Análisis de Técnicas de Esquemas en Seguridad en
Redes Computacionales
García Nevarez Daniel Amador
Departamento de Sistemas y Computación, Licenciatura en Informática. Instituto Tecnológico de Durango
Durango, México
espartacus08@hotmail.com
Abstract. Este articulo habla sobre la seguridad en redes
computacionales, sobe el cifrado simétrico y asimétrico si como
de sus algoritmos DES, AES, Triple DES, RSA, se da conocer
como funciona las firmas digitales así como también la seguridad
que IPSec brinda a IPV4 e IPv5, se dan a conocer las cabecera
de autentificación así como el encapsulado de carga útil de
seguridad. También se pretende comprender como funciona la
seguridad web a través de transacciones de seguridad de
servicios web, aplicando la capa de sockets seguros y la
transacción electrónica segura .La seguridad empleada en correo
electrónico donde se pretende razonar el cómo funciona el
correo de internet con privacidad, la privacidad bastante buena y
las extensiones de correo de internet de propósitos múltiples /
seguro y también entender que tipos de contrafuegos existen y
cuál es la mejor manera de emplearlos dependiendo de nuestra
necesidad.
I. INTRODUCCIÓN
La seguridad es un punto clave en la actualidad y sus objetivos son la
confidencialidad es decir que la información esté disponible para
aquellas entidades que estén autorizados, la integridad que consiste
en que la información sea modificada solo por aquellas entidades
autorizadas, la disponibilidad es aquella en que la información es
accesible solo para aquellas entidades que lo necesiten y cuando ellas
lo necesiten y la autenticidad que consiste en verificar al identidad
del usuario para asegurarse de ser quien dice ser. Es por ello que se
hablara de mecanismos como lo es el cifrado simétrico y de sus
algoritmos DES (estándar de cifrado de datos) , Triple DES, AES
(estándar avanzado de cifrado) , así como también de el cifrado
asimétrico y el algoritmo RSA , y notar lo que es una firma digital y
su función .Otro tema a tratar será la seguridad que hay en IPV4 e
IPV6 , el protocolo que se utiliza para brindar seguridad en la capa de
red a estos es el IPSec y se analizaran los protocolos de AH
(Cabecera de autentificación) y ESP (Encapsulado de carga útil de
seguridad).En la seguridad que se implementa en la web esta aplica
al comercio electrónico y transacciones bancarias entre otras, pero
aquí se distinguirá SSL (capa de sockets seguros) y SET
(Transacción Electrónica Segura) que son servicios de seguridad para
transacciones web. Es importante conocer la seguridad de correo
electrónico ya que con el crecimiento de internet así como de nuevas
tecnologías hacen del correo electrónico una herramienta útil, los
puntos a tratar serán el PEM (Correo de Internet con Privacidad) el
PGP (Privacidad bastante buena) y el S/MIME (Extensiones de
Correo de Internet de Propósitos Múltiples / Seguro), este último es
un estándar para criptografía de clave pública y firmado de correo
electrónico encapsulado en MIME. Y el último tema en la
investigación serán los contrafuegos , hay entender los diferentes
tipos de contrafuegos que existen como los filtros de paquetes, la
traducción de dirección de red, los servidores proxy y las puertas de
enlace a nivel circuito e identificar qué tipo de protección brindan así
como también que tipo de combinaciones de contrafuegos se pueden
hacer.
II. CIFRADO SIMÉTRICO
A. Concepto.
El cifrado simétrico, también denominado cifrado convencional o
de clave única, era el único tipo de cifrado en uso antes de la
introducción del cifrado de clave pública a finales de la década de los
setenta [1].La criptografía simétrica o de llave secreta es aquella que
utiliza algún método matemático llamado sistema de cifrado para
cifrar y descifrar un mensaje utilizando únicamente una llave secreta
[2]). Un esquema de cifrado simétrico tiene cinco ingredientes (véase
Figura 1.):
 Texto nativo (plaintext): es el mensaje original o datos que
se proporcionan como entrada del algoritmo.
 Algoritmo de cifrado: el algoritmo de cifrado lleva a cabo
varias sustituciones y transformaciones sobre el texto
nativo.
 Clave secreta: la clave secreta es también una entrada del
algoritmo de cifrado. Las sustituciones y transformaciones
concretas realizadas por el algoritmo dependen de la clave.
 Texto cifrado (ciphertext): es el mensaje alterado que se
produce como salida. Depende del texto nativo y de la
clave secreta. Para un mensaje dado, dos claves diferentes
producen dos textos cifrados diferentes.

Figura 1.Modelo simplificado de cifrado simétrico [1]
B. Concepto Algoritmos
fundamentales: el cifrado de enlace y el cifrado extremo a extremo.
En el cifrado de enlace, cada enlace de comunicaciones vulnerable se
equipa con un dispositivo de cifrado en ambos extremos. Así se
protege todo el tráfico que atraviese los enlaces de comunicaciones.
Aunque esto requiere gran número de dispositivos de cifrado en
redes amplias, este esquema proporciona un alto nivel de seguridad.
Con un cifrado extremo a extremo, el proceso de cifrado se efectúa
en los dos sistemas fin ales. La estación o terminal origen cifra los
datos, que en forma cifrada se transmiten sin modificación a través
de la red hasta la estación o terminal destino. El destino comparte
una clave con el origen y es así capaz de descifrar los datos. Esta
técnica parece proteger la transmisión contra ataques en los enlaces o
conmutadores de la red.[1] Véase figura 2.

Entre los algoritmos simétricos podemos destacar los de cifrado en

bloque y los de cifrado de flujo [3]. Un cifrador de bloque procesa
una entrada de texto nativo en bloques de tamaño fijo y produce un
bloque de texto cifrado de igual tamaño por cada bloque de texto
nativo. Los dos algoritmos simétricos más importantes, ambos
cifradores de bloque, son el estándar de cifrado de datos (DES) y el
estándar avanzado de cifrado (AES) [1].

1) El estándar de cifrado de datos (DES).Trabajaba sobre

bloques de 128 bits, teniendo la clave igual longitud. Se basaba en
operaciones lógicas booleanas y podía ser implementado fácilmente,
tanto en software como en hardware [4]. . El algoritmo se basa en
permutaciones, substituciones y sumas módulo 2. Las permutaciones
son de tres tipos.
Figura 2. Cifrado a través de una red de conmutación de paquetes[1]
 Directas: Reordenamiento de bits.
 Expandidas: Algunos bits se duplican y el conjunto se
reordena.
 Selecciones permutadas: Algunos bits se desprecian y el D. Distribución de claves
resto se reordena
Para que funcione el cifrado simétrico, las dos partes que realizarán
Las substituciones en el DES son conocidas como cajas S y están un intercambio seguro de datos deben tener la misma clave y ésta
especificadas en ocho tablas diferentes. El algoritmo es el mismo debe protegerse para que no sea accesible por otros. La distribución
para cifrar que para descifrar [3] de claves se puede lograr de varias formas. Para dos partes A y B:

2) Triple DES. Triple DES es un algoritmo que surge con la
necesidad de elevar los índices de seguridad del algoritmo DES.
Consiste en aplicar varias veces el algoritmo DES con diferentes
claves al mensaje original[5], realiza tres veces el DES, aumentando
la longitud de clave a 192 bits (64 x 3) [6]. Una aplicación tangible
de Triple-DES se encuentra en los cajeros automáticos, los cuales lo
tienen implementado como su algoritmo de cifrado[7].
3) El estándar avanzado de cifrado (AES). AES trabaja con
bloques de datos de 128 bits y longitudes de claves de 128, 192, 256
bit según el FIPS 197. Además AES tiene 10, 12 o 14 vueltas
respectivamente, cada vuelta de AES consiste en la aplicación de una
ronda estándar, que consiste de 4 transformaciones básicas, la última
ronda es especial y consiste de 3 operaciones básicas, añadiendo
siempre una ronda inicial [8].Cada ronda es una composición de
cuatro funciones invertibles diferentes, formando tres capas
A. Cifrado de clave publica
diseñadas para proporcionar resistencia frente a los ataques por
criptoanálisis lineal y diferencial.[7]
ingredientes (véase Figura 3):
C. Localización de dispositivos de cifrado.
La aproximación más efectiva y común para enfrentarse a los
ataques a la seguridad de la red es el cifrado. Existen dos alternativas
 A podría seleccionar una clave y entregársela físicamente a
B.
 Una tercera parte podría seleccionar la clave y entregársela
físicamente a B y A.
 Si A Y B han utilizado previa y recientemente una clave,
una de las partes podría transmitirá la otra la nueva clave
cifrada con la antigua clave.
 Si A Y B tienen cada uno una conexión cifrada con una
tercera parte C, C podría entregar a B y A una clave a
través de los enlaces cifrados[1].
III. CIFRADO DE CLAVE PÚBLICA Y FIRMAS
DIGITALES
Un esquema de cifrado de clave pública se compone de seis
 Texto nativo: es el mensaje legible o los datos que se
suministran como entrada al algoritmo.
 Algoritmo de cifrado: el algoritmo de cifrado lleva a cabo
varias transformaciones sobre el texto nativo.
  Claves pública y privada: este es un par de claves que han
sido seleccionadas para que, si una se utiliza para el
cifrado, la otra se use para el descifrado. Las
transformaciones concretas que realiza el algoritmo de
cifrado dependen de la clave pública o privada que se
suministre como entrada.
 Texto cifrado: es el mensaje desordenado producido como
salida. Depende del texto nativo y de la clave. Para un
mensaje dado, dos claves diferentes producirán dos textos
cifrados diferentes.
 Algoritmo de descifrado: este algoritmo acepta el texto
cifrado y la clave correspondiente, produciendo el texto
nativo original.[1]
Figura 3. Cifrado de clave pública.[1]
B. Firma digital
La firma digital es una operación análoga a la firma escrita. El
esquema de operación es similar al proceso de cifrado solo que las
llaves pública y privada son invertidas, es decir, la llave privada se
emplea para generar la firma del mensaje y la llave pública se utiliza
para verificar dicha firma. El la integridad de los datos se consigue
aplicando una función hash a los datos que se van a transmitir. La
salida de la función hash se conoce como el resumen del mensaje y
puede verse como la huella digital del mensaje a transferirse. El
resumen del mensaje es el que se cifra con la llave privada del emisor
y se transmite junto con el mensaje original. El receptor aplica la
misma función hash a el mensaje original y descifra el mensaje
mediante la llave publica del emisor. Entonces compara la
información descifrada con la salida de la función hash, si ambas son
iguales, los datos no fueron modificados y se sabe que el emisor es
realmente quien dice ser. Si son diferentes, los datos han sufrido
alteración durante la transferencia y la firma no es válida [9]
C. El algoritmo RSA
El mejor cripto-sistema de clave publica conocido es el RSA[4],
este sistema de cifrado basa su seguridad en la conjetura matemática
que sostiene que el problema de factorizar números enteros en sus
factores primos tiene una complejidad computacional prohibitiva
para el estado del arte de la tecnología de hoy en día y los tamaños en
bits de los números utilizados. Las llaves pública y privada (Kpub;
Kpriv) se calculan a partir de un número que se obtiene como
producto de dos primos grandes. El proceso para generar dicho par
de llaves es el siguiente:
 Se elige de manera aleatoria dos números primos grandes,
pyq
 Se calcula el producto n = pq
 Se elige ahora un número e primo relativo con (p − 1)(q −
1)
 La llave pública será (e; n). Nótese que e debe tener
inversa módulo (p − 1)(q − 1) para garantizar que existirá
un número d, tal que de _ 1 mod ((p − 1)(q − 1)) es decir,
que d es el inverso de e mod (p − 1)(q − 1)
 La llave privada será (d; n)
Por lo que:
Kpub = (e; n) y Kpriv = (d; n) [5].
IV. SEGURIDAD EN IPV4 E IPV6
A. IPSec
IPsec (Internet Protocol Security) es un protocolo diseñado para
proveer servicios de seguridad en la capa de red [10]. Los servicios
que proporciona son:
 Control de acceso
 Integridad
 Autenticación de origen de datos
 Rechazo de paquetes repetidos
 Confidencialidad (encriptación)
 Confidencialidad de un flujo limitado de tráfico
IPsec utiliza dos protocolos para proporcionar seguridad al tráfico: la
Cabecera de Autentificación (AH) y la Carga de Seguridad
Encapsulada (ESP) [11].
B. Cabecera de autentificación (AH)
La cabecera de autenticación proporciona soporte para la integridad
de los datos y la autenticación de los paquetes IP. . La cabecera de
autenticación consta de los siguientes campos (véase Figura 4):
 Cabecera siguiente (8 bits): identifica el tipo de cabecera
que aparece a continuación de ésta.
 Longitud de la carga útil (8 bits): longitud de la cabecera
de autenticación en palabras de 32 bits, menos 2. Por
ejemplo, la longitud por defecto del campo de datos de
autenticación es de 96 bits, o tres palabras de 32 bits. Con
una cabecera fija de tres palabras, hay un total de seis
palabras en la cabecera, por lo que el campo de longitud de
la carga útil vale 4.
 Reservado (16 bits): para uso futuro.
 Índice de parámetros de seguridad (32 bits): identifica una
asociación de seguridad.
 Número de secuencia (32 bits): el valor de un contador que
se incrementa de forma monótona.
 Datos de autenticación (variable): un campo de longitud
variable (debe ser un número entero de palabras de 32 bits)
que contiene el valor de comprobación de integridad (ICV,
Integrity Check Value) o el MAC para este paquete.[1]

Figura 4. Cabecera de autenticación de IPSec [1]
C. Encapsulado de carga útil de seguridad (ESP)
El encapsulado de la carga útil de seguridad proporciona servicios
de privacidad, incluyendo privacidad del contenido de los mensajes y
una limitada privacidad del flujo de tráfico. La Figura 5 muestra el
formato de un paquete ESP. Contiene los siguientes campos:
 Índice de parámetros de seguridad (32 bits): identifica una
asociación de seguridad.
 Número de secuencia (32 bits): el valor de un contador que
se incrementa de forma monótona.
 Datos de la carga útil (variable): se trata de un segmento de
la capa superior protegido mediante cifrado.
 Relleno (0-255 octetos): este campo puede requerirse si el
algoritmo de cifrado necesita que el texto nativo sea un
múltiplo de algún número de bytes.
 Longitud del relleno (8 bits): indica el número de bytes de
relleno que preceden inmediatamente a este campo.
 Cabecera siguiente (8 bits): identifica el tipo de datos
contenidos en el campo de datos de carga útil mediante la
identificación de la primera cabecera en esa carga útil (por
ejemplo, una cabecera de extensión de IPv6 o un protocolo
de una capa superior como TCP).
 Datos de autenticación (variable): Un campo de longitud
variable (debe ser un número entero de palabras de 32 bits)
que contiene el valor de comprobación de integridad
calculado sobre el paquete ESP menos el campo de datos
de autenticación[1].
Figura 5 Formato del ESP de IPSec.[1]
D. Asociación de seguridad
El concepto de asociación de seguridad (Security Association) SA
es fundamental en IPSec. Una SA es una conexión simplex o
unidireccional, ocurre en una dirección solamente, deshabilitando al
receptor de responder al transmisor, que permite servicios de
seguridad al tráfico que transporta. Una SA permite servicios de
seguridad mediante el uso de AH o de ESP pero no de ambos. Si
ambos no se aplican en un flujo de tráfico, entonces existirán dos (o
más) SAs para permitir la protección al flujo de tráfico. Para asegurar
la comunicación bidireccional típica entre dos Hosts o dos puertas de
enlace, se requieren dos asociaciones de seguridad (uno en cada
sentido)[12].
V. SEGURIDAD WEB
A. Asiduidad
Cuando se realiza una transacción a través de la Web referida a una
aplicación de comercio electrónico, puesto que en muchos casos esto
implica el envío de los detalles de la tarjeta de crédito del usuario,
resulta de vital importancia la seguridad de dicha transacción[13].
Con los conocimientos y la implementación correcta de medidas de
seguridad, se pueden proteger los recursos así como proporcionar un
entorno seguro donde los usuarios trabajen cómodos con su
aplicación[14].
B. Capa de sockets seguros (SSL)
Se trata de una tecnología diseñada por Netscape Communications
Inc. con el propósito de conseguir un sistema de intercambio de
información seguro tanto en el transporte de la información como en
la autenticación del servidor de comercio electrónico.[15] SSL
funciona sobre el interfaz de sockets que se sitúa entre la capa de
transporte (TCP) y la de aplicación en la arquitectura de protocolos
de TCP / IP. En esencia, SSL realiza la autenticación del servidor por
el cliente - y la autenticación del cliente por parte del servidor en
caso de ser necesario- utilizando una autoridad de certificación
reconocida y el establecimiento de un algoritmo simétrico de cifrado
y una clave para la sesión. Luego utiliza la clave -llamada clave de
sesión- para cifrar y descifrar todos los mensajes transferidos que
forman parte de la transacción[13].
C. Transacción Electrónica Segura (SET)
El protocolo SET (Transacción Electrónica Segura) es un conjunto
de normas o especificaciones de seguridad que constituyen una
forma estándar para la realización de transacciones de pago a través
de Internet.
Este protocolo fue desarrollado para:
 Proteger el sistema de tarjetas de crédito cuando es
utilizado a través de Internet.
 Generar en la mente del consumidor una opinión de
confianza respecto al nuevo concepto de Internet como
mercado.
 Generar nuevos tipos de transacciones financieras
seguras.[15]
En el esquema SET, además del cliente (el comprador) y el
servidor (el vendedor), también intervienen los bancos de ambos.
Tanto el comprador, como el vendedor, como el banco del vendedor
poseen sus certificados y, en el caso del comprador y del vendedor, la
autoridad de certificación es su banco respectivo. Esto permite, en
primer lugar, que el comprador verifique que el vendedor está
autorizado a realizar operaciones con tarjetas y, en segundo lugar el
vendedor puede comprobar que el comprador está usando una tarjeta
legítima.[13]
VI. SEGURIDAD DE CORREO ELECTRÓNICO
A. Correo de Internet con Privacidad (PEM)
Fue diseñado y propuesto, pero no oficialmente adoptado, por el
Consejo de Actividades de Internet (Internet Activities Board) a fin
de proporcionarle seguridad al correo electrónico de Internet.
Diseñado para trabajar con el actual e-mail de Internet[16]. El
objetivo principal en el desarrollo de PEM era proporcionar
seguridad en el correo electrónico a los usuarios de internet. Los
servicios que facilita son:
 confidencialidad
 integridad no orientada a conexión
 autenticación del origen,
 soporte para no repudio con prueba de origen.[17]
B. Privacidad bastante buena (PGP)
PGP fue concebido como un paquete susceptible de ser utilizado
por un usuario medio con un pequeño sistema y que proporcionara
privacidad y autenticación con correo electrónico. En PGP esto se
consigue:
 Seleccionando los mejores algoritmos de seguridad.
 Integrando estos algoritmos en una aplicación de propósito
general independiente del sistema operativo y del equipo,
que se basa en un conjunto de comandos reducido.
 Haciendo el paquete y su documentación, incluido el
código fuente, de libre distribución y disponible para todo
el mundo.
Firmas digitales. PGP utiliza los algoritmos criptográficos siguientes.
 IDEA (International Data Encryption Algorithm). Utiliza
una clave de 128 bits para cifrar bloques de datos de 64
bits. Es un algoritmos simétrico (se emplea una clave
secreta para cifrar y descifrar).
 RSA (Rivest-Shamir-Adleman). Es el algoritmo de clave
pública más universal. Existen dos claves, una pública, que
todo el mundo conoce, y otra privada, en poder del
receptor[16].
C. S/MIME
S/MIME (Secure/Multipurpose Internet Mail Extensions) supone
una mejora a la seguridad del formato estándar de correo electrónico
de MIME, basado en tecnología de RSA Data Security. Para entender
S/MIME hay que tener un conocimiento general de MIME, que es el
formato de correo subyacente que utiliza. Para comprender la
importancia de MIME, debemos retroceder al estándar tradicional de
formato de correo electrónico, RFC 822 que aún es de uso común.
1) RFC 822 El RFC 822 define un formato para los mensajes de
texto que se envían por medio de correo electrónico. Ha sido el
estándar para mensaje de texto de correo electrónico basado en
internet y sigue siendo de uso común. En el contexto de RFC 822, se
considera que los mensajes se componen en un sobre (envelope) y
unos contenidos (content). El sobre contiene la información necesaria
para llevar a cabo la transmisión y distribución. Los contenidos
constituyen el objeto que se va a enviar al receptor El estándar RFC
822 se aplica únicamente a los contenidos. Sin embargo el contenido
estándar incluye un conjunto de campos de cabecera que el sistema
de correo electrónico puede usar para crear el sobre el estándar está
diseñado para facilitar la adquisición de dicha información por parte
de los programas[18].
2) Extensiones multipropósito de correo electrónico (MIME)
La especificación de MIME incluye los siguientes elementos:
 Se definen cinco nuevos campos de la cabecera del
mensaje, que se pueden incluir en una cabecera RFC 822.
Estos campos aportan información sobre el cuerpo del
mensaje.
 Se define una serie de formatos de contenido,
estandarizando así las representaciones que dan soporte al
correo electrónico multimedia.
 Se definen esquemas de codificación de transferencia que
permiten la conversión de cualquier formato de contenido
a una forma protegida contra alteraciones por el sistema de
correo.
Los cinco campos de cabecera definidos por MIME son los
siguientes:
 Versión MIME debe tener el valor de parámetro 1.0. Este
campo indica que el mensaje se ajusta a los RFC 2045 y
2046.
 Tipo de contenido: describe los datos que contiene el
cuerpo con suficiente detalle, para que el usuario receptor
pueda elegir un agente o un mecanismo apropiado para
representar los datos al usuario o, si no, manejar los datos
de forma apropiada.
 Codificación de transferencia de contenido: indica el tipo
de transformación que se ha utilizado para representar el
cuerpo del mensaje de forma aceptable para el transporte
del correo.
 Identificación del contenido: utilizada para identificar
entidades MIME de forma única, en contextos múltiples.
 Descripción del contenido: una descripción en texto del
objeto del cuerpo: es útil cuando el objeto no es legible
(por ejemplo, datos de audio).[18]
3) Función S/MIME
En términos de funcionalidad general, S/MIME es muy similar a
PGP. Los dos ofrecen posibilidad de firmar y/o cifrar mensajes. En
este se parado se resume brevemente la capacidad de S/MIME.
S7MIME proporciona las siguientes funciones:
 Datos empaquetados (enveloped data): consiste en
contenido cifrado de cualquier tipo y claves de cifrado de
contenido cifrado para uno o más receptores.
 Datos firmados (signed data): una firma digital se forma
tomando el resumen de mensaje del contenido que se va a
firmar y cifrándolo con la clave privada del firmante. El
contenido mas la firma se codifican luego usando
codificación base64.Un mensaje de datos firmado solo
puede verlo un receptor con capacidad S/MIME.
  Datos firmados en claro (clear-signed data): al igual que
con los datos firmados, se crea una firma digital del
contenido. Sin embargo, en este caso, solos se codifica la
firma digital usando base64. Como resultado, los
receptores sin capacidad S/MIME pueden ver el contenido
del mensaje, aunque no puedan verificar la firma.
Datos firmados y empaquetados (signed and enveloped data): se
puede anida entidades sólo firmadas y sólo cifradas, para que los
datos cifrados puedan ser firmados y que los datos firmados o en
formato clear signed puedan ser cifrados[18].
VII. CONTRAFUEGOS
A. Concepto
Los cortafuegos (firewalls) son sistemas o grupos de sistemas que
implementan una política de control de acceso entre dos redes,
prohibiendo o permitiendo explícitamente una determinada
comunicación, en función del lugar de procedencia, el tipo de
servicio o los parámetros que se configuren[19].
B. Filtros de paquetes
El filtro de paquetes es una característica implementada en los
enrutadores y cortafuegos que usa reglas especificadas por el
administrador para determinar si un paquete puede pasar o no por el
cortafuegos. Las reglas se basan en la información proporcionada en
las cabeceras del protocolo de cada paquete, que incluye lo
siguiente[20]: (véase Figura 6)
 Direcciones del origen y del destino.
 Protocolo encapsulado.
 Puerto de origen y de destino.
 Tipo de mensaje ICMP.
 Interfaz de llegada y de salida.[20]
Figura 6. Cabecera de un paquete en IPv4. En destacado los campos
que habitualmente inspeccionan los Cortafuegos.[21]
C. Traducción de dirección de red
La Traducción de dirección de red (NAT) es una técnica que
permite a una LAN usar direcciones IP privadas, no registradas, para
acceder a Internet. Un servidor NAT, o un enrutador con capacidad
NAT, modifica los datagramas generados por los clientes, para hacer
que aparezcan como si hubieran sido creados por el servidor NAT. El
servidor NAT, que tiene una dirección IP registrada, se comunica
entonces con Internet, y retransmite las respuestas hacia atrás hasta el
cliente original. Como los clientes no tienen direcciones IP Internet
válidas, son invisibles para los usuarios exteriores de Internet[20].
D. Servidores proxy
Los servidores proxy, también llamados puertas de enlace del nivel
de aplicación proporcionan una forma mucho más estricta de
seguridad que los filtros de paquetes pero están diseñados para
regular el acceso solamente a una aplicación particular. En esencia,
un servidor proxy funciona como un intermediario entre el cliente y
el servidor de un servicio particular. Se usan filtros de paquetes para
impedir todas las comunicaciones directas entre los clientes y los
servidores de ese servicio; todo el tráfico tiene que pasar por el
servidor proxy (véase la Figura 7).
Como el servidor proxy tiene un conocimiento mucho más
detallado de la aplicación concreta y de sus funciones, puede regular
con más precisión las comunicaciones generadas por dicha
aplicación. Un cortafuegos puede ejecutar servidores proxy
individuales para cada una de las aplicaciones que necesiten los
sistemas cliente [20]
Figura 7. Los servidores apoderados retransmiten el tráfico de la aplicación
los clientes y los servidores.[20]
E. Puertas de enlace a nivel circuito
Las puertas de enlace a nivel de circuito, una función que
usualmente proporcionan los productos puerta de enlace del nivel de
aplicación, permite a los usuarios de confianza de las redes privadas
acceder a servicios de Internet con toda la seguridad de un servidor
proxy, pero sin proceso y filtro de paquetes. La puerta de enlace crea
un conducto ente la interfaz de la red privada y la interfaz de Internet,
que permite a los sistemas cliente enviar tráfico a través del
cortafuegos. El servidor puerta de enlace también sustituye la
dirección IP del sistema cliente por su propia dirección IP, de modo
que el cliente sigue siendo invisible para los usuarios de Internet.[20]
F. Combinación de tecnologías de contrafuegos
Hay varias formas de combinar las tecnologías de cortafuegos para
proteger una red. Para instalaciones relativamente simples en las que
sólo se requiere acceso de los clientes a Internet, el filtro de paquetes
o sólo NAT, o un filtro de paquetes en combinación con un servidor
proxy, puede proporcionar un cortafuegos suficiente. La
incorporación del servidor proxy incrementa la seguridad de la red
más allá de lo que proporciona el filtro de paquetes, porque un
intruso potencial tiene que violar dos niveles de protección. Sin
embargo, si se tienen servidores que deben ser visibles para internet,
el problema es más complicado. Una de las disposiciones de
 cortafuegos más segura que se pueden usar para este tipo de entorno .
se llama cortafuegos de subred encubierta (sceened subnet firewall).
Consiste en una red en zona desmilitarizada (DMZ) que se sitúa entre
la red privada e Internet. Por medio de dos enrutadores con capacidad
de filtro de paquetes, se crea una red DMZ en la que está el servidor
proxy y también la Web, el correo electrónico, los servidores FTP y
otras máquinas que tienen que ser visibles desde Internet[20]

VIII. RESULTADOS

TABLA 1 ANÁLISIS COMPARATIVO ENTRE EL CIFRADO SIMÉTRICO Y ASIMÉTRICO

Utiliza En una red El tiempo Las claves Facilidad de Mecanismo Total

una sola grande el de ejecución utilizadas distribución de eficiente en
clave número de de métodos son claves claves de firma
Cifrado/Características (llave) claves es es rápido pequeñas digital
pequeño

Simétrico    3/6

Asimétrico    3/6

TABLA 2 ANÁLISIS DE PROTOCOLOS PARA PROPORCIONAR SEGURIDAD AL TRÁFICO.

Servicios que
proporciona Control de Integridad Autenticación Rechazo de Confidencialidad Confidencialidad
IPSec acceso de origen de paquetes (encriptación) de un flujo Total
/Protocolos datos repetidos limitado de
tráfico
Cabecera de
Autentificación     4/6
(AH)
Encapsulado de
carga útil de       6/6
seguridad
((ESP).)

TABLA 4.3 ANÁLISIS DE CARACTERÍSTICAS PARA LA TRANSACCIÓN SEGURA DE SSL Y SET

Protocolos Capa de sockets seguros (SSL) Transacción Electrónica Segura(SET)

Características para la transacción segura
Autentificación empleando una autoridad de Proteger el sistema de tarjetas de crédito
certificación cuando es utilizado a través de Internet.
Negociación del algoritmo de cifrado Gestión de compra electrónica
Intercambio de claves de sesión Gestión de fase de pago
Inicio de transacción
Transferencia de la información de la
transacción
 TABLA 4.4 ANISÁIS DE CARACTERÍSTICAS DE LOS DIFERENTES MECANISMOS DE LA SEGURIDAD EN CORREO
ELECTRÓNICO

Estándar / confidencial integridad autenticación Algoritmo compresió Algoritmo Algoritm Algoritmo Total
Características idad triple des n de texto DES o RSA AES

Correo de Internet
con Privacidad       6/8

Privacidad         8/8
bastante buena
Extensiones de 7/8
Correo de Internet       
de Propósitos
Múltiples / Seguro

TABLA 4.5ANÁLISIS DE LOS DIFERENTES TIPOS DE CONTRAFUEGOS

Tipos de contrafuegos Ventajas Desventajas

Filtrado de paquetes Rápidos La reglas pueden ser difíciles o complicadas
Comprueba secuencia de mensajes y estado de
conexiones
Analiza el tráfico en la capa de red, y algunas
características de la capa transporte y enlace de
datos
Especifica condiciones en que los paquetes
pueden ser admitidos
Es económico

Traducción de dirección de red uso de direcciones privadas

Servidores proxy
Puertas de enlace a nivel circuito
Autentificación de usuarios
Análisis de conexión a nivel aplicación
Es flexible
Mas precisión en las comunicaciones
generadas por dicha aplicación
Rápidas
No hay necesidad de ver todo el contenido de
los paquetes transmitidos
 Tiene una penalización mucho mayor
Con mucho tráfico en la red el trafico se
reduce
Prestaciones menores de velocidad de
inspección
Limitación en el protocolo TCP
Imposibilidad de verificar protocolos de alto
nivel
Imposibilidad de verificar http y url por que
no entiende duchos protocolos

VII. CONCLUSIONES [3]
Los cifrados simétricos y asimétricos han tomado un papel [4]
importante en la actualidad amos son buenos ya han tenido
evoluciones, como el caso de DES que aunque fue roto en menos
de 3 días por fuerza bruta pero empleando una máquina para ese
uso especifico, trajo así a triple DES, después se desarrollaron [5]
algoritmos matemáticos con mayor seguridad , tanto el cifrado
simétrico como el asimétrico tienen sus ventajas como se pudo
ver en el añiláis de resultados, el cifrado simétrico solo utiliza
una calve, es rápido y altamente eficiente, pero toda la seguridad
está en la clave y esta no se puede dar por un medio de [6]
transmisión inseguro , el asimétrico por otro lado ofrece que en
una red grande el numero de claves sea menor ,hay facilidad de
distribución con las claves aunque son relativamente lentos, por [7]
ello amos ofrecen seguridad, el modelo de empleo dependerá del
usuario ya que dependiendo de sus necesidad y el uso , se usara
una u otra. IPsec se utiliza para proteger una o más trayectorias,
utiliza dos protocolos para proporcionar seguridad al tráfico la [8]
cabecera de autentificación (AH) que proporciona control de
acceso, integridad autenticación de origen de datos, rechazo de [9]
paquetes repetidos. La carga de seguridad encapsulada (ESP)
proporciona control de acceso, integridad autenticación de origen [10]
de datos, rechazo de paquetes repetidos, confidencialidad. La
asociación de seguridad es una conexión simplex o unidireccional
permite servicios de seguridad de tráfico mediante el uso de AH [11]
o de ESP. En cuanto a la seguridad web se ve su aplicación en
comercio electrónico y transferencias bancarias hay que tener en [12]
cuenta que se envían datos importantes ya sea nombre dirección,
teléfono o incluso información sobre tarjetas de crédito para este
tipo de seguridad se analizo la manera en que una transacción [13]
puede ser segura en SSL, para llevarse a cabo esta se tiene que
tomar en cuenta el inicio de transacción, la transferencia de la [14]
información de la transacción, negociación del algoritmo de
cifrado ,autentificación empleando una autoridad de certificación [15]
, y el intercambio de claves de sesión, mientras que en SET hay
que proteger el sistema de tarjetas de crédito cuando es utilizado a
través de internet, gestionar la compra electrónica, así como saber
con claridad que de fase de pago se van a utilizar . En la
seguridad de correo electrónico se dio a conocer la función, y se [16]
llego a la conclusión que tanto PGP, PEM, S/MIME ofrecen
confiabilidad integridad y autentificación, los algoritmos que [17]
utilizan son diferentes pero se pusieron los que se trataron en esta
investigación para hacer la comparación. En el tema de los
contrafuegos cada uno contiene características diferentes y operan [18]
en diferentes capas de aplicación, para tener mucho mayor
seguridad se recomienda unir los contrafuegos dependiendo de
las necesidades que requiera el usuario. [19]
RECONOCIMIENTOS [20]
A Dora Luz González Bañales quien fue la persona que me
[21]
oriento en la elaboración de este articulo.
.
REFERENCIAS
[1] STALLINGS, WILLIAM, COMUNICACIONES Y REDES
DE COMPUTADORES, Madrid: PEARSON
EDUCACIÓN S.A., 2004.
[2] Gibrán Granados Paredes, “INTRODUCCIÓN A LA
CRIPTOGRAFÍA,” Coordinación de Publicaciones
Digitales. DGSCA-UNAM, vol. 7, Jul. 2006, pág. 17.
Jordi Forné, José Luis Melús y Miguel Soriano,
“Criptografía y Seguridad en Comunicaciones.”
Dioses Zárate Javier, Shiguihara Juárez Pedro, Valverde
Rebaza Jorge, Velásquez Vásquez Rulber, “Fundamentos
de Criptografía,
Clave Secreta. Clave Pública,” 2008.
Luis de Jesús González Noriega, “Seguridad en redes
inalámbricas para
sistemas multimedia de tiempo real,” CENTRO DE
INVESTIGACI´ON Y DE ESTUDIOS AVANZADOS
DEL INSTITUTO POLIT´ECNICO NACIONAL, 2005.
Gabriel Verdejo Alvarez, “El protocolo IPv6 y sus
extensiones de seguridad IPSec,” Universidad Autónoma
de Barcelona, 2000.
Carlos Eduardo López Peza, “Sistema de Seguridad para
Intercambio de Datos en
Dispositivos Móviles,” CENTRO DE INVESTIGACIÓN
Y DE ESTUDIOS AVANZADOS DEL IPN, 2005.
José de Jesús Angel Angel, “AES - Advanced Encryption
Standard,” 2005.
Miguel Morales Sandoval, “Notas sobre Criptografía,”
2003.
Ruben A. González García, Selene Chaires Enríquez,
“Seguridad en Internet: un estado del arte,” Revista de
Ciencias Básicas UJAT, vol. 4, Dic. 2005, pág. 38.
Hugo Adrian Francisconi, IPsec en Ambientes
IPv4 e IPv6, Argentina: Carril Godoy Cruz 2801, 2005.
LUJÁN MONTES ERICK FERNANDO, “SEGURIDAD
EN IP CON EL PROTOCOLO IPSEC PARA IPV6,” Oct.
2005.
FRED HALSALL, Redes de computadoras e Internet,
Madrid: PEARSON EDUCACIÓN S.A., 2006.
Juan Manuel Saura Martín, “Implantación de seguridad en
entornos Web.,” Jul. 2006.
Martínez López Luis,Mata Mata Francisco,Rodríguez
Domínguez Rosa Maria, “SISTEMAS DE PAGO
SEGURO. SEGURIDAD EN EL COMERCIO
ELECTRÓNICO,” Revista de Estudios Empresariales.,
2009, págs. 63 - 76.
Paul Fahn, “Respuestas a las preguntas más frecuentes
sobre criptografía actual,” Sep. 1993.
Francisco López Crespo, Miguel Ángel AmutioGómez,
“Seguridad en redes telemáticas Correo Electrónico y
Servicios Internet,” Jul. 1996.
STALLINGS,W., FUNDAMENTOS DE SEGURIDAD EN
REDES, APLICACIONES Y ESTÁNDARES, Madrid:
PEARSON EDUCACIÓN S.A., 2004.
Silvana María Marino Pezzarini, “El Aprendizaje
Electrónico y Auto-Evaluación de
TCP/IP,” 2007.
CRAIG ZACKER, Redes Manual de referencia, Aravaca
(Madrid): MCGRAW-HILL/INTERAMERICA DE
ESPAÑA, S.A.U., 2002.
José María Morales Vázquez, “Cortafuegos. Comparativa
entre las Distintas Generaciones y Funcionalidades
Adicionales,” 2001.