tatiana
/
taiage-spring
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

Actualizacion de temario

This commit is contained in:
Tatiana Villa Ema 2026-05-16 18:50:46 +02:00
parent 9e9631991f
commit f0f4617f64
11 changed files with 1 additions and 989 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

2
src/main/resources/static/js/temas-data.js
View File

File diff suppressed because one or more lines are too long

0
src/main/resources/temas/bloque4/B4T7.md → src/main/resources/temas/bloque4/B4T07.md
View File

0
src/main/resources/temas/bloque4/B4T8.md → src/main/resources/temas/bloque4/B4T08.md
View File

0
src/main/resources/temas/bloque4/B4T8_audio.md → src/main/resources/temas/bloque4/B4T08_audio.md
View File

0
src/main/resources/temas/bloque4/B4T9.md → src/main/resources/temas/bloque4/B4T09.md
View File

0
src/main/resources/temas/bloque4/B4T9_audio.md → src/main/resources/temas/bloque4/B4T09_audio.md
View File

403
src/main/resources/temas/bloque4/B4T10_20260428.md
View File

@ -1,403 +0,0 @@
# Bloque 4 · Tema 10
# Redes locales. Tipología. Técnicas de transmisión. Métodos de acceso. Dispositivos de interconexión.
---
# 1. Esquema introductorio (visión rápida)
**LAN (Local Area Network):** red de comunicaciones de corto alcance (edificio o campus).
**Topologías físicas:** bus, estrella, anillo, malla, árbol.
**Topologías lógicas:** bus (CSMA/CD), anillo de token.
**Técnicas de transmisión:**
- Banda base (baseband): señal digital sobre todo el ancho de banda del medio.
- Banda ancha (broadband): múltiples canales sobre el ancho de banda.
**Métodos de acceso al medio:**
- **CSMA/CD (Ethernet):** detecta colisiones.
- **CSMA/CA (Wi-Fi):** evita colisiones.
- **Token Ring:** turno garantizado.
**Dispositivos:** repetidor, hub, bridge, switch, router, gateway.
---
# 2. Redes de área local (LAN) Concepto y clasificación
## 2.1 Definición
Una **LAN (Local Area Network)** es una red de comunicaciones que cubre un área geográfica limitada (habitación, edificio, campus). Se caracteriza por:
- Alta velocidad de transmisión (100 Mbps 100 Gbps).
- Baja tasa de errores.
- Propiedad privada (la organización es dueña de la infraestructura).
- Tecnologías predominantes: **Ethernet** (IEEE 802.3) y **Wi-Fi** (IEEE 802.11).
## 2.2 Clasificación por extensión
| Tipo | Cobertura | Velocidad típica | Ejemplo |
|------|-----------|-----------------|---------|
| **PAN** | ~10 m | 1-100 Mbps | Bluetooth, USB |
| **LAN** | Edificio/campus | 100 Mbps 100 Gbps | Ethernet, Wi-Fi |
| **MAN** | Ciudad | 10 Mbps 10 Gbps | Metro Ethernet, WiMAX |
| **WAN** | País/internacional | Variable | Internet, MPLS |
---
# 3. Topologías de red
La **topología** describe la estructura física o lógica de cómo están interconectados los nodos.
## 3.1 Topología en bus
```
[PC1]---[PC2]---[PC3]---[PC4]
←── Cable coaxial ──→
(terminadores en extremos)
```
- Todos los nodos comparten el mismo medio de transmisión.
- Las señales se propagan en ambos sentidos.
- **Terminadores:** impiden las reflexiones en los extremos del cable.
- **Ventaja:** sencilla y económica.
- **Desventaja:** un corte en el cable inutiliza toda la red; colisiones frecuentes; difícil diagnóstico.
- Ejemplo: Ethernet 10BASE2 (coaxial delgado), 10BASE5 (grueso).
## 3.2 Topología en estrella
```
[PC1]
|
[PC2]--[SWITCH]--[PC3]
|
[PC4]
```
- Todos los nodos se conectan a un **nodo central** (switch, hub).
- **Ventaja:** fallo de un nodo no afecta al resto; fácil diagnóstico; sencillo de ampliar.
- **Desventaja:** el nodo central es **punto único de fallo**; coste del cableado a cada nodo.
- **La topología más utilizada en LAN modernas** (con switches).
## 3.3 Topología en anillo
```
[PC1] → [PC2] → [PC3] → [PC4] → [PC1]
```
- Los nodos forman un círculo; los datos circulan en un sentido (o en ambos en anillos duales).
- Acceso al medio: **Token Ring (IEEE 802.5)** o **FDDI**.
- **Ventaja:** predecible; no hay colisiones (acceso ordenado por token).
- **Desventaja:** un fallo en el anillo interrumpe la red; en desuso frente a Ethernet.
## 3.4 Topología en malla
- Cada nodo está conectado directamente a todos los demás nodos (malla completa) o a varios (malla parcial).
- **Ventaja:** muy alta redundancia y tolerancia a fallos.
- **Desventaja:** coste muy elevado en cables y puertos.
- Uso: redes de backbone críticas, Internet (malla parcial).
## 3.5 Topología en árbol (jerárquica)
```
[Core Switch]
/ \
[Distrib SW] [Distrib SW]
/ \ / \
[Access] [Access] [Access] [Access]
```
- Jerarquía de nodos en tres niveles: **core, distribución, acceso**.
- La más usada en redes corporativas (arquitectura de tres capas).
- **Ventaja:** escalable y fácil de gestionar.
- **Desventaja:** dependencia de los nodos superiores.
## 3.6 Topología lógica vs física
| Tipo | Descripción |
|------|-------------|
| **Topología física** | Cómo están conectados físicamente los cables y dispositivos |
| **Topología lógica** | Cómo fluye la información lógicamente en la red |
Ejemplo: Ethernet moderno tiene **topología física en estrella** (con switch) pero **topología lógica de bus** (todos comparten el dominio de broadcast).
---
# 4. Técnicas de transmisión
## 4.1 Banda base (Baseband)
- La señal digital ocupa **todo el ancho de banda** del medio.
- Solo se puede transmitir una señal a la vez.
- Codificación típica: **Manchester** (combinación de señal de reloj y datos).
- Ejemplo: **Ethernet (10BASE-T, 100BASE-TX)**.
- Es la técnica estándar en LAN.
## 4.2 Banda ancha (Broadband)
- El ancho de banda del medio se divide en **múltiples canales** de frecuencia (multiplexación por frecuencia, FDM).
- Cada canal puede llevar una señal diferente.
- Ejemplo: **ADSL, cable coaxial (TV por cable), DOCSIS**.
- En LAN se usa excepcionalmente (ej. 10BROAD36, obsoleto).
## 4.3 Comparativa
| Característica | Banda base | Banda ancha |
|---------------|-----------|------------|
| Señal | Digital | Analógica (modulada) |
| Canales | Uno | Varios |
| Distancia | Corta (LAN) | Larga (WAN/MAN) |
| Uso en LAN | Sí (estándar) | Excepcional |
## 4.4 Codificación de la señal
| Codificación | Descripción | Uso |
|-------------|-------------|-----|
| **NRZ (Non-Return to Zero)** | 1 = voltaje alto, 0 = voltaje bajo; no tiene señal de reloj integrada | Básica |
| **Manchester** | Transición a mitad del bit (↑ = 1, ↓ = 0); reloj auto-sincronizado | 10BASE-T Ethernet |
| **Manchester diferencial** | La transición indica el bit; más robusto al ruido | Token Ring |
| **4B5B / 8B10B** | Bloques de código; balance DC y sincronización | Fast Ethernet, Gigabit Ethernet |
| **PAM-4** | 4 niveles de amplitud por símbolo; dobla la tasa | 25G/400G Ethernet |
---
# 5. Métodos de acceso al medio
El **método de acceso al medio (MAC Medium Access Control)** controla cómo los nodos comparten el medio de transmisión para evitar o resolver colisiones.
## 5.1 CSMA/CD Carrier Sense Multiple Access with Collision Detection
**Usado en: Ethernet (IEEE 802.3) en topología de bus o con hub.**
Algoritmo:
1. **Carrier Sense (CS):** el nodo escucha el medio antes de transmitir.
2. **Multiple Access (MA):** varios nodos pueden transmitir si el medio está libre.
3. Si dos nodos transmiten a la vez → **colisión**.
4. **Collision Detection (CD):** los nodos detectan la colisión.
5. Se envía una señal **jam** para notificar la colisión a todos.
6. Cada nodo espera un tiempo aleatorio (**backoff exponencial binario**) y reintenta.
**Nota importante:** con switches modernos (full-duplex), no hay colisiones → CSMA/CD ya no es relevante en redes actuales, pero se sigue estudiando como concepto.
## 5.2 CSMA/CA Carrier Sense Multiple Access with Collision Avoidance
**Usado en: Wi-Fi (IEEE 802.11).**
- En inalámbrico, una estación no puede detectar colisiones mientras transmite (no oye su propia señal reflejada).
- En lugar de detectar, intenta **evitar** las colisiones.
- Mecanismo: **DIFS + espera aleatoria (ventana de contención)** antes de transmitir.
- **ACK obligatorio:** el receptor confirma la recepción de cada trama.
- Variante: **RTS/CTS (Request to Send / Clear to Send)** para evitar el problema del nodo oculto.
### Problema del nodo oculto
Dos estaciones (A y C) no se "escuchan" entre sí pero ambas pueden comunicarse con B.
Si A y C transmiten simultáneamente a B → colisión en B sin que A ni C la detecten.
Solución: **RTS/CTS**.
## 5.3 Token Ring (IEEE 802.5)
- Un **token** (ficha) circula por el anillo.
- Solo el nodo que tiene el token puede transmitir.
- Acceso **determinista**: sin colisiones; latencia predecible.
- Velocidades: 4 Mbps y 16 Mbps.
- **Obsoleto**; reemplazado por Ethernet switched.
## 5.4 FDDI (Fiber Distributed Data Interface)
- Anillo dual de fibra óptica a **100 Mbps**.
- Acceso por token; tolerante a fallos (anillo secundario de backup).
- Usado en MAN y backbone en los 90.
- **Obsoleto**; reemplazado por Fast/Gigabit Ethernet y fibra.
## 5.5 Comparativa de métodos de acceso
| Método | Tecnología | Tipo | Colisiones | Determinista |
|--------|-----------|------|-----------|-------------|
| **CSMA/CD** | Ethernet legacy | Contención | Detecta y recupera | No |
| **CSMA/CA** | Wi-Fi | Contención | Evita | No |
| **Token Ring** | IEEE 802.5 | Turno | Sin colisiones | Sí |
| **FDDI** | Fibra FDDI | Turno (token) | Sin colisiones | Sí |
| **Full-duplex Ethernet** | Ethernet moderno | Conmutación | Sin colisiones | No (pero muy baja latencia) |
---
# 6. Ethernet El estándar de LAN
## 6.1 Historia y evolución
| Versión | Velocidad | Medio | Estándar |
|---------|-----------|-------|---------|
| **10BASE5** | 10 Mbps | Coaxial grueso | IEEE 802.3 (1983) |
| **10BASE2** | 10 Mbps | Coaxial delgado | IEEE 802.3a |
| **10BASE-T** | 10 Mbps | Par trenzado UTP Cat3 | IEEE 802.3i (1990) |
| **100BASE-TX** | 100 Mbps | UTP Cat5 | IEEE 802.3u (1995) Fast Ethernet |
| **1000BASE-T** | 1 Gbps | UTP Cat5e | IEEE 802.3ab (1999) Gigabit Ethernet |
| **10GBASE-T** | 10 Gbps | UTP Cat6A | IEEE 802.3an (2006) |
| **10GBASE-SR/LR** | 10 Gbps | Fibra | IEEE 802.3ae |
| **40/100GBASE** | 40/100 Gbps | Fibra | IEEE 802.3ba (2010) |
| **400GBASE** | 400 Gbps | Fibra | IEEE 802.3bs (2017) |
La nomenclatura `VelocidadBASE-Tipo` sigue el patrón:
- **Velocidad** en Mbps o Gbps.
- **BASE** = banda base.
- **Tipo:** T = par trenzado, S = fibra multimodo (short), L = fibra monomodo (long), X = codificación especial.
## 6.2 Trama Ethernet (IEEE 802.3)
```
| Preámbulo | SFD | MAC Dst | MAC Src | EtherType/Longitud | Datos (payload) | FCS |
| 7 bytes | 1 B | 6 bytes | 6 bytes | 2 bytes | 46-1500 bytes | 4 B |
```
- **Preámbulo:** sincronización del receptor (patrón 10101010...).
- **SFD (Start Frame Delimiter):** indica el inicio de la trama (10101011).
- **MAC Dst / Src:** direcciones físicas (48 bits / 6 bytes) en notación hexadecimal.
- **EtherType:** indica el protocolo de capa superior (0x0800 = IPv4, 0x0806 = ARP, 0x86DD = IPv6).
- **FCS (Frame Check Sequence):** CRC para detección de errores.
**MTU:** 1500 bytes (payload máximo).
**Tamaño mínimo de trama:** 64 bytes (para que CSMA/CD funcione correctamente).
## 6.3 Dirección MAC
- **48 bits** (6 bytes) = 12 dígitos hexadecimales (ej. `00:1A:2B:3C:4D:5E`).
- Los primeros 24 bits: **OUI (Organizationally Unique Identifier)** → identifica al fabricante.
- Los últimos 24 bits: asignados por el fabricante (número de serie).
- **Dirección broadcast:** `FF:FF:FF:FF:FF:FF` (enviada a todos los nodos).
- **Dirección multicast:** bit LSB del primer byte = 1.
## 6.4 VLANs (IEEE 802.1Q)
Una **VLAN (Virtual LAN)** segmenta una LAN física en múltiples LANs virtuales independientes.
```
[SWITCH]
/ | \
VLAN10 VLAN20 VLAN30
(Ventas) (IT) (RRHH)
```
- Los dispositivos de distintas VLANs no pueden comunicarse directamente sin un **router o switch L3**.
- **Puerto de acceso (access):** asignado a una VLAN; el switch agrega la etiqueta 802.1Q internamente.
- **Puerto troncal (trunk):** transporta tráfico de múltiples VLANs; la etiqueta 802.1Q viaja en los frames.
- **VLAN tag (802.1Q):** 4 bytes adicionales en la trama Ethernet con el ID de VLAN (VID, 12 bits → hasta 4094 VLANs).
**Ventajas:**
- Segmentación de tráfico → mayor seguridad.
- Reducción del dominio de broadcast.
- Flexibilidad: agrupación lógica sin cambios físicos.
---
# 7. Dispositivos de interconexión
## 7.1 Repetidor (capa 1)
- Regenera la señal digital para extender el alcance del cable.
- No filtra ni procesa: transmite todos los bits.
- Extiende el dominio de colisión.
- Prácticamente en desuso (sustituido por switches).
## 7.2 Hub (concentrador capa 1)
- Conecta múltiples dispositivos en topología estrella.
- Funciona como repetidor multipuerto: retransmite a todos los puertos.
- Un único dominio de colisión y broadcast para todos los nodos.
- **Obsoleto**; sustituido por switches.
## 7.3 Bridge (puente capa 2)
- Conecta dos segmentos de red.
- Aprende direcciones MAC de cada segmento.
- Filtra el tráfico: solo retransmite tramas al segmento donde está el destino.
- Separa dominios de colisión (pero no de broadcast).
- **STP (Spanning Tree Protocol IEEE 802.1D):** evita bucles lógicos en redes con múltiples bridges.
## 7.4 Switch (conmutador capa 2)
El switch es el dispositivo central de las LAN modernas.
**Funcionamiento:**
1. Cuando llega una trama, el switch aprende la MAC origen y el puerto de entrada.
2. Busca la MAC destino en su **tabla CAM (Content Addressable Memory)**.
3. Si encuentra la entrada → envía la trama solo por ese puerto (**unicast**).
4. Si no la encuentra → **flooding** (envía por todos los puertos excepto el de entrada).
5. Broadcasts y multicasts → envía por todos los puertos.
**Modos de conmutación:**
| Modo | Descripción | Latencia | Errores |
|------|-------------|----------|---------|
| **Store-and-Forward** | Almacena la trama completa, verifica FCS antes de reenviar | Mayor | Filtra errores |
| **Cut-Through** | Empieza a reenviar en cuanto lee la MAC destino | Menor | No filtra errores |
| **Fragment-Free** | Lee los primeros 64 bytes (detecta fragmentos de colisión) | Media | Parcial |
**Switch capa 3:**
- Añade capacidad de enrutamiento IP al switch.
- Enrutamiento inter-VLAN sin necesidad de router externo.
- Más rápido que un router para el tráfico interno (enrutamiento hardware).
### STP Spanning Tree Protocol (IEEE 802.1D)
Evita **bucles físicos** en redes con enlaces redundantes entre switches.
- Se elige un **Root Bridge** (switch raíz).
- Se calculan los caminos más cortos al Root Bridge.
- Los puertos redundantes quedan en estado **blocking** (bloqueados).
- Si el camino activo falla → STP reconverge y activa el camino bloqueado.
- **RSTP (IEEE 802.1w):** Rapid STP; converge en milisegundos (vs 30-50 s del STP original).
- **MSTP (IEEE 802.1s):** Multiple STP; instancias STP por VLAN.
## 7.5 Router (encaminador capa 3)
- Conecta redes diferentes (distintas subredes IP).
- Toma decisiones de enrutamiento basadas en la dirección **IP destino**.
- **Tabla de enrutamiento:** lista de redes conocidas con el siguiente salto.
- Separa dominios de broadcast.
## 7.6 Gateway (pasarela)
- Traduce entre protocolos de redes heterogéneas.
- Opera en todas las capas (hasta capa 7).
- Ejemplo: gateway entre red IP y red ATM.
## 7.7 Resumen comparativo
| Dispositivo | Capa OSI | Dirección usada | Dom. colisión | Dom. broadcast | Inteligencia |
|-------------|---------|----------------|--------------|----------------|-------------|
| Repetidor | 1 | — | Extende | — | Ninguna |
| Hub | 1 | — | Único | Único | Ninguna |
| Bridge | 2 | MAC | Separa | Único | Tabla MAC |
| Switch | 2 (o 3) | MAC (o IP) | Separa | Único (o VLAN) | Tabla CAM |
| Router | 3 | IP | Separa | Separa | Tabla enrutamiento |
| Gateway | 1-7 | Todas | — | — | Protocolo app |
---
# 8. Resumen: conceptos clave para el examen
| Concepto | Dato clave |
|----------|-----------|
| LAN | Red local; alta velocidad; propiedad privada |
| Topología estrella | La más común en LAN; nodo central = switch |
| Topología bus | Cable coaxial compartido; terminadores; colisiones |
| Topología anillo | Token circulante; IEEE 802.5; obsoleto |
| Banda base | Señal digital; todo el ancho de banda; Ethernet |
| Banda ancha | Múltiples canales FDM; ADSL, cable coaxial |
| Codificación Manchester | Transición a mitad del bit; 10BASE-T Ethernet |
| CSMA/CD | Ethernet legacy; detecta colisiones; backoff exponencial |
| CSMA/CA | Wi-Fi; evita colisiones; DIFS + ventana aleatoria |
| Token Ring | Acceso determinista; sin colisiones; IEEE 802.5 |
| Trama Ethernet | Preámbulo+SFD+MAC dst+MAC src+EtherType+Datos+FCS |
| MAC | 48 bits (6 bytes); OUI (24 bits fabricante) |
| Broadcast MAC | FF:FF:FF:FF:FF:FF |
| MTU Ethernet | 1500 bytes |
| VLAN (IEEE 802.1Q) | Hasta 4094 VLANs; tag de 4 bytes; trunk/access |
| Switch tabla CAM | Aprende MACs; unicast, flooding, broadcast |
| Store-and-Forward | Almacena y verifica FCS; filtra errores |
| Cut-Through | Reenvía leyendo solo MAC destino; menor latencia |
| STP (IEEE 802.1D) | Evita bucles; Root Bridge; puertos blocking |
| RSTP (IEEE 802.1w) | STP rápido; converge en milisegundos |
| Switch L3 | Enrutamiento inter-VLAN sin router externo |
| Router | Capa 3; separa dominios broadcast; tabla enrutamiento |
| 100BASE-TX | Fast Ethernet; 100 Mbps; UTP Cat5; IEEE 802.3u |
| 1000BASE-T | Gigabit Ethernet; 1 Gbps; UTP Cat5e; IEEE 802.3ab |

44
src/main/resources/temas/bloque4/B4T10_apuntesdeclase.md
View File

@ -1,44 +0,0 @@
# Bloque 4 · Tema 10
# Redes locales. Tipología. Técnicas de transmisión. Métodos de acceso. Dispositivos de interconexión.
## Ethernet
IEEE 802.3u: Fast Ethernet (100 Mbps)
Velocidades: 10 Mbps (Ethernet), 100 Mbps (Fast Ethernet), 1 Gbps (Gigabit Ethernet), 10 Gbps (10 Gigabit Ethernet)
## Token Bus y Token Ring
- Token Bus: topología de bus, token circula por el cable, IEEE 802
Formato XBASEY
Categorias cables ethernet:
- Categoría 3 (Cat 3): hasta 10 Mbps, 16 MHz
- Categoría 5 (Cat 5): hasta 100 Mbps, 100 MHz
- Categoría 5e (Cat 5e): hasta 1 Gbps, 100 MHz
- Categoría 6 (Cat 6): hasta 10 Gbps, 250 MHz
- Categoría 6a (Cat 6a): hasta 10 Gbps, 500 MHz
- Categoría 7 (Cat 7): hasta 10 Gbps, 600 MHz
- Categoría 8 (Cat 8): hasta 40 Gbps, 2000 MHz
Fibra optica:
Colisiones, etc.
- ALOHA (por contienda): Acceso Aleatorio con Colisiones
- CSMA/CD (por contienda): Acceso Múltiple por Detección de Portadora con Detección de Colisiones (Ethernet)
- Por reserva:
- SRMA (Single Reservation Multiple Access)
- GSMA (Generalized Single Reservation Multiple Access)
- Por turnos:
- Selección de turno: Round Robin, Token Ring
- Sondeo (Polling): el nodo que tiene el token pregunta a los demás si tienen datos para enviar
- Reserva de turno: Polling, Token Bus
- Distribuido:
- Daysi Chain: cada nodo se conecta al siguiente, formando una cadena
- Token Passing: el token se pasa de un nodo a otro, solo el nodo que tiene el token puede transmitir
VLAN (Virtual LAN): red local virtual que permite segmentar una red física en varias redes lógicas, mejorando la seguridad y el rendimiento.
- IEEE 802.1Q (**MUY IMPORTANTE**): estándar para VLAN, utiliza etiquetas (tags) en los frames Ethernet para identificar a qué VLAN pertenecen.
- Trunk: enlace que transporta tráfico de varias VLANs, utiliza etiquetas para identificar el tráfico de cada VLAN.
- Segun OSI:
- capa 2 (enlace de datos)
- capa 3 (red): VLANs basadas en IP, utilizan direcciones IP para segmentar la red.

128
src/main/resources/temas/bloque4/B4T8_apuntesclase.md
View File

@ -1,128 +0,0 @@
# 8. Internet: arquitectura de red. Origen, evolución y estado actual. Principales servicios. Protocolos HTTP, HTTPS y SSL/TLS.
| **Puerto** | **Protocolo** | **Función** |
| --- | --- | --- |
| 80 | HTTP | Navegación web sin cifrado. |
| 443 | HTTPS | Navegación web cifrada. |
| 8080 | HTTP alternativo | Proxies, servidores web secundarios. |
## Organizaciones de internet
- IANA: asigna números de puerto
- ICANN: gestiona nombres de dominio
- IETF: desarrolla protocolos de internet
- W3C: estándares web (World Wide Web Consortium) (HTML, CSS, XML, etc.)
- Internet Society: promoción y educación sobre internet
## Modelo de interconexion entre operadores
- Interconexión de redes: peering, transit
- Tier:
- Tier 1: proveedores globales (AT&T, Verizon, NTT)
- Tier 2: proveedores regionales
- Tier 3: proveedores locales
FQDM: Fully Qualified Domain Name (Nombre de Dominio Completamente Calificado)
- Ejemplo: www.ejemplo.com
- Estructura: subdominio.dominio.tld (top-level domain)
- DNS: sistema de nombres de dominio, traduce nombres a direcciones IP
## Resolvers
Intermediarios que consultan el DNS para resolver nombres de dominio a direcciones IP.
## Dominios de primer nivel (TLD)
- Genéricos (gTLD): .com, .org, .net
- Geográficos (ccTLD): .es, .fr, .uk
- Patrocinados (sTLD): .edu, .gov, .mil
Dominios .es: Gestión por ESNIC, registro de dominios .es, requisitos y proceso de registro.
- Dominio especial: .arpa (Address and Routing Parameter Area), utilizado para infraestructura de red, como DNS inverso.
## Servidores DNS
- Servidores autoritativos: almacenan registros DNS para un dominio específico.
- Primary (master): fuente principal de datos DNS.
- Secondary (slave): copia de seguridad del servidor primario.
- Servidores cache: almacenan temporalmente respuestas DNS para acelerar futuras consultas.
- RR: Resource Record, registro de recursos en DNS, contiene información sobre un dominio (A, AAAA, CNAME, MX, etc.)
- Tipos de consulta DNS:
- Recursive: el resolver consulta a otros servidores DNS hasta obtener una respuesta definitiva.
- Iterative: el resolver devuelve la mejor respuesta que tiene, sin consultar a otros servidores.
## Servicios de internet
- scp
- ssh: acceso remoto seguro
- authentication: contraseña, clave pública/privada
- Clientes: PuTTY, OpenSSH
- Servicios multimedia: streaming de video (YouTube, Netflix), música (Spotify), videoconferencia (Zoom, Skype)
- Codex: H.264, VP9, AV1
- RTP (Real-time Transport Protocol): protocolo de transporte en tiempo real para multimedia
- SIP (Session Initiation Protocol): protocolo de señalización para establecer sesiones multimedia
- RTSP (Real Time Streaming Protocol): protocolo para controlar la transmisión de multimedia
- UDP (User Datagram Protocol): protocolo de transporte sin conexión, utilizado para aplicaciones en tiempo real como streaming y juegos en línea
- VOIP (Voice over IP): tecnología para transmitir voz a través de internet, utiliza protocolos como SIP y RTP
- SIP: protocolo de señalización para establecer, modificar y finalizar sesiones multimedia
- RTP: protocolo de transporte para transmitir audio y video en tiempo real
- HTTP (Hypertext Transfer Protocol): protocolo de transferencia de hipertexto, base de la web
- Mensajes:
- 1xx: Informativo
- 2xx: Éxito
- 3xx: Redirección
- 4xx: Error del cliente
- 5xx: Error del servidor
- HTTPS (HTTP Secure): versión segura de HTTP, utiliza SSL/TLS para cifrado
- SSL (Secure Sockets Layer): protocolo de cifrado obsoleto, reemplazado por TLS
- TLS (Transport Layer Security): protocolo de cifrado actual, proporciona confidencialidad e integridad de datos
- Handshake: proceso de establecimiento de conexión segura, intercambio de claves y autenticación
- Certificados digitales: utilizados para verificar la identidad del servidor, emitidos por autoridades certificadoras (CA)
- HSTS (HTTP Strict Transport Security): política de seguridad que obliga a los navegadores a usar HTTPS en lugar de HTTP para un dominio específico.
- Man-in-the-middle (MITM): ataque donde el atacante intercepta y posiblemente altera la comunicación entre dos partes sin que estas lo sepan. HSTS ayuda a prevenir este tipo de ataques al forzar el uso de HTTPS.
- Integridad:
1. MAC (Message Authentication Code): código de autenticación de mensaje, utilizado para verificar la integridad y autenticidad de los datos.
2. AEAD (Authenticated Encryption with Associated Data): cifrado que proporciona confidencialidad e integridad en un solo paso, utilizado en TLS 1.3.
- Man-in-the-middle (MITM): ataque donde el atacante intercepta y posiblemente altera la comunicación entre dos partes sin que estas lo sepan. HSTS ayuda a prevenir este tipo de ataques al forzar el uso de HTTPS.
Master secret: secreto compartido derivado durante el handshake de TLS, utilizado para generar claves de cifrado y autenticación.
Claves de sesión: claves temporales generadas a partir del master secret, utilizadas para cifrar la comunicación durante una sesión TLS.
Activar cifrado: se activa durante el handshake de TLS, después de que se han intercambiado las claves y se ha verificado la identidad del servidor.
Versiones de HTTP:
- HTTP/1.0: versión inicial, sin soporte para conexiones persistentes
- HTTP/1.1: versión tradicional, utiliza conexiones persistentes y pipelining
- HTTP/2: versión moderna, utiliza multiplexación y compresión de encabezados
- HTTP/3: versión más reciente, utiliza QUIC como protocolo de transporte en lugar de TCP, mejora la latencia y la seguridad
Protocolo LDPA (Lightweight Directory Access Protocol): protocolo para acceder a servicios de directorio, utilizado para gestionar información sobre usuarios, grupos y recursos en una red.
Identificadores de recursos:
- URI (Uniform Resource Identifier): identificador genérico para recursos, puede ser un URL o un URN.
- URL (Uniform Resource Locator): tipo de URI que especifica la ubicación de un recurso en la red, incluye el esquema (http, https), el host y la ruta.
- Protocol: http, https, ftp, etc.
- Host: dominio o dirección IP del servidor
- Path: ruta específica del recurso en el servidor
- URI (Uniform Resource Identifier): identificador genérico para recursos, puede ser un URL o un URN.
- URN (Uniform Resource Name): tipo de URI que identifica un recurso por su nombre, sin especificar su ubicación. Ejemplo: urn:isbn:0451450523
SoC (System on a Chip): integración de todos los componentes de un sistema informático en un solo chip, utilizado en dispositivos móviles y embebidos.
IoT (Internet of Things): red de dispositivos físicos conectados a internet, que pueden recopilar y compartir datos. Ejemplos: hogares inteligentes, ciudades inteligentes, salud conectada.
Servicios de transferencia de archivos:
- FTP (File Transfer Protocol): protocolo de transferencia de archivos tradicional, utiliza puertos 20 y 21, no cifrado.
- Codigos de respuesta FTP:
- 1xx: Informativo
- 2xx: Éxito
- 3xx: Redirección
- 4xx: Error del cliente
- 5xx: Error del servidor
- SFTP (SSH File Transfer Protocol): protocolo de transferencia de archivos seguro, utiliza SSH para cifrado y autenticación, puerto 22.
- FTPS (FTP Secure): extensión de FTP que utiliza SSL/TLS para cifrado,puertos 990 (control) y 989 (datos).
- TFTP (Trivial File Transfer Protocol): protocolo de transferencia de archivos simple, sin autenticación ni cifrado, utiliza UDP puerto 69.
- GET: método HTTP para solicitar un recurso del servidor.
- POST: método HTTP para enviar datos al servidor, utilizado en formularios y APIs.
- PUT: método HTTP para actualizar o crear un recurso en el servidor.
- DELETE: método HTTP para eliminar un recurso del servidor.
- SCP (Secure Copy Protocol): protocolo de transferencia de archivos seguro, utiliza SSH para cifrado y autenticación, puerto 22.
- Modo activo: el cliente abre un puerto para recibir datos del servidor.
- Modo pasivo: el servidor abre un puerto para enviar datos al cliente, utilizado para evitar problemas de firewall.
- Telnet: protocolo de acceso remoto sin cifrado, utiliza puerto 23, no recomendado por razones de seguridad.

352
src/main/resources/temas/bloque4/B4T9_20260428.md
View File

@ -1,352 +0,0 @@
# Bloque 4 · Tema 9
# Seguridad y protección en redes de comunicaciones. Seguridad perimetral. Acceso remoto seguro a redes. Redes privadas virtuales (VPN). Seguridad en el puesto del usuario.
---
# 1. Esquema introductorio (visión rápida)
**Seguridad en redes:** conjunto de medidas técnicas y organizativas que protegen la integridad, confidencialidad y disponibilidad de la información en tránsito.
**Seguridad perimetral:** "muralla" entre la red interna (confiable) y el exterior (no confiable).
Herramientas: firewall, DMZ, IDS/IPS, proxy, WAF.
**VPN:** túnel cifrado sobre una red pública (Internet) que simula una red privada.
Protocolos: IPsec, OpenVPN, WireGuard, SSL/TLS.
**Seguridad en el puesto final:** antivirus/EDR, actualizaciones, cifrado de disco, DLP.
---
# 2. Fundamentos de seguridad en redes
## 2.1 Amenazas en redes
| Amenaza | Descripción |
|---------|-------------|
| **Sniffing (escucha)** | Captura de tráfico de red con herramientas como Wireshark |
| **Spoofing** | Suplantación de identidad: IP spoofing, ARP spoofing, DNS spoofing |
| **Man-in-the-Middle (MitM)** | Interposición entre dos comunicantes para capturar o alterar datos |
| **DoS / DDoS** | Saturación de un servicio para hacerlo inaccesible |
| **Port scanning** | Exploración de puertos abiertos para buscar vulnerabilidades (ej. Nmap) |
| **Replay attack** | Reenvío de un paquete capturado para repetir una acción |
| **SQL Injection / XSS** | Inyección de código malicioso en aplicaciones web |
## 2.2 Principios básicos de diseño seguro de redes
- **Defensa en profundidad:** múltiples capas de seguridad; ningún mecanismo único es suficiente.
- **Mínimo privilegio:** cada sistema/usuario solo accede a lo estrictamente necesario.
- **Segmentación:** dividir la red en zonas con distintos niveles de confianza.
- **Zero Trust:** ningún usuario ni dispositivo es de confianza por defecto, aunque esté dentro de la red.
---
# 3. Seguridad perimetral
## 3.1 Concepto
La **seguridad perimetral** es el conjunto de técnicas y dispositivos que protegen la red interna de amenazas externas, controlando el tráfico que entra y sale.
## 3.2 Firewall (cortafuegos)
Ya visto en el tema 5. Resumen en contexto de red perimetral:
| Tipo | Nivel OSI | Funcionamiento |
|------|----------|---------------|
| **Filtrado de paquetes** | 3-4 | Filtra por IP, puerto, protocolo |
| **Stateful inspection** | 3-4 | Rastrea el estado de las conexiones |
| **Application-level gateway (Proxy)** | 7 | Inspecciona el contenido; entiende el protocolo |
| **NGFW** | 3-7 | DPI, IDS/IPS integrado, control por app, SSL inspection |
### Reglas de firewall
Las reglas se procesan en orden. Política por defecto: **denegar todo lo no permitido explícitamente** (*default deny*).
```
Ejemplo de reglas típicas:
1. ALLOW TCP ANY → 80,443 (HTTP/HTTPS saliente)
2. ALLOW TCP ANY → 22 (SSH saliente)
3. ALLOW TCP DMZ:80 → INTERNET (Servidor web accesible)
4. DENY ALL ANY → ANY (Default deny)
```
## 3.3 DMZ (Zona Desmilitarizada)
Una **DMZ** es una subred intermedia, separada tanto de la red interna como de Internet, donde se ubican los servidores que deben ser accesibles desde el exterior.
```
[INTERNET]
|
[FIREWALL 1] <- Primer firewall perimetral
|
[DMZ - Zona Pública] <- Servidores web, correo, DNS
| |
[Web] [Mail]
|
[FIREWALL 2] <- Segundo firewall interno
|
[RED INTERNA] <- Servidores corporativos, BD, usuarios
```
**Servidores típicos en DMZ:**
- Servidor web (HTTP/HTTPS).
- Servidor de correo (SMTP entrante).
- Servidor DNS público.
- Proxy inverso.
**Ventaja:** si el servidor web es comprometido, el atacante no tiene acceso directo a la red interna.
## 3.4 Proxy
Un **proxy** es un intermediario entre los clientes internos e Internet.
| Tipo | Descripción |
|------|-------------|
| **Proxy directo (forward proxy)** | Los clientes internos acceden a Internet a través del proxy |
| **Proxy inverso (reverse proxy)** | Recibe solicitudes de Internet y las redirige a servidores internos (ej. nginx, HAProxy) |
| **Proxy transparente** | Intercepta el tráfico sin necesidad de configuración en el cliente |
**Funciones del proxy directo:**
- Control y filtrado de contenidos (listas negras, categorías).
- Caché de contenidos (rendimiento).
- Autenticación de usuarios.
- Anonimización (oculta las IPs internas).
- Log de navegación.
## 3.5 WAF (Web Application Firewall)
- Protege aplicaciones web frente a ataques de capa 7: SQL Injection, XSS, CSRF, etc.
- Analiza tráfico HTTP/HTTPS.
- Puede operar en modo: *detección* (solo alerta) o *prevención* (bloquea).
- Ejemplos: ModSecurity, AWS WAF, Cloudflare WAF.
## 3.6 IDS / IPS
| Sistema | Posición | Respuesta |
|---------|----------|-----------|
| **IDS** | Pasiva (copia del tráfico, fuera de banda) | Solo alerta (no bloquea por sí mismo) |
| **IPS** | Activa (en línea, *inline*) | Detecta y bloquea el tráfico malicioso |
| **HIDS** | En el host | Monitoriza eventos del sistema (logs, ficheros) |
| **NIDS** | En la red | Monitoriza el tráfico de red |
**Técnicas de detección:**
- **Basada en firmas:** compara con patrones de ataques conocidos.
- **Basada en anomalías:** modelo de comportamiento normal; alerta ante desviaciones.
## 3.7 SIEM (Security Information and Event Management)
Agregación, correlación y análisis de eventos de seguridad de múltiples fuentes:
- Firewalls, IDS/IPS, servidores, aplicaciones.
- Alertas en tiempo real.
- Cumplimiento normativo (auditoría, ENS, GDPR).
- Ejemplos: Splunk, IBM QRadar, Microsoft Sentinel, Wazuh (open-source).
---
# 4. Acceso remoto seguro
## 4.1 Por qué es necesario el acceso remoto seguro
El **teletrabajo**, los **desplazamientos** y la administración remota de sistemas requieren acceder a la red corporativa desde redes no controladas (Wi-Fi pública, Internet). Sin medidas de seguridad, las comunicaciones quedan expuestas.
## 4.2 SSH (Secure Shell)
- Acceso remoto **seguro** a la línea de comandos de servidores Linux/Unix.
- Puerto estándar: **TCP 22**.
- Cifrado: TLS (en versiones modernas, curva25519, AES-256-GCM).
- Autenticación: contraseña o **par de claves RSA/ECDSA** (más seguro).
- Funciones adicionales: **SCP** (copia segura de ficheros), **SFTP**, **port forwarding** (túnel SSH).
```bash
# Generar par de claves SSH
ssh-keygen -t ed25519 -C "usuario@ejemplo.com"
# Conectar a un servidor
ssh usuario@servidor.ejemplo.com
# Copiar ficheros de forma segura
scp archivo.txt usuario@servidor:/ruta/destino/
```
## 4.3 SSL VPN / TLS VPN
- VPN que funciona sobre **HTTPS (TLS/SSL)**, puerto 443.
- Solo requiere un navegador o cliente ligero.
- Muy flexible; funciona a través de firewalls y NAT.
- Ejemplo: **OpenVPN**, Cisco AnyConnect, Pulse Secure.
---
# 5. Redes Privadas Virtuales (VPN)
## 5.1 Concepto
Una **VPN (Virtual Private Network)** crea un **túnel cifrado** a través de una red pública (Internet) que conecta dos puntos como si estuvieran en la misma red privada.
**Proporciona:**
- **Confidencialidad:** el tráfico viaja cifrado.
- **Autenticidad:** se verifica la identidad de los extremos.
- **Integridad:** los datos no son alterados en tránsito.
## 5.2 Tipos de VPN
| Tipo | Descripción | Uso típico |
|------|-------------|-----------|
| **VPN de acceso remoto (cliente-a-sitio)** | Un usuario se conecta a la red corporativa | Teletrabajador → oficina |
| **VPN de sitio a sitio** | Connecta dos redes corporativas permanentemente | Sede central ↔ sucursal |
| **VPN de cliente a cliente** | Conecta dos usuarios individuales | P2P cifrado |
## 5.3 Protocolos VPN
### IPsec
- Estándar IETF para asegurar comunicaciones IP.
- Opera en **capa 3 (red)**.
- **Dos modos:**
- **Modo transporte:** solo cifra el payload del paquete IP (no la cabecera).
- **Modo túnel:** cifra el paquete IP completo y añade nueva cabecera → más seguro para VPN.
- **Dos protocolos:**
- **AH (Authentication Header):** autenticación e integridad, *sin* cifrado.
- **ESP (Encapsulating Security Payload):** autenticación, integridad *y* cifrado.
- **IKE / IKEv2 (Internet Key Exchange):** protocolo de negociación de claves para IPsec.
| Protocolo IPsec | Autenticación | Integridad | Cifrado |
|----------------|--------------|------------|---------|
| AH | ✓ | ✓ | ✗ |
| ESP | ✓ | ✓ | ✓ |
### OpenVPN
- Open-source; basado en **TLS/SSL**.
- Puerto: **1194/UDP** (o TCP 443 para evitar bloqueos).
- Muy flexible y ampliamente auditado.
- Usa certificados X.509 para autenticación.
### WireGuard
- Protocolo moderno (2020); código muy reducido (~4.000 líneas vs ~100.000 de IPsec).
- **Extremadamente rápido** y sencillo.
- Criptografía moderna: **ChaCha20, Poly1305, Curve25519, BLAKE2**.
- Puerto: **UDP 51820** (por defecto).
- Integrado en el kernel Linux desde la versión 5.6.
### L2TP/IPsec
- **L2TP (Layer 2 Tunneling Protocol):** crea el túnel (capa 2) pero sin cifrado propio.
- Se combina con **IPsec** para el cifrado.
- Común en sistemas operativos sin necesidad de cliente adicional.
### PPTP (Point-to-Point Tunneling Protocol)
- Antiguo protocolo de Microsoft.
- **Obsoleto e inseguro;** no debe usarse.
### Comparativa de protocolos VPN
| Protocolo | Seguridad | Velocidad | Complejidad | Uso |
|-----------|-----------|-----------|-------------|-----|
| IPsec/IKEv2 | Alta | Alta | Media | Empresarial |
| OpenVPN | Alta | Media | Media | Empresarial/Personal |
| **WireGuard** | Muy alta | Muy alta | Baja | Moderno, recomendado |
| L2TP/IPsec | Media-Alta | Media | Media | Legado |
| PPTP | **Muy baja** | Alta | Baja | Obsoleto |
## 5.4 Componentes de una VPN
- **Concentrador VPN / VPN Gateway:** servidor que acepta conexiones VPN entrantes.
- **Cliente VPN:** software en el puesto del usuario.
- **Certificados / PSK (PreShared Key):** para autenticación.
- **Split tunneling:** solo el tráfico corporativo va por la VPN; el resto va directamente a Internet.
- **Full tunneling:** todo el tráfico pasa por la VPN.
---
# 6. Seguridad en el puesto del usuario
## 6.1 Endpoint Security
El **puesto de usuario (endpoint)** es el punto de entrada más habitual de los atacantes (email malicioso, USB infectado, navegación web).
## 6.2 Antivirus y EDR
| Solución | Descripción |
|----------|-------------|
| **Antivirus tradicional** | Detección por firmas; necesita actualizaciones constantes |
| **EDR (Endpoint Detection & Response)** | Monitorización continua del comportamiento; respuesta automática a incidentes |
| **XDR (Extended Detection & Response)** | EDR + correlación con red, cloud, email |
## 6.3 Actualizaciones y parcheo
- **Mantener el SO y las aplicaciones actualizados** es la medida con mayor impacto en seguridad.
- Los parches corrigen vulnerabilidades conocidas (CVEs).
- **Patch Management:** proceso de gestión y despliegue centralizado de actualizaciones.
- Herramientas: WSUS (Windows), Red Hat Satellite, Ansible.
## 6.4 Cifrado del disco
| Solución | Sistema | Notas |
|---------|---------|-------|
| **BitLocker** | Windows | Cifrado de disco completo; TPM |
| **FileVault** | macOS | Cifrado de disco con clave del usuario |
| **LUKS (Linux Unified Key Setup)** | Linux | Estándar de facto en Linux |
| **VeraCrypt** | Multiplataforma | Cifrado de volúmenes y contenedores |
El cifrado de disco protege los datos si el equipo es robado.
## 6.5 DLP (Data Loss Prevention)
- Evita que datos sensibles salgan de la organización (USB, email, nube).
- Clasifica la información por nivel de sensibilidad.
- Políticas: bloquear, cifrar, alertar según el tipo de dato.
- Ejemplos: Microsoft Purview DLP, Symantec DLP, Forcepoint.
## 6.6 Gestión de identidad y acceso (IAM)
- **SSO (Single Sign-On):** el usuario se autentica una vez y accede a todas las aplicaciones.
- **MFA:** obligatorio en accesos críticos.
- **PAM (Privileged Access Management):** control de cuentas privilegiadas (administradores).
- **Directorio activo (Active Directory):** gestión centralizada de usuarios y políticas (GPO).
- **LDAP/Kerberos:** protocolos de autenticación en redes corporativas.
## 6.7 Políticas de seguridad en el puesto
- **Bloqueo automático de pantalla** tras inactividad.
- **Prohibición de medios extraíbles** (USB) no autorizados.
- **Navegación segura:** filtrado de URLs, certificado SSL obligatorio.
- **Correo electrónico seguro:** filtros antispam, antiphishing, DKIM/SPF/DMARC.
- **Formación al usuario:** la ingeniería social es la principal causa de incidentes.
---
# 7. ENS (Esquema Nacional de Seguridad)
El **ENS (Real Decreto 311/2022)** establece los principios y requisitos mínimos de seguridad para las Administraciones Públicas españolas que traten información en sistemas electrónicos.
| Aspecto | Descripción |
|---------|-------------|
| **Ámbito** | Toda la AGE y demás administraciones que usen medios electrónicos |
| **Categorías** | Básica, Media, Alta (según el impacto de un incidente) |
| **Dimensiones de seguridad** | Confidencialidad (C), Integridad (I), Disponibilidad (D), Autenticidad (A), Trazabilidad (T) |
| **CCN-CERT** | Centro Criptológico Nacional Computer Emergency Response Team de la AGE |
| **Guías CCN-STIC** | Guías técnicas del CCN para implementar el ENS |
---
# 8. Resumen: conceptos clave para el examen
| Concepto | Dato clave |
|----------|-----------|
| Defensa en profundidad | Múltiples capas de seguridad |
| Zero Trust | Ningún dispositivo/usuario es confiable por defecto |
| DMZ | Subred intermedia para servicios públicos |
| Default deny | Denegar todo lo no permitido explícitamente |
| WAF | Firewall de aplicación web; protege contra SQLi, XSS |
| IPS | En línea; detecta Y bloquea tráfico malicioso |
| SIEM | Agregación y correlación de eventos de seguridad |
| VPN de acceso remoto | Teletrabajador → red corporativa cifrada |
| VPN de sitio a sitio | Sede central ↔ sucursal |
| IPsec AH | Solo autenticación e integridad; sin cifrado |
| IPsec ESP | Autenticación, integridad Y cifrado |
| IPsec modo túnel | Cifra el paquete IP completo; más seguro |
| WireGuard | VPN moderno; ChaCha20; muy rápido; kernel Linux 5.6+ |
| OpenVPN | TLS-based; puerto 1194/UDP; open-source |
| PPTP | Obsoleto e inseguro |
| SSH | Acceso remoto seguro; puerto TCP 22 |
| Split tunneling | Solo tráfico corporativo por VPN |
| EDR | Monitorización del comportamiento del endpoint |
| BitLocker | Cifrado de disco Windows; requiere TPM |
| ENS | Real Decreto 311/2022; seguridad en AAPP; CCN-CERT |
| CCN-STIC | Guías técnicas del CCN para el ENS |

61
src/main/resources/temas/bloque4/B4T9_apuntes_clase.md
View File

@ -1,61 +0,0 @@
# Bloque 4 Tema 9. Seguridad y protección en redes de comunicaciones. Seguridad perimetral. Acceso remoto seguro a redes. Redes privadas virtuales VPN. Seguridad en el puesto del usuario.
## VPN
Una VPN o Virtual Private Network crea un túnel cifrado a través de una red pública como Internet que conecta dos puntos como si estuvieran en la misma red privada. Proporciona confidencialidad, autenticidad e integridad.
Los tipos de VPN son tres. La VPN de acceso remoto o cliente a sitio conecta un usuario teletrabajador con la red corporativa. La VPN de sitio a sitio conecta dos redes corporativas de forma permanente, como la sede central con una sucursal. La VPN de cliente a cliente conecta dos usuarios individuales.
Los protocolos VPN más importantes son los siguientes.
- **IPsec** es el estándar para asegurar comunicaciones IP, operando en la capa de red. Tiene dos modos: el modo transporte, que solo cifra el payload del paquete IP; y el modo túnel, que cifra el paquete IP completo y añade una nueva cabecera, siendo el más seguro para VPN. IPsec usa dos protocolos: AH o Authentication Header, que proporciona autenticación e integridad sin cifrado; y ESP o Encapsulating Security Payload, que proporciona autenticación, integridad y cifrado. IKEv2 es el protocolo de negociación de claves para IPsec.
- **OpenVPN** es un software de código abierto basado en TLS. Usa el puerto 1194 UDP, aunque puede usar el 443 TCP para evitar bloqueos. Es muy flexible y ampliamente auditado. Usa certificados X.509 para la autenticación.
- **WireGuard** es un protocolo moderno introducido en 2020, con código muy reducido de unas 4.000 líneas frente a las más de 100.000 de IPsec. Es extremadamente rápido y sencillo, usa criptografía moderna basada en ChaCha20 y Curve25519, y opera en el puerto UDP 51820. Está integrado en el kernel Linux desde la versión 5.6.
- **L2TP combinado con IPsec** crea el túnel en capa 2 mediante L2TP y usa IPsec para el cifrado. Es común en sistemas operativos sin necesidad de cliente adicional.
- **GRE** es un protocolo de encapsulación genérico que puede transportar cualquier protocolo de capa de red sobre una red IP. No proporciona cifrado ni autenticación por sí mismo, pero se puede usar junto con IPsec para crear una VPN segura. GRE es útil para transportar protocolos no IP a través de una red IP, como en el caso de VPN de sitio a sitio entre redes con diferentes protocolos de capa de red.
- **DMVPN** es un protocolo de VPN dinámico que utiliza GRE para el túnel y IPsec para la seguridad. Permite la creación automática de túneles entre sitios sin necesidad de configurar manualmente cada túnel, lo que lo hace ideal para redes con múltiples sitios y cambios frecuentes en la topología. DMVPN es común en entornos empresariales con muchas sucursales.
- **IPsec modo túnel** es una configuración de IPsec donde se cifra el paquete IP completo y se añade una nueva cabecera IP. Es el modo más seguro para VPN, ya que oculta tanto el payload como la dirección IP original del paquete, proporcionando confidencialidad y protección contra ataques de análisis de tráfico. Este modo es especialmente recomendado para VPN de sitio a sitio donde la seguridad es una prioridad.
- **IPsec modo transporte** es una configuración de IPsec donde solo se cifra el payload del paquete IP, dejando la cabecera IP original sin cifrar. Este modo es menos seguro para VPN, ya que la dirección IP original es visible, lo que puede ser explotado por atacantes para realizar análisis de tráfico o ataques de spoofing. El modo transporte se utiliza principalmente para comunicaciones punto a punto entre hosts, como en el caso de VPN de cliente a cliente, donde la simplicidad y el rendimiento son más importantes que la máxima seguridad.
- Componentes de IPsec:
- **AH (Authentication Header)**: proporciona autenticación e integridad sin cifrado, lo que significa que los datos no están protegidos contra la interceptación, pero se garantiza que no han sido alterados y que provienen de una fuente legítima.
- **ESP (Encapsulating Security Payload)**: proporciona autenticación, integridad y cifrado, lo que significa que los datos están protegidos contra la interceptación y la alteración, garantizando la confidencialidad y la autenticidad de la comunicación.
- **IKEv2 (Internet Key Exchange version 2)**: es el protocolo de negociación de claves para IPsec, que establece la asociación de seguridad y negocia los parámetros de cifrado y autenticación entre los extremos de la VPN. IKEv2 es más eficiente y seguro que su predecesor IKEv1, y es ampliamente utilizado en implementaciones modernas de IPsec.
- **PGP (Pretty Good Privacy)**: es un programa de cifrado de datos que se utiliza para proteger la confidencialidad e integridad de los mensajes de correo electrónico y otros datos. Aunque no es un protocolo VPN, PGP se puede usar para cifrar archivos antes de transferirlos a través de una VPN, proporcionando una capa adicional de seguridad. PGP utiliza criptografía de clave pública para cifrar y firmar digitalmente los datos, lo que garantiza que solo el destinatario previsto pueda acceder a la información y verificar su autenticidad.
- **SMIME (Secure/Multipurpose Internet Mail Extensions)**: es un estándar para cifrar y firmar digitalmente los mensajes de correo electrónico utilizando certificados digitales. Al igual que PGP, SMIME no es un protocolo VPN, pero se puede usar para proteger la confidencialidad e integridad de los correos electrónicos enviados a través de una VPN. SMIME utiliza criptografía de clave pública y certificados X.509 para garantizar que solo el destinatario previsto pueda acceder al contenido del mensaje y verificar su autenticidad.
## Seguridad en la red
WAF o Web Application Firewall protege aplicaciones web frente a ataques de capa de aplicación como SQL Injection, XSS y CSRF. Analiza tráfico HTTP y HTTPS y puede operar en modo de solo detección o en modo de prevención bloqueando el tráfico malicioso.
Firewall o cortafuegos filtra el tráfico de red basándose en reglas de IP, puerto y protocolo. Las reglas se procesan en orden y la política por defecto debe ser denegar todo lo no permitido explícitamente, lo que se conoce como default deny. Los tipos de firewall son el filtrado de paquetes en capas 3 y 4, la inspección con estado o stateful inspection, el proxy de nivel de aplicación y el firewall de nueva generación o NGFW que incorpora inspección profunda de paquetes y control por aplicación.
Ataques de bots y DDoS: los bots son programas automatizados que pueden ser utilizados para realizar ataques de denegación de servicio distribuida (DDoS), donde múltiples sistemas comprometidos envían tráfico masivo a un objetivo para saturarlo y hacerlo inaccesible. Las medidas de mitigación incluyen el uso de firewalls, sistemas IDS/IPS, servicios de mitigación DDoS en la nube y la implementación de políticas de rate limiting para limitar la cantidad de tráfico que un solo origen puede enviar a un recurso.
### Arquitecturas de firewall
- **Screening router**: el firewall se coloca entre el router y la red interna, filtrando todo el tráfico entrante y saliente.
- ACL (Access Control List): reglas que permiten o deniegan el tráfico basado en IP, puerto y protocolo.
- **Dual-homed host o bastion**: el firewall es un host con dos interfaces de red, una conectada a Internet y otra a la red interna. Solo el firewall tiene acceso directo a Internet, y actúa como proxy para los hosts internos.
- **Screened host**: combinación de screening router y dual-homed host, donde el firewall tiene dos interfaces y también se utiliza un router para filtrar el tráfico antes de llegar al firewall.
- **Screened subnet o DMZ**: el firewall se coloca entre Internet y una subred desmilitarizada (DMZ) donde se ubican los servidores públicos, y otro firewall protege la red interna desde la DMZ. Si un servidor en la DMZ es comprometido, el atacante no tiene acceso directo a la red interna. --> Mas compleja y mas utilizada.
- **IDS o Intrusion Detection System** monitoriza la red en busca de amenazas. El IDS o Intrusion Detection System opera de forma pasiva recibiendo una copia del tráfico y solo alerta. El IPS o Intrusion Prevention System opera de forma activa en línea y detecta y bloquea el tráfico malicioso en tiempo real. Los sistemas HIDS monitorizan el host y los NIDS monitorizan la red. Las técnicas de detección son la basada en firmas, que compara con patrones de ataques conocidos, y la basada en anomalías, que detecta desviaciones del comportamiento normal.
- Nids o Network Intrusion Detection System monitoriza el tráfico de red en busca de patrones de ataque conocidos o comportamientos anómalos. Puede generar alertas para el equipo de seguridad, pero no bloquea el tráfico por sí mismo.
- Hids o Host Intrusion Detection System monitoriza la actividad de un host específico, como los registros del sistema, los archivos y los procesos, para detectar actividades sospechosas o no autorizadas. Al igual que el NIDS, el HIDS genera alertas pero no bloquea el tráfico.
- **IPS o Intrusion Prevention System** monitoriza la red en busca de amenazas y bloquea el tráfico malicioso en tiempo real. El IPS opera de forma activa en línea, lo que significa que puede tomar medidas para detener un ataque en curso, como bloquear la dirección IP del atacante o cerrar una conexión sospechosa. Los sistemas HIDS monitorizan el host y los NIDS monitorizan la red. Las técnicas de detección son la basada en firmas, que compara con patrones de ataques conocidos, y la basada en anomalías, que detecta desviaciones del comportamiento normal.
- Basada en firmas: compara el tráfico con patrones de ataques conocidos, lo que es efectivo para detectar amenazas conocidas pero no puede detectar ataques nuevos o variantes.
- Basada en anomalías: detecta desviaciones del comportamiento normal, lo que puede ser efectivo para detectar ataques nuevos o desconocidos, pero puede generar falsos positivos si el comportamiento normal no está bien definido.
- Basada en protocolos: analiza el tráfico en función de las reglas y comportamientos esperados de los protocolos de red, lo que puede ayudar a detectar ataques que explotan vulnerabilidades específicas de los protocolos.
- Basada en reputación: utiliza listas de reputación de IP, dominios o URLs para bloquear tráfico proveniente de fuentes maliciosas conocidas, lo que puede ser efectivo para prevenir ataques de bots y malware.
CIDF o Common Intrusion Detection Framework es un estándar para representar y compartir información sobre eventos de seguridad e intrusiones. Proporciona un formato común para describir los eventos de seguridad, lo que facilita la correlación y el análisis de datos de múltiples fuentes, como firewalls, IDS/IPS, servidores y aplicaciones. CIDF define una estructura de datos que incluye campos como la dirección IP de origen y destino, el puerto, el protocolo, la hora del evento, la gravedad y una descripción del evento. Al utilizar CIDF, las organizaciones pueden mejorar su capacidad para detectar y responder a incidentes de seguridad de manera más eficiente.
CISL o Common Intrusion Specification Language es un lenguaje de especificación utilizado para describir las características y comportamientos de los ataques de seguridad. CISL proporciona una forma estructurada de representar la información sobre los ataques, incluyendo detalles como el vector de ataque, las vulnerabilidades explotadas, los objetivos afectados y las técnicas utilizadas por los atacantes. Al utilizar CISL, las organizaciones pueden compartir información sobre amenazas de manera más efectiva y mejorar su capacidad para identificar y mitigar ataques de seguridad.
IPS o Intrusion Prevention System monitoriza la red en busca de amenazas y bloquea el tráfico malicioso en tiempo real. El IPS opera de forma activa en línea, lo que significa que puede tomar medidas para detener un ataque en curso, como bloquear la dirección IP del atacante o cerrar una conexión sospechosa. Los sistemas HIDS monitorizan el host y los NIDS monitorizan la red. Las técnicas de detección son la basada en firmas, que compara con patrones de ataques conocidos, y la basada en anomalías, que detecta desviaciones del comportamiento normal.
Protocolos de la capa de enlace:
- PPTP (Point-to-Point Tunneling Protocol): protocolo de túnel obsoleto, inseguro, utilizado en VPN antiguas.
- L2TP (Layer 2 Tunneling Protocol): protocolo de túnel que no proporciona cifrado por sí mismo, pero se puede usar junto con IPsec para crear una VPN segura.
- L2TP + IPsec: combinación de L2TP para el túnel y IPsec para el cifrado, común en sistemas operativos sin necesidad de cliente adicional.
Puertos y protocolos:
- UDP 1701: L2TP (túnel)
- UDP 500: IKEv2 (negociación de claves para IPsec)
- UDP 4500: IPsec NAT-T (IPsec a través de NAT)
Tecnicas de transmision: