CAPITULO IX

INTRANET

9.1.- UNA VISIÓN GLOBAL DE UNA INTRANET

Una Intranet es una red privada empresarial o educativa que utiliza los protocolos TCP/IP de Internet para su transporte básico. Los protocolos pueden ejecutar una variedad de Hardware de red, y también, pueden coexistir con otros protocolos de red, como IPX. Aquellos empleados que están dentro de una Intranet pueden acceder a los amplios recursos de Internet, pero aquellos en Internet no pueden entrar en la Intranet, que tiene acceso restringido.

Una Intranet se compone frecuentemente de un numero de redes diferentes dentro de una empresa que se comunica con otra mediante TCP/IP. Estas redes separadas se conocen a menudo como sub - redes. El software que permite a la gente comunicarse entre ella vía e-mail y tablones de mensaje públicos, y colaborar en la producción usando software de grupos de trabajo, está entre los programas de Intranets más poderoso. Las aplicaciones que permiten a los distintos departamentos empresariales enviar información, y a los empleados rellenar formularios de la empresa (como las hojas de asistencia) y utilizar la información corporativa financiera, son muy populares. La mayoría del software que se utiliza en las Intranets es estándar: software de Internet como el Netscape, Navigator y los navegadores Explorer para Web de Microsoft. Y los programas personalizados se construyen frecuentemente usando el lenguaje de programación de Java y el de guión de CGI.

Las Intranets también se pueden utilizar para permitir a las empresas llevar a cabo transacciones de negocio a negocio como: hacer pedidos, enviar facturas, y efectuar pagos. Para mayor seguridad, estas transacciones de Intranet a Intranet no necesitan nunca salir a Internet, pero pueden viajar por líneas alquiladas privadas. Son un sistema poderoso para permitir a una compañía hacer negocios en línea, por ejemplo, permitir que alguien en Internet pida productos. Cuando alguien solicita un producto en Internet, la información se envía de una manera segura desde Internet a la red interna de la compañía, donde se procesa y se completa el encargo. La información enviada a través de una Intranet alcanza su lugar exacto mediante los enrutadores, que examinan la dirección IP en cada paquete TCP(IP y determinan su destino. Después envía el paquete al siguiente direcciónador. Si este tiene que entregarse en una dirección en la misma sub - red de la Intranet desde la que fue enviado, llega directamente sin tener que atravesar otro enrutador. Si tiene que mandarse a otra sub – red de trabajo en la Intranet, se enviará a otra ruta. Si el paquete tiene que alcanzar un destino externo a la Intranet a la Intranet en otras palabras, Internet se envía a un enrutador que conecte con Internet.

Para proteger la información corporativa delicada, y para asegurar que los piratas no perjudican a los sistemas informáticos y a los datos, las barreras de seguridad llamadas firewalls protegen a una Intranet de Internet. La tecnología firewall usa una combinación de enrutadores, servidores y otro hardware y software para permitir a los usuarios de una Intranet utilizar los recursos de Internet, pero evitar que los intrusos se introduzcan en ella. Mucha Intranets tienen que conectarse a "sistemas patrimoniales": el hardware y las bases de datos que fueron creadas antes de construir la Intranet. A menudo los sistemas patrimoniales usan tecnologías más antigua no basada en los protocolos TCP/IP de las Intranets. Hay varios modos mediante los que las Intranets se pueden unir a sistemas patrimoniales. Un método común es usar los guiones CGI para acceder a la información de las bases de datos y poner esos datos en texto HTML formateado. Haciéndolos asequibles a un navegador para Web.

9.2.- COMO FUNCIONA TCP/IP E IPX EN LAS INTRANETS

Lo que distingue una Intranet de cualquier otro tipo de red privada es que se basa en TCP/IP: los mismos protocolos que se aplican a Internet. TCP/IP se refiere a los dos protocolos que trabajan juntos para transmitir datos: el Protocolo de Control de Transmisión (TCP) y el Protocolo Internet (IP). Cuando envías información a través de una Intranet, los datos se fragmentan en pequeños paquetes. Los paquetes llegan a su destino, se vuelven a fusionar en su forma original. El Protocolo de Control de Transmisión divide los datos en paquetes y los reagrupa cuando se reciben. El Protocolo Internet maneja el encaminamiento de los datos y asegura que se envían al destino exacto.

En algunas empresas, puede haber una mezcla de Intranets basadas en TCP/IP y redes basadas en otra tecnología, como NetWare. En este caso, la tecnología TCP/IP de una Intranet se puede utilizar para enviar datos entre NetWare y otras redes, usando una técnica llamada IP canalizado. Las redes NetWare usan el protocolo IPX(Intercambio de Paquetes en Internet) como medio de entregar datos y las redes TCP/IP no pueden reconocer este protocolo. Cuando un paquete IP mediante un servidor NetWare especifico y que se dedica a ofrecer el mecanismo de transporte del IP para los paquetes IPX.

Los datos enviados dentro de una Intranet deben separase en paquetes menores de 1.500 caracteres. TCP divide los datos en paquetes. A medida que crea cada paquete, calcula y añade un número de control a éstos. El número de control se basa en los valores de los bytes, es decir, la cantidad exacta de datos en el paquete.

Cada paquete, junto al número de control, se coloca en envases IP o "sobre" separados. Estos envases contienen información que detalla exactamente donde se van a enviar los datos dentro de la Intranet o de Internet. Todos los envases de una clase de datos determinada tienen la misma información de direccionamiento así que se pueden enviar a la misma localización para reagruparse.

Los paquetes viajan entre redes Intranets gracias a enrutadores de Intranets. Los enrutadores examinan todos los envases IP y estudian sus direcciones. Estos direccionadores determinan la ruta más eficiente para enviar cada paquete a su destino final. Debido a que él trafico en una Intranet cambia frecuentemente, los paquetes se pueden enviar por caminos diferentes y puedan llegar desordenados. Si el enrutador observa que la dirección está localizada dentro de la Intranet, el paquete se puede enviar directamente a su destino, o puede enviarse a otro enrutador. Si la dirección se localiza fuera de Internet, se enviará a otro enrutador para que se pueda enviar a través de ésta.

A medida que los paquetes llegan a su destino, TCP calcula un número de control para cada uno. Después compara este número de control con el número que se ha enviado en el paquete. Si no coinciden, CP sabe que los datos en el paquete se han degradado durante él envió. Después descarta el paquete y solicita la retransmisión del paquete origina.

TCP incluye la habilidad de comprobar paquetes y determinar que se han recibido todos. Cuando se reciben os paquetes no degradaos, TCP los agrupa en su forma original, unificada. La información de cabecera de los paquetes comunica el orden de su colocación.

Una Intranet trata el paquete IP como si fuera cualquier otro, y envía el paquete a la red NetWare receptora, un servidor TCP/IP NetWare abre el paquete IP descarta el paquete IP, y lee el paquete IPX original. Ahora puede usar el protocolo IPX para entregar los datos en el destino exacto.

9.3.- COMO FUNCIONA EL MODELO OSI

La organización Internacional para la Normalización (ISO) ha creado el modelo de referencia "Interconexión de Sistemas Abiertos" (OSI), que describe siete pilas de protocolos para comunicaciones informáticas. Estas pilas no conocen o no se preocupan de lo que hay en pilas adyacentes. Cada pila, esencialmente, sólo ve la pila recíproca en el otro lado. La pila destinada a enviar la aplicación observa y se comunica con la pila de aplicación en el destino. Esa conversación tiene lugar sin considerar, por ejemplo, qué estructura existe en la pila física, como Ethernet o Token Ring. TCP combina las pilas de aplicación, presentación y sesión del modelo OSI en una que también se llama pila de aplicación.

9.4.- COMO SE PROCESAN LOS PAQUETES TCP/IP

Los protocolos como TCP/IP determinan cómo se comunican las computadoras entre ellas por redes como Internet. Estos protocolos funcionan conjuntamente, y se sitúan uno encima de otro en lo que se conoce comúnmente como pila de protocolo. Cada pila del protocolo se diseña para llevar a cabo un propósito especial en la computadora emisora y en la receptora. La pila TCP combina las pilas de aplicación, presentación y sesión en una también denominada pila de aplicación.

9.5.- COMO FUNCIONAN LOS PUENTES

Los puentes son combinaciones de hardware y software que conectan distintas partes de una red, como las diferentes secciones de una Intranet. Conectan redes de área local (LAN) entre ellas. Sin embargo, no se usan generalmente para conectar redes enteras entre ellas, por ejemplo: para conectar una Intranet con Internet; o una Intranet con otra, o para conectar una sub – red completa con otra. Para hacer eso, se usan piezas de tecnología más sofisticada llamadas enrutadores.

Cuando hay gran cantidad de trafico en una red de área local Ethernet, los paquetes pueden chocar entre ellos, reduciendo la eficacia de la red, y atrasando el tráfico de la red. Los paquetes pueden colisionar porque se encamina mucho trafico entre todas las estaciones de trabajo en la red.

Para reducir la proporción de colisiones, una LAN se puede subdividir en dos o más redes. Por ejemplo, una LAN se puede subdividir en varias redes departamentales. LA mayoría del tráfico en cada red departamental se queda dentro de la LAN del departamento, y así no necesita viajar a través de todas las estaciones de trabajo en todas las LAN de la red. De este modo, se reducen las colisiones. Los puentes se usan para enlazar las LAN. El único tráfico que necesita cruzar puentes es el que navega con rumbo a otra LAN.

9.6.- COMO FUNCIONAN LOS ENRUTADORES DE LAS INTRANETS

Los enrutadores son los guardias de tráfico de las Intranets. Se aseguran que todos los datos se envían donde se supone que tienen que ir y de que lo hacen por la ruta más eficaz. Los enrutadores también son herramientas útiles para sacar el mejor rendimiento de la Intranet. Se emplean para desviar el tráfico y ofrecer rutas. Los enrutadores utilizan la encapsulación para permitir el envío de los distintos protocolos a través de redes incompatibles.

Los enrutadores abren el paquete IP para leer la dirección de destino, calcular la mejor ruta, y después enviar el paquete hacia el destino final. Si el destino está en la misma parte de una Intranet, el enrutador enviará el paquete directamente a la computadora receptora. Si el paquete se destina a otra Intranet o sub – red (o si el destino está en Internet), el enrutador considera factores como la congestión de tráfico y él numero de saltos – términos que se refiere al número de enrutadores o pasarelas en una ruta dada. El paquete IP lleva consigo un segmento que cuenta los saltos y un enrutador no usará una red que exceda de un número de saltos predeterminado. Las rutas múltiples – dentro de un número aceptable de saltos, son convenientes para ofrecer variedad y para asegurar que los datos se pueden transmitir. Por, ejemplo, si una ruta directa entre Madrid y Barcelona no estuviera disponible, los enrutadores sofisticados enviarán los datos a Barcelona por otro enrutador probablemente en otra ciudad en la Intranet, y esto sería transparente para los usuarios.

9.7.- COMO SE REPARTE EL E-MAIL DENTRO DE UNA INTRANET

Probablemente la parte más usada de una Intranet que no tiene nada que ver con bases de datos de la empresa, páginas Web ostentosas. O contenido multimedia es el uso del correo electrónico. Las Intranets empresariales pueden emplear diferentes programas e-mail, como cc: Mail Microsoft Mail o Lotus Notes, entre otros. Pero la Arquitectura más común que sirve de base al uso del e-mail de las redes internas es el protocolo llamado Protocolo simple de Transferencia de Correo, o SMTP.

9.8.- COMO SE REPARTE E-MAIL ENTRE INTRANETS

o                                            A menudo el e-mail creado en una Intranet no se entregará a una computadora de la Intranet, sino a alguien en Internet, en otra Intranet, o un servidor en línea como América Online, Microsoft Netword, o CompuServe.

9.9.- SUBDIVIDIR UNA INTRANET

Cuando las Intranets sobrepasan un cierto tamaño, o se extienden por varias localizaciones geográficas, empiezan a ser difícil manejarlas como una sola red. Para resolver el problema, la Intranet se puede subdividir en varias sub – redes, subsecciones de una Intranet que las hacen más fáciles de administrar. Para el mundo exterior, la Intranet aparece todavía como su fuera una sola red.

o                                            Si estas construyendo una Intranet y quieres que este conectada con Internet, necesitarías una dirección IP única para tu red, que será manejada por los Servicios Internic de Registro. Puedes disponer de tres clases de redes: Clase A, Clase B o Clase C. Generalmente, la clasificación de Clase A es mejor para las redes más grandes, mientras que la Clase C es mejor para las más pequeñas. Una red de Clase A puede estar compuesta de 127 redes y un total de 16.777.214 nodos en la red. Una red de Clase B puede estar compuesta de 16.383 redes y un total de 65.383 nodos. Una red de Clase C puede estar compuesta de 2.097.151 redes y 254 nodos.

o                                            Cuando se le asigna una dirección a una Intranet, se asigna los dos primeros números IP de la dirección Internet numérica (llamados el campo de la netid) y los dos números restantes(llamados el campo de la hostid) se dejan en blanco, para que la propia Intranet los pueda asignar, como 147.106.0.0. El campo de la hostid consiste en un número para una sub – red y un número de anfitrión.

o                                            Cuando una Intranet se conecta con Internet, un enrutador realiza el trabajo de enviar los paquetes desde Internet a la Intranet.

o                                            Cuando las Intranets crecen, por ejemplo, si hay un departamento ubicado en otro edificio, ciudad o país, se necesita algún método para manejar el trafico de red. Puede ser poco practico y físicamente imposible encaminar todos los datos necesarios entre muchas computadoras diferentes extendidos por un edificio o por el mundo. Se necesita crear una segunda red denominada sub – red de trabajo o sub – red.

o                                            Para tener un enrutador que dirija todo él trafico de entrada para un Intranet subdividida, se utiliza el primer byte del campo de la hostid. Los bits que se usan para distinguir sub – redes se llaman números de sub – red.

o                                            Cada computadora en cada sub – red recibe su propia dirección IP, como en una Intranet normal. La combinación del campo de la netid el número de sub – red, y finalmente un número de anfitrión, forman la dirección IP.

o                                            El enrutador debe ir informado de que el campo de la hostid en las sub – redes tienen que tratarse de modo diferente que los campos de la hostid no subdivididos, si no en así, no podrá encaminar adecuadamente los datos.

9.10.- SEGURIDAD DE LAS INTRANETS

Cualquier Intranet es vulnerable a los ataques de personas que tengan el propósito de destruir o robar datos empresariales. La naturaleza sin limites de Internet y los protocolos TCP/IP exponen a una empresa a este tipo de ataques. Las Intranets requieren varias medidas de seguridad, incluyendo las combinaciones de hardware y software que proporcionan el control del tráfico; la encripción y las contraseñas para convalidar usuarios; y las herramientas del software para evitar y curar de virus, bloquear sitios indeseables, y controlar el tráfico.

El término genérico usado para denominar a una línea de defensa contra intrusos es firewall. Un firewall es una combinación de hardware / software que controla el tipo de servicios permitidos hacia o desde la Intranet.

Los servidores sustitutos son otra herramienta común utilizada para construir un firewall. Un servidor sustituto permite a los administradores de sistemas seguir la pista de todo el tráfico que entra y sale de una Intranet.

Un firewall de un servidor bastión se configura para oponerse y evitar el acceso a los servicios no autorizados. Normalmente está aislado del resto de la Intranet en su propia sub – red de perímetro. De este modo si el servidor es "allanado", el resto de la Intranet no estará en peligro.

9.11.- COMO FUNCIONAN LOS ENRUTADORES PARA FILTRAR

Los enrutadores para filtrar, algunas veces denominados enrutadores de selección, son la primera línea de defensa contra ataques a la Intranet. Los enrutadores para filtrar examinan cada paquete que se mueve entre redes en una Intranet. Un administrador de Intranets establece las reglas que utilizan los enrutadores para tomar decisiones sobre qué paquetes deberían admitir o denegar.

Las distintas reglas se pueden establecer para paquetes que entran y que salen de modo que los usuarios de Intranets puedan acceder a los servicios de Internet, mientras que cualquiera en Internet tendría prohibido el acceso a ciertos servicios y datos de la Intranet. Los enrutadores para filtrar pueden llevar el registro sobre la actividad de filtración. Comúnmente, siguen la pista a los paquetes sin permiso para pasar entre Internet y la Intranet, que indicarían que una Intranet ha estado expuesta al ataque.

9.12.- COMO FUNCIONAN LOS FIREWALLS

Los firewalls protegen a las Intranets de los ataques iniciados contra ellas desde Internet. Están diseñados para proteger a una Intranet del acceso no autorizado a la información de la empresa, y del daño o rechazo de los recursos y servicios informáticos. También están diseñados para impedir que los usuarios internos accedan a los servicios de Internet que puedan ser peligrosos, como FTP.

Las computadoras de las Intranets sólo tienen permiso para acceder a Internet después de atravesar un firewall. Las peticiones tienen que atravesar un enrutador interno de selección, llamado también enrutador interno para filtrar o enrutador de obstrucción. Este enrutador evita que el trafico de paquetes sea "husmeado" remotamente. Un enrutador de obstrucción examina la información de todos los paquetes como cuál es su origen y cuál su destino. El enrutador compara la información que encuentra con las reglas en una tabla de filtros, y admite, o no, los paquetes basándose en esas reglas. Por ejemplo, algunos servicios, como roglin, no pueden tener permiso para ejecutarse. El enrutador no permite tampoco que cualquier paquete se envíe a localizaciones especificas del Internet sospechosas. Un enrutador también puede bloquear cada paquete que viaje entre Internet y la Intranet, excepto el e-mail. Los administradores de sistemas qué paquetes admitir y cuáles denegar. Cuando una Intranet está protegida por un firewall, están disponibles los servicios internos usuales de la red, como el e-mail, el acceso a las bases de datos corporativas y a los servicios de la Web, y el uso de programas para el trabajo en grupo.

9.13.- COMO FUNCIONA LA ENCRIPTACIÓN

Un medio de asegurar una Intranet es usar la encriptación: alterar datos para que sólo alguien con acceso a códigos específicos para descifrar pueda comprender la información. La encriptación se utiliza para almacenar y enviar contraseña para asegurarse de que ningún fisgón pueda entenderla. La encriptación se emplea también cuando se envían datos entre Intranets en Redes Privadas Muy Seguras (VSPN). Además la encriptación se usa para dirigir el comercio en Internet y proteger la información de la tarjeta de crédito durante la transmisión.

Las claves son el centro de la encriptación. Las claves son formulas matemáticas complejas (algoritmos), que se utilizan para cifrar y descifrar mensajes. Si alguien cifra un mensaje sólo otra persona con la clave exacta será capaz de descifrarlo. Hay dos sistemas de claves básicos: criptografía de claves secretas y de claves públicas. Se emplea un algoritmo para realizar una función de rehecho. Este proceso produce un resumen del mensaje único al mensaje. El resumen del mensaje se cifra con la clave privada del emisor que da lugar a una "huella digital".

El estándar de Encriptación de Datos (DES) es un sistema de claves secretas (simétrico); no hay componente de clave privada. El emisor y el receptor conocen la palabra secreta del código. Este método no es factible para dirigir negocios por Internet. RSA es un sistema de claves públicas (asimétrico), que utiliza pares de claves para cifrar y descifrar mensajes. Cada persona tiene una clave pública, disponible para cualquiera en un anillo de claves públicas, y una clave privada, guardada sólo en la computadora. Los datos cifrados con la clave privada de alguien sólo pueden descifrarse con su clave pública, y los datos cifrados con su clave pública sólo pueden descifrarse con su clave privada.

9.14.- COMO FUNCIONAN LAS CONTRASEÑAS Y LOS SISTEMAS DE AUTENTICACION

Una de las primeras líneas de defensa de una Intranet es usar la protección de las contraseñas. Varias técnicas de seguridad, incluyendo la encriptación, ayudan a asegurarse de que las contraseñas se mantienen a salvo. También es necesario exigir que las contraseñas se cambien frecuentemente, que no sean adivinadas fácilmente o palabras comunes del diccionario, y que no se revelen simplemente. La autenticación es el paso adicional para verificar que la persona que ofrece la contraseña es la persona autorizada para hacerlo.

El servidor cifra la contraseña que recibe del usuario, utilizando la misma técnica de encriptación empleada para cifrar la tabla de contraseñas del servidor. Compara la contraseña cifrada del usuario con la contraseña cifrada en la tabla. Si los resultados encajan, el usuario tiene permiso para entrar en el sistema. Si los resultados no encajan, el usuario no tiene permiso.

9.15.- COMO FUNCIONA EL SOFTWARE PARA EXAMINAR VIRUS EN UNA INTRANET

Los virus son el mayor riesgo en la seguridad de las Intranets. Pueden dañar datos, ocupar y consumir recursos, e interrumpir operaciones. Los archivos de programas eran la principal fuente de problemas en el pasado, pero los nuevos virus de "macro" se pueden esconder en archivos de datos e iniciarse, por ejemplo, cuando se ejecutan una macro en un programa de procesamiento de texto. El software para examinar virus basado en el servidor y el basado en el cliente poseen dispositivos que ayudan a proteger a la Intranet.

Un virus se esconde dentro de un programa. Hasta que ejecutes el programa infectado, el virus permanece inactivo, entonces el virus entra en acción. Algunas veces, lo primero que se hará infectar otros programas del disco duro copiándose de ellos.

9.16.- BLOQUEAR SITIOS INDESEABLES DESDE UNA INTRANET

El software para el bloqueo de sitios examina el URL de cada petición que sale de la Intranet. Los URL más propensos a no ser aceptados accederán a la Web (http); grupos de noticias (ntp), ftp (ftp); gopher (gopher) y las conversaciones de Internet (irc). EL software toma cada uno de estos cinco tipos de URL y los pone en sus propias "cajas" separadas. El resto de la información de la Intranet que sale tiene permiso para pasar.

Cada URL en cada caja se comprueba en una base de datos de los URL de los sitios censurables. Si el software de bloqueo encuentra que algunos de los URL provienen de sitios desagradables, no permitirá que la información pase a la Intranet. Los productos como SurfWatch como prueban miles de sitios y enumeran varios miles en sus bases de datos que se han encontrado molestos.

El software para bloquear sitios comprueba después el URL con una base de datos de palabras (como "sexo") que puede indicar que el material que se solicita puede ser censurable. Si el software de bloqueo encuentra un patrón que encaje, no permitirá que la información pase a la Intranet.