Fundamentos de comercio electrónico
el supervisor de desempeño es una herramienta muy poderosa. La cantidad de información a la
que tiene acceso el supervisor de desempeño es alucinante. Una exploración pequeña con esta
herramienta le dará información acerca del estado de la máquina, así como a encontrar cuellos de
botella y afinará el desempeño. Esta sección le da un panorama de la herramienta.
Las vistas
El supervisor de desempeño se comprende mejor si se le considera como una aplicación con
cuatro herramientas discretas, conocidas como vistas. Estas herramientas le permiten desplegar
visualmente, ejecutar acciones sobre, guardar y generar informes de los datos leídos en el Registro
de Desempeño. Se describen las cuatro vistas en la tabla 10-2.
Todas las vistas leen información acerca de los sistemas locales y remotos. La información se
organiza en computadoras, objetos, instancias y contadores:
▼ Computadoras Representan una máquina local o remota en la que hay muchos objetos.
Esta distinción le permitirá a usted ver con facilidad muchas computadoras con el supervisor
de desempeño.
■ Objetos Representa un componente físico, lógico y de software asociado con una
computadora especial. Todos los objetos podrían tener más de una instancia, y contener
varios contadores que son importantes para el objeto.
www.FreeLibros.me
Capítulo 10: Cómo mantener y optimizar los sitios para el comercio electrónico
Descripción
Despliega los datos del contador seleccionado en formato de gráficas de
líneas o en histogramas. Las dos opciones de presentación se conocen
como configuraciones Gallery. Se puede elegir cualquier opción de presen-
tación en el menú Options | Chart.
Le permite elaborar sucesos de alerta de acuerdo con los umbrales de los
contadores. Se pueden configurar las alertas para que efectúen acciones si
un contador sobrepasa o no llega a los valores especificados por el usuario.
Las acciones incluyen aviso al usuario de la red usando los servicios Alert
y Messenger; también se configuran para que ejecuten una aplicación de
acuerdo con la definición en Run Program de la caja Alert en las ventanas
Alert Entry y Add to Alert.
Le permite crear o abrir un archivo de registro existente y escribir datos del
objeto en el archivo. Se usa el registro para elaborar reportes en la vista
Report. También se exporta el registro en los formatos de texto .tsv y .csv
(valores separados por tabulador o por comas) para que se usen en
aplicaciones como Excel.
Le permite listar objetos y los datos asociados de los contadores en un
reporte que usa valores derivados de las actividades presentes o de un
archivo de registro.
■ Instancias (de un objeto) Se pueden crear para cada componente físico, lógico o de
software. Si hay dos procesadores en la computadora, habrá dos instancias del objeto
Processor. Cuando los objetos y los contadores asociados con ellos tienen varias instancias,
se supervisan los contadores asociados con todas las instancias individuales por separado.
En algunos casos, se tiene la opción de desplegar los datos de los contadores basados en
el valor total de todas las instancias.
▲ Contadores Representan información importante y medible definida dentro de un objeto.
Por ejemplo, el objeto Processor tiene varios contadores, entre ellos %Processor Time (este
contador representa el porcentaje de tiempo que el procesador está ocupado en la ejecución
de subprocesos útiles). Otro es Interrupts/sec (la cantidad de interrupciones en el dispositivo
que el procesador maneja por segundo). Es posible que haya muchos contadores definidos
dentro de un objeto.
Se revisan las computadoras, los objetos y los contadores en cualquiera de las cuatro vistas
cuando se seleccionan los contadores que se quieren leer. Después de seleccionar una computadora,
www.FreeLibros.me
Fundamentos de comercio electrónico
verá una lista de los objetos disponibles para ella. La figura 10-7 presenta una parte de una lista en
cascada de objetos para la computadora TOONCES.
Algunos de los objetos de la lista se agregaron cuando se instalaron programas especiales en la
computadora. Otros se añaden mediante un proceso manual. Además, Windows tiene varios objetos
predeterminados disponibles, que se listan en la tabla 10-3.
Para empezar con el supervisor de desempeño, elaboraremos una gráfica que presenta información
útil acerca de tres computadoras diferentes dentro de la red. Señalaremos algunas de las características
del supervisor de desempeño mientras vamos adelantando.
Vista Chart
En la figura 10-8, seleccionamos la vista Chart e hicimos un clic sobre Add en la barra de
herramientas para traer Add a la caja de diálogo Chart. Después seleccionamos TOONCES, y
seleccionamos el objeto Processor subrayado. Retuvimos el contador predeterminado %Processor
Time, y elegimos el color negro para barra o línea. La escala (Scale) se dejó en 1.0 predeterminado,
y aumentamos la anchura de la línea (Width) un punto más gruesa para que sea más visible, y
mantuvimos el estilo de la línea (Style) en línea sólida predeterminada. Como TOONCES sólo
tiene un procesador, instancia 0 es la única instancia que podemos elegir. Si TOONCES tuviese
dos procesadores, podríamos elegir entre instancias 0 y 1. Antes de hacer un clic sobre Add para
agregar este contador a la gráfica, hicimos un clic sobre Explain a fin de obtener una descripción
detallada del contador subrayado: %Processor Time.
Después agregamos dos contadores %Processor Time adicionales, uno para una computadora
llamada ALPHA y otro para una computadora WWW a fin de revisar el uso de los procesadores
de las tres computadoras en la misma gráfica. Después de ejecutar el supervisor de desempeño
www.FreeLibros.me
Capítulo 10: Cómo mantener y optimizar los sitios para el comercio electrónico
Objeto Función/Descripción
Cache
LogicalDisk Información sobre la memoria caché del sistema de archivos incluidas
las entradas a la caché.
Memory
Objects Información acerca de la unidad lógica incluidos los tiempos para leer
Paging File y escribir en disco, los índices de transferencia, y espacio libre medido
PhysicalDisk en megabytes.
Process Información de la memoria física, incluso los bytes comprometidos en
usos y las lecturas y escrituras de páginas.
Processor
Redirector Objetos de software que dan información acerca de los sucesos en el
sistema operativo, procesos, semáforos, subprocesos, etcétera.
System
Uso del archivo de páginas y picos de uso.
Subproceso
Información acerca del disco físico incluidos los tiempos para leer y
escribir en disco, los índices de transferencia, y la longitud de la cola
en el disco.
Un objeto software que le permite configurar los contadores para
supervisar el comportamiento de aplicaciones seleccionadas o el total de
las aplicaciones en ejecución.
Información del procesador de hardware.
Información para remitir la red, incluidos bytes recibidos o enviados,
conexiones, lectura y escritura de archivos, paquetes de datos, y errores
de la red.
Incluye contadores que proporcionan información general sobre el
sistema, incluidas las cuotas de registro en uso, el tiempo total de
procesador, llamadas al sistema, y tiempo efectivo del sistema.
Proporciona información acerca de los subprocesos como total o
dentro de un proceso determinado.
por un tiempo, obtuvimos la comparación del uso de los procesadores de las tres computadoras
que se muestra en la figura 10-9.
Para cambiar la vista Gallery de la pantalla de una gráfica de líneas a un histograma, abra la
caja de diálogos Chart Options al seleccionar Options | Chart en el menú, o haga un clic sobre
Options, localizada en el extremo derecho de la barra de herramientas. En Windows 2000, un
www.FreeLibros.me
Fundamentos de comercio electrónico
icono en la parte superior de la ventana del supervisor de desempeño permite que cambiar Chart
Options sea un proceso de un solo clic.
Además de permitirle cambiar la manera de presentar la gráfica, Chart Options concede que
usted opte por desplegar si desea leyendas, barra de valores, cuadrículas y etiquetas. También se
puede definir el número vertical máximo que se presentará en el extremo izquierdo de la gráfica.
Además, se puede cambiar el intervalo de tiempo de actualización, o configurarlo a manual si
usted desea tomar lecturas cuidadas.
Al igual que en las demás vistas, la vista Chart se configura para una variedad amplia de
contadores que se leen en tiempo real o de archivos de registro guardados con anterioridad. Los
usos de la vista Chart van desde revisiones rápidas del desempeño en el momento hasta el análisis
de datos a largo plazo. La barra de información en la parte inferior de las gráficas proveen los datos
último, promedio, mínimo y máximo del contador seleccionado. Cuando se capturan en un archivo
de registro, la información se guarda y se puede leer más tarde.
Vista Alert
La vista Alert es útil cuando se quiere supervisar contadores específicos, pero no se desea estar
sentado observando las gráficas todo el día. Se configuran umbrales y se pide al supervisor de
desempeño que le envíe un mensaje si el umbral está por arriba o por debajo de un valor predefinido.
www.FreeLibros.me
Capítulo 10: Cómo mantener y optimizar los sitios para el comercio electrónico
Por ejemplo, se podría supervisar el espacio libre en un disco lógico y pedir que se envíe una
alerta si el espacio libre está por debajo de un valor específico. También es posible especificar
una línea de comando que se ejecutará si el contador vigilado está por encima o por debajo del
umbral predefinido.
Agregar contadores alerta se hace del mismo modo que en la vista Chart. Haga un clic sobre Add
Counter o seleccione Edit | Add To Alert en el menú. En Windows 2000, busque la vista Alert en el
lado izquierdo de la MMC mientras que ejecuta el supervisor de desempeño.
La figura 10-10 presenta tres alertas definidas en la leyenda de alertas. La columna Valué
lista el umbral del contador que debe sobrepasarse antes que se dispare un suceso alerta. Observe
que el símbolo mayor que (>) a la izquierda de todos los valores indica que el valor del contador
debe ser mayor que el valor listado. Si el símbolo menor que (<) estuviese ahí, indicaría que el
contador alerta está configurado para que el valor del contador esté por debajo del valor listado
antes de disparar el suceso alerta.
El resto de la pantalla de la vista Alert se dedica a Alert Log. En cuanto se sobrepasa un umbral,
se despliega un mensaje en las listas de la vista Inicio que incluye la siguiente información:
www.FreeLibros.me
Fundamentos de comercio electrónico
▼ Alerta predefinida que generó el mensaje.
■ Hora de la alerta.
■ Valor del contador con símbolo mayor que o menor que.
■ Valor del umbral.
■ Contador.
■ Instancia.
■ Objeto.
▲ Computadora.
Para que el supervisor de desempeño envíe un mensaje de alerta, se tiene que configurar para que
lo haga. Tome en cuenta que para que el mensaje sea entregado, el nombre de la red definido debe
ser un nombre NetBIOS registrado, y se deben estar ejecutando los servicios Alerter y Messenger
(en un sistema NT) o WinPopUp (en los sistemas Win 95 y WFWG). Se registra un nombre
NetBIOS en una computadora específica como "bobalert" al introducir net ñame bobalert/add en
los comandos de la computadora. Cuando el nombre ha sido registrado, las alertas se desplegarán
en esa computadora.
Las etiquetas general, acción y programa dentro de la caja de diálogo Alert Properties (figura
10-11) se usan para definir varios escenarios, incluidas las opciones:
www.FreeLibros.me
Capítulo 10: Cómo mantener y optimizar los sitios para el comercio electrónico
▼ Hacer que la vista cambie a vista Alert en el momento en que ocurra un suceso alerta.
■ Que el suceso alerta se registre en Application Log para que se pueda leer en Event
Viewer.
■ Que el suceso alerta envíe un mensaje de red a un nombre de red específico listado en
la caja de diálogo NetName.
▲ Que el lapso de actualización esté establecido como actualización manual o periódica
con intervalos definidos.
Vista Log
La vista Log le permite capturar datos del objeto en intervalos especificados para ser revisados y
analizados posteriormente. Cualquiera de las otras vistas leen los archivos de registro y ejecutan
las funciones específicas como si los datos registrados sucedieran en tiempo real. Para cada objeto
seleccionado, todos los contadores asociados con él se escriben en el registro. Para escribir datos en
un registro, es necesario agregar objetos en la vista Log. Esto se logra seleccionando Edit | Add to
Log en el menú estando en la vista Log. En Windows 2000, la vista Log se selecciona fácilmente
en una fila de iconos en la parte superior de la ventana.
www.FreeLibros.me
Fundamentos de comercio electrónico
Esta acción traerá la caja de diálogo Add To Log, lo que le permite seleccionar las computadoras
y los objetos que quiere registrar. Cuando los haya agregado, abra la caja de diálogo Log Options y
especifique una ubicación, un archivo de registro y actualice las configuraciones.
Tenga cuidado al configurar el intervalo: algunos objetos generan una gran cantidad de datos en
un tiempo muy corto. Si el intervalo es corto y el objeto escribe una cantidad de datos muy grande
en el registro, es posible que se quede sin espacio en el disco duro en cuestión de minutos. Cuando
se han establecido estos parámetros, haga clic sobre Save y luego sobre Start Log, y cierre la
caja de diálogo Log Options. En este momento, el supervisor de desempeño empezará a capturar
los datos de todos los objetos desplegados (figura 10-12), y le permitirá supervisar el tamaño
del archivo de registro.
Para detener el registro, abra la caja de diálogo Options y haga clic sobre Stop Log. Para ver
los datos registrados, seleccione alguna de las otras vistas (Chart, Alert o Report), seleccione
Options | Data From, y elija la ruta y el nombre de archivo del archivo de registro. Todas las
herramientas leen los datos como si los reunieran en tiempo real.
Vista Report
La vista Report es parecida a la vista Chart debido a que su función es presentar información acerca
de los contadores. Es diferente porque despliega la información en una lista en forma de tabla
organizada por computadora, con los objetos y contadores listados debajo de cada servidor. Los
www.FreeLibros.me
Capítulo 10: Cómo mantener y optimizar los sitios para el comercio electrónico
valores están alineados en el lado derecho del informe con muchas instancias en columnas sucesivas
a la derecha. Los contadores se agregan como en la vista Chart. La figura 10-13 muestra la
distribución para una computadora.
La caja de diálogo Options de la vista Report sólo tiene una opción. Se define un intervalo
de actualización específico o se selecciona actualización manual (Manual Update). No se pueden
imprimir los informes desde la aplicación, pero se envían a un archivo y se abren en una aplicación
de hoja de trabajo como Excel. Ahí, usted imprime el informe o manipula más los datos. Con algunos
arreglos, es posible generar algunas gráficas atractivas y con significado.
Qué supervisar
Perfmon rastrea miles de trozos de información. Esta poderosa herramienta sigue la pista y reporta
cualquier dato estadístico que se le ocurra, y cientos más en los que usted nunca hubiera pensado.
Aunque le encante la amplitud de los datos estadísticos que puede obtener, en ocasiones tendrá una
sobrecarga de información. De todos los detalles que Perfmon cuida, ¿qué es lo más importante
que hay que supervisar?
El mejor plan es revisar los cuatro cuellos de botella más comunes:
▼ Memoria
■ Procesador
www.FreeLibros.me
Fundamentos de comercio electrónico
■ Subsistema de disco
▲ Subsistema de red
Además de estos cuellos de botella comunes, también es importante cuidar los recursos que
afectan la manera en que un servidor en particular funciona dentro de la red. Por ejemplo, es
posible que usted tenga un servidor Windows 2000 configurado para compartir los archivos e
impresión, compartir las aplicaciones, controlar el dominio, o la ejecución del servidor del Web.
La forma en que se usa ese servidor dentro de la organización determina los demás detalles que
usted debe supervisar.
Por ejemplo, los servidores mostrados en la figura 10-14 son los servidores web y de impresión
de la red. Aquí, es más importante revisar el subsistema de red en el servidor del Web que en el
servidor de impresión. El diseño de un esquema de supervisión que incluya los cuatro contribuyentes
normales y los recursos pertenecientes a las funciones del servidor mejorarán mucho el desempeño
de la red.
RAM
Los dos contadores principales de memoria que debe supervisar son Page Faults / sec y Pages / sec.
Si se usan en tándem, le indicarán si el sistema está configurado con suficiente RAM. Específi-
camente, muestran la cantidad de la actividad de páginas dentro del sistema. Para engañar a
la computadora y lograr que crea que tiene más RAM, las computadoras Windows usan algo
www.FreeLibros.me
Capítulo 10: Cómo mantener y optimizar los sitios para el comercio electrónico
denominado memoria virtual. La memoria virtual crea un archivo de paginado en el disco duro
que actúa como memoria adicional. Aunque la memoria virtual se almacena en un disco, y el
sistema operativo tiene acceso activo a ella, las aplicaciones activas no tienen idea de que carecen
de memoria física.
Como Page Faults / sec incluye fallas duras y suaves, el nivel aceptable es mucho más alto
que para el contador Pages / sec. La mayor parte de los sistemas toleran niveles para Page Faults
/ sec de aproximadamente 250 antes de que el desempeño del sistema empiece a tener problemas.
Sin embargo, las Pages / sec por encima de 20 rutinariamente indican que el sistema no ha sido
configurado con suficiente RAM. Cuando los valores de Pages / sec empiezan a llegar a 10, es
necesario empezar a pensar en agregar más memoria.
Otros dos contadores que es conveniente mantener vigilados son los Commit Limit y Committed
Bytes. Éstos trabajan juntos, de manera que es necesario revisar ambos grupos de lectura para
determinar si el sistema usa con eficacia la memoria virtual o no. El contador Commit Limit muestra
la memoria virtual total disponible en el sistema. Se trata de la suma de RAM física más el
tamaño máximo del archivo de paginado. El contador Committed Bytes muestra la cantidad total de
memoria virtual que el sistema ha comprometido de sus recursos (el valor Commit Limit). Cuando
el tamaño del contador Committed Bytes se acerca al valor Commit Limit, el sistema está cerca
de quedarse sin memoria virtual.
¿Cuáles deben ser los tamaños mínimo y máximo del archivo de paginado? Microsoft recomienda
un archivo de paginado mínimo de la cantidad de RAM física más 11MB (por ejemplo, si tiene
RAM de 128MB, debe tener 139MB de memoria virtual). Una mejor forma de determinar lo que
se necesita es descubrir los requisitos de uso normales del archivo de paginado de un sistema
particular, y especificar ese valor como mínimo (a menos que ese número esté por debajo de la
fórmula de Microsoft).
NOTA: Windows 2000/NT permite a la computadora establecer el tamaño del archivo de paginado. Sin
embargo, si decide dejar que la computadora lo haga, el desempeño se verá afectado. Lo mejor es
establecer el tamaño del archivo de paginado en forma manual.
El tamaño máximo del archivo de paginado debe ser el valor más alto que usted espera que
el archivo alcance. Sí, es fantásticamente ambiguo, de manera que una buena regla empírica es
establecer el valor máximo en 150% del valor mínimo.
Procesador
El contador crítico que se debe utilizar para observar el procesador de la computadora es %Pro-
cessor. Este contador señala la cantidad de tiempo que el procesador está efectuando trabajo
útil. Esto significa la cantidad de tiempo que el procesador está ejecutando subprocesos útiles, o
dando servicio a interrupciones. En todos los casos, %Processor no debe sobrepasar un uso de
50%. Si el contador consistentemente se acerca o excede el 50%, el primer paso es revisar si el
contador Interrupts/sec es de 3,500 o superior. Si el sistema sufre 3,500 o más interrupciones por
segundo, podría ser culpa de un dispositivo o de la unidad de un dispositivo el alto uso del
procesador.
www.FreeLibros.me
Fundamentos de comercio electrónico
Subsistema de disco
Los primeros contadores que hay que cuidar en el subsistema de disco son %Disk Time y Disk
Queue Length del objeto LogicalDisk o PhysicalDisk. Los valores que busca aquí son menos de
55% y menos de 2, respectivamente.
NOTA: Las unidades necesarias para supervisar el desempeño del disco están desconectadas, en
forma predeterminada, para evitar una sobrecarga del proceso. Para obtener los datos estadísticos del
disco duro, cargue las unidades de supervisión mecanografiando DISKPERF -Y en los comandos.
Cuando haya concluido de supervisar, introduzca la orden DISKPERF -N para desconectar las
unidades.
Una consideración importante cuando se supervisa el subsistema de discos implica su relación
con la memoria física. Un sistema que no está configurado con la cantidad adecuada de memoria
usará una cantidad increíble de actividad del disco, porque el sistema intenta compensar la falta
de memoria con paginado. Si usted percibe una actividad excesiva de disco, y está respaldada por
valores inaceptables de %Disk Time y Disk Queue Length, revise si el archivo de paginado está
bien configurado y si el sistema tiene suficiente RAM.
Subsistema de redes
El subsistema de redes es el sistema más difícil para optimizar y para solucionar problemas, debido
a la complejidad de las interacciones entre los componentes. El sistema operativo, las aplicaciones
de la red, las tarjetas de interfaz de la red, los protocolos y la topología juegan papeles importantes
para determinar qué tan bien se desempeña la red. Habiendo establecido esto, los dos contadores
más importantes que hay que cuidar son Server: Bytes Total/sec y Network Segment: %Network
Utilization.
El contador Server: Bytes Total/sec muestra la cantidad de actividad de la red que el servidor
experimenta. Un valor aceptable para este contador es 0.8 Mbps para redes con Ethernet, y 0.5 Mbps
en redes Token Ring de 16 Mbps. Si los valores están por encima de estos umbrales, aumenta la
probabilidad de que la red se atasque.
En cuanto al contador %Network Utilization, hay dos valores aceptables: teórico y real. En
teoría, una red Ethernet debe tener la capacidad de usar tanto ancho de banda como sea posible,
y mantener niveles de 70% y más. Pero, cuando el nivel de saturación se aproxima a 30%, el
índice de choques aumenta. Cuando aumentan los choques, Ethernet empieza a usar el ancho de
banda de la red con menos eficacia. Por este motivo, %Network Utilization siempre debe estar
por debajo de 30%.
Si usted sobrepasa regularmente este nivel, considere fragmentar la red, aumentar su velocidad,
o usar interruptores en lugar de centros.
Consideraciones para el comercio electrónico
Además de la memoria, los procesadores, los discos y las redes, también deberá que vigilar algunos
otros datos estadísticos que afectarán directamente su negocio electrónico. Por ejemplo, Perfmon
supervisa las Active Server Pages (ASP) y rastrea cualquier problema. Perfmon puede seguir el
rastro de casi tres docenas de atributos diferentes de las ASP, incluidos:
www.FreeLibros.me
Capítulo 10: Cómo mantener y optimizar los sitios para el comercio electrónico
▼ Solicitudes de depuración La cantidad de solicitudes que se reciben para depurar
un documento.
■ Errores/seg El número de errores que ocurren cada segundo.
■ Tiempo de ejecución de solicitud La cantidad de tiempo (en milisegundos) que tomó
ejecutar la solicitud más reciente.
■ Solicitudes en ejecución La cantidad de solicitudes que se ejecutan actualmente.
▲ Solicitudes vencidas El número de solicitudes que vencieron antes de ser terminadas.
NOTA: Para más información acerca de ASP, vea el capítulo 5.
Si su negocio electrónico usará el protocolo de transferencia de archivos (FTP), Perfmon tiene
15 herramientas diferentes que se usan para supervisar y valorar el desempeño del servidor para el
protocolo de transferencia de archivos. Los contadores incluyen:
▼ Bytes recibidos/seg El índice de datos recibidos por el servicio del protocolo para la
transferencia de archivos.
■ Bytes enviados/seg El índice al que el servicio del protocolo de transferencia de archivos
transmite los datos.
■ Conexión actual La cantidad actual de conexiones establecidas con el servicio para el
protocolo de transferencia de archivos.
▲ Total de archivos transferidos El número total de archivos que el servicio para el
protocolo de transferencia de archivos ha enviado o recibido.
Uno de los objetos Perfmon más utilizados y útiles es Internet Information Services (US) Global.
Estos 12 contadores reúnen un grupo de información acerca de la caché del servidor Web y de su
comportamiento. Algunos de los contadores incluyen:
▼ Descargas de la caché La cantidad de veces que una parte de la memoria caché ha
caducado debido a cambios en los archivos o en el directorio en un árbol de directorio US.
■ Entradas a la caché El número total de veces que la solicitud de un objeto se encuentra en
la caché para abrir archivos, listar directorios o para un servicio específico.
▲ Total de solicitudes E/S asincrónicas permitidas El número total de solicitudes permitidas
por las configuraciones de supresión del ancho de banda (contado desde el inicio del
servicio).
Pero el objeto que más vale la pena de Perfmon para un comercio electrónico es el Web Service.
Este objeto rastrea 54 datos estadísticos diferentes que van desde cuántos bytes se están enviando
hasta las solicitudes de interfaz de portal común (CGI) que el servidor web procesa. Algunos de los
contadores que usted usará para optimizar su negocio electrónico incluyen:
▼ Usuarios anónimos/seg El índice en el que usuarios anónimos se conectan con su
servidor web.
www.FreeLibros.me
Fundamentos de comercio electrónico
■ Solicitudes de E/S asincrónicas bloqueadas en el momento La cantidad de solicitudes
en el momento que están bloqueadas debido a saturación del ancho de banda.
■ Archivos enviados/seg El índice en que el servidor web envía los archivos.
▲ Solicitudes totales para la interfaz de portal común La cantidad de solicitudes para la
interfaz de portal común que se ejecutan en el servidor.
Perfmon es una herramienta poderosa que rastrea las partes más importantes de su comercio
electrónico. Si sigue con detenimiento el sistema y sus recursos, afinará y optimizará la red para
que ofrezca una eficacia máxima.
HERRAMIENTAS PARA
ADMINISTRAR LA RED
Cuando se ha diseñado y elaborado la red para el comercio electrónico, es necesario administrarla.
Usted debe saber hacia dónde va la amplitud de banda, por qué se dirige hacia ahí, y si es necesario
efectuar algún cambio. Por suerte, existen varias herramientas que le ayudarán a administrar su red
de área local para el negocio electrónico.
La administración de las redes es confusa. Por su misma naturaleza, el campo implica una
aterradora lista de tareas. Se deben planear, modelar, presupuestar, diseñar, configurar, comprar,
instalar, probar, mapear, documentar, operar, supervisar, analizar, optimizar, ajustar, ampliar,
actualizar y arreglar las redes. Las siguientes herramientas le ayudarán con la difícil tarea de la
administración de la red.
Herramientas
del sistema operativo
En el capítulo 4, hablamos acerca de diferentes sistemas operativos y de lo que aportan al comercio
electrónico. Ha llegado la oportunidad de hablar de lo que aportan a la administración de la red.
Todos contienen diferentes herramientas para administrar los recursos de la red, de manera que
revisémoslos rápidamente.
Microsoft Management Consolé (MMC)
Microsoft lanzó hacia arriba su software NT cuando desarrolló su Microsoft Management Consolé
(MMC) para Windows 2000. La MMC se presenta en todas las versiones de Windows 2000, y da
a los usuarios un ambiente consistente para administrar Windows y los recursos de la red. Con
el uso de MMC, los administradores eligen entre una variedad de herramientas y las agregan a
una consola personalizada.
NOTA: Hay una versión de MMC disponible para Windows NT. Se puede descargar en
www.microsoft.com.
www.FreeLibros.me
Capítulo 10: Cómo mantener y optimizar los sitios para el comercio electrónico
Solaris Resource Manager
El Solaris Resource Manager es una herramienta que ofrece administración de recursos por medio
de una interfaz gráfica para el usuario, y permite que los administradores equilibren las cargas en el
sistema y los recursos de la red para una mejor disponibilidad y calidad de servicio.
Solaris Resource Manager permite asignar más recursos del sistema a las aplicaciones o a
los usuarios que los necesitan. Pudiendo conceder y distribuir recursos en los lugares donde son
más necesarios, se consolidan muchas aplicaciones o servicios en un solo servidor. Y puesto que
usted controla cómo y dónde se asignan los recursos, se obtendrá el máximo provecho a lo
que usted tiene, y al mismo tiempo asegura niveles consistentes de servicio para todos y cada
uno de los usuarios.
NetWare Management Portal
Las, tareas administrativas en NetWare se modernizan y simplifican con el uso de NetWare
Management Portal (NMP). Esta herramienta para el explorador web habilita a usted para administrar
los servidores NetWare y los sistemas de archivos mediante un explorador del web desde cualquier
parte de la red, en lugar de correr hacia la habitación de los servidores cuando se tengan que resolver
los problemas de un servidor.
NetWare incluye ZENworks y ConsoleOne, dos herramientas administrativas que se utilizan
para desplegar y manejar herramientas en toda la red.
PROTOCOLO PARA LA ADMINISTRACIÓN
DE REDES SIMPLES
Casi todas las series modernas para administrar las redes se construyen sobre el protocolo para
la administración de redes simples (SNMP, Simple Network Management Protocol). Aunque el
protocolo para la administración de redes simples se opera directamente desde la línea de comandos,
casi siempre se usa mediante una aplicación administrativa que utiliza un canal de comunicación
del protocolo para la administración de redes simples, a fin de supervisar y controlar las redes.
Como se muestra en la figura 10-15, el protocolo para la administración de redes simples tiene
dos componentes básicos: una estación para administrar la red (NMS, Network Management
Station) y los agentes.
Los agentes son módulos de software pequeños que residen en los dispositivos administrados. Se
les puede configurar para que reúnan segmentos de información específicos acerca dé la operación
del dispositivo. La mayor parte de la información consiste en totales: bytes totales, paquetes totales,
errores totales, y similares. Los agentes se despliegan en la panoplia de los dispositivos:
▼ Enrutadores
■ Interruptores
■ Servidores de acceso
■ Centros
■ Servidores (Windows 2000, UNIX, Linux, etc.)
www.FreeLibros.me
Fundamentos de comercio electrónico
■ Estaciones de trabajo (PC, Mac y escritorios UNIX)
■ Impresoras
▲ Sistemas de respaldo eléctrico UPS
La idea es colocar agentes en todos los dispositivos de la red y administrar las cosas de acuerdo
con el estado de la información que se devuelva. Una pieza con un agente con protocolo para
la administración de redes simples cargado se conoce como un aparato administrado (también
denominado elemento de la red).
La estación para administrar la red (NMS) es el centro de control de la red interna. En general,
sólo hay una estación para administrar la red en un sistema autónomo, aunque muchas redes internas
usan más de una, por lo general colocadas en forma jerárquica. La mayor parte de las estaciones para
administrar la red se ejecuta hoy en servidores dedicados UNIX o Microsoft.
www.FreeLibros.me
Capítulo 10: Cómo mantener y optimizar los sitios para el comercio electrónico
SUPERVISIÓN REMOTA (RMON)
RMON [abreviatura de supervisión remota (remote monitoring)] es un estándar administrativo
separado, pero relacionado, que complementa al protocolo para la administración de redes simples. La
supervisión remota es similar al protocolo para la administración de redes simples en varias formas:
es un estándar abierto administrado por el IETF, usa tipos de datos SMI, y reúne la información de los
dispositivos y la reporta a una estación para administrar la red. Pero la supervisión remota es diferente
al protocolo para la administración de redes simples normal en tres formas fundamentales:
▼ La supervisión remota se basa en instrumentos; utiliza hardware especializado para
operar.
■ La supervisión remota envía proactivamente datos en lugar de esperar a ser encuestada,
lo que la hace más eficaz en cuanto al ancho de banda y de mayor respuesta a los sucesos
en la red.
▲ La supervisión remota permite que se reúnan datos mucho más detallados.
La instrumentación de la supervisión remota es más poderosa que el protocolo para la
administración de redes simples, pero es más cara. En consecuencia, las sondas para la supervisión
remota tienden a ser colocadas en los vínculos críticos, como en las columnas vertebrales de la red
y en servidores importantes. La figura 10.16 muestra la manera en que las sondas de supervisión
remota generan visibilidad administrativa cuando se sitúan por toda la red.
La supervisión remota reemplaza costosos dispositivos para analizar la red que se deben unir
físicamente en un área cercana al problema de la red. Las sondas de supervisión remota son de
diferentes formas, lo que depende del tamaño y del tipo de dispositivo que se debe supervisar:
▼ Un módulo especializado insertado en una ranura del dispositivo supervisado.
■ Una sonda construida con un propósito específico, unida externamente a uno o más de
los dispositivos supervisados.
▲ Una computadora personal dedicada unida a uno o más de los dispositivos supervisados.
El problema con la supervisión remota es que es cara. Requiere de hardware adicional para
almacenar y analizar los paquetes en tiempo real, y eso cuesta dinero. En consecuencia, la supervisión
remota se usa para administrar los vínculos que son críticos para la misión, o que son caros por
algún otro motivo.
Network Monitor
Windows NT y 2000 se distribuyen con una herramienta estupenda denominada Network Monitor.
Consiste en dos componentes: Network Monitor Agent y Network Monitor Tool. Si el servidor
ejecuta los agentes en otros sistemas, reunirá los datos del segmento de la red del agente como si
estuviese conectado físicamente con él. Esto significa que no hay que traer físicamente un analista
a todos los segmentos mientras que ya esté configurado.
Network Monitor es una herramienta poderosa. Rastrea información hasta la capa de red, ejecuta
filtros en estaciones o protocolos, y analiza paquetes.
Se muestra Network Monitor en NT en la figura 10-17.
www.FreeLibros.me
Fundamentos de comercio electrónico
www.FreeLibros.me
Capítulo 10: Cómo mantener y optimizar los sitios para el comercio electrónico
Cisco Works2000
Es una familia de productos, no un producto punto. En otras palabras, se trata de una plataforma
de software normal que sirve como andamio a partir del cual se operan aplicaciones opcionales.
Algunos llaman accesorios a las aplicaciones que se conectan en una serie. La meta de las series
www.FreeLibros.me
Fundamentos de comercio electrónico
de productos es integrar aplicaciones accesorio, y permitirles compartir datos. La infraestructura de
la serie comparte una base de datos y diferentes procesos de respaldo como las encuestas al protocolo
para la administración de redes simples y las verificaciones de configuración. CiscoWorks2000
importa datos de OpenView de HP, NetView de IBM y Sun Net de Sun Microsystems, por mencionar
algunos.
CiscoWorks2000, presentado en 1999, es un ambiente administrativo en toda la extensión de la
palabra, que es tan grande que un administrador de redes veterano tarda semanas en aprender todas sus
aplicaciones. Dos de las herramientas más importantes que se incluyen en CiscoWorks2000 son:
▼ Esenciales para el gerente de recursos Denominadas Esenciales para abreviar, se trata
de las aplicaciones fundamentales para supervisar, controlar y administrar los dispositivos
Cisco. Esenciales tiene herramientas para la instalación de dispositivos remotos, supervisión
del protocolo para la administración de redes simples, administración de configuración,
despliegue de software, análisis de rutas, inventario de dispositivos, etcétera.
▲ CiscoWorks para redes internas con interruptores (CWSI) Pronunciado "swizi", y
conocido generalmente como CWSI Campus, se trata de una serie de aplicaciones integradas
para la administración de las redes Cisco con interruptores. CWSI maneja las configuraciones
de las redes de área local virtuales, la administración de dispositivos en tiempo real, el
análisis de tránsito de acuerdo con la supervisión remota, y las conexiones y administración
del desempeño de ATM.
CiscoWorks2000 se instala y opera en una plataforma de cómputo normal, no en un dispositivo
especializado de la red. Además de la plataforma Windows de Microsoft, CiscoWorks2000 se puede
instalar en sistemas operativos AIX de IBM, PA-RISC de HP, y Sun Solaris.
NetSys Baseliner
NetSys Baseliner de Cisco es una aplicación para el modelado de redes que se utiliza para diseñar
y analizar redes internas. Las líneas de base se usan como punto de arranque desde el cual modelar
los cambios propuestos en la configuración. Las herramientas para las líneas de base se han vuelto
muy populares porque se pueden buscar errores en las configuraciones antes de implementarlas
en la realidad.
Baseliner utiliza las sondas de supervisión remota y la contabilidad de dispositivos Internetworks
Operating System de Cisco para instrumentar el tránsito de la red. Esto permite que las presentaciones
ayuden a comprender las características del tránsito. Por ejemplo, se generan informes identificando
los lugares con mucho tránsito, las parejas de huéspedes que generan la mayor parte del tránsito, y
otra información. Gracias a su detallada base de datos de configuración y a su fuerte instrumentación,
Baseliner supervisa la información en un nivel que no sería posible alcanzar usando otras aplicaciones
de CiscoWorks2000.
Un beneficio clave es que Baseliner ejecuta revisiones de integridad. Compara los archivos
de configuración y valida sus consistencias como total, además busca inconsistencias internas
dentro de los archivos de configuración. El software de Baseliner apunta hacia los errores de
configuración comunes, reduciendo en forma importante el tiempo que se requiere para aislar
y corregir los problemas.
www.FreeLibros.me
Capítulo 10: Cómo mantener y optimizar los sitios para el comercio electrónico
HERRAMIENTAS DE SUPERVISIÓN
DE VENDEDORES INDEPENDIENTES
Si no desea confiar únicamente en lo que está empaquetado con el software del sistema operativo,
hay varios vendedores independientes que estarán felices de quedarse con su dinero y proporcionarle
herramientas para supervisar la red.
Las siguientes herramientas no son sino una muestra de las muchas que existen, que le ayudarán
a cuidar su red. Para más información acerca de cada una de estas herramientas, visite sus sitios
respectivos en el Web, listados al final de las descripciones de los productos.
WebTrends Enterprise Suite
Enterprise Suite analiza los archivos de registro generados por nuestros servidores web, y crea
informes personalizados que lucen profesionales y que contienen un mundo de información, lo que
permite a la empresa administrar con más eficacia sus inversiones en el Web.
Enterprise Suite consiste en varios módulos, cada uno de los cuales analiza diferentes aspectos
de la infraestructura del Web. Por ejemplo, descubrirá quién visitó su sitio en el Web, cuánto tiempo
se quedó, y cuántas páginas vieron. Incluso encontrará información del tipo de la versión del
explorador y el sistema operativo utilizado, el sitio web de referencia, y la dirección de protocolo de
Internet de la computadora exploradora. Enterprise Suite acepta más de 30 formatos de registro, y
se pueden exportar informes a archivos de texto en lenguaje de marcación de hipertexto, Microsoft
Word, Excel o ASCII.
Se empieza por crear un perfil en el que se especifica información acerca de los filtros para
reducir el ámbito de los informes. El análisis es rápido, y los datos se despliegan en la ventana
del explorador. Enterprise Suite también incluye un programador, de manera que los informes
se generan a intervalos especificados, y se envían automáticamente por correo electrónico al
personal relevante.
El WebTrends Enterprise Suite incluye los siguientes módulos de análisis:
▼ Análisis del tránsito por el servidor web Proporciona un análisis detallado del sitio
web, y se reporta el tránsito a otros dentro de la organización.
■ Análisis del servidor de flujos de medios Comprende los detalles del uso del flujo de
medios en el sitio, incluidos los clips, alto, inicio, repeticiones más populares, y más.
■ Análisis del servidor de procuración Rastrea las tendencias de uso de la intranet y
comprende mejor la productividad de los usuarios.
■ Análisis y control de calidad de vínculos Mejora la calidad, el desempeño y la integridad
del sitio web.
■ Administrador del sitio Comprenda visualmente la estructura y distribución de su sitio
web.
■ Supervisión, alerta y recuperación Mantenga funcionando su sitio web todo el tiempo.
www.FreeLibros.me
Fundamentos de comercio electrónico
■ Aumentar clústeres en el servidor ClusterTrends Analice con exactitud el tránsito en el
sitio web y el desempeño técnico de los clústeres de servidores locales o geográficamente
dispersos.
■ Tecnología DBTrends Correlacione la información existente de la conectividad abierta de
base de datos con los resultados del análisis de datos de WebTrends.
▲ Tecnología de conectividad abierta de base de datos FastTrends Exporte los resultados
de la base de datos WebTrends FastTrends a bases de datos superiores que cumplen con la
conectividad abierta de base de datos como Oracle, Microsoft SQL, Sybase, Informix, y
otras, para más análisis de los datos.
Una de las características más nuevas en la versión más reciente (3.6) de WebTrends es la
capacidad de supervisar servidores de medios de flujo, como NetShow de Microsoft y RealPlayer de
Real Networks. Enterprise Suite informa cuánto tiempo jugaron los clientes con un clip de medios
específico, las versiones que el jugador usó, y la velocidad con la que se transfirió el contenido.
Para más información acerca de WebTrends, de sus productos y servicios, visite su sitio web
en www.webtrends.com.
EcoSCOPE 4.1
El supervisor de desempeño de aplicaciones EcoSCOPE 4.1 tiene algunas herramientas de análisis
impresionantes, que permiten a los administradores de la red descubrir las tendencias de problemas
de tránsito que son difíciles de percibir. EcoSCOPE descubre automáticamente e identifica miles de
aplicaciones a la vez que rastrea y detecta tendencias en el uso del ancho de banda de acuerdo con la
hora, el día de la semana, el tipo de aplicación y virtualmente cualquier otro factor.
Muchas características que sirven bien a un ambiente de empresa están presentes en EcoSCOPE.
Los administradores establecen umbrales de alerta de acuerdo con una infinidad de sucesos medidos.
Por ejemplo, se establece una alarma para que señale que el tránsito de juegos de video sobrepasa
el 5% del tránsito en la red.
Como las gráficas de desempeño se basan en el tránsito de la red, EcoSCOPE genera mapas de
topología que muestran los patrones de tránsito de aplicaciones específicas. Los administradores
utilizan EcoSCOPE para seguir con precisión el rastro del tiempo de transacción, y eliminan
rápidamente los cuellos de botella. EcoSCOPE también permite que los administradores capturen
información acerca del desempeño de la línea de base que se utiliza para comparar el desempeño
cotidiano, y que sirve de fundamento para las estimaciones para saber cuándo aumentar la capacidad
de ancho de banda de la red.
Una de las mayores cualidades de EcoSCOPE es su capacidad de integrarse con otras herramientas
para administrar la red, lo que permite una planeación de capacidad más fácil y eficaz, y proporciona
un mejor ambiente para el manejo de la red.
La interfaz con el usuario del software automáticamente despliega el cliente, el servidor y la
aplicación que tienen el tránsito más alto, así como su número de "impacto de usuario"; el producto
de la multiplicación del número de usuarios por el retraso en la respuesta para calcular el retraso
total para los usuarios es un número de referencia que facilita la identificación de los problemas de
desempeño que son los que más desperdician el tiempo.
Para más información acerca de EcoSCOPE y de otros productos y servicios de Compuware
Corporation, visite su sitio www.compuware.com.
www.FreeLibros.me
Capítulo 10: Cómo mantener y optimizar los sitios para el comercio electrónico
Netuitive 5.0
Netuitive 5.0 utiliza una correlación estadística que aprende los patrones en los datos de desempeño
de los sistemas y predice de manera automática dónde y cuándo ocurrirán los problemas. Los
fabricantes dicen que utilizando este método, usted recibirá un aviso hasta 24 horas antes de que
surja un problema, en lugar de en el momento en que está sucediendo.
Netuitive 5.0 se ejecuta en un servidor Windows NT o Windows 2000. Utiliza MS SQL Server
7.0 u Oracle 8 para almacenar los datos, predicciones y alertas. Reúne indicadores de desempeño
de cualquier tipo de sistema de aplicaciones por medio de contadores de supervisión de desempeño,
protocolo para la administración de redes simples, o integración de las bases de datos. Incluye un
paquete para informes Windows y un panel de instrumentos para el Web.
Netuitive utiliza la máquina de correlación adaptada (ACE, Adaptive Correlation Engine), que
aprende continuamente de los datos de un negocio electrónico de la red, predice el desempeño
futuro y únicamente avisa cuando es probable que haya problemas. Netuitive continuamente analiza
y aprende acerca de la red y de los flujos de datos de las aplicaciones. Los flujos de datos nuevos se
analizan en forma automática, con una frecuencia de hasta cada cinco minutos.
Netuitive 5.0 define umbrales de acuerdo con la hora, el tipo de día (día laboral o fin de
semana/feriado), el comportamiento reciente de los datos, y vuelve a calcular los umbrales
de desempeño de manera automática.
Netuitive ofrece las siguientes características:
▼ Se detectan problemas de degradación y desastres en el sistema antes de que sucedan.
■ Netuitive está diseñado para ser ejecutado fuera de los sistemas de producción, lo que evita
sobrecargas complejas o imposición sobre el poder de procesamiento.
▲ Escalabilidad. A medida que se agregan servidores y aplicaciones a la configuración,
Netuitive los incorpora automáticamente al modelo de predicción de desempeño.
Para más información acerca de Netuitive, visite su sitio web www.netuitive.com
NetworkIT
NetworkIT de Computer Associates es otra solución que confía en la tecnología neural para mejorar
el desempeño de la red. NetworkIT supervisa el desempeño de la red desde el punto de vista del
usuario final y del sistema. Esto ayuda a los administradores a manejar el ambiente, ya que les da
un panorama exacto del desempeño de la red.
NetworkIT está disponible para las plataformas UNIX y Windows 2000/NT, y admite protocolos
estándares incluidos TCP/IP, IPX, arquitectura de redes de sistemas, y DECnet. También descubre
y clasifica los dispositivos y activos en red, luego elabora un mapa intuitivo de la topología basado
en los resultados de sus descubrimientos y clasificación.
Lo sobresaliente de NetworkIT es la administración por predicción, que utiliza Performance
Neugents, de Computer Associates. Neugents utiliza redes neurales para aprender, adaptarse al
cambio con el tiempo, y predecir. Las redes neurales imitan la estructura del cerebro humano
para aprender de las experiencias. Al utilizar algoritmos sofisticados para detectar patrones en
múltiples dimensiones de los datos, determinan cuáles factores son los más importantes para
determinar los sucesos, y hacen predicciones acerca de los resultados futuros de acuerdo con los
datos reunidos y analizados.
www.FreeLibros.me
Fundamentos de comercio electrónico
Si usamos Neugents, NetworkIT maneja y predice por adelantado los problemas. Esta capacidad
ayuda a evitar interrupciones en los enrutadores, y aumenta al máximo el desempeño de la red.
Otras características de NetworkIT son:
▼ Desempeño de las aplicaciones NetworkIT supervisa los umbrales de desempeño en
torno a la red, por ejemplo el uso del ancho de banda y los tiempos de respuesta de los
nodos. La información respecto al desempeño relacionada con las aplicaciones también se
supervisa y se reporta. Por ejemplo, el software rastrea los tiempos de respuesta de extremo
a extremo de un usuario que tiene acceso a una aplicación, reporta los retrasos en todos los
componentes de la red entre el usuario y la aplicación, y proporciona una fragmentación
del flujo del tránsito de la aplicación.
■ Respuestas programables NetworkIT habilita la definición de cualquier número de
acciones automatizadas para los sucesos seleccionados. Esto le permite crear respuestas
sofisticadas a los problemas que ocurren dentro de la red.
▲ Análisis de la causa raíz El análisis avanzado de las raíces del programa emplea un
sistema de correlación de sucesos para determinar la causa raíz del problema de la red.
Esto muestra el problema central y elimina sucesos múltiples que ocasionan confusión en
el proceso para solucionar el problema.
Para más información de Computer Associates, NetworkIT y Neugents, visite su sitio web
en www.ca.com.
Mantener y optimizar la red no es un asunto nada fácil. Hay una multitud de ideas a las que debe
prestar atención especial para aumentar el desempeño de su red. La afinación y el mantenimiento
no son sólo cosas del hardware: son una batalla que se debe pelear en muchos frentes. Además
del hardware del sistema, es necesario asegurarse que el software opera correctamente, y que los
empleados están haciendo lo que se supone. Si toma en cuenta todos estos factores, su auto de
carreras perfectamente afinado, realmente rápido, sin ninguna duda ganará la carrera.
www.FreeLibros.me
Cómo se aseguran
los ambientes del
comercio electrónico
www.FreeLibros.me
www.FreeLibros.me
Creación de redes seguras
www.FreeLibros.me
Fundamentos de comercio electrónico
as opciones para seguridad que se encuentran disponibles hoy parecen interminables, confusas
y un poco temibles. Este capítulo explicará con claridad las soluciones para seguridad que
son necesarias para dar soporte a un comercio electrónico exitoso, investigando los diferentes
tipos de ataques que se hacen a la red y la manera de evitarlos. Además, determinaremos la solución
para seguridad que funcionará mejor de acuerdo con los intereses particulares del negocio electrónico
de la empresa, y explicaremos los motivos por los que esta solución es la que se ajusta mejor a las
necesidades generales. Los capítulos siguientes en esta sección tratarán con más detalle la seguridad
de la red y los matices que han dado más seguridad a las redes.
SEGURIDAD DE LA RED
En los capítulos anteriores, establecimos que Internet abre un número enorme de ventajas comerciales,
ya que habilita el acceso a recursos infinitos. Por desgracia, junto con las oportunidades adicionales
vienen los riesgos adicionales. Si la red de su empresa tiene acceso a Internet, cualquiera tendrá la
capacidad de entrar a la red de su empresa. Las decisiones que usted como administrador de la red
tome para la seguridad de ésta serán las más importantes para el cuidado general de la red.
En términos muy generales, seguridad de la red se define como proteger la red de cualquier mal.
Puesto que esta definición es muy general, las personas muy pocas veces se percatan de la profunda
verdad de todo lo que está incluido en la tarea de diseñar el trabajo de seguridad. La verdad es
que la seguridad es la parte que consume más tiempo en el mantenimiento de cualquier red, y
en especial de una para comercio electrónico, porque los problemas de seguridad de las redes
cambian constantemente.
Una imagen mental útil de la tarea que hay que cumplir es considerar la seguridad de la red
como un balancín, donde de un lado se encuentra la red de la empresa, y del otro el resto del mundo
en línea, y la seguridad aparece en el centro equilibrando la carga. Por consiguiente, lógicamen-
te, en cualquier momento en que se cambie cualquier lado del balancín, la seguridad en el centro
deberá cambiar para mantener el equilibrio. No hace falta ser un físico nuclear para descubrir
que como la tecnología se transforma tan aprisa, casi no hay momentos en el que un lado u otro
no cambien.
Elaboración de un plan de seguridad para la red
Con toda esta información inconstante, la pregunta que más se formula es ¿por dónde empezar?
Incluso antes de considerar el mundo de la información disponible para la seguridad de la red, es
importante hacer una lista de las prioridades de la empresa en cuanto al sistema de seguridad. No hay
www.FreeLibros.me
Capítulo 11: Creación de redes seguras
respuestas fáciles para el dilema de la seguridad de la red. Todas las soluciones de seguridad tienen
ventajas y desventajas muy claras, y las redes de todas las empresas poseen una lista diferente de
necesidades y un orden distinto de prioridades. En consecuencia, todas las soluciones de seguridad
se deben adaptar a la red individual que protegen.
Equilibrio de la seguridad con la facilidad de acceso
La opción de seguridad que se ajusta mejor a la red equilibra una combinación de preocupaciones
clave que la compañía considera que son importantes. Las tres inquietudes más importantes para
una red de comercio electrónico son los niveles de seguridad, la sencillez, y la eficiencia en los
costos.
Como las redes son cada vez más complejas, se abre un espectro más amplio de opciones
para los niveles de seguridad que las empresas pueden implementar. Algunas empresas creen que
asegurarse que todos y cada uno de los datos queden totalmente protegidos es la prioridad más alta.
Otras empresas consideran que, aunque proteger los datos confidenciales es importante, también es
indispensable que su red sea amigable con el usuario. Si se reduce al mínimo la cantidad de veces
y de lugares donde los usuarios cotidianos deben introducir sus nombres de usuario y sus claves
de acceso, la empresa es más sencilla, pero con menos seguridad. Por último, la mayor parte de las
compañías están obligadas a tener en mente el costo de cualquier tipo de seguridad que instalen.
La compra de hardware y de software para este fin es caro, pero también lo es el tiempo que se
pasa administrando esta seguridad, y el tiempo que se desperdicia mientras que los usuarios tratan
de descubrir cómo entrar a la red.
Evidentemente, la seguridad, la sencillez y la eficiencia en los costos se empalman en muchas
áreas dentro del contexto de la seguridad de la red, y por ello una lista de prioridades es la mejor
manera de iniciar un plan para la seguridad. Con frecuencia hay problemas directos evidentes entre
la seguridad, la simplicidad y el costo.
Por ejemplo, un nivel de seguridad alto ocasionará que tener acceso a los datos y a las aplicaciones
sea difícil, un hecho que es excelente para retener ataques, pero que resulta inconveniente y
desesperante para los usuarios que necesitan los recursos para efectuar sus labores cotidianas.
Además, la seguridad más alta es más cara por la mayor complejidad en la configuración y el
mantenimiento de la red. El tiempo es dinero en el mundo comercial de hoy. Si el administrador de su
red constantemente está ocupado con la seguridad de ésta, usted tendrá entre manos un administrador
de redes muy molesto, y un uso muy poco eficiente de sus recursos.
El reto mayor de la seguridad de las redes para comercio electrónico reside en encontrar
el equilibrio entre lograr que la red sea accesible y fácil de usar para quienes usted desee, no
accesible ni fácil para aquellos que desean abusar de ella, y de un precio que la empresa pueda
pagar.
Un panorama de la seguridad de la red
Cuando se ha establecido la lista de prioridades, ha llegado el momento de pasar a una comprensión
más amplia de la seguridad de la red. Se daña una red con o sin intención, desde adentro o desde
afuera. Para cubrir la gran variedad de riesgos, la seguridad de la red opera en dos niveles: el de
usuario y el de flujo de tránsito. Una solución para seguridad con éxito utiliza con mayor frecuencia
una combinación de ambos para controlar la red. Investigaremos todas las opciones de seguridad
y la forma en que se usan juntas.
www.FreeLibros.me
Fundamentos de comercio electrónico
Seguridad de tránsito
La seguridad de tránsito regula el flujo del tránsito en la red. La función más importante de este
nivel de seguridad es detener a los atacantes de fuera de la red para que no puedan entrar en ella,
donde tendrán acceso a la información confidencial, o usarán la red de forma que se ponga en
peligro la integridad de la empresa. La seguridad de tránsito también se usa como una forma de
controlar el mantenimiento, porque avisa a los administradores de la red cuando algo fuera de lo
normal ocurre en el nivel de las aplicaciones. La seguridad de tránsito es la seguridad que va en el
fondo de la red. Por ejemplo, los usuarios cotidianos no tienen una interacción muy consciente con
este nivel de seguridad y, por lo general, no saben nada de ella.
Seguridad de usuario
A diferencia de la seguridad de tránsito, la de usuario es el nivel de seguridad que los usuarios saben
muy bien que existe. La seguridad de usuario es la seguridad instalada que obliga a los usuarios a
iniciar la sesión introduciendo su nombre de usuario y su clave de acceso.
Aunque parezca raro, las redes se deben proteger de los usuarios que trabajan con ella todos
los días. Esto significa verificar que cada usuario sólo tenga la capacidad de usar los recursos
que sus tareas cotidianas requieren que utilice. Por ejemplo, se podría incluir acceso a diferentes
aplicaciones, dependiendo si el usuario se encuentra en contabilidad o trabajando en el cuarto
de correo. Este nivel de seguridad también permite que el administrador de la red controle los
datos que los usuarios ven y cambian. Estas precauciones reducen en gran medida la posibilidad
de que un usuario sin conocimientos o enfadado dañe cualquier sistema de datos o de opera-
ciones.
POR QUE ES NECESARIA LA SEGURIDAD
Los medios nos han dado suficientes historias de horror recientes como para asustar a la mayor
parte de las compañías, y lograr que consideren opciones de seguridad. Sin embargo, es importante
comprender cuáles son los riesgos de seguridad en la red realmente. Cuando se conoce la información
que se está protegiendo, y de qué se le está protegiendo, es más fácil configurar un plan de
seguridad.
Cuando una red se conecta con Internet, se conecta con millones de redes. Esta conexión permite
una cantidad inmensurable de información compartida entre las empresas. El problema es que las
redes de todas las compañías tienen información que debe mantenerse confidencial y que no se
tiene que compartir con el resto del mundo. Sin embargo, esa misma capacidad para compartir abre
las oportunidades para que los atacantes adquieran la información de su compañía. Por desgracia, el
conocimiento y las herramientas para irrumpir en las redes se consiguen con facilidad.
La meta de cualquier solución para seguridad es evitar que alguien robe, corrompa o dañe de
alguna otra manera la información sensible. Los problemas de seguridad de la empresa en realidad
son dobles: información confidencial e integridad. En otras palabras, el sistema de seguridad se usa
para evitar que un atacante robe o dañe los datos que se encuentran en una red, y detenerlo si desea
utilizar la red misma para comprometer la reputación de la empresa.
www.FreeLibros.me
Capítulo 11: Creación de redes seguras
Información confidencial
La protección de la información confidencial parece ser un objetivo evidente de la seguridad, pero
la tarea con frecuencia es subestimada. Por ejemplo, la información confidencial incluye los datos
reales almacenados en la red y la red misma.
Verificar que los datos sean confidenciales
Es muy importante que todos los usuarios sepan y que tengan confianza en el hecho que toda la
información en su red está segura. Todo el trabajo cotidiano de la compañía se guarda en forma de
datos en el sistema. Incluye todo, desde la información de los empleados con referencia a Personal
(como los números de seguridad social de todos los empleados y las cifras de nómina), hasta
información financiera, por ejemplo, la documentación bancaria que se emplea en el departamento
de Contabilidad.
Un sistema de seguridad bien instalado debe estar seguro de que tres cosas nunca sucedan
a todos estos datos confidenciales. Primero, los datos deben protegerse de ataques externos. Es
fácil percibir los problemas que se suscitarían si un competidor pudiera interceptar y leer todas las
facturas. Segundo, los datos confidenciales deben quedar restringidos a la empresa. Por ejemplo,
sería igualmente dañino si cualquiera dentro de la empresa tuviese acceso a los archivos de nómina.
Por último, la seguridad de la red tiene que verificar que el uso cotidiano de ésta no destruya
inadvertidamente los datos guardados.
Cómo mantener la red confidencial
De la misma importancia de los datos físicos de la compañía, almacenados dentro de la red, es la
seguridad de la configuración misma de la red. El motivo más grande para este nivel de seguridad
es que la falta de control sobre la red llevará hacia más brechas en la seguridad. La confidencia-
lidad de la red actúa como control de daños. Si un atacante logra entrar, debe existir alguna medida
de seguridad para asegurarnos que el atacante no tenga un mapa con direcciones detalladas hacia
la información confidencial, o hacia otros detalles de configuración a los que tendría acceso o
podría destruir.
La seguridad de la red también da la seguridad de que cualquier problema técnico o mal
funcionamiento se note pronto. Por ejemplo, si el software de seguridad de la red busca cosas
que estén fuera de lo común dentro de la red que está funcionando, también detectará los malos
funcionamientos técnicos. El software de seguridad actúa como un sistema de advertencias que
advierte a los administradores de la red acerca de problemas de configuración o de fallas en el
sistema antes de que se conviertan en un problema extendido. La seguridad de la red también ayuda
en la solución de problemas y su arreglo sin tirar también la red completa.
¿Qué tan grande es el riesgo?
Es evidente que las empresas deben proteger sus datos confidenciales guardados en la red. Por
desgracia, cuando la compañía se conecta con Internet, el atacante tiene varias formas de tratar
de invadir una red privada y capturar datos confidenciales. Un paso importante para protegerse de
los ataques contra los datos confidenciales se deriva de comprender exactamente la forma en que
el atacante tratará de irrumpir en la red.
www.FreeLibros.me
Fundamentos de comercio electrónico
Husmeadores de paquetes Una de las formas en que un grupo externo obtiene acceso a una red
privada es interceptar y leer los paquetes de red, que son atados de datos que pasan rápidamente
uno detrás de otro, formando una fila como cadena que se lee en una oración larga, y que permite
que las computadoras dentro de la red se comuniquen. En forma muy similar a un pase en el fútbol
americano, si las personas equivocadas interceptan los paquetes, suceden cosas malas.
No obstante que la palabra "atacante" sugiere una persona externa que trata de entrar, es muy
importante recordar que la mayor parte de las violaciones de seguridad provienen de los usuarios
internos. Esto es particularmente cierto en el caso de los husmeadores de paquetes. El atacante
debe encontrar la forma de tener una conexión directa con los datos mientras que pasan entre las
fuentes para que el husmeador de paquetes pueda interceptar la información. Con frecuencia se
conoce como "oír el cable".
La gran parte de las redes envían paquetes en patrones parecidos, lo que facilita que éstos se
puedan leer si son interceptados. Las piezas de información más comunes que se extraen de estos
paquetes robados son las claves de acceso o los nombres de las cuentas de los usuarios, que dan al
atacante una avenida adicional por medio de la cual podrá tener acceso a la red.
Cuando un ataque ha sido hecho de esta manera, es con frecuencia muy difícil de detectar o de
detener. Los usuarios tienen muy mala fama por utilizar el mismo nombre de usuario y la misma
clave de acceso para tantas aplicaciones como sea posible, para reducir la cantidad de cosas que
deben recordar. Tener una "llave" para muchos candados abre todas esas puertas para el atacante
que opera bajo el disfraz de usuario legítimo. Igual de inquietante es el ataque mismo del husmeador
de paquetes, que es muy difícil de detectar debido a que los administradores de redes con frecuencia
usan el mismo tipo de husmeo para encontrar o para arreglar los problemas dentro de la red.
Engaño al protocolo de Internet Los engaños al protocolo de Internet son otra forma en que los
atacantes entran en la red. Ocurre cuando una fuente externa se hace pasar como una dirección
interna del protocolo de Internet. La red se confunde, y envía paquetes a la dirección incorrecta. De
nuevo, si los paquetes no están cifrados, se leen con facilidad, dando información confidencial a un
grupo externo. En el peor de los casos, el atacante obtendrá la información acerca de los nombres
de usuario y las claves de acceso.
Acceso a información confidencial La mayoría de los grupos que ven la información confidencial
son los usuarios que ya tienen una conexión válida con la red. Cualquier usuario enfadado, curioso
o sin conocimientos es una amenaza probable. Como estos usuarios tienen acceso autorizado a
la red, no se sospecha el ataque, y éste pasa inadvertido. Aunque un usuario enojado sea el más
sospechoso por el daño o por el robo de información sensible, cualquier usuario que no sabe lo que
hace podría abrir las puertas para ataques futuros, o colocar los datos sensibles de la empresa en
unidades o computadoras de fácil acceso.
Hay que proteger la integridad de la compañía
Proteger la información sensible de la empresa es con frecuencia el primer objetivo cuando se
establece un plan de seguridad, porque es lo más obvio. Pero proteger la integridad de la empresa,
aunque a menudo se pase por alto, tiene exactamente la misma importancia. Cualquier actividad
que ocurra dentro de la red debe cumplir con las políticas y con los estándares de la empresa. La
www.FreeLibros.me
Capítulo 11: Creación de redes seguras
actividad de la red refleja la integridad de la empresa que la maneja. Quien ponga en peligro la
integridad, ya sea interna o externamente, es una amenaza.
Cómo mantener una reputación acreditada
Como se ha mencionado, la reputación de una empresa se sostiene o cae con su red. Por ejemplo,
Internet contiene varias actividades que ponen en peligro el prestigio de un negocio. La teoría que
dice que "cualquier cosa a la que un negocio tenga acceso a Internet tendrá la capacidad de tener
acceso al negocio" se aplica otra vez aquí. Como un ejemplo extremo, cualquier asociación, incluso
por accidente, con alguna de las muchas operaciones ilegales que se encuentran en Internet dará
mala imagen a la empresa. Un ejemplo más práctico del problema de mantener una reputación
acreditada es restringir el acceso a los sitios web de carácter dudoso para que los empleados no
puedan ver ni descargar material poco adecuado.
Hay que proteger la red física
Si no hay seguridad, cualquier usuario externo entrará a la red y se hará pasar por alguien con
autoridad. Como un ejemplo del peor de los casos, este usuario enviaría correos electrónicos desde la
cuenta del director ejecutivo a los clientes diciendo lo que le venga en gana. Dentro de la compañía,
también es indispensable que la red tenga una buena reputación. Es preferible que los usuarios se
sientan cómodos y seguros. Por último, un usuario desconocido podría dañar físicamente la red. Las
interferencias con el desempeño de la red son costosas y desesperantes.
¿Cuáles son los riesgos?
Otra vez, es importante conocer la manera en que la integridad de la empresa podría ser puesta en
peligro. Saber cómo y cuándo el atacante golpeará le ayudará a determinar el tipo de seguridad
que mejor se ajusta a la situación.
Engaños a los paquetes de red Los engaños a los paquetes de red se usan principalmente para
obtener información que el atacante encuentra útil. Por ejemplo, como se dijo antes, los engaños a
los paquetes proporcionan nombres de usuario y claves de acceso. Da al atacante información crítica
para la red, como el tamaño de ésta, o los derechos de autorización. Si un atacante lee los paquetes de
red, hay una buena posibilidad de que tenga la capacidad de cambiar esos paquetes.
Si esto sucede, significa que el atacante podría crear una cuenta propia para usarla en cualquier
momento. Cuando se han creado nombre de usuario y clave de acceso, el atacante tendrá un disfraz
legítimo cuando entre a la red. Ya dentro de ésta, el atacante cambiará cualquier información en las
bases de datos de la empresa, y haría parecer que un empleado la cambió.
Hacerse pasar por una dirección interna del protocolo de Internet En ocasiones, el atacante se hace
pasar por una dirección interna del protocolo de Internet, e intercepta los paquetes de red. De nuevo,
si el atacante entra en la red y lee la identificación de usuario y la clave de acceso de cualquiera,
los efectos son devastadores. Si el atacante tiene la capacidad de asumir la identificación de un
usuario autorizado, tendrá una buena dosis de libertad dentro de la red, y la usará para alterar la
información o los programas.
www.FreeLibros.me
Fundamentos de comercio electrónico
Ataques de negación de servicio Algunas veces, cuando un atacante logra entrar a la red de una
empresa, utiliza la información capturada para poner en peligro las aplicaciones que encuentre
en esa red. Un ejemplo es el ataque de negación de servicio. Los ataques de negación de servicio
son exactamente lo que dice el nombre: ataques que dejan a los usuarios autorizados fuera de las
aplicaciones o recursos autorizados para ellos dentro de su red. Estos ataques están diseñados y se
usan para interrumpir el flujo normal del negocio para los usuarios. Como cualquiera que trabaje
con computadoras sabe, la falta de acceso a una aplicación es desesperante para los usuarios, y
cuesta mucho en cuanto a productividad perdida.
Ataques en la capa de aplicaciones Otra forma en que un intruso irrumpe en la red es en la capa de
aplicaciones. El atacante caza software que tiene debilidades ampliamente conocidas, y las explota.
Cuando ocurre un ataque en la capa de aplicaciones, es muy difícil detectarlo como ataque en
lugar de un mal funcionamiento de la aplicación. Un ejemplo muy obvio es un virus para el correo
electrónico que ocasiona que la aplicación de correo electrónico haga cosas (como enviar mensajes)
que no debiera hacer por sí mismo. De nuevo, este tipo de ataques tiene la intención de desesperar
a los usuarios y reducir la productividad.
SEGURIDAD DE TRANSITO
Ahora que hemos hablado de algunos ataques que se hacen sobre una red, veamos lo que se puede
hacer para evitarlos. La seguridad de tránsito, como dijimos antes, es la seguridad instalada en la red
completa total en la capa de tránsito. Otra vez se presenta la idea de equilibrio en el escenario
de la seguridad. Una buena red equilibra la seguridad de tránsito y la seguridad de usuario. La
seguridad de tránsito exige que se tenga idea general muy buena de lo que sucede en todos los
aspectos de la red. La forma más común de seguridad de tránsito es el guardafuegos, que será
el centro de este capítulo.
Cómo elaborar un plan de seguridad de tránsito
Ya que ha quedado claro por qué es necesaria la seguridad, ha llegado el momento de revisar cómo
instalar un buen sistema al respecto. El primer paso para configurar la seguridad de tránsito es hacer
un plan. El objetivo principal de las políticas de seguridad será supervisar y controlar el uso de la red.
Es importante mantener el equilibrio cuando se elaboran las políticas. Por supuesto, usted querrá la
red más segura posible, pero deberá equilibrar ese deseo contra la realidad que la seguridad resulta
inconveniente. Cuanta más seguridad coloque, más difícil será hasta para los usuarios legítimos usar
la red. Los administradores de redes también deben mantener la seguridad. Es menester que el plan
elaborado incorpore algunas concesiones para lograr un sistema equilibrado.
Colocación de la seguridad de tránsito
Una buena forma de equilibrar la seguridad es colocar de manera estratégica sistemas de seguridad
en diferentes lugares de la red. Si se enfoca en ubicaciones específicas, instalará seguridad en los
lugares donde es más necesaria y más fácil de supervisar. Si define zonas específicas, también hará
una capa de seguridad. Hay tres puntos en la red que se definen comúnmente como lugares posibles
www.FreeLibros.me
Capítulo 11: Creación de redes seguras
de las medidas de seguridad de tránsito: el perímetro externo, el perímetro interno, y el perímetro
situado más adentro. Estas fronteras actúan como líneas imaginarias que dividen la red.
Perímetro externo
El perímetro externo es la línea entre la red de su empresa y el mundo exterior. Usualmente, este
punto se encuentra en un enrutador o en algún otro tipo de hardware, como un guardafuegos que co-
necta la red con Internet. Lo más importante que hay que recordar acerca de este lugar es que
se tiene control sobre cualquier cosa del lado de la red, pero no se tiene control sobre nada más
allá de ese punto. El perímetro externo es una ubicación evidente para dar seguridad, ya que es
el área que probablemente será atacada.
Perímetro interno
Los perímetros internos están definidos por los lugares reales en los que la red tiene medidas de
seguridad. Por ejemplo, los guardafuegos o los enrutadores dentro de la red o que actúan como
barreras entre la parte externa o interna de la red son perímetros internos. La seguridad en este
lugar funciona al separar los datos y dirigiéndolos hacia donde tienen que ir. Con frecuencia se usan
enrutadores en esos puntos para dirigir el tránsito de la red. Esta seguridad se interesa más en los
asuntos internos que en los ataques del exterior, aunque se trata de un buen punto de revisión en la
red para buscar comportamientos extraños.
Perímetro situado más adentro
El perímetro situado más adentro es el corazón mismo de la red, la parte de la red con la que
los usuarios están en contacto todos los días. El perímetro situado más adentro es el lugar de la
seguridad de usuario que verifica que éstos sean miembros autorizados de la empresa, y que entran
únicamente a la información que tienen derecho a ver.
Cuando decida exactamente dónde se debe colocar la seguridad en la red, recuerde las conexiones
entre las redes. En lo que se refiere a seguridad, sólo hay tres tipos de redes: seguras, inseguras,
y desconocidas.
www.FreeLibros.me
Fundamentos de comercio electrónico
Redes seguras Son las redes que usted controla, o de las que está a cargo de la seguridad. Por
ejemplo, cualquier elemento dentro del perímetro situado más adentro de la red se considera una red
segura. Con la seguridad adecuada, nada sucederá dentro de este territorio de la red si la empresa no
lo aprueba. No tiene mucho sentido colocar medidas de seguridad muy importantes entre las redes
seguras, ya que la misma empresa opera ambos sistemas. Sin embargo, esas fronteras son un buen
lugar para artículos como enrutadores que actúan como aparatos de control de tránsito, y también
implementan un nivel relativamente bajo de seguridad de usuario.
Redes inseguras Son las redes sobre las que la empresa no tiene ningún control. Se trata de
redes con las que a la compañía le gustaría conectarse para compartir datos, pero que son riesgos
potenciales para la seguridad. Cualquier empresa desea compartir sólo alguna información. De
nuevo, las redes inseguras obligan el tema de un plan de seguridad equilibrado: una empresa desea
comunicarse, pero no quedar vulnerable ante estas redes inseguras.
Cualquier frontera entre una red segura y una red insegura es un buen lugar para la seguridad
de la red. La seguridad en este nivel efectúa una importante labor de filtración. Este lugar es ideal
para estar seguros que los datos confidenciales no se alejen de la red controlada de la empresa, y
que únicamente se hagan las conexiones adecuadas entre las dos redes. La seguridad entre ambas
es un buen ejemplo de la seguridad en el perímetro interno.
www.FreeLibros.me
Capítulo 11: Creación de redes seguras
Redes desconocidas Son todas aquellas redes que no están bajo el control de la empresa, y que no
precisamente están anotadas en su sistema de seguridad. Se trata de los millones de redes que existen
de las que usted no sabe absolutamente nada, pero con las que está conectado cuando entra en
Internet. Las redes desconocidas son la mayor amenaza a la seguridad de la red.
Cualquier frontera entre las redes desconocidas y las redes seguras es otro lugar evidente para la
seguridad de la red. En un punto de interacción como éste, la seguridad no es tanto un asunto de su-
pervisar las comunicaciones (como lo es para las redes seguras e inseguras), sino asegurarse de que
no haya ataques de ningún tipo sobre la red segura.
Opciones de seguridad con guardafuegos
Cuando se ha determinado dónde colocar la seguridad, llegó el momento de centrarse en la forma
más esencial del software de seguridad: el guardafuegos. Un guardafuegos es un software que
refuerza los límites entre las redes. En otras palabras, se trata del software que maneja la seguridad
de tránsito de la red. Hay cuatro tipos diferentes de guardafuegos, pero todos comparten la misma
función primaria: estrechar la entrada hacia la red a un solo punto, y luego supervisar la información
que entra y que sale de la red.
De nuevo, el guardafuegos que usted elija dependerá del equilibrio que desee entre seguridad
y acceso. Todos los tipos de guardafuegos son mejores en algunos aspectos de seguridad que los
demás. Encontrar el software correcto para la situación es lo más difícil de establecer para el
plan de seguridad general.
NOTA: Algunas personas argumentan que hay guardafuegos de software y de hardware. En realidad,
todos los guardafuegos son software. En la siguiente discusión, todos los guardafuegos descritos son
software; sin embargo, algunos requieren hardware adicional.
Guardafuegos filtro de paquetes
Un guardafuegos filtro de paquetes examina el tránsito de la red en la capa de paquetes, como lo
indica su nombre. Cuando se envía un paquete por la red, es examinado detenidamente, y se
www.FreeLibros.me
Fundamentos de comercio electrónico
le permite el paso o se rechaza de acuerdo con las reglas y reglamentos generales que han sido
programados en el guardafuegos. Estas calificaciones programadas de antemano se conocen como
órdenes "de permiso o negación". Todos los paquetes se deben ajustar a una de las dos calificaciones
específicas. O el paquete se encuentra en la lista de paquetes aceptados, en cuyo caso se le permitirá la
entrada, o debe estar en la lista de paquetes rechazados, en cuyo caso no podrá pasar. El guardafuegos
filtro de paquetes pertenece a la primera generación.
Objetos para los guardafuegos filtro de paquetes. Hay varios objetos diferentes contra los cuales el
guardafuegos filtro de paquetes revisa todos y cada uno de los paquetes. Al avaluar el paquete en
cuestión contra estos objetivos, el guardafuegos decide si debe permitir el paso de la información o
rechazarla. El paquete debe satisfacer todas estas calificaciones, o será rechazado.
Este tipo de guardafuegos revisa los paquetes que entran y los que salen. Revisa la llegada y la
distensión de los paquetes que entran y que salen.
▼ El guardafuegos determina si la interfaz física de la red en la que el paquete llega es una
interfaz conocida y segura.
■ Enseguida verifica la dirección del protocolo de Internet del paquete, para revisar si el
paquete proviene de alguna parte de la red segura.
■ Cuando se han establecido la interfaz y el lugar de llegada, el guardafuegos filtro de paquetes
revisa la dirección del protocolo de Internet a la que se enviará el paquete para cerciorarse
de que se trata de un destino conocido y aceptado.
■ Si el destino está bien, el guardafuegos filtro de paquetes verifica que la capa de transporte
sea aceptable.
▲ Por último, el puerto fuente del que proviene el paquete y el puerto hacia donde se dirige se
revisan para verificar completamente al emisor y al receptor del paquete.
Las ventajas del guardafuegos filtro de paquetes Este tipo de guardafuegos pertenece a la primera
generación, pero se sigue usando con frecuencia porque tiene muchas ventajas. Es ideal para las
necesidades de seguridad ligeras, porque es rápido y fácil de instalar. Como el tránsito de la red
se procesa en la capa de paquete, se procesa aprisa. El sistema sencillamente niega o permite
cada paquete, de manera que el proceso de seguridad también es muy rápido. El guardafuegos
filtro de paquetes también es fácil de configurar. Una regla protege a la red completa al evitar
una conexión. Otra ventaja adicional de este sistema es que protege las direcciones internas del
protocolo de Internet.
Desventajas del guardafuegos filtro de paquetes La crítica más severa para este guardafuegos es
que no es el más seguro de todos. Como opera en la capa de paquete, el no tiene la capacidad
de manipular la información; sólo permite que los paquetes sigan por el sistema o les niega el
derecho de hacerlo. Las dos otras desventajas que hay que señalar están relacionadas con el aspecto
administrativo de este guardafuegos. El guardafuegos de paquetes no lleva un registro de lo que
entra y sale, lo que hace difícil rastrear cualquier problema potencial. También es difícil de probar
desde el punto de vista del administrador de la red, porque es complicado diferenciar entre los
objetivos individuales de aceptar o rechazar.
www.FreeLibros.me
Capítulo 11: Creación de redes seguras
Guardafuegos para el nivel de circuitos
Éstos son de segunda generación. Como el guardafuegos de paquetes, lee la información en la
capa de paquetes. Sin embargo, identifica cada paquete como una solicitud de conexión o como
un paquete que pertenece a una conexión ya establecida. La seguridad se centra en la solicitud de
conexión. Si la conexión concuerda con el criterio válido para conectar, el guardafuegos permite
que pase el paquete.
Criterio válido para conectar Muy similar al guardafuegos filtro de paquetes, el guardafuegos para el
nivel de circuitos examina todos los paquetes y decide si acepta o rechaza el paquete de acuerdo
con un conjunto de objetivos. Si el paquete que desea conectar satisface los criterios válidos
para hacerlo, se autoriza la conexión; de lo contrario, se rechaza el paquete y la conexión nunca
se efectúa.
▼ El guardafuegos para el nivel de circuitos revisa primero si el paquete trata de conectar,
transferir datos o cerrar la sesión.
■ Después revisa la información de secuencia para ver si también todo es aceptable.
■ Luego, al igual que el guardafuegos filtro de paquetes, el guardafuegos para el nivel de
circuitos revisa las direcciones del protocolo de Internet de la parte emisora y de la parte
receptora.
▲ Por último , la interfaz física por la que se envían y reciben los datos deben pasar también
inspección.
Apoyándose en toda esta información, el guardafuegos decide si la PC tiene el permiso de
enviar o recibir esos datos.
Ventajas del guardafuegos para el nivel de circuitos La ventaja más grande de éste es su velocidad.
Es el más rápido de todos los guardafuegos de seguridad. Al igual que el guardafuegos filtro de
paquetes, protege la red completa porque rechaza una conexión completa si encuentra objeciones.
También simula que los paquetes que salen fueron generados en el guardafuegos en lugar de en una
fuente interna, de manera que la dirección del protocolo de Internet de la fuente queda protegida.
Este mecanismo de protección, conocido como traducción de direcciones de la red (NAT, Network
Address Translation) traduce las direcciones del protocolo de Internet de la dirección privada (de
dentro de la red) a direcciones que no serán abandonadas por Internet.
NOTA: Las direcciones privadas del protocolo de Internet incluyen 10.0.0.0,192.168.0.0 y
172.16.0.0.
Desventajas del guardafuegos para el nivel de circuitos Las desventajas de este guardafuegos son
parecidas a las de los de primera generación. De nuevo, este guardafuegos funciona en la capa
de paquetes, de manera que no cuenta con la capacidad de manipular los datos dentro del paquete.
Los paquetes son aceptados o rechazados. Tampoco genera un suceso de registro, y es difícil de
probar.
www.FreeLibros.me
Fundamentos de comercio electrónico
Guardafuegos de la capa de aplicación
Los guardafuegos de tercera generación valoran los paquetes de red en la capa de aplicación, como
sugiere el nombre. Se trata del tipo más complejo de guardafuegos porque se centra en la capa de
aplicaciones. Rastrea toda la información acerca de la conexión, y tiene la capacidad de manipular
los datos para otorgar el permiso de paquete.
La mayor parte de los guardafuegos de la capa de aplicación tiene servicios de procuración
como parte de la seguridad. Este software actúa como una unión entre las redes internas e Internet
externa. El servidor de procuración es un poco como un agente que indica a los clientes con quién
deben hablar y con quién no, y cuánto deben decir cuando lo hagan. El servidor de procuración
también actúa como intérprete. En realidad, el guardafuegos nunca permite conexiones directas,
sino que se comunica por medio de un servidor de procuración.
Ventajas y desventajas del guardafuegos de la capa de aplicación Puesto que el guardafuegos
funciona en la capa de aplicación, puede manipular el contenido de los paquetes. Mantiene un
registro detallado de la información que pasa por los servidores de procuración, de manera que los
administradores de la red sean capaces de rastrear posibles riesgos de seguridad.
Sin embargo, todas estas elegantes manipulaciones disminuyen la velocidad del proceso de
filtración completo. Los guardafuegos de la capa de aplicación son los más lentos de todos. Los
aspectos negativos son que se presiona a las personas que usan y que mantienen esta red. El
guardafuegos de la capa de aplicación es lento por los procesos complejos donde se revisan los datos.
También exige un servidor propio. Como valora en el nivel de aplicación, hay mucho procesamiento
para identificar todas las aplicaciones. También tiene un paso para la configuración de clientes a fin
de que el cliente procurador se comunique. Por último, es posible tener un paso adicional para los
usuarios, quienes se deben identificar cuando inician la sesión.
Filtros dinámicos de paquetes
El filtro dinámico de paquetes es la cuarta generación de guardafuegos. Este guardafuegos es muy pare-
cido al filtro de paquetes, con la notoria excepción que el administrador de la red tiene la po-
sibilidad de cambiar las reglas para aceptar o rechazar en cualquier momento. También conoce
dónde se originaron los paquetes, y aceptará enviar los paquetes de respuesta a la misma direc-
ción.
De nuevo, este guardafuegos proporciona una seguridad limitada. Sin embargo, es rápido, y tiene
la ventaja agregada de permitir una respuesta incluso de una red insegura.
La tabla 11-1 lista algunos vendedores de guardafuegos con los que quizá quiera ponerse en
contacto cuando planee una solución para seguridad.
SEGURIDAD DE USUARIO
Ahora que tenemos un concepto básico de la seguridad de tránsito, es el momento de dirigir nuestra
atención a las medidas de seguridad que se deben tomar dentro de la red en el nivel de las personas.
Estas medidas de seguridad internas se conocen como seguridad de usuario. Hay dos niveles
básicos de seguridad de usuario.
www.FreeLibros.me
Capítulo 11: Creación de redes seguras
▼ El nombre de usuario y clave de acceso del usuario final que, cuando se usan correctamente,
garantizan el acceso del usuario a los servidores de la compañía.
▲ El nombre de usuario y clave de acceso del administrador de la red que, cuando se usan
de manera correcta, garantizan el acceso del administrador a los dispositivo de la red con
el propósito de supervisar y mantener.
Pondremos nuestra atención en la seguridad de usuario final; sin embargo, las mismas políticas
generales se aplican a los administradores de la red por igual.
NOTA: Recuerde, si un atacante logra entrar con la identificación del administrador de la red, la
autorización es mucho más amplia. Además de tener un acceso virtualmente libre a la red, el atacante
también tendrá acceso directo a los servidores, e incluso a los guardafuegos.
¿Por qué instalar la seguridad de usuario?
Como lo hemos establecido, es posible que los usuarios externos tengan acceso a la red si utilizan
varios métodos de ataque. Pero si la seguridad en el nivel de tránsito falla, aún se puede detener al
atacante mediante la seguridad de usuario. Aunque el atacante entre a la red de la empresa, todavía
se puede evitar que viaje libremente dentro de ésta. La seguridad de usuario también es importante
para la administración básica de la red; proporciona a los administradores de redes una manera
de controlar lo que cada usuario individual puede hacer, sin que sea necesario estar observando
lo que hacen desde sus espaldas.
Con la seguridad de usuario, se identifica individualmente a cada uno de estos, se le da
autorización, y se le controla. Por ejemplo, todos los usuarios tienen una clave de acceso que
está conectada con su nombre de usuario. Se deben introducir correctamente ambos para hacer
una conexión legítima. Cuando que se hace la conexión, el usuario tiene privilegios limitados.
En conjunto, el proceso de seguridad del usuario que conecta el nombre del usuario con la clave
de acceso y que permite que el usuario entre en la red se llama autenticación, autorización y
contabilidad, o AAA (authentication, authorization, accounting).
www.FreeLibros.me
Fundamentos de comercio electrónico
Autenticación
La autenticación es el proceso de verificar quién es el usuario que solicita permiso para entrar a la
red, y decidir si tiene acceso o no. Todos los usuarios tienen nombres de usuarios y claves de acceso
exclusivos. Si el usuario introduce este par en forma correcta, se verificará, y obtendrá acceso a la
red. Esta medida de seguridad obliga a que cualquiera que desee entrar a la red deba conocer un
nombre de usuario y una clave de acceso específicos.
Autorización
La autorización es la lista de permisos que se otorgan al usuario para entrar en aplicaciones
específicas de la red. Puesto que las autorizaciones se distribuyen por nombre de usuario, no todos
éstos tienen el mismo acceso a todas las aplicaciones. Esta limitación ayuda a proteger a la red
de los usuarios externos. También mantiene alejados a los usuarios de las aplicaciones que no
debieran usar, lo que ayuda a mantener a los trabajadores en sus tareas, y evita que atrofien la red.
La autorización también permite que se conecten desde diferentes lugares, y puedan todavía ver su
red específica. Dentro de un ámbito especial de la autorización, se establecen grupos para otorgar
diferentes derechos a diversos grupos dentro de la red.
www.FreeLibros.me
Capítulo 11: Creación de redes seguras
Contabilidad
La contabilidad es la parte que lleva registros de la seguridad de usuario. Sigue la pista a quien
abrió la sesión desde dónde, y por cuánto tiempo. Con estos registros, los administradores de
redes vigilan a los usuarios y lo que hacen cuando están conectados a la red. Este sistema
de seguimiento da a los gerentes una idea de lo que hacen los empleados, y por cuánto tiempo.
También se utiliza como un mecanismo de alerta contra intrusos, ya que el administrador de la red
utiliza las capacidades de seguimiento a fin de descubrir comportamientos sospechosos.
Desventajas de AAA
En conjunto, AAA es una buena fuente de seguridad para la red. Sin embargo, esta seguridad
de usuario también tiene desventajas. Por ejemplo, es compleja y muy aburrida de configurar y
actualizar. En la mayor parte de las situaciones, cada aplicación o servidor debe configurarse en
forma individual. Además, la seguridad de usuario, cuando se usa como la única forma de resguardo,
es muy limitada. Cuando el intruso obtiene el nombre y la clave de acceso de un usuario, entrará
libremente a todo el sistema.
Solución RADIUS
Existe software que facilita mucho el manejo de la seguridad de usuario, controlando la información
AAA en una base de datos, a la que varios servidores y aplicaciones diferentes tienen acceso.
Un ejemplo de este tipo de protocolo es RADIUS. Éste, que significa servicio de autenticación
remota de marcado de usuario, es un protocolo de seguridad que se enfoca principalmente en
la autenticación de los usuarios y en llevarles la información de las cuentas. RADIUS, que es
un protocolo desarrollado por Livingston Enterprises, Inc., ayuda a administrar la autenticación,
la autorización y la contabilidad para muchas aplicaciones y para muchos servidores al mismo
tiempo.
Forma de operación de RADIUS
Cuando el usuario intenta abrir la sesión en la red, el cliente RADIUS pide el nombre de usuario
y su clave de acceso. Lo primero que hace el servidor RADIUS es verificar que el cliente que pide
el permiso sea válido. Si el cliente aprueba, se envía la respuesta al servidor RADIUS designado,
donde se busca en una base de datos el par correspondiente. El servidor RADIUS decide entonces
si acepta, rechaza o reta el nombre y la clave de acceso del usuario. En este momento, RADIUS
también tiene la opción de retar al usuario para verificar que sea válido. Envía este reto en forma de
texto, y el usuario debe responder con información adicional. Si RADIUS decide aceptar el nombre
del usuario y su clave de acceso, también envía una lista de las autorizaciones conectadas con ese
par, estableciendo a lo que el usuario tiene acceso; también registra toda la información respecto
a la sesión del usuario.
RADIUS usa UDP como protocolo de transporte, y ésta es la principal diferencia entre RADIUS
y el protocolo TACACS+ que se describe enseguida, que utiliza TCP. Los seguidores de RADIUS
defienden esta elección de protocolos como necesaria debido a las complicadas ventajas técnicas
que ofrece. En palabras sencillas, UDP permite que RADIUS sea más flexible en la forma en que
se comunica con los demás servidores.
www.FreeLibros.me
Fundamentos de comercio electrónico
Ventajas de RADIUS
Evidentemente ahorra tiempo y dinero, al controlar la seguridad AAA en un nivel general. También
cifra toda la información de las claves de acceso, lo que complica a los intrusos interceptar y
leer la información confidencial. Otra ventaja importante es que el cliente y el servidor RADIUS
se comunican de manera que la información cifrada nunca se envía en realidad por la red. Las
características contables de RADIUS son también impresionantes, porque se usan de manera
independiente a los aspectos de autenticación y autorización, ya que RADIUS registra el inicio y
el final de todas las sesiones. Es el protocolo más utilizado porque es rápido y usa menos memoria
que los demás protocolos.
Desventajas de RADIUS
La principal desventaja de RADIUS son los posibles huecos que deja en la seguridad. No obstante
que RADIUS cifra la clave de acceso, no lo hace con el nombre del usuario, las autorizaciones
otorgadas, ni la información contable que registra. Cualquier intruso podría tener acceso a esta
información, por lo que entraría a los recursos confidenciales.
La solución TACACS+
Al igual que RADIUS, TACACS+ proporciona los servicios de autenticación, autorización y
contabilidad en un servidor que maneja toda la seguridad de usuario. TACACS+ fue desarrollada
por Cisco Systems, y es muy apreciada como una forma de seguridad de usuario para obtener
acceso a los dispositivos de la red. (El término TACACS+ significa sistema de control de acceso al
controlador de acceso a terminales más.) Es famoso por su capacidad para separar los procesos de
autenticación, autorización y contabilidad.
Forma de operación de TACACS+
Opera en una forma muy parecida a RADIUS. Envía la información del nombre del usuario y su
clave de acceso al servidor de listas de acceso, quien a su vez envía la información de las aplicaciones
a las que se le permitirá la entrada al usuario. Pero TACACS+ envía la información acerca de la
autenticación, la autorización y la contabilidad por separado. De este modo, la información de
autorización y de contabilidad es dinámica y continua.
TACACS+ opera en el nivel de protocolo TCP. La ventaja principal de este nivel de protocolo
es que verifica que se haya establecido una conexión, y que toda la información que se envía
se reciba.
Tiene muchos beneficios. Por ejemplo, permite que el mismo nombre de usuario y la misma
clave de acceso funcionen en varios protocolos, lo que simplifica en gran medida la seguridad de
usuario para las personas que usan la red de la empresa todos los días. Los usuarios ahorran tiempo
al abrir la sesión de la red todas las mañanas, y se enfadan menos que si tuvieran que iniciar la
sesión en cada aplicación en forma individual.
TACACS+ tiene capacidades de contabilidad muy completas y seguras. El nombre del usuario,
la dirección del mismo, el servicio buscado, el protocolo empleado el tiempo de inicio y de final,
y la fecha son registrados en cada sesión. Este conjunto de información se utiliza para rastrear
cualquier problema de seguridad en todo el sistema.
www.FreeLibros.me
Capítulo 11: Creación de redes seguras
No es necesario elegir entre los protocolos RADIUS y TACACS+. En realidad, casi siempre los
dos protocolos se usan juntos. La tabla 11-2 muestra RADIUS y TACACS+ en conjunto.
Pensamientos finales acerca de la seguridad de usuario
En general, lo más importante que usted puede hacer por la seguridad de usuario en la red es
informar a los usuarios acerca de la solución para seguridad en la red en la que ha invertido, y
por qué. Después de todo, los usuarios que tienen acceso a la red son la amenaza más grande para
la seguridad, pero a la vez son el aliado más seguro. Tienen contacto directo con las soluciones de
seguridad, y con mucha frecuencia reportan las interacciones con ella como desesperantes. Si los
usuarios saben por qué se ha puesto seguridad, es posible que comprendan mejor los motivos de
realizar los pasos adicionales de introducir sus nombres de usuario y sus claves de acceso. También
da a los usuarios un sentimiento de confianza saber que hay seguridad, y que su correspondencia
y su información confidencial están a salvo. Los usuarios también se convierten en guardianes
adicionales, y avisan a los administradores de la red si hay actividades sospechosas dentro de sus
cuentas personales en la red.
CASOS DE ESTUDIO ACERCA DE SEGURIDAD
Hemos cubierto un mundo de información respecto a seguridad que parece abrumadora. Sin
embargo, si se tiene un plan detallado de los objetivos por adelantado, la solución para seguridad
parece casi presentarse sola. Me gustaría que revise tres soluciones de seguridad diferentes que
muestran tres maneras en que los mismos objetivos de seguridad se cumplen, de acuerdo con las
principales prioridades de las empresas.
Como discutimos en el inicio de este capítulo, la elaboración de la lista de prioridades es el
primer paso más importante. Los tres empleados más grandes a considerar son: seguridad, sencillez
y eficiencia de costos.
www.FreeLibros.me
Fundamentos de comercio electrónico
Objetivos
Son cuatro los objetivos que cubriremos con nuestra solución para seguridad en cada uno de los
estudios de caso. Los objetivos que elegí son metas importantes para cualquier comercio electrónico,
pero todos conllevan riesgos de seguridad.
▼ Objetivo 1: Proporcionar acceso a Internet a los empleados.
■ Objetivo 2: Dar servicio de correo electrónico a los empleados.
■ Objetivo 3: Otorgar acceso al sitio web de la empresa.
▲ Objetivo 4: Permitir acceso remoto a la red segura.
Todos estos objetivos son posibles riesgos de seguridad.
Estudio de caso 1
La primera empresa decidió que sus prioridades son costo bajo y sencillez, y está dispuesta a poner en
peligro el nivel de seguridad instalado para cumplir con esas prioridades. La solución para seguridad
que cumple mejor con los requisitos de la empresa se estudia en la figura 11.1.
Esta solución para seguridad consiste en un guardafuegos que actúa como filtro entre Internet y
el servidor web o de lenguaje de marcación de hipertexto de la empresa, el servidor del protocolo de
transferencia de archivos, y el servidor de intercambio de correo. En este caso, el guardafuegos es un
filtro de paquetes que examina todos aquellos que pasan entre la red e Internet.
Si recuerda, el guardafuegos filtro de paquetes funciona aceptando y rechazando todos los
paquetes, de acuerdo con un conjunto establecido de objetivos programados. En esta situación, la
empresa configura el guardafuegos para que rechace todos los paquetes, excepto los enviados o
recibidos de un puerto TCP 80 (el servidor del web), del puerto TCP 25 (el servidor del correo), y del
puerto TCP 53 (el servidor del sistema de nombres de dominio). Cualquier usuario remoto posible
deberá introducirse en forma individual en el guardafuegos para que su dirección del protocolo de
Internet específica sea aceptada como dirección fuente, y también se deben designar los puertos
de fuente y de destino específicos.
Ventajas del estudio de caso 1
Esta solución para seguridad es una de las más baratas disponibles. El único software que hace
falta es el guardafuegos filtro de paquetes. Además es una configuración de seguridad muy sencilla.
Hay un guardafuegos, y todo se conecta en él. Su configuración también es muy sencilla. Este
guardafuegos únicamente procesa paquetes, de manera que lo único que hay que introducir son
los objetivos para aceptar o rechazar. Sin embargo, si varios usuarios remotos entran en la red,
cada dirección del protocolo de Internet de destino o fuente y el puerto deben entrar en forma
individual.
Desventajas del estudio de caso 1
Evidentemente, en la lucha en busca de la sencillez y de costos bajos, el nivel de seguridad se ve
afectado. Por ejemplo, se puede atacar la red con la condición de que el ataque entre por alguno de los
puertos designados. Además, este modelo de seguridad no genera algún tipo de seguridad de usuario.
www.FreeLibros.me
Capítulo 11: Creación de redes seguras
Cuando está dentro del guardafuegos, el intruso tiene mucha libertad. De la misma manera, los usuarios
finales tienen acceso a cualquier cosa en la red, así como a cualquier cosa en Internet.
Estudio de caso 2
La empresa en el estudio de caso 2 está dispuesta a gastar un poco más de dinero en la seguridad, e
invertir un poco más de tiempo en la configuración de la solución para seguridad a fin de tener un
nivel de seguridad más alto instalado. La figura 11-2 presenta su solución para seguridad.
Este estudio de caso incluye dos niveles de seguridad entre la red segura e Internet. De nuevo,
hay un guardafuegos filtro de paquetes, pero detrás de él hay un servidor de procuración (un
servidor que ejecuta protocolos como RADIUS y TACACS+). El guardafuegos filtra todo en el nivel
de paquetes, y después el servidor de procuración opera en el nivel de aplicaciones. El servidor de
www.FreeLibros.me
Fundamentos de comercio electrónico
procuración administra los servicios de autenticación, autorización y contabilidad para la seguridad
de usuario. Otra característica que se agrega a este guardafuegos es la traducción de direccio-
nes de la red (NAT), que actúa como protección, manteniendo las direcciones del protocolo de
Internet internas en secreto, y las traduce cuando pasen por el guardafuegos.
Ventajas del estudio de caso 2
Evidentemente, con el servidor de procuración que agrega seguridad de usuario, y la traducción de
direcciones de la red que esconde las direcciones del protocolo de Internet, esta solución es más
segura. Los usuarios ya no tienen acceso libre a todo dentro de la red. Se establecen restricciones
para cada usuario, referentes a los datos y aplicaciones a los que puede o no tener acceso. El
www.FreeLibros.me
Capítulo 11: Creación de redes seguras
servidor de procuración también restringe el acceso de los usuarios a ciertos sitios de Internet.
La traducción de direcciones de la red da seguridad adicional. Es más, en ocasiones se le conoce
como un guardafuegos natural, porque las direcciones del protocolo de Internet fuente y destino
son ilegibles.
Desventajas del estudio de caso 2
Una desventaja de esta solución para seguridad es que es más complicada. Hay dos piezas que deben
configurar (el guardafuegos y el servidor de procuración). También es muy cara, si se considera
el precio de compra del software y el tiempo que le lleva al administrador de la red configurar
y manejar el sistema.
Estudio de caso 3
La última compañía decidió que la seguridad era la prioridad más alta, a pesar del costo y de la
complejidad. Quisieron crear de forma realista la red más segura posible. En la figura 11-3 se
nuestra un diagrama de esta misma solución tan segura.
En ella, se esconden dos redes diferentes detrás del guardafuegos. Una red, que incluye el servidor
web, el servidor del intercambio de correo, y el servidor del protocolo de transferencia de archivos,
se conoce como DMZ, o zona desmilitarizada. Por otra parte, un servidor de procuración llega hasta
el perímetro situado más adentro, y contiene a los usuarios finales y los datos.
Ventajas del estudio de caso 3
La principal ventaja de este modelo es el nivel de seguridad. Como en el estudio de caso 2, un
servidor de procuración controla la seguridad de usuario. Sin embargo, además de navegar en
este servidor, el tránsito del usuario final debe viajar por el guardafuegos real para llegar al servidor
web, de correo, o de protocolo de transferencia de archivos. La ventaja de este método es que crea
una situación en que el usuario externo tiene acceso al sitio web de la empresa, sin tener nunca que
estar en la misma red que los datos confidenciales de la empresa.
Desventajas del estudio de caso 3
Las desventajas del estudio de caso 3 son evidentemente el costo y la complejidad. Harán falta
mucho más tiempo y esfuerzo para manejar este sistema de seguridad. También será más complicado
para los usuarios obtener los recursos que necesitan.
CONSIDERACIONES FINALES ACERCA
DE LA SEGURIDAD DE LA RED
Como los estudios de caso lo muestran, hay varios puntos que se deben tomar en cuenta cuando se
diseña una solución para la seguridad de la red. El mejor punto de arranque es hacer una lista de
las prioridades que tiene su empresa en cuanto a la solución para seguridad. También es importante
recordar los aspectos de la red de la compañía que requieren seguridad, y de qué manera ésta podría
www.FreeLibros.me
The words you are searching are inside this book. To get more targeted content, please make full-text search by clicking here.
Fundamentos De Comercio Electronico - Toby J. Velte
Discover the best professional documents and content resources in AnyFlip Document Base.
Search
Fundamentos De Comercio Electronico - Toby J. Velte
- 1 - 50
- 51 - 100
- 101 - 150
- 151 - 200
- 201 - 250
- 251 - 300
- 301 - 350
- 351 - 400
- 401 - 450
- 451 - 500
- 501 - 514
Pages: