Contenido

¿Qué es la capa 7?

Contenido

La capa 7 es la capa de aplicación y el nivel más alto del modelo de Interconexión de Sistemas Abiertos (OSI), un marco conceptual que estandariza las funciones de un sistema de comunicación en siete categorías distintas. La capa 7 interactúa con el software de aplicación que se ejecuta en un dispositivo host y le proporciona servicios, lo que facilita la interacción entre el usuario final y la aplicación. Servicios como el correo electrónico, la transferencia de archivos y la navegación web funcionan en esta capa.

 

Explicación de la capa 7

En el ámbito de la comunicación de red, la capa 7, también conocida como capa de aplicación del modelo OSI, desempeña un papel fundamental en la comunicación de red. La capa 7 proporciona la interfaz entre las aplicaciones que utilizamos y la red subyacente por la que deben viajar nuestros datos. Al permitir la interacción entre la aplicación y los servicios de red, la capa 7 presenta una serie de servicios directamente al software de aplicación que se ejecuta en un dispositivo host.

7 capas
Figura 1: Visión general del modelo OSI y relevancia de sus siete capas

Piense en la capa 7 como el centro de control de la red. Al igual que el cerebro controla el cuerpo humano, la capa 7 se encarga de administrar y coordinar la comunicación entre las distintas aplicaciones.

 

Comprender el modelo OSI

El modelo de interconexión de sistemas abiertos es un marco conceptual utilizado para describir cómo se transmiten los datos a través de una red. Desarrollado por la Organización Internacional de Normalización (ISO) en 1984, en la actualidad está ampliamente aceptado como modelo estándar para las comunicaciones en red.

El modelo OSI proporciona una representación sistemática de los procesos de comunicación en red, con las capas individuales responsables de servicios específicos que contribuyen a la función global de la comunicación en red. Cada capa se comunica con sus capas adyacentes. Los datos bajan por las capas del lado del emisor, atraviesan la red y vuelven a subir por las capas del lado del receptor.

Conozca las capas del modelo OSI

Capa 1 - La capa física: Como capa fundacional del modelo OSI, la capa física es responsable de la transmisión de datos de flujo de bits en bruto a través de medios físicos como el cable de cobre, la fibra óptica o las ondas de radio. Regula aspectos como la velocidad binaria, la intensidad de la señal, los conectores físicos, los tipos de cable y la topología de la red. La capa 1 garantiza la integridad de las transmisiones binarias a través de la red.

Capa 2 - La capa de enlace de datosEsta capa estructura los bits brutos de la capa física en tramas de datos y administra la comunicación de nodo a nodo mediante direcciones físicas (direcciones MAC). La capa 2 ofrece detección y corrección de errores, garantizando una transmisión de datos fiable. También administra el acceso al medio físico mediante el acceso múltiple con detección de colisiones (CSMA/CD) y otras técnicas.

Capa 3 - La capa de red: La capa de red proporciona los medios para transferir secuencias de datos de longitud variable (paquetes) de un nodo a otro dentro de diferentes redes. Se encarga del enrutamiento de paquetes basado en el direccionamiento lógico y administra la congestión de la red y la secuenciación de paquetes.

Capa 4 - La capa de transporte: La capa 4 se ocupa de la comunicación de host a host entre los sistemas de origen y destino. Proporciona mecanismos para la transmisión fiable o no de datos a través de protocolos como TCP y UDP y administra el control de flujo, la comprobación de errores y la segmentación de los paquetes de datos.

Capa 5 - La capa de sesión: La capa de sesión establece, administra y finaliza conexiones (sesiones) entre aplicaciones en cada extremo de una comunicación.

Capa 6 - La capa de presentación: La capa de presentación traduce los datos del formato de la aplicación a un formato común y viceversa, proporcionando servicios como el cifrado, el descifrado y la compresión de datos. La capa 6 garantiza que los datos enviados desde la capa de aplicación de un sistema puedan ser leídos por la capa de aplicación de otro sistema.

Capa 7 - La capa de aplicación: La capa superior del modelo OSI, la capa de aplicación, sirve de interfaz para la comunicación entre los usuarios o procesos y la red. Proporciona servicios específicos de la aplicación, como peticiones HTTP, transferencia de archivos y correo electrónico.

 

¿Cómo fluyen los datos a través del modelo OSI?

Los datos fluyen a través del modelo OSI en un proceso conocido como encapsulación y desencapsulación, que se produce cuando los datos se envían desde un dispositivo de origen a un dispositivo de destino.

Proceso de encapsulación (flujo de datos descendente)

El proceso de encapsulación comienza en la capa de aplicación (Capa 7) en el dispositivo de origen. Los datos del usuario se convierten en un formato adecuado para la transmisión y se pasan a la capa de presentación (Capa 6) para su traducción, compresión o codificación. En la capa de sesión (Capa 5), se establece una sesión y se mantiene mientras dure la transferencia de datos.

La capa de transporte (Capa 4) recibe estos datos, los divide en segmentos manejables y añade una cabecera TCP o UDP, que incluye los números de puerto. La capa de red (Capa 3) añade entonces una cabecera IP que contiene las direcciones IP de origen y destino, convirtiendo el segmento en un paquete.

La capa de enlace de datos (Capa 2) encapsula este paquete en una trama, añadiendo direcciones MAC en su cabecera y una secuencia de comprobación de trama (FCS) en su remolque. Por último, la capa física (Capa 1) convierte estas tramas en datos binarios (bits) para su transmisión a través del medio físico.

Proceso de desencapsulación (flujo de datos hacia arriba)

Una vez que los datos llegan al dispositivo de destino, ascienden por las capas OSI en un proceso inverso. En la capa física, los bits recibidos se convierten de nuevo en tramas. La capa de enlace de datos comprueba si hay errores en el FCS, elimina las direcciones MAC y pasa el paquete a la capa de red.

La capa de red elimina las direcciones IP del paquete, convirtiéndolo de nuevo en un segmento, que pasa a la capa de transporte. La capa de transporte verifica la secuencia correcta de los datos, acusa recibo de los paquetes y elimina la cabecera TCP o UDP.

Ahora en su forma original, los datos pasan por las capas de sesión y presentación, donde se cierra la sesión y se invierten las traducciones o encriptaciones realizadas anteriormente. Por último, en la capa de aplicación, los datos originales del usuario se entregan a la aplicación receptora en un formato que pueda utilizar.

 

El papel de la capa 7

La capa 7 facilita la comunicación entre las aplicaciones de software y los servicios de red de nivel inferior. Esta capa no se ocupa de los detalles subyacentes de la red, sino que se centra en proporcionar métodos para que las aplicaciones de software utilicen los servicios de la red. La capa 7 sirve esencialmente como intérprete de la red que traduce los datos del usuario o de la aplicación a un protocolo estándar que otras capas del modelo OSI puedan entender.

Diversos protocolos, cada uno con fines específicos, permiten a la capa de aplicación facilitar la comunicación de extremo a extremo entre los socios de comunicación. Por ejemplo:

  • El protocolo de acceso y administración de transferencia de archivos (FTAM) permite a los usuarios acceder a los archivos de un sistema remoto y administrarlos.

  • El Protocolo simple de administración de redes (SNMP) permite a los administradores de red gestionar, supervisar y configurar los dispositivos de red.

  • El protocolo común de información de administración (CMIP) define la información de administración de la red.

  • HTTP (Protocolo de transferencia de hipertexto) permite la comunicación entre clientes y servidores en la web.

 

Equilibrio de carga de capa 7

Los equilibradores de carga distribuyen el tráfico de red entre varios servidores para optimizar el uso de los recursos, minimizar los tiempos de respuesta y evitar la sobrecarga de un único servidor.

En la capa 7, el equilibrio de la carga introduce una dimensión adicional en la distribución del tráfico de la red. A diferencia de los equilibradores de carga de Capa 4, que basan sus decisiones en la dirección IP y la información de los puertos TCP o UDP, los equilibradores de carga de Capa 7 inspeccionan el contenido del mensaje del usuario para tomar decisiones de enrutamiento.

Los equilibradores de carga de capa 7 analizan la "carga útil" del paquete de red, teniendo en cuenta elementos como las cabeceras HTTP, las cookies o los datos dentro del mensaje de la aplicación para tomar sofisticadas decisiones de equilibrio de carga. Pueden, por ejemplo, dirigir el tráfico a diferentes servidores en función de la URL solicitada o del tipo de contenido solicitado, como imágenes, scripts o texto.

 

Seguridad de Capa 7

Independientemente de que una organización opte por un enfoque en las instalaciones, basado en la nube o híbrido, la seguridad de la capa de aplicación es primordial para proteger los datos confidenciales y mantener la disponibilidad del servicio. Y como capa que interactúa directamente con el usuario y sus datos, la Capa 7 atrae a los malos actores decididos a acceder a las credenciales de los usuarios y a la información personal identificable. Los tipos comunes de ataques en esta capa incluyen los ataques a la capa de aplicación y los ataques de denegación de servicio distribuidos (DDoS) de la Capa 7.

Los ataques a la capa de aplicación intentan explotar vulnerabilidades dentro de la aplicación, como entradas mal validadas o ajustes de configuración inseguros. Los ataques DDoS de capa 7 tienen como objetivo saturar un servidor, servicio o red con más peticiones de las que puede manejar. A diferencia de los DDoS attacks tradicionales, que inundan las redes con volúmenes masivos de tráfico, los ataques DDoS de capa 7 suelen comenzar lentamente, imitando el comportamiento normal de los usuarios, lo que los hace más difíciles de detectar.

En entornos nativos de la nube, herramientas como Kubernetes proporcionan mecanismos integrados para la seguridad de la red en la capa 7. Estos mecanismos, sin embargo, suelen necesitar medidas de seguridad adicionales, como web application firewalls (WAFs), sistemas de detección de intrusos y políticas de seguridad robustas.

Los WAF, en particular, desempeñan un papel vital en la seguridad de Capa 7, ya que operan en la capa de aplicación y pueden comprender y tomar decisiones basadas en el contenido del paquete de datos. Los WAF pueden filtrar el tráfico malicioso basándose en reglas definidas para HTTP/HTTPS, lo que permite un control más granular del tráfico de red que los firewall tradicionales de capa de red.

Seguridad de capa 7 a través del firewall de aplicaciones web
Figura 2: Seguridad de capa 7 a través del firewall de aplicaciones web

 

El modelo OSI frente al modelo TCP/IP

Al igual que el modelo OSI, el modelo del Protocolo de control de transmisión/Protocolo de Internet (TCP/IP) describe cómo los protocolos de red interactúan y trabajan juntos para proporcionar servicios de red. Los dos modelos difieren, sin embargo, en estructura, niveles de abstracción y uso histórico.

El modelo OSI frente al modelo TCP/IP
Figura 3: El modelo OSI frente al modelo TCP/IP

Estructura y niveles de abstracción

El modelo OSI tiene siete capas, cada una de las cuales proporciona un conjunto de servicios específicos y funciona de forma independiente a la vez que interactúa con las capas inmediatamente superior e inferior. El diseño, tal y como estaba previsto, creó un estándar universal para todo tipo de comunicación en red.

El modelo TCP/IP está más centrado en las realidades de la comunicación en red y descarta la separación modular de la funcionalidad, como se ve en su estructura de cuatro capas.

  1. Interfaz de red (equivalente a las capas física y de enlace de datos del modelo OSI)
  2. Internet (equivalente a la capa de red)
  3. Transporte
  4. Aplicación (combina las capas de sesión, presentación y aplicación del modelo OSI)

Uso histórico

A pesar de su exhaustivo diseño, el modelo OSI nunca fue ampliamente adoptado para implementaciones prácticas de redes. Su uso ha seguido siendo conceptual, sirviendo como herramienta para comprender y describir la interacción y el funcionamiento de los protocolos de red.

En cambio, el modelo TCP/IP fue creado e implementado como base de la Internet moderna. TCP e IP, son los protocolos troncales de Internet. El modelo se diseñó para resolver problemas prácticos de redes y lograr una comunicación eficaz de área extensa, más que para ajustarse a un modelo de referencia por capas.

 

Preguntas frecuentes sobre la capa 7 y el modelo OSI

Los datos de flujo de bits se refieren a una secuencia de bits que representan el formato bruto y binario de la información en un flujo continuo. En informática y comunicaciones digitales, esto puede incluir texto, imágenes, audio, vídeo y mucho más. Es la unidad fundamental de transmisión y almacenamiento de datos. Cada bit (dígito binario) del flujo de bits puede contener un valor de 0 ó 1.
La secuencia de comprobación de tramas es un tipo de método de detección de errores utilizado en las redes para garantizar la integridad de los datos. Es un cálculo matemático que se añade al final de una trama de datos durante la transmisión. Al recibir la trama, el dispositivo receptor vuelve a calcular el FCS y lo compara con el valor recibido. Si coinciden, la trama se considera libre de errores.
LLC forma parte de la capa de enlace de datos del modelo OSI. Proporciona una interfaz para los protocolos de la capa de red y la subcapa MAC, lo que permite que varios protocolos de red funcionen en distintos tipos de redes. LLC administra el control de errores y de flujo y puede ofrecer servicios como la transmisión de datos orientada a la conexión o sin conexión.
SNAP se utiliza en las comunicaciones de datos para ampliar la LLC IEEE 802.2 proporcionando un mecanismo para identificar el protocolo de capa de red en uso. Esto permite encapsular diversos protocolos de red en una unidad de datos LLC y transmitirlos por la red.
Token Ring es un tipo de tecnología LAN en la que los dispositivos se disponen en una topología lógica de anillo y la comunicación se produce mediante el paso de un token. La ficha es un patrón de bits especial que circula por el anillo. El dispositivo que posee el testigo tiene derecho a transmitir y, tras la transmisión, el testigo pasa al siguiente dispositivo en la secuencia. Este mecanismo de paso de fichas garantiza un acceso ordenado a la red, reduciendo las colisiones.
La capa 7 no puede funcionar independientemente de las demás capas OSI. Como capa superior, depende de los servicios de las capas inferiores para una comunicación satisfactoria. Utiliza la capa de sesión (capa 5) para la administración de sesiones entre aplicaciones, y capas inferiores para la transmisión fiable de datos.
El equilibrado de carga de capa 7 ofrece varias ventajas sobre el equilibrado de carga de capas inferiores. Puede proporcionar un control más granular sobre la distribución del tráfico teniendo en cuenta el contenido del tráfico de la red. También ofrece la flexibilidad de manipular el tráfico, por ejemplo, modificando las cabeceras HTTP o realizando una descarga SSL. Aunque implica más sobrecarga de procesamiento que el equilibrio de carga de capas inferiores, se adapta bien a las aplicaciones complejas y modernas, sobre todo en entornos de nube.
La capa 7 admite una serie de protocolos, cada uno adaptado a tipos específicos de comunicación en red. Por ejemplo, HTTP se utiliza para la navegación web, SMTP para el correo electrónico y FTP para la transferencia de archivos. La capa 7 garantiza que se utilice el protocolo correcto para las necesidades de comunicación en red de cada aplicación.
Un firewall de aplicaciones web (WAF) es una solución de seguridad que filtra y supervisa el tráfico HTTP/HTTPS entre una aplicación web e Internet. Su capacidad para detectar y responder a las solicitudes maliciosas antes de que las aplicaciones y los servidores web las acepten proporciona protección frente a los ataques en la capa de aplicación (Capa 7), entre los que se incluyen la inyección de SQL, el scripting entre sitios (XSS) y los ataques DDoS.
Contenido relacionado
Firewall de aplicaciones web (WAF) frente a Firewall de nueva generación (NGFW)
Tanto los WAF como los NGFW funcionan con protocolos de la capa de aplicación y emplean reglas y motores de políticas para filtrar el tráfico entrante.
¿Qué es la protección de aplicaciones web y API?
Las API, muy utilizadas en el desarrollo nativo en la nube, pueden modificarse fácilmente, lo que evita a los desarrolladores tener que crear cada API desde cero. Pero garantizar l...
Prisma Cloud presenta la seguridad fuera de banda para API y aplicaciones web
Las vulnerabilidades de las aplicaciones web y las API no seguras pueden provocar incidentes de seguridad multimillonarios, pero existe una solución que no afecta al rendimiento de...
Creación de una arquitectura segura basada en servicios 5G
En esta entrada del blog, analizamos la seguridad de las aplicaciones web y las API (WAAS) para repeler el abuso de las interfaces basadas en servicios (SBI).
Previous ¿Qué es la seguridad de las API?
Next ¿Qué es la administración de la postura de seguridad de las aplicaciones (ASPM)?

Obtenga las últimas noticias, invitaciones a eventos y alertas de amenazas