Broadcast, difusión en español

Es una forma de transmisión de información donde un nodo emisor envía información a una multitud de nodos receptores de manera simultánea, sin necesidad de reproducir la misma transmisión nodo por nodo.

La difusión en redes de área externa Las tecnologías de redes de área local también se basan en el uso de un medio de transmisión compartido. Por lo tanto, es posible la difusión de cualquier trama de datos a todas las paradas que se encuentren en el mismo segmento de la red. Para ello, se utiliza una dirección MAC especial. Todas las estaciones procesan las tramas con dicha dirección.1Por ejemplo la tecnología Ethernet realiza la difusión recibiendo tramas con dirección MAC de destino FF.FF.FF.FF.FF.FF.

La difusión en redes IPv4 El protocolo IP en su versión 4 también permite la difusión de datos. En este caso no existe un medio de transmisión compartido, no obstante, se simula un comportamiento similar

.

La difusión en IPv4 no se realiza a todos los nodos de la red porque colapsaría las líneas de comunicaciones debido a que no existe un medio de transmisión compartido. Tan sólo es posible la difusión a subredes concretas dentro de la red, generalmente, aquellas bajo el control de un mismo enrutador. Para ello existen dos modalidades de difusión:
Difusión limitada (limited broadcast)Consiste en enviar un paquete de datos IP con la dirección 255.255.255.255. Este paquete solamente alcanzará a los nodos que se encuentran dentro de la misma red física subyacente. En general, la red subyacente será una red de área local (LAN) o un segmento de ésta

Multidifusión (multicast)
La multidifusión utiliza un rango especial de direcciones denominado rango de clase D. Estas direcciones no identifican nodos sino redes o subredes. Cuando se envía un paquete con una dirección de multidifusión, todos los enrutadores intermedios se limitan a re-enviar el paquete hasta el enrutador de dicha subred. Éste último se encarga de hacerlo llegar a todos los nodos que se encuentran en la subred.Aquella dirección que tiene todos y cada uno de los bits de la parte de dirección de máquina con valor 1 es una dirección de multidifusión. Por ejemplo, en una red 192.168.11.0/24, la dirección de broadcast es 192.168.11.255. El valor de host 255 en 192.168.11.255 se codifica en binario con sus ocho bits a 1: 11111111.Aún hoy día la multidifusión se utiliza únicamente como experimento. Existe una propuesta de implementación de videoconferencia utilizando multidifusión, sin embargo, se han estandarizado otros mecanismos.

IPsec

IPsec (abreviatura de Internet Protocol security)

es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec también incluye protocolos para el establecimiento de claves de cifrado.

Los protocolos de IPsec actúan en la capa de red, la capa 3 del modelo OSI. Otros protocolos de seguridad para Internet de uso extendido, como SSL, TLS y SSH operan de la capa de transporte (capa 4 del modelo OSI) hacia arriba. Esto hace que IPsec sea más flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP, los protocolos de capa de transporte más usados. Una ventaja importante de IPsec frente a SSL y otros métodos que operan en capas superiores, es que para que una aplicación pueda usar IPsec no hay que hacer ningún cambio, mientras que para usar SSL y otros protocolos de niveles superiores, las aplicaciones tienen que modificar su código.[editar]

Arquitectura de seguridad IPsec

está implementado por un conjunto de protocolos criptográficos para (1) asegurar el flujo de paquetes, (2) garantizar la autenticación mutua y (3) establecer parámetros criptográficos.La arquitectura de seguridad IP utiliza el concepto de asociación de seguridad (SA) como base para construir funciones de seguridad en IP. Una asociación de seguridad es simplemente el paquete de algoritmos y parámetros (tales como las claves) que se está usando para cifrar y autenticar un flujo particular en una dirección. Por lo tanto, en el tráfico normal bidireccional, los flujos son asegurados por un par de asociaciones de seguridad. La decisión final de los algoritmos de cifrado y autenticación (de una lista definida) le corresponde al administrador de IPsec.Para decidir qué protección se va a proporcionar a un paquete saliente, IPsec utiliza el índice de parámetro de seguridad (SPI), un índice a la base de datos de asociaciones de seguridad (SADB), junto con la dirección de destino de la cabecera del paquete, que juntos identifican de forma única una asociación de seguridad para dicho paquete. Para un paquete entrante se realiza un procedimiento similar; en este caso IPsec toma las claves de verificación y descifrado de la base de datos de asociaciones de seguridad.En el caso de multicast, se proporciona una asociación de seguridad al grupo, y se duplica para todos los receptores autorizados del grupo. Puede haber más de una asociación de seguridad para un grupo, utilizando diferentes SPIs, y por ello permitiendo múltiples niveles y conjuntos de seguridad dentro de un grupo. De hecho, cada remitente puede tener múltiples asociaciones de seguridad, permitiendo autenticación, ya que un receptor sólo puede saber que alguien que conoce las claves ha enviado los datos. Hay que observar que el estándar pertinente no describe cómo se elige y duplica la asociación a través del grupo; se asume que un interesado responsable habrá hecho la elección..

American Registry for Internet Numbers

El American Registry for Internet Numbers (ARIN) es el Registro Regional de Internet para América Anglosajona, varias islas de los océanos Pacífico y Atlántico. ARIN se estableció en 1997, y es una organización sin ánimo de lucro. Administran las Direcciones IP versión 4 y versión 6, Números de Sistemas Autónomos, DNS Reverso, y otros recursos de red.

ARIN cubría las Antillas Neerlandesas, Argentina, Aruba, Belice, Bolivia, Brasil, Chile, Colombia, Costa Rica, Cuba, la República Dominicana, Ecuador, El Salvador, las Islas Malvinas (Reino Unido), Guayana Francesa, Guatemala, Guyana, Haití,Honduras, México, Nicaragua, Panamá, Paraguay, Perú, las Islas Georgias del Sur y Sandwich del Sur, Surinam, Trinidad y Tobago, Uruguay, y Venezuela hasta el momento de creación de la LACNIC.

RIPE NCCEl

Centro de Coordinación de redes IP europeas (Réseaux IP Européens Network Coordination Centre (RIPE NCC)) es el Registro Regional de Internet (RIR) para Europa, Oriente Medio y partes de Asia Central.Un RIR supervisa la asignación y registro de los números de recursos de Internet (direcciones IPv4, direcciones IPv6 y números de Sistemas Autónomos) en una región específica.RIPE NCC proporciona la

coordinación administrativa de la infraestructura de Internet. Es una organización sin ánimo de lucro con más de 5000 miembros pertenecientes a los alrededor de 70 países perteneciente a su área de servicio.Cualquier persona u organización puede convertirse en miembro de RIPE NCC. Sus miembros son básicamente Proveedores de Servicios de Internet (ISPs), organizaciones de telecomunicaciones, instituciones educativas, gobiernos, reguladores y grandes corporaciones.RIPE NCC también proporciona soporte técnico y administrativo a Redes IP Europeas (Réseaux IP Européens (RIPE)), un foro abierto a todas las partes interesadas en el desarrollo técnico de Internet.

LACNIC

Latin America & Caribbean Network Information Centre1 (LACNIC) (Registros de Direcciones de Internet para Latino américa y el Caribe) es el Registro Regional de Internet para América

Latina y el Caribe. Administran lasDirecciones IP versión 4 y versión 6, Números de Sistemas Autónomos, DNS Reverso, y otros recursos de red para la región.LACNIC se estableció en el año 2001. Sus oficinas administrativas se encuentran en Montevideo, Uruguay y el complejo tecnológico de asignación es provisto por Comitê Gestor da Internet Brasil de São Paulo Brasil. Antes de su fundación, los registros de servicios IP para la región eran provistos por la American Registry for Internet Numbers (ARIN).

APNIC

Con sede en Brisbane, Australia, APNIC (Asia Pacific Network Information Centre) es una organización abierta, sin fines de lucro y basada en una membresía institucional. Es uno de los cinco Registros Regionales de Internet (RIR), y se encar

ga de velar por la justa distribución y la gestión responsable de las direcciones IP y los recursos relacionados en el área de Asia y Pacífico. Estos

recursos son necesarios para el funcionamiento estable y seguro de la Internet global. Entre sus miembros fundadores[1] se encuentran organismos gubernamentales, universidades y conglomerados de empresas tecnológicas y de servicios de telecomunicaciones.Como parte de este serv

icio, la Secretaría de la APNIC es responsable de mantener al público la base de datos WHOIS y la gestión de delegaciones inversas de DNS en esa zona.La APNIC, como la gran parte de las asociaciones regionales de gestión, participa también de manera activa en el desarrollo de la infraestructura de Internet. Esto incluye ofrecer servicios de capacitación y formación, apoyo a las distintas actividades técnicas, como instalaciones de servidores raíz, y la colaboración con otras organizaciones regionales e internacionales.

AFRINIC (African Network Information Center)

Es el Registro Regional de Internet (RIR) para África. Tiene su sede en la ciudad de Ebene, Mauricio. Adiel Akplogan es el registro oficial de presidente ejecutivo. A partir de noviembre de 2010, AFRINIC contaba con una plantilla de 18 años. [1] An

tes de AFRINIC se formó, las direcciones IP para África fueron distribuidos por el Centro de Información de Red Asia-Pacífico (APNIC), el Registro Americano para Números de Internet (ARIN), y

el RIPE NCC. [2] ICANN reconocida provisionalmente AfriNIC el 11 de octubre de 2004. El registro comenzó a funcionar el 22 de febrero de 2005. ICANN le dio el reconocimiento final en abril de 2005.AFRINIC se ha asignado a los bloques de direcciones IPv4 41.0.0.0 / 8, 102.0.0.0 / 8, 105.0.0.0 / 8 y 197.0.0.0 / 8 y bloques IPv6 2c00 :: / 12 y 2001 : 4200 :: / 23. AFRINIC también administra el espacio de direcciones de 196.0.0.0 / 8 y 8 154.0.0.0 / [3].

https://www.arin.net/knowledge/rirs/AfriNICcountries.html

Componentes de la IPV6

La figura ilustra una red IPv6 y sus conexiones con un ISP. La red interna consta de los vínculos 1, 2, 3 y 4. Los hosts rellenan los vínculos y un enrutador los termina. El vínculo 4, considerado la DMZ de la red, queda terminado en un extremo por el enrutador de límite. El enrutador de límite ejecuta un túnel IPv6 a un ISP, que ofrece conexión a Internet para la red. Los vínculos 2 y 3 se administran como subred 8a. La subred 8b tan sólo consta de sistemas en el vínculo 1. La subred 8c es contigua a la DMZ del vínculo 4.Como se muestra en la Figura 3–1, una red IPv6 tiene prácticamente los mismos componentes que una red IPv4. No obstante, la terminología de IPv6 presenta ligeras diferencias respecto a la de IPv4. A continuación se presenta una serie de términos sobre componentes de red empleados en un contexto de IPv6

.

Network Address Translation

NAT (Network Address Translation - Traducción de Dirección de Red)

es un mecanismo utilizado por encaminadores IP para intercambiar paquetes entre dos redes que asignan mutuamente direcciones incompatibles. Consiste en convertir, en tiempo real, las direcciones utilizadas en los paquetes transportados. También es necesario editar los paquetes para permitir la operación de protocolos que incluyen información de direcciones dentro de la conversación del protocolo.El tipo más simple de NAT proporciona una traducción una-a-una de las direcciones IP. La RFC 2663 se refiere a este tipo de NAT como NAT Básico, también se le conoce como NAT una-a-una. En este tipo de NAT únicamente, las direcciones IP, las sumas de comprobación (checksums) de la cabecera IP, y las sumas de comprobación de nivel superior, que se incluyen en la dirección IP necesitan ser cambiadas. El resto del paquete se puede quedar sin tocar (al menos para la funcionalidad básica del TCP/UDP, algunos protocolos de nivel superior pueden necesitar otra forma de traducción). Es corriente ocultar un espacio completo de direcciones IP, normalmente son direcciones privadas IP, detrás de una única dirección IP (o pequeño grupo de direcciones IP) en otro espacio de direcciones (normalmente público).Su uso más común es permitir utilizar direcciones privadas (definidas en el RFC 1918) para acceder a Internet. Existen rangos de direcciones privadas que pueden usarse libremente y en la cantidad que se quiera dentro de una red privada. Si el número de direcciones privadas es muy grande puede usarse solo una parte de direcciones públicas para salir a Internet desde la red privada. De esta manera simultáneamente sólo pueden salir a Internet con una dirección IP tantos equipos como direcciones públicas se hayan contratado. Esto es necesario debido al progresivo agotamiento de las direcciones IPv4. Se espera que con el advenimiento de IPv6 no sea necesario continuar con esta práctica

¿Que es IPV6?

IPv6

El Internet Protocol version 6 (IPv6) (en español: Protocolo de Internet versión 6) es una versión del protocolo Internet Protocol (IP), definida en el RFC 2460 y diseñada para reemplazar a Internet Protocol version 4 (IPv4) RFC 791, que actualmente está implementado en la gran mayoría de dispositivos que acceden a Internet.Diseñado por Steve Deering de Xerox PARC y Craig Mudge, IPv6 está destinado a sustituir a IPv4, cuyo límite en el número de direcciones de red admisibles está empezando a restringir el crecimiento de Internet y su uso, especialmente en China,India, y otros países asiáticos densamente poblados. El nuevo estándar mejorará el servicio globalmente; por ejemplo, proporcionará a futuras celdas telefónicas y dispositivos móviles sus direcciones propias y permanentes.A principios de 2010, quedaban menos del 10% de IPs sin asignar.1 En la semana del 3 de febrero del 2011, la IANA (Agencia Internacional de Asignación de Números de Internet, por sus siglas en inglés) entregó el último bloque de direcciones disponibles (33 millones) a la organización encargada de asignar IPs en Asia, un mercado que está en auge y no tardará en consumirlas todas.IPv4 posibilita 4.294.967.296 (232) direcciones de red diferentes, un número inadecuado para dar una dirección a cada persona del planeta, y mucho menos a cada vehículo, teléfono, PDA, etcétera. En cambio, IPv6 admite 340.282.366.920.938.463.463.374.607.431.768.211.456 (2128 o 340 sextillones de direcciones) —cerca de 6,7 × 1017 (670 mil billones) de direcciones por cada milímetro cuadrado de la superficie de La Tierra.Otra vía para la popularización del protocolo es la adopción de este por parte de instituciones. El gobierno de los Estados Unidos ordenó el despliegue de IPv6 por todas sus agencias federales en el año 20082

Comandos Iptables

Cortafuegos e iptables

Un cortafuegos es un conjunto de reglas de filtrado de paquetes que regulan y controlan el tráfico entre dos redes (o el tráfico individual de un equipo). Este conjunto de reglas se pueden establecer en un hadware específico o bien establecerlo en un ordenador, con linux en nuestro caso.
Iptables es la utilidad que vamos a utilizar para crear e insertar en el núcleo las distintas reglas de filtrado que vamos a establecer sobre los paquetes.

Tipos de filtros de paquetes

Podemos distinguir varios tipos de paquetes IP en la máquina cortafuegos:
Paquetes con origen remoto y destino remoto: son los paquetes, que actuando como gateway, nuestra máquina tiene que reenviar. Estos paquetes se analizan mediante el filtro de reenvío, llamado FORWARD. Para que una máquina pueda reenviar paquetes tenemos que activar esta caractaarística mediante


echo 1 > /proc/sys/net/ipv4/ip_forward


Paquetes con origen remoto y destino local: son los paquetes que las máquinas de cualquier red envían a nuestra máquina. Estos paquetes se analizan mediante el filtro de entrada, llamado INPUT.
Paquetes con origen local y destino remoto: son los paquetes que nuestra máquina envía a otras computadoras. Estos paquetes se analizan mediante el filtro de salida, llamado OUTPUT.
Generalizando un poco los tipod de filtos pueden ser:
MANGLE: reglas de manipulación de paquetes.
NAT: reglas PREROUTING, POSTROUTING de traducción de direcciones. (NAT network address translation).
FILTER: reglas INPUT, OUTPUT, FORWARD de filtrado de paquetes que ya habíamos descrito.

Cadenas

Vamos a denominar cadena al conjunto de reglas asociados con un determinado tipo de filtro. Iptables también dispone de la posiblidad de que un usuario pueda definir sus propias cadenas y asignarle un nombre. Los nombres de cadenas predefinidos son INPUT, OUTPUT y FORWARD.

Acciones sobe un paquete

Como vimos anteriormente, las decisiones que puede tomar un cada regla de un filtro de paquetes pueden ser, dejar pasar el paquete (ACCEPT), responderle al emisor educadamente que ese paquete no puede pasar (REJECT) o bien simplemente descartarlo como si no hubiera llegado (DROP o DENY).
Observamos que la diferencia entre REJECT y DROP consiste en que mediante REJECT se le contesta que el servicio no está disponible (icmp destination port unrechable) evitando así demoras en la conexión y mediante DROP no se le contesta nada por lo cual el sistema remoto no corta la conexión hasta que ha transcurrido el tiempo de espera de la contestación con la consiguiente ralentización. Para la red local es aconsejable usar REJECT aunque cada administrador tiene que estudiar su situación.
Por los mismos motivos tenemos que tener cuidado con el protocolo ICMP.
También tenemos la acción LOG que origina un registro de los paquetes que verifican la regla.
En un paso un poco más complicado, también se podría manipular el paquete y cambiarle ciertas características a nuestra conveniencia.
Estas opciones se la vamos a especificar a iptables con la opción "-j".

Caracteristicas básicas de un paquete

Las características básicas de un paquete, que van a servir para identificarlo son:

Dirección de origen

Indica quien es el emisor del paquete, de qué ordenador viene. Lo podremos especificar con una dirección IP, un nombre de host o una dirección de red en formato CIDR (192.168.0.0/24) o en notación clasica (192.168.0.0/255.255.255.0). En iptables podemos especificar la dirección origen con la opción "-s". Si en una regla omitimos la dirección origen equivale a poner 0/0 es decir cualquier dirección. Por ejemplo "-s 192.168.0.0/24" indicaría cualquier dirección con origen en la red de clase C (24 bits de red) 192.168.0.0. Si delante de la dirección añadimos "!" entonces hacemos referencia a cualquier dirección salvo la especificada, es decir, que no sea esa dirección.

Dirección de destino

Indica a quien va dirigido el paquete, a qué ordenador via. También lo podremos especificar con una dirección IP, un nombre de host o una dirección de red en formato CIDR (192.168.0.0/24) o en notación clasica (192.168.0.0/255.255.255.0). En iptables podemos especificar la dirección destino con la opción "-d". Si en una regla omitimos la dirección origen equivale a poner 0/0 es decir cualquier dirección. Por ejemplo "-s 192.168.0.0/24" indicaría cualquier dirección con destino a la red de clase C (24 bits de red) 192.168.0.0. Si delante de la dirección añadimos "!" entonces hacemos referencia a cualquier dirección salvo la especificada, es decir, que no sea esa dirección.

Protocolo

Podemos establecer filtros sobre protocolos concretos, será obligatorio si además especificamos algún puerto. La opción para especificar un protocolo es "-p" y los valores posibles son TDP, UDP e ICMP. El signo "!" antes del nombre del protocolo también se utiliza para negar.

Interfaz de entrada

Podemos especificar un dispositivo de entrada de red concreto con la opción "-i". Por ejemplo "-i eth0" indicaría un paquete que proviene de eth0. Se puede usar un "!". Evidentemente no podremos usar un interfaz de entrada con una regla de salida (OUTPUT).

Interfaz de salida

Podemos especificar un dispositivo de salida de red concreto con la opción "-o". Por ejemplo "-o eth0" indicaría un paquete que sale por eth0. Se puede usar un "!". Evidentemente no podremos usar un interfaz de salida con una regla de entrada (INTPUT).

Puerto origen

Mediente la opción "--sport" podemos especificar un puerto o un rango de puertos si los separamos por ":", por ejemplo [1024:65535] indicaría desde 1025 hasta 65535. Los puertos los podemos especificar por su número o también por el nombre asociado en el fichero /etc/services. Es necesario especificar -p TCP o -p UDP para poder especificar un pueerto origen.

Puerto destino

Mediente la opción "--dport" podemos especificar un puerto o un rango de puertos. Las consideraciones son iguales que para el puerto origen.

Introducción.

Acerca de Iptables y Netfilter.

Netfilter es un conjunto de ganchos (Hooks, es decir, técnicas de programación que se emplean para crear cadenas de procedimientos como manejador) dentro del núcleo de GNU/Linux y que son utilizados para interceptar y manipular paquetes de red. El componente mejor conocido es el cortafuegos, el cual realiza procesos de filtración de paquetes. Los ganchos son también utilizados por un componente que se encarga del NAT (acrónimo de Network Address Translation o Traducción de dirección de red). Estos componentes son cargados como módulos del núcleo.

Iptables es el nombre de la herramienta de espacio de usuario (User Space, es decir, área de memoria donde todas las aplicaciones, en modo de usuario, pueden ser intercambiadas hacia memoria virtual cuando sea necesario) a través de la cual los administradores crean reglas para cada filtrado de paquetes y módulos de NAT. Iptables es la herramienta estándar de todas las distribuciones modernas de GNU/Linux

Equipamiento lógico necesario.
Instalación a través de yum.

Si utiliza CentOS 5 y 6, Red Hat Enterprise Linux 5 o 6, solo se necesita realizar lo siguiente para instalar o actualizar el equipamiento lógico necesario:

yum -y install iptables

Procedimientos.
Cadenas.

Las cadenas pueden ser para tráfico entrante (INPUT), tráfico saliente (OUTPUT) o tráfico reenviado (FORWARD).
Reglas de destino.

Las reglas de destino pueden ser aceptar conexiones (ACCEPT), descartar conexiones (DROP), rechazar conexiones (REJECT), encaminamiento posterior (POSTROUTING), encaminamiento previo (PREROUTING), SNAT, NAT, entre otras.
Políticas por defecto.

Establecen cual es la acción a tomar por defecto ante cualquier tipo de conexión. La opción -P cambia una política para una cadena. En el siguiente ejemplo se descartan (DROP) todas las conexiones que ingresen (INPUT), todas las conexiones que se reenvíen (FORWARD) y todas las conexiones que salgan (OUTPUT), es decir, se descarta todo el tráfico que entre desde una red pública y el que trate de salir desde la red local.
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT


Limpieza de reglas específicas.

A fin de poder crear nuevas reglas, se deben borrar las existentes, para el tráfico entrante, tráfico reenviado y tráfico saliente así como el NAT.
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -F -t nat


Reglas específicas.

Las opciones más comunes son:
-A añade una cadena, la opción -i define una interfaz de tráfico entrante
-o define una interfaz para trafico saliente
-j establece una regla de destino del tráfico, que puede ser ACCEPT, DROP o REJECT. La
-m define que se aplica la regla si hay una coincidencia específica
--state define una lista separada por comas de distinto tipos de estados de las conexiones (INVALID, ESTABLISHED, NEW, RELATED).
--to-source define que IP reportar al tráfico externo
-s define trafico de origen
-d define tráfico de destino
--source-port define el puerto desde el que se origina la conexión
--destination-port define el puerto hacia el que se dirige la conexión
-t tabla a utilizar, pueden ser nat, filter, mangle o raw.