las estadísticas de IPv6 (para los protocolos IPv6,
ICMPv6, TCP sobre IPv6 y UDP sobre IPv6). Cuando se utiliza sin parámetros,
netstat muestra las conexiones de TCP activas. Este servicio da información
sobre los archivos compartidos y usuarios que se encuentran en la red.
|
19
|
generador de
caracteres
|
Este servicio
genera caracteres. En una conexión TCP, empieza a generar caracteres basura
cuando recibe el paquete UDP hasta que la conexión ha finalizado. Los hackers
pueden conseguir ventajas cuando el usuario tiene este puerto abierto, como
entrar con IPs falsas para realizar ataques múltiples.
|
21
|
FTP,
Transferencia de ficheros
|
El ataque más
común que realizan los hackers y crackers, que buscan servidores de FTP
anónimos. Estos suelen ser servidores que disponen de directorios con
permisos de escritura y lectura. El puerto por defecto para intercambio de
ficheros.
|
22
|
ssh Control
remoto de los PCs
|
Está usado por PC
Anywere. Hay veces que podemos ser escaneado por gente que emplea esta
herramienta y no sabe que está escaseando los puertos.
|
23
|
telnet
|
El intruso busca
un login remoto. La mayoría de las veces de escaneo de intrusos desde este
puerto, es para averiguar el sistema operativo que emplea el usuario.
|
25
|
smtp
|
Simple Mail
Transfer Protocol, es el protocolo de salida del correo. Los spammers buscan
servidores de SMTP que les permitan realizar envío masivo de correos
electrónicos.
|
37
|
time
|
Este servicio te
da la hora del sistema.
|
38
|
rap
|
Route Access
Protocol. Ruta de acceso del protocolo.
|
39
|
rlp
|
Resource Location
Potocol. Con este servicio se conoce la localización del recurso.
|
42
|
name
|
Con este servicio
se consigue el nombre del servidor.
|
43
|
nicname
|
Who is. Con este
servicio se obtiene la información sobre la red o el usuario.
|
49
|
tacasc
|
Login Host
Protocol. Con este servicio obtenemos el protocolo de login del host.
|
53
|
DNS
|
Este servicio nos
dice el nombre de la máquina remota. Los usuarios intentan acceder a zonas de
transferencia (TCP) para engañar DNS (UDP) o incluso para ocultar el tráfico
que desde el 53 no es reconocido por los Cortafuegos.
|
63
|
who is ++
|
Este servicio nos
dice el nombre de propietario de dominio de segundo nivel.
|
67/68
|
boot DHCP
|
Los Cortafuegos
se conectan a líneas DSL o cable módem para ver cientos de direcciones
255.255.255.255. Estas máquinas preguntan por la asignación de una dirección
de un servidor DHCP.
|
69
|
TFTP
|
Algunos
servidores soportan este protocolo en conjunto con BOOTP, con la intención de
descargar código del sistema. Sin embargo, algunas veces se desconfigura
algún archivo del sistema como los archivos que guardan las contraseñas. Por
lo que también, pueden ser usadas para crear archivos dentro del sistema.
|
70
|
gopher
|
Buscador de
información.
|
79
|
finger
|
Los usuarios le
emplean para averiguar información del usuario, conseguir información impresa
en pantalla o colgar el sistema.
|
80
|
http
|
Servidor web con
el que se puede acceder a páginas web. Con este abierto, el usuario se puede
conectar con programas de chat como el Messenger.
|
88
|
kerberos
|
Es un método
seguro de autenticación de respuesta. Siempre que queramos acceder a otro
ordenador necesitamos una respuesta de autenticación del servidor (AS).
|
107
|
rtelnet
|
Telnet remoto, es
decir, con un telnet accedemos a otra computadora a la que se supone tenemos
permiso.
|
109
|
pop2
|
Post Office
Protocol, versión 2. Servidor de correo electrónico entrante.
|
110
|
pop3
|
Post Office
Protocol, versión 3. Servidor de correo electrónico entrante. Un punto de
presencia (pop) es un punto de acceso de Internet. Un pop tiene únicamente un
protocolo de Internet (IP). Este servicio proporciona el correo entrante que
usamos en programas como Outlook Express.
|
111
|
SUNrpc
|
SUN Remote
Procedure Call.
|
113
|
auth
|
Servicio de
autenticación.
|
115
|
sftp
|
Simple File
Transfer Protocol.
|
117
|
uucp-path
|
UUCP Path
Service.
|
119
|
nntp
|
Este servicio
proporciona grupos de noticias usenet.
|
133
|
statsrv
|
Servicio de
estadísticas.
|
137
|
netbios-ns
|
NETBIOS Name
Service (Windows). NetBios es un programa que permite a las aplicaciones de
diferentes ordenadores comunicarse sin una conexión de área local (LAN).
|
138
|
netbios-dg
|
NETBIOS Datagram
Service (Windows).
|
139
|
netvios-ssn
|
NETBIOS Session
Service (Windows).
|
143
|
imap
|
Servicio de
protocolo de mensajes de acceso de Internet (Internet Message Access
Protocol).
|
144
|
uma
|
Universal
Management Architecture. Servicio de noticias.
|
161
|
snmp
|
Simple Network
Management Protocolo (SNMP), es el protocolo de gestión de dispositivos de
red y sus funciones.
|
194
|
irc
|
Protocolo de
Chat. Internet Relay Chat (IRC), es un sistema de comunicación instantánea
que está envuelto en una serie de reglas cliente-servidor.
|
220
|
imap 3
|
Es un protocolo
estándar cliente-servidor con el que podemos acceder a nuestro correo desde
el servidor local.
|
443
|
shttp
|
Servidor web
seguro.
|
513
|
login
|
Servicio que crea
un login remoto al Telnet.
|
514
|
syslog
|
Syslog. Una lista
de todas las peticiones que el usuario ha solicitado en un sitio web.
|
520
|
router
|
Protocolo de
información de routing.
|
529
|
irc-serv
|
IRC, chats.
|
530
|
RPC
|
Remote Procedure
Call (RPC), es un protocolo que un programa puede usar para solicitar un
servicio de un programa que se encuentra en otro ordenador.
|
1352
|
lotus notes
|
Desde este
servicio se accede al servidor de correo de Lotus Notes.
|
1397
|
audio-activmail
|
Audio active
mail.
|
1433
|
ms-spl-s
|
Microsoft SQL –
server.
|
1527
|
tlisrv
|
Utilizado para
acceder a Oracle.
|
5631
|
pcanywheredata
|
Solución de
control remoto que permite a los administradores que se conecten de forma
segura, configuren y solucionen problemas a través de cualquier tipo de
conexión.
|
MODELO OSI
MODELO DE REFERENCIA OSI
En 1984, la
Organización Internacional de Estandarización (ISO) desarrolló un modelo
llamado OSI (Open Systems Interconection, Interconexión de sistemas abiertos).
El cual es usado para describir el uso de datos entre la conexión física de la
red y la aplicación del usuario final. Este modelo es el mejor conocido y el
más usado para describir los entornos de red.
Como se muestra
en la figura, las capas OSI están numeradas de abajo hacia arriba. Las
funciones más básicas, como el poner los bits de datos en el cable de la red
están en la parte de abajo, mientras las funciones que atienden los detalles de
las aplicaciones del usuario están arriba.
En el modelo OSI
el propósito de cada capa es proveer los servicios para la siguiente capa
superior, resguardando la capa de los detalles de como los servicios son
implementados realmente. Las capas son abstraídas de tal manera que cada capa
cree que se está comunicando con la capa asociada en la otra computadora,
cuando realmente cada capa se comunica sólo con las capas adyacentes de la
misma computadora.
Con esta ultima
figura se puede apreciar que a excepción de la capa más baja del modelo OSI,
ninguna capa puede pasar información directamente a su contraparte en la otra
computadora. La información que envía una computadora debe de pasar por todas
las capas inferiores, la información entonces se mueve a través del cable de
red hacia la computadora que recibe y hacia arriba a través de las capas de
esta misma computadora hasta que llega al mismo nivel de la capa que envió la
información. Por ejemplo, si la capa de red envía información desde la
computadora A, esta información se mueve hacia abajo a través de las capas de
Enlace y Física del lado que envía, pasa por el cable de red, y sube por las
capas de Física y Enlace del lado del receptor hasta llegar a la capa de red de
la computadora B.
La interacción
entre las diferentes capas adyacentes se llama interfaz. La interfaz define que
servicios la capa inferior ofrece a su capa superior y como se accede
servicios. Además, cada capa en una computadora actúa como si estuviera
comunicándose directamente con la misma capa de la otra computadora. La serie
de las reglas que se usan para la comunicación entre las capas se llama
protocolo.
CAPA FÍSICA
Se encarga de la
transmisión de bits a lo largo de un canal de comunicación. Debe asegurarse en
esta capa que si se envía un bit por el canal, se debe recibir el mismo bit en
el destino. Es aquí donde se debe decidir con cuántos voltios se representará
un bit con valor 1 ó 0, cuánto dura un bit, la forma de establecer la conexión
inicial y cómo interrumpirla. Se consideran los aspectos mecánicos, eléctricos
y del medio de transmisión física. En esta capa se ubican los repetidores,
amplificadores, estrellas pasivas, multiplexores, concentradores, modems,
codecs, CSUs, DSUs, transceivers, transductores, cables, conectores, NICs, etc.
En esta capa se utilizan los siguientes dispositivos: Cables, tarjetas y
repetidores (hub). Se utilizan los protocolos RS-232, X.2 1.
En nuestro caso
la capa física sobre la que va encapsulado el protocolo IP es Ehernet y a
continuación desglosamos brevemente el formato de una de sus tramas:
Datos: el área de datos contiene
de 56 bytes a 1500 bytes, por lo que el tamaño de una trama en Ethernet es variable:
no menor a 64 bytes ni mayor a 1518 bytes.
Preámbulo: para permitir a nodos receptores
sincronizarse (1's y 0's alternados).
CRC (Cyclic Redundancy Check:) sirve para detectar errores en la
transmisión.
Tipo de Trama: utilizado para saber el tipo de
información que transporta la trama o el protocolo de nivel superior a
utilizar, no necesariamente TCP/IP.
CAPA DE
ENLACE
La tarea
primordial de esta capa es la de corrección de errores. Hace que el emisor
trocee la entrada de datos en tramas, las transmita en forma secuencial y
procese las tramas de asentimiento devueltas por el receptor. Es esta capa la
que debe reconocer los límites de las tramas. Si la trama es modificada por una
ráfaga de ruido, el software de la capa de enlace de la máquina emisora debe
hacer una retransmisión de la trama. Es también en esta capa donde se debe
evitar que un transmisor muy rápido sature con datos a un receptor lento. En
esta capa se ubican los bridges y switches. Protocolos utilizados: HDLC y LLC.
CAPA DE RED
Se ocupa del
control de la operación de la subred. Debe determinar cómo encaminar los
paquetes del origen al destino, pudiendo tomar distintas soluciones. El control
de la congestión es también problema de este nivel, así como la responsabilidad
para resolver problemas de interconexión de redes heterogéneas (con protocolos
diferentes, etc.). En esta capa se ubican a los ruteadores y switches.
Protocolos utilizados: IP, IPX.
CAPA DE TRANSPORTE
Su función
principal consiste en aceptar los datos de la capa de sesión, dividirlos en
unidades más pequeñas, pasarlos a la capa de red y asegurar que todos ellos
lleguen correctamente al otro extremo de la manera más eficiente. La capa de
transporte se necesita para hacer el trabajo de multiplexión transparente al
nivel de sesión. A diferencia de las capas anteriores, esta capa es de tipo
origen-destino; es decir, un programa en la máquina origen lleva una
conversación con un programa parecido que se encuentra en la máquina destino,
utilizando las cabeceras de los mensajes y los mensajes de control. En esta
capa se ubican los gateways y el software. Protocolos utilizados: UDP, TCP,
SPX.
CAPA DE
SESIÓN
Esta capa permite
que los usuarios de diferentes máquinas puedan establecer sesiones entre ellos.
Una sesión podría permitir al usuario acceder a un sistema de tiempo compartido
a distancia, o transferir un archivo entre dos máquinas. En este nivel se
gestional el control del diálogo. Además esta capa se encarga de la
administración del testigo y la sincronización entre el origen y destino de los
datos. En esta capa se ubican los gateways y el software.
Servicios de esta
capa :
controlar el díalogo: las sesiones permiten que el tráfico se
realice en ambas direcciones o en una sola en un momento dado, cuando se
realiza en un solo sentido, esta capa ayudará en el seguimiento de quien tiene
el turno.
administración de testigo: esto es para que en algunos protocolos
los dos extremos no quieran transmitir al mismo tiempo, de esta forma sólo lo
hace el que posee el testigo (token).
sincronización: esta capa proporciona la inserción de
puntos de verificación para el control de flujo. Esto es pues, si dos
computadoras desean transmitir un archivo que lleva dos horas, y al cabo de una
hora se interrumpen las conexiones de red, la transmisión se debe desarrollar
nuevamente desde el principio, con el servicio que brinda esta capa sólo se
transmite lo posterior al punto de verificación.
CAPA DE
PRESENTACIÓN
Se ocupa de los
aspectos de sintaxis y semántica de la información que se transmite y no del
movimiento fiable de bits de un lugar a otro. Es tarea de este nivel la
codificación de de datos conforme a lo acordado previamente. Para posibilitar
la comunicación de ordenadores con diferentes representaciones de datos.
También se puede dar aquí la comprensión de datos. En esta capa se ubican los
gateways y el software. Protocolos utilizados: VT100.
Básicamente
realiza conversiones de datos
Uso de codigo estándar en la red
Transforma representaciones
computador-red-computador
Traceroute : Es una herramienta de diagnóstico de redes,
presente en la mayoría de los sistemas operativos. Esta herramienta permite
determinar la ruta efectuada por un paquete. El comando Traceroute se puede
usar para diagramar un mapa de los routers que se encontraron entre la máquina
fuente y la máquina destino. El comando Traceroute difiere según cada sistema
operativo.
En los sistemas UNIX/Linux, el comando Traceroute es el
siguiente:
traceroute nombre.del.equipo
En los sistemas Windows el comando Traceroute es:
tracert nombre.del.equipo
Tracert :es una consola de diagnóstico que permite seguir
la pista de los paquetes que vienen desde un host (punto de red). Se obtiene
además una estadística del RTT o latencia de red de esos paquetes, lo que viene
a ser una estimación de la distancia a la que están los extremos de la
comunicación. Esta herramienta se llama traceroute en UNIX, Mac1 y GNU/Linux,
mientras que en Windows se llama tracert.
Ping:''Texto en cursiva' Como programa, ping es una utilidad
diagnóstica1 en redes de computadoras que comprueba el estado de la
comunicación del host local con uno o varios equipos remotos de una red a IP
por medio del envío de paquetes ICMP de solicitud y de respuesta.2 Mediante
esta utilidad puede diagnosticarse el estado, velocidad y calidad de una red
determinada.3
Ejecutando Ping de solicitud, el Host local envía un mensaje
ICMP, incrustado en un paquete IP. El mensaje ICMP de solicitud incluye, además
del tipo de mensaje y el código del mismo, un número identificador y una
secuencia de números, de 32 bits, que deberán coincidir con el mensaje ICMP de
respuesta; además de un espacio opcional para datos.
Muchas veces se utiliza para medir la latencia o tiempo que
tardan en comunicarse dos puntos remotos, y por ello, se utiliza el término
PING para referirse al lag o latencia de la conexión en los juegos en red.
Existe otro tipo, Ping ATM, que se utiliza en las redes ATM,
y en este caso, las tramas que se transmiten son ATM (nivel 2 del modelo OSI).
Este tipo de paquetes se envían para probar si los enlaces ATM están
correctamente definidos.
Netstat: (network statistics) es una herramienta de línea de
comandos que muestra un listado de las conexiones activas de una computadora,
tanto entrantes como salientes. Existen versiones de este comando en varios
sistemas como Unix, GNU/Linux, Mac OS X, Windows y BeOS.
La información que resulta del uso del comando incluye el
protocolo en uso, las tablas de ruteo, las estadísticas de las interfaces y el
estado de la conexión. Existen, además de la versión para línea de comandos,
herramientas con interfaz gráfica (GUI) en casi todos los sistemas operativos
desarrollados por terceros.
Ipconfig en Mac OS X es una aplicación de línea de comandos
que puede ser usada para controlar los clientes BootP y DHCP. Como en otros
sistemas operativos basados en UNIX, en Mac OS X también se puede utilizar el
comando ifconfig si necesita un control más directo sobre las interfaces de
red.
Microsoft Windows [Versión 6.1.7601] Copyright (c) 2009
Microsoft Corporation. Reservados todos los derechos. C:\Users\lola>ipconfig
Configuración IP de Windows Adaptador de Ethernet Conexión de área local 2:
Sufijo DNS específico para la conexión. . : Vínculo: dirección IPv6 local. . .
: fe80::5070:e4b1:1def:dca6%14 Dirección IPv4. . . . . . . . . . . . . . :
10.5.64.243 Máscara de subred . . . . . . . . . . . . : 255.255.255.0 Puerta de
enlace predeterminada . . . . . : 10.5.64.250 Adaptador de túnel
isatap.{4F3EADB3-8BE6-40EB-8667-16D0B03DAB00}: Estado de los medios. . . . . .
. . . . . : medios desconectados Sufijo DNS específico para la conexión. . :
Adaptador de túnel Conexión de área local* 3: Sufijo DNS específico para la
conexión. . : Dirección IPv6 . . . . . . . . . . :
2001:0:9d38:6abd:34f7:3ef5:f5fa:bf0c Vínculo: dirección IPv6 local. . . :
fe80::34f7:3ef5:f5fa:bf0c%13 Puerta de enlace predeterminada . . . . . : ::
C:\Users\Nopalep>
0 comentarios:
Publicar un comentario