TCP y UDP.
Uso de puertos. TCP y UDP, como protocolos de transporte, deben proporcionar comunicación proceso a proceso. Esto es llevado a cabo utilizando los puertos. Los números de puertos se utilizan para dirigir los mensajes hacia los procesos desplegados en un computador, y sólo son válidos para ese computador. Un número de puerto es un entero de 16 bits. Una vez que un paquete IP ha sido entregado en el host destino, la capa TCP-UDP los despacha hacia el proceso indicado en el número de puerto.
Características de TCP. TCP proporciona un servicio de transporte mucho más sofisticado. Proporciona entrega fiable de secuencias de bytes grandes por vía de la abstracción de la programación basada en streams.
La capa TCP incluye mecanismos para cumplir con el compromiso de fiabilidad. Éstos son:
Secuenciación: el proceso emisor TCP divide los flujos en una secuencia de segmentos de datos que se transmiten como paquetes IP. A cada segmento TCP se le asocia un número de secuencia. Proporciona el número de byte correspondiente al primer byte del segmento dentro del stream. El receptor utiliza los números de secuencia para ordenar los segmentos recibidos antes de colocarlos en el stream se entrada del proceso receptor. No puede colocarse ningún segmento en el flujo de entrada hasta que todos los segmentos con números de secuencia inferiores hayan sido recibidos y colocados en el stream, se modo que los segmentos que lleguen desordenados debe reposar en un búfer hasta que lleguen sus predecesores.
Control del flujo. El emisor tiene cuidado de no saturar el receptor o a los nodos intermedio. Esto se consigue con un sistema de acuses de recibo por segmento. Siempre que el receptor envía al emisor un reconocimiento indicando el número de secuencia mayor de los recibidos junto con un tamaño de ventana. Si existe un flujo de datos inverso, los reconocimientos se incluyen en los segmentos de datos normales, en otro caso se transmiten como segmentos de reconocimiento. El campo de tamaño de ventana en el segmento de reconocimiento indica la cantidad de datos que el emisor tiene permiso para enviar antes del siguiente reconocimiento.
Retransmisión: el emisor registra los números de secuencia de los segmentos que envía. Cuando recibe un reconocimiento asume que los segmentos aludidos han sido recibidos satisfactoriamente, por lo que pueden ser borrados de los búferes de salida. Cualquier segmento que no haya sido reconocido en un tiempo límite fijado, será retransmitido por el emisor.
Almacenamiento: el búfer de entrada en el receptor se utiliza para equilibrar el flujo entre el emisor y el receptor. Si el proceso receptor genera operaciones recibe más despacio que el emisor genera operaciones envía, la cantidad de datos en el búfer puede crecer. La información normalmente se extraerá del búfer antes de que éste se llene, aunque al final el búfer puede desbordarse y los segmentos entrantes serán desechados, sin registrarse su llegada. Por lo tanto, su llegada no será reconocida y el emisor se verá obligado a retransmitirlos de nuevo.
Pasarela TCP: Comprueba todas las peticiones de conexión TCP y las transmisiones de segmentos. Cuando se ha instalado una pasarela, se pueden controlar todos los establecimientos de conexiones TCP y los segmentos TCP pueden ser analizados par comprobar su corrección.
Pasarela del nivel de aplicación. Una pasarela del nivel de aplicación actual como un proxy para un proceso de aplicación. La pasarela TCP arranca el proceso denominado proxy Telnet al que redirige la conexión TCP original. Si el proxy aprueba la operación Telnet establece otra conexión con el host solicitado y a partir de ese instante retransmite todos los paquetes TCP en ambas direcciones.
La seguridad puede mejorarse empleando dos router filtros en serie, con el bastón y los servidores públicos colocados en una subred separada que enlaza los dos router/filtros.
Esta configuración tiene varias ventajas respecto a la seguridad:
o Si la política del bastón es estricta, las direcciones IP de los host en la Intranet no tienen por qué conocerse desde el mundo exterior, y las direcciones exteriores tampoco necesitan ser conocidas por los nodos interiores, ya que todas las comunicaciones externas pasan a través de los proxies del bastón, que tienen acceso a ambas.
o Si el primer router/filtro IP es atacdo a comprometido, el segundo, que es invisible desde fuera de la Intranet y, por lo tanto, menos vulnerable, sigue extrayendo y rechazando los paquetes IP indeseables.
REDES PRIVADAS VIRTUALES. Las redes privadas virtuales extienden el límite de protección del contrafuegos más allá de la Intranet local utilizando canales seguros protegidos criptográficamente en el nivel IP.
