Consulte Triple-DES.
Estándar de cifrado avanzado. Una técnica de cifrado de datos en bloques simétricos. En octubre de 2000, el gobierno de los Estados Unidos adoptó la variante Rijndael del algoritmo como estándar de cifrado. AES sustituye al cifrado DES como estándar gubernamental.
Sistema de cifrado en el que el emisor y el receptor de un mensaje emplean claves distintas para cifrar y descifrar dicho mensaje. Las claves asimétricas se usan para establecer un canal seguro de cifrado simétrico de claves. El algoritmo Diffie-Hellman es un ejemplo de protocolo de claves asimétricas. Se contrapone a criptografía de clave simétrica.
Encabezado de extensión que proporciona autenticación e integridad, sin confidencialidad, a paquetes IP.
Algoritmo cifrado de bloques simétricos con una clave de tamaño variable que va de 32 a 448 bits. Bruce Schneier, su creador, afirma que Blowfish se optimiza en el caso de aplicaciones en que la clave se modifica con poca frecuencia.
Direcciones de red IPv4 cuya parte principal de la dirección es de bits de todo cero (10.50.0.0) o todo uno (10.50.255.255). Un paquete que se envía a una dirección de difusión desde un equipo de la red local se distribuye a todos los equipos de dicha red.
Organización externa o empresa que ofrece confianza y que emite los certificados digitales utilizados para crear firmas digitales y pares de claves públicas-privadas. La autoridad de certificación garantiza la identidad de la persona a la que se concede el certificado exclusivo.
Lista de certificados de claves públicas revocados por una autoridad de certificación. Estas listas se almacenan en la base de datos de CRL que se mantiene con IKE.
En los certificados x.509, la garantía de la autoridad de certificación de que los certificados de anclaje de confianza para el certificado del usuario proporcionan una cadena de autenticación intacta.
Consulte paquete IP.
Estándar de cifrado de datos. Método de cifrado de clave simétrica que se desarrolló en 1975 y que ANSI estandarizó en 1981 como ANSI X.3.92. DES utiliza una clave de 56 bits.
Código digital que se vincula con un mensaje transmitido electrónicamente y que identifica al remitente de forma exclusiva.
Método estandarizado para el uso de cadenas comunes para representar información compartida. Se utilizan los nombres distintivos en LDAP y en los certificados x.509, así como en otras tecnologías. Para obtener más información, consulte A String Representation of Distinguished Names.
El dominio de interpretación define los formatos de los datos, los tipos de intercambio de tráfico de red y las convenciones de denominación de información relacionada con la seguridad. Ejemplos de información relacionada con la seguridad son los algoritmos y modos criptográficos, y las directrices de seguridad.
Algoritmo de firma digital. Algoritmo de clave pública con un tamaño de clave variable que va de 512 a 4096 bits. DSS, el estándar del gobierno de los Estados Unidos, llega hasta los 1024 bits. DSA se basa en el algoritmo SHA-1 para las entradas.
También se lo denomina criptografía de "claves públicas". Se trata de un protocolo de claves criptográficas asimétricas que desarrollaron Diffie y Hellman en 1976. Este protocolo permite a dos usuarios intercambiar una clave secreta mediante un medio no seguro, sin ningún otro secreto. El protocolo IKE utiliza el de Diffie-Hellman.
Consulte filtro de paquetes con estado.
Algoritmo de firma digital de curva elíptica. Un algoritmo de clave pública que se basa en matemáticas de curva elíptica. El tamaño de una clave ECDSA es significativamente menor que el tamaño de una clave pública DSA necesaria para generar una firma de la misma longitud.
Encabezado de extensión que proporciona integridad y confidencialidad a los paquetes. ESP es uno de los cinco componentes de la arquitectura para seguridad IP (IPsec).
Proceso de colocación de un encabezado y carga útil en el primer paquete, que posteriormente se coloca en la carga útil del segundo paquete.
Cualquier programa o dispositivo que aísle la intranet o red de una organización particular de Internet, con lo cual queda protegida de intrusiones externas. Un firewall puede abarcar filtrado de paquetes, servidores proxy y NAT (Network Address Translation, traducción de direcciones de red).
Número que se genera a partir de una cadena de texto. Las funciones hash se usan para asegurarse de que no se alteren los mensajes transmitidos. MD5 y SHA-1 son ejemplos de funciones hash de una dirección.
Un método de hashing por clave para autenticar mensajes. HMAC es un algoritmo de autenticación de claves secretas. HMAC se utiliza junto a una función de hash criptográfica iterativa, como por ejemplo MD5 o SHA-1, en combinación con una clave secreta compartida. La capacidad criptográfica de HMAC depende de las propiedades de la función de hash subyacente.
Paquete que se envía a un sistema en Internet para solicitar una respuesta. Esta clase de paquetes suelen denominarse “ping”.
Siglas inglesas de Internet Key Exchange (intercambio de claves en Internet). IKE automatiza el suministro de material de claves autenticadas para las asociaciones de seguridad (SA) de IPsec.
Método o protocolo con el cual se envían datos de un sistema a otro por Internet.
Consulte Protocolo de Internet (IP), IPv4, IPv6.
Paquete de información que se transfiere por IP. Un paquete IP contiene un encabezado y datos. El encabezado incluye las direcciones del origen y el destino del paquete. Otros campos del encabezado permiten identificar y volver a combinar los datos con los paquetes adjuntos en el destino.
Veinte bytes de datos que identifican un paquete de Internet de forma exclusiva. El encabezado contiene direcciones de origen y destino del paquete. Una opción del encabezado permite agregar más bytes.
Infraestructura o medio de comunicación que permite a los nodos comunicarse en la capa de enlace. La capa de enlace es la inmediatamente inferior a IPv4/IPv6. Ejemplos son las redes Ethernet (simple o con puente) o ATM. Se asignan uno o más números o prefijos de subred IPv4 a un enlace IP. No se puede asignar el mismo número o prefijo de subred a más de un enlace IP. En ATM LANE, un enlace IP es una sola LAN emulada. Al utilizar ARP, el ámbito del protocolo ARP es un solo enlace IP.
TCP/IP se suele denominar “pila”. Este término designa las capas (TCP, IP y en ocasiones otras) a través de las cuales se transfieren todos los datos en los extremos de cliente y servidor de un intercambio de datos.
Internet Protocol version 4. IPv4 en ocasiones se denomina IP. Esta versión admite un espacio de direcciones de 32 bits.
Nombre que un administrador asigna a un área de almacenamiento o keystore, en una tarjeta de interfaz de red. El nombre de keystore también se denomina token o ID de token.
1. Una regla de IKEv2 cuyo valor debe coincidir con el valor de la palabra clave label en un archivo de claves compartidas previamente si auth_method es preshared.
2. Palabra clave que se usa para crear un certificado IKEv2. Este valor es útil para localizar todas las partes del certificado (clave privada, clave pública y certificado de clave pública) en el almacén de claves.
3. Indicación de control de acceso obligatorio (MAC) del nivel de sensibilidad de un objeto o un proceso. Confidential y Top Secret son etiquetas de muestra. Las transmisiones de red etiquetadas contienen etiquetas de MAC.
4. Palabra clave de regla de IKEv1 cuyo valor se usa para obtener la regla.
En IPv6, designación que se usa para asignar una dirección a un solo enlace para, por ejemplo, la configuración automática de direcciones. De forma predeterminada, la dirección local de enlace se crea a partir de la dirección MAC del sistema.
1. Módulo de la arquitectura DiffServ e IPQoS que marca el campo DS de un paquete IP con un valor que indica la forma en que se reenvía el paquete. En la implementación de IPQoS, el módulo de marcador es dscpmk.
2. Módulo de la implementación de IPQoS que marca la etiqueta de LAN virtual de un paquete de Ethernet con un valor de prioridad de usuario. El valor de prioridad de usuario indica la forma en que los paquetes deben reenviarse en una red con dispositivos VLAN. Este módulo se denomina dlcosmk.
Una función de hash criptográfica iterativa utilizada para autenticar mensajes, incluso las firmas digitales. Rivest desarrolló esta función en 1991.
MAC proporciona seguridad en la integridad de los datos y autentica el origen de los datos. MAC no proporciona protección contra intromisiones externas.
Dirección IPv6 que identifica un grupo de interfaces de una manera determinada. Un paquete enviado a una dirección multidifusión se distribuye a todas las interfaces del grupo. La dirección de multidifusión IPv6 funciona de manera similar a la dirección de emisión IPv4.
Sistema con más de una interfaz física y que no reenvía paquetes. Un host multired puede ejecutar protocolos de enrutamiento.
Consulte traducción de direcciones de red (NAT).
Traducción de una dirección IP que se utiliza en una red a otra dirección IP conocida en otra red. Se utiliza para limitar la cantidad de direcciones IP globales que se necesitan.
Tarjeta de adaptador de red que actúa como interfaz de una red. Algunas tarjetas de interfaz de red pueden tener varias interfaces físicas, por ejemplo la tarjeta igb.
Grupo de información que se transmite como una unidad a través de líneas de comunicaciones. Contiene un encabezado IP y una carga útil.
Función de firewall que se puede configurar para permitir o denegar el paso de determinados paquetes a través de un firewall.
Consulte encabezado IP.
Los datos que se transportan en un paquete. La carga útil no incluye la información de encabezado que se necesita para que el paquete llegue a su destino.
En PFS, la clave que se emplea para proteger la transmisión de datos no se aplica en la derivación de claves adicionales. La fuente de la clave que se usa para proteger la transmisión de datos tampoco se emplea en la derivación de claves adicionales. Por lo tanto, PFS puede evitar el descifrado de tráfico registrado anteriormente.
PFS sólo se aplica en el intercambio de claves autenticadas. Consulte también algoritmo Diffie-Hellman.
Conexión de un sistema con un enlace. Esta conexión se suele implementar entre un controlador de dispositivo y una tarjeta de interfaz de red. Algunas tarjetas de interfaz de red pueden presentar varios puntos de conexión, por ejemplo, igb.
Infraestructura de clave pública. Sistema de certificados digitales, autoridades de certificación y otras autoridades de registro que verifican y autentican la validez de cada parte que interviene en una transacción por Internet.
Servidor que se emplaza entre una aplicación cliente, por ejemplo un explorador de web, y otro servidor. Se utiliza para filtrar solicitudes, por ejemplo, para impedir el acceso a determinados sitios web.
Sistema criptográfico basado en dos claves. La clave pública es de dominio general. La clave privada sólo la conoce el destinatario del mensaje. IKE proporciona claves públicas para IPsec.
En IPsec, ataque en el cual un intruso se apropia de un paquete. El paquete almacenado sustituye o repite el original posteriormente. Para protegerse contra tales ataques, un paquete puede contener un campo que se incremente durante la vida útil de la clave secreta que protege el paquete.
Sistema que en general tiene más de una interfaz, ejecuta protocolos de enrutamiento y reenvía paquetes. Un sistema se puede configurar con una sola interfaz como enrutador si el sistema es el punto final de un enlace PPP.
Proceso en el que los enrutadores anuncian su presencia junto con otros parámetros de enlace e Internet, de manera periódica o como respuesta a un mensaje de solicitud de enrutador.
Proceso de los hosts que buscan enrutadores residentes en un enlace conectado.
Proceso de los hosts que solicitan enrutadores para la generación inmediata de anuncios de enrutador, en lugar de hacerlo la próxima vez que se hubiera programado.
Método para la obtención de firmas digitales y criptosistemas de claves públicas. Dicho método lo describieron sus creadores, Rivest, Shamir y Adleman, en 1978.
Base de datos de asociaciones de seguridad. Tabla en la que se especifican claves y algoritmos criptográficos. Las claves y los algoritmos se utilizan en la transmisión segura de datos.
Asociación que establece las propiedades de seguridad entre un primer host y un segundo.
Valor entero que indica la fila de la base de datos de asociaciones de seguridad (SDAB) que debe utilizar un destinatario para descifrar un paquete recibido.
Base de datos que determina el nivel de protección que debe aplicarse a un paquete. La SPD filtra el tráfico de IP para establecer si se debe descartar un paquete, autorizarle el paso o protegerlo con IPsec.
Algoritmo de hash seguro. El algoritmo funciona en cualquier tamaño de entrada que sea inferior a 264 para generar una síntesis del mensaje. El algoritmo SHA-1 es la entrada de DSA.
Uso de paquetes de solicitud de ICMP echo dirigidos a una dirección de difusión IP o a varias direcciones de difusión desde ubicaciones remotas para crear interrupciones o congestiones graves de la red.
Acceso no autorizado a redes de equipos; con frecuencia se usa como parte de programas automatizados para tamizar información, por ejemplo, contraseñas de texto no cifrado, de última hora.
Obtener acceso no autorizado a un equipo mediante el envío de un mensaje con una dirección IP indicando que el mensaje procede de un host de confianza. Para efectuar spoofing en IP, el agresor debe recurrir a una serie de técnicas para averiguar la dirección IP de un host de confianza; a continuación, debe modificar los encabezados de paquete para suplantar dicha identidad y simular que los paquetes proceden de ese host.
Un filtro de paquetes que puede supervisar el estado de las conexiones activas y recurrir a la información obtenida para establecer los paquetes de red que podrán pasar a través del firewall. Al efectuar el seguimiento y relacionar solicitudes y respuestas, un filtro de paquetes con estado puede detectar respuestas que no coincidan con una consulta.
Siglas en inglés de Stream Control Transport Protocol, protocolo de transporte de control del flujo. Protocolo de capas de transporte que brinda comunicaciones relativas a las conexiones de manera parecida a TCP. Además, SCTP permite varias direcciones permanentes, en que uno de los puntos finales de la conexión puede tener más de una dirección IP.
Sistema de cifrado en que el emisor y el receptor de un mensaje comparten una sola clave común. Esa clave común se emplea para cifrar y descifrar el mensaje. Las claves simétricas se usan para cifrar la mayor parte de las transmisiones de datos en IPsec. AES es un ejemplo de clave simétrica.
TCP/IP (Transmission Control Protocol/Internet Protocol) es el protocolo o lenguaje de comunicaciones básico de Internet. También se usa como protocolo de comunicaciones en redes privadas (tanto intranets como extranets).
Estándar de cifrado de datos triples. Método de cifrado de claves simétricas. Triple-DES necesita un tamaño de clave de 168 bits. Triple-DES también se escribe 3DES.
En los certificados x.509, el certificado raíz de la autoridad de certificación. Los certificados del certificado raíz para el certificado final establecen una cadena de confianza.
La ruta a la que sigue un paquete cuando se encapsula. Consulte encapsulación.
En IPsec, un túnel configurado es una interfaz de punto a punto. El túnel permite la encapsulación de un paquete IP dentro de otro paquete IP.
Interfaces de red que proporcionan reenvío de tráfico en el nivel de Ethernet (enlace de datos) del protocolo de pila IP.
Se trata de una combinación de recursos de red de software y hardware y de funciones que se administran de manera conjunta como una única entidad de software. Una red virtual interna consolida los recursos de red en un único sistema, el cual en ocasiones se denomina “red en una caja”.