REDES I – Unidad V – 1 / 42 PROTOCOLOS DE REDES DE COMUNICACIÓN: PROTOCOLOS DE INTERNET Introducción. Un poco de Historia La familia de protocolos de Internet es un conjunto de protocolos de red en los que se basa Internet y que permiten la transmisión de datos entre redes de computadoras. En ocasiones se le denomina conjunto de protocolos TCP/IP, en referencia a los dos protocolos más importantes que la componen: Protocolo de Control de Transmisión (TCP) y Protocolo de Internet (IP), que fueron los dos primeros en definirse, y que son los más utilizados de la familia. Existen tantos protocolos en este conjunto que llegan a ser más de 100 diferentes, entre ellos se encuentra el popular HTTP (HyperText Transfer Protocol), que es el que se utiliza para acceder a las páginas web, además de otros como el ARP (Address Resolution Protocol) para la resolución de direcciones, el FTP (File Transfer Protocol) para transferencia de archivos, y el SMTP (Simple Mail Transfer Protocol) y el POP (Post Office Protocol) para correo electrónico, TELNET para acceder a equipos remotos, entre otros. El TCP/IP es la base de Internet, y sirve para enlazar computadoras que utilizan diferentes sistemas operativos, incluyendo PC, minicomputadoras y computadoras centrales sobre redes de área local (LAN) y área extensa (WAN). TCP/IP fue desarrollado y demostrado por primera vez en 1972 por el Departamento de Defensa de los Estados Unidos, ejecutándolo en ARPANET, una red de área extensa de dicho departamento. La familia de protocolos de Internet puede describirse por analogía con el modelo OSI (Open System Interconnection), que describe los niveles o capas de la pila de protocolos, aunque en la práctica no corresponde exactamente con el modelo en Internet. En una pila de protocolos, cada nivel soluciona una serie de problemas relacionados con la transmisión de datos, y proporciona un servicio bien definido a los niveles más altos. Los niveles superiores son los más cercanos al usuario y tratan con datos más abstractos, dejando a los niveles más bajos la labor de traducir los datos de forma que sean físicamente manipulables. El modelo de Internet fue diseñado como la solución a un problema práctico de ingeniería. El modelo OSI, en cambio, fue propuesto como una aproximación teórica y también como una primera fase en la evolución de las redes de ordenadores. Por lo tanto, el modelo OSI es más fácil de entender, pero el modelo TCP/IP es el que realmente se usa. Sirve de ayuda entender el modelo OSI antes de conocer TCP/IP, ya que se aplican los mismos principios, pero son más fáciles de entender en el modelo OSI. El 1 de enero de 2010 el Protocolo TCP/IP cumplió 27 años. Un ordenador denominado router (un nombre que fue después cambiado a gateway, puerta de enlace, para evitar confusiones con otros tipos de Puerta de enlace) está dotado con una interfaz para cada red, y envía Datagramas de ida y vuelta entre ellos. Los requisitos para estos routers están definidos en el RFC 1812. Esta idea fue llevada a la práctica de una forma más detallada por el grupo de investigación que Cerf tenía en Stanford durante el periodo de 1973 a 1974, dando como resultado la primera especificación TCP (Request for Comments 675,) Entonces DARPA fue contratada por BBN Technologies, la Universidad de Stanford, y la University College de Londres para desarrollar versiones operacionales del protocolo en diferentes plataformas de hardware. Se desarrollaron así cuatro versiones diferentes: TCP v1, TCP v2, REDES I – Unidad V – 2 / 42 una tercera dividida en dos TCP v3 y IP v3 en la primavera de 1978, y después se estabilizó la versión TCP/IP v4 — el protocolo estándar que todavía se emplea en Internet. En 1975, se realizó la primera prueba de comunicación entre dos redes con protocolos TCP/IP entre la Universidad de Stanford y la University College de Londres (UCL). En 1977, se realizó otra prueba de comunicación con un protocolo TCP/IP entre tres redes distintas con ubicaciones en Estados Unidos, Reino Unido y Noruega. Varios prototipos diferentes de protocolos TCP/IP se desarrollaron en múltiples centros de investigación entre los años 1978 y 1983. La migración completa de la red ARPANET al protocolo TCP/IP concluyó oficialmente el día 1 de enero de 1983 cuando los protocolos fueron activados permanentemente. En marzo de 1982, el Departamento de Defensa de los Estados Unidos declaró al protocolo TCP/IP el estándar para las comunicaciones entre redes militares. En 1985, el Centro de Administración de Internet (Internet Architecture Board IAB por sus siglas en inglés) organizó un Taller de Trabajo de tres días de duración, al que asistieron 250 comerciales promocionando así el protocolo lo que contribuyó a un incremento de su uso comercial. Kahn y Cerf fueron premiados con la Medalla Presidencial de la Libertad el 10 de noviembre de 2005 por su contribución a la cultura Americana. Ventajas e inconvenientes El conjunto TCP/IP está diseñado para enrutar y tiene un grado muy elevado de fiabilidad, es adecuado para redes grandes y medianas, así como en redes empresariales. Se utiliza a nivel mundial para conectarse a Internet y a los servidores web. Es compatible con las herramientas estándar para analizar el funcionamiento de la red. Un inconveniente de TCP/IP es que es más difícil de configurar y de mantener que NetBEUI o IPX/SPX; además es algo más lento en redes con un volumen de tráfico medio bajo. Sin embargo, puede ser más rápido en redes con un volumen de tráfico grande donde haya que enrutar un gran número de tramas. El conjunto TCP/IP se utiliza tanto en redes empresariales como por ejemplo en campus universitarios o en complejos empresariales, en donde utilizan muchos enrutadores y conexiones a mainframe o a ordenadores UNIX, así como también en redes pequeñas o domésticas, y hasta en teléfonos móviles. Funciones Básicas de los Protocolos Los protocolos establecen reglas consistentes para intercambiar datos entre las aplicaciones y los servicios cargados en los dispositivos participantes. Los protocolos especifican cómo se estructuran los datos dentro de los mensajes y los tipos de mensajes que se envían entre origen y destino. Estos mensajes pueden ser solicitudes de servicios, acuses de recibo, mensajes de datos, mensajes de estado o mensajes de error. Los protocolos también definen los diálogos de mensajes, asegurando que un mensaje enviado encuentre la respuesta esperada y se invoquen los servicios correspondientes cuando se realiza la transferencia de datos. Cada protocolo tiene un fin específico y contiene las características requeridas para cumplir con dicho propósito. Deben seguirse los detalles del protocolo correspondiente a cada capa, así las funciones en una capa se comunican correctamente con los servicios en la capa inferior. REDES I – Unidad V – 3 / 42 Encapsulamiento Todas las comunicaciones de una red se originan en una fuente y son enviadas a un destino, aquí se explica cómo es el proceso de transmitir la información de un sitio a otro. Si una computadora A quiere enviar datos a una computadora B, los datos deben ser empacados primero por un proceso llamado encapsulamiento. Este proceso puede pensarse como poner una carta dentro de un sobre, y poner las direcciones correctas del destinatario y el remitente para que sea entregada apropiadamente por el sistema postal. El encapsulamiento envuelve los datos con la información de protocolo necesaria antes de transitar por la red. Así, mientras la información se mueve hacia abajo por las capas del modelo OSI, cada capa añade un encabezado, y un trailer si es necesario, antes de pasarla a una capa inferior. Los encabezados y trailers contienen información de control para los dispositivos de red y receptores para asegurar la apropiada entrega de los datos y que el receptor interprete correctamente lo que recibe. Paso 1: los datos de usuario son enviados por una aplicación a la capa de aplicación. Paso 2: La capa de aplicación añade el encabezado (layer 7 Header) a los datos, el encabezado y los datos originales pasan a la capa de presentación. REDES I – Unidad V – 4 / 42 Paso 3: La capa de presentación recibe los datos provenientes de la capa superior, incluyendo el encabezado agregado, y los trata como sólo datos, añade su encabezado a los datos, y los pasa a la capa de sesión Paso 4: la capa de sesión recibe los datos y añade su encabezado, lo pasa a la capa de transporte. Paso 5: la capa de transporte recibe los datos y añade su encabezado, pasa los datos a la capa inferior. Paso 6: la capa de red añade su encabezado y los pasa a la capa de enlace de datos. Paso 7: la capa de enlace de datos añade el encabezado y un trailer (cola) a los datos, usualmente es un Frame Check Sequence, que usa el receptor para detectar si los datos enviados están o no en error. Esto envuelve los datos que son pasados a la capa física. Paso 8: la capa física entonces transmite los bits hacia el medio de red. Des-encapsulamiento Es el proceso inverso, cuando un dispositivo recibe el stream de bits, la capa física del dispositivo remoto los pasa a la capa de enlace de datos para su manipulación. Paso 1: checa el trailer de la capa de enlace de datos (FCS) para ver si los datos están en error. Paso 2: si los datos están en error, pueden ser descartados, y la capa de enlace de datos puede pedir la retransmisión. Paso 3: si no hay ningún error, la capa de enlace de datos lee e interpreta la información de control en el encabezado (L2 header) Paso 4: quita el header y trailer y pasa lo que queda hacia la capa superior basada en la información de control del header. Comunicación de Par a Par Cuando los paquetes van de origen a destino, cada capa en el nodo de origen se comunica con su capa par o igual en el nodo destino, esto es lo que se llama comunicación Peer to Peer, durante dicho proceso, los protocolos de cada capa intercambian información en unidades llamadas protocol data unit (PDU), entre las capas pares. REDES I – Unidad V – 5 / 42 Cada capa depende de la función de servicio de la capa inferior, para dar el servicio, la capa inferior encapsula la información para poner el PDU de la capa superior dentro de su campo de datos, entonces agrega el encabezado que sea necesario para ejecutar su función. Mientras se mueve la información de la capa 7 a la 5, se añaden encabezados adicionales, el agrupamiento en la capa 4 es llamado segmento. La capa de red provee el servicio a la capa de transporte, y la capa de transporte presenta los datos al subsistema de internetwork. La capa de red mueve los datos encapsulando la información y agregando un header, lo cual crea un paquete (Packet), el header trae información necesaria, como las direcciones lógicas de origen y destino. La capa de enlace de datos provee servicio a la capa de red encapsulando el paquete de la capa de red dentro de una trama (Frame), la trama contiene las direcciones físicas requeridas para completar la entrega, y además pone un trailer (frame check sequence) La capa física da el servicio a la capa de enlace de datos codificando el frame en un patrón de 1 y 0 (bits) para transmitirlos en el medio de red, normalmente un alambre, dentro de la capa física. Los Hubs operan en la capa 1, los switches en la capa 2, los routers en la capa 3. Segmentación y Reensamblaje La mayoría de las redes poseen una limitación en cuanto a la cantidad de datos que pueden incluirse en una única PDU (Unidad de datos del protocolo). La capa de Transporte divide los datos de aplicación en bloques de datos de un tamaño adecuado. En el destino, la capa de Transporte reensambla los datos antes de enviarlos a la aplicación o servicio de destino. Multiplexación Pueden existir varias aplicaciones o servicios ejecutándose en cada host de la red. A cada una de estas aplicaciones o servicios se les asigna una dirección conocida como puerto para que la capa de Transporte pueda determinar con qué aplicación o servicio se identifican los datos. Además de utilizar la información contenida en los encabezados para las funciones básicas de segmentación y reensamblaje de datos, algunos protocolos de la capa de Transporte proveen: conversaciones orientadas a la conexión, entrega confiable, reconstrucción ordenada de datos, y control del flujo. Establecimiento de una sesión REDES I – Unidad V – 6 / 42 La capa de Transporte puede brindar esta orientación a la conexión creando una sesión entre las aplicaciones. Estas conexiones preparan las aplicaciones para que se comuniquen entre sí antes de que se transmitan los datos. Dentro de estas sesiones, se pueden gestionar de cerca los datos para la comunicación entre dos aplicaciones. Entrega confiable Por varias razones, es posible que una sección de datos se corrompa o se pierda por completo a medida que se transmite a través de la red. La capa de Transporte puede asegurar que todas las secciones lleguen a destino al contar con el dispositivo de origen para volver a transmitir los datos que se hayan perdido. Entrega en el mismo orden Ya que las redes proveen rutas múltiples que pueden poseer distintos tiempos de transmisión, los datos pueden llegar en el orden incorrecto. Al numerar y secuenciar los segmentos, la capa de Transporte puede asegurar que los mismos se reensamblen en el orden adecuado. Control del flujo Los hosts de la red cuentan con recursos limitados, como memoria o ancho de banda. Cuando la capa de Transporte advierte que estos recursos están sobrecargados, algunos protocolos pueden solicitar que la aplicación que envía reduzca la velocidad del flujo de datos. Esto se lleva a cabo en la capa de Transporte regulando la cantidad de datos que el origen transmite como grupo. El control del flujo puede prevenir la pérdida de segmentos en la red y evitar la necesidad de retransmisión. MODELO TCP/IP El primer modelo de protocolo en capas para comunicaciones de internetwork se creó a principios de la década de los setenta y se conoce con el nombre de modelo de Internet. Define cuatro categorías de funciones que deben tener lugar para que las comunicaciones sean exitosas. La arquitectura de la suite de protocolos TCP/IP sigue la estructura de este modelo. Por esto, es común que al modelo de Internet se lo conozca como modelo TCP/IP. La mayoría de los modelos de protocolos describen un stack de protocolos específicos del proveedor. Sin embargo, puesto que el modelo TCP/IP es un estándar abierto, una compañía no controla la definición del modelo. Las definiciones del estándar y los protocolos TCP/IP se explican en un foro público y se definen en un conjunto de documentos disponibles al público. Estos documentos se denominan Solicitudes de comentarios (RFCS). Contienen las especificaciones formales de los protocolos de comunicación de datos y los recursos que describen el uso de los protocolos. Las RFC (Solicitudes de comentarios) también contienen documentos técnicos y organizacionales sobre Internet, incluyendo las especificaciones técnicas y los documentos de las políticas producidos por el Grupo de trabajo de ingeniería de Internet (IETF). REDES I – Unidad V – 7 / 42 El modelo TCP/IP describe la funcionalidad de los protocolos que forman la suite de protocolos TCP/IP. Esos protocolos, que se implementan tanto en el host emisor como en el receptor, interactúan para proporcionar la entrega de aplicaciones de extremo a extremo a través de una red. Un proceso completo de comunicación incluye estos pasos: 1. Creación de datos a nivel de la capa de aplicación del dispositivo final origen. 2. Segmentación y encapsulación de datos cuando pasan por la stack de protocolos en el dispositivo final de origen. 3. Generación de los datos sobre el medio en la capa de acceso a la red de la stack. 4. Transporte de los datos a través de la internetwork, que consiste de los medios y de cualquier dispositivo intermediario. 5. Recepción de los datos en la capa de acceso a la red del dispositivo final de destino. 6. Desencapsulación y rearmado de los datos cuando pasan por la stack en el dispositivo final. 7. Traspaso de estos datos a la aplicación de destino en la capa de aplicación del dispositivo final de destino. Direcciones IP El Protocolo Internet posibilita la transmisión de bloques de datos llamados datagramas desde el origen al destino. Origen y destino son host identificados por direcciones lógicas de una longitud fija de 4 bytes (direcciones IP). También se encarga el protocolo IP de la fragmentación y del reensamblado de datagramas largos si es necesario, para su posterior transmisión a través de pequeños paquetes de red. Formato de las direcciones IP Tenemos diversas formas para identificar un host: nombres, direcciones y rutas. Un nombre nos indica lo que buscamos, una dirección nos indica dónde está y una ruta nos indica cómo llegar hasta él. Las direcciones IP serán direcciones binarias que posibilitan la computación y la selección de la ruta de forma eficiente, de todas formas se establecerá una relación entre direcciones binarias y nombres, ya que para nosotros será mucho más fácil su uso. A cada host en Internet le es asignado una dirección de 32 bits, esta será su dirección IP. Esta dirección IP estará formada por dos partes una, la que nos identifica la maquina, el host con el que queremos trabajar y otra que hace referencia a la red dentro de la cual nos encontramos. Conceptualmente cada dirección IP será un par (Identificador de red, Identificador de host). Podemos encontrar diferentes formas de direcciones IP: Clase A: Se trata de grandes redes que tienen más de 216 hosts. Se utilizan 7 bits para identificar la red y 24 bits para la identificación del host Clase B: Se utilizara para redes de clase media que tienen entre 28 y 216 hosts. Se utilizan 14 bits para identificar la red y 16 bits para la identificación del host. Clase C: Se utilizará para redes pequeñas que tienen menos de 28 hosts. REDES I – Unidad V – 8 / 42 Se utilizan 21 bits para identificar la red y 8 bits para la identificación del host. Debemos tener en cuenta que algunas de estas direcciones están reservadas para otros propósitos. En realidad las direcciones nos especifican una conexión de red más que una computadora individual, así un router conectando n redes tiene n direcciones IP distintas, una para cada conexión de red. También hemos de tener en cuenta que si un host se mueve de una red a otra, su dirección IP deberá cambiar (es una red lógica y no física). Para encontrar la ruta (routing) de los datagramas se basará en las direcciones IP así como en sus máscaras, se usará la porción de la dirección IP que nos especifica la red para tomar las diferentes decisiones en cuanto a la ruta a seguir. Esto supondrá grandes ventajas. Direcciones especiales Poniendo todo a ceros en la dirección haremos referencia a ‘Este host’. Hemos de tener en cuenta que esta forma especial de dirección sólo será consentida durante el proceso de arranque, de esta manera se le permite a la maquina establecer una comunicación temporal hasta adquirir la dirección real. Una vez que la máquina conoce la dirección correcta no deberá utilizar esta dirección de todo ceros. Poniendo todo ceros en la parte que hace referencia a la red y la dirección del host en la parte que hace referencia a la máquina individual hacemos referencia al ‘Host en esta red’. Dejando inalterada la parte que hace referencia a la red y poniendo todo unos en la parte referente al host realizaremos un ‘Broadcast directo’ para la red. Haciendo referencia a la dirección 127 nos encontraremos frente a la ‘Dirección de loopback’. Máscara de Subred La función de una máscara de subred consiste en identificar la parte de la red, de la subred y del host de una dirección IP. Las máscaras de subred sirven para dividir la red y separar una red grande o sumamente grande en segmentos, o subredes, mas pequeños, eficientes y manejables. Para mas información sobre TCP/IP visiten el siguiente link: http://www.saulo.net/pub/tcpip/index.html#2-7 Ejemplos: 8bit x 4 octetos = 32 bit. (11111111.11111111.11111111.11111111 = 255.255.255.255) 8bit x 3 octetos = 24 bit. (11111111.11111111.11111111.00000000 = 255.255.255.0) 8bit x 2 octetos = 16 bit. (11111111.11111111.00000000.00000000 = 255.255.0.0) 8bit x 1 octetos = 8 bit. (11111111.00000000.00000000.00000000 = 255.0.0.0) En el ejemplo 10.0.0.0/8, según lo explicado anteriormente, indicaría que la máscara de red es 255.0.0.0 Las máscaras, se utilizan como validación de direcciones realizando una operación AND lógica entre la dirección IP y la máscara para validar al equipo cosa que permite realizar una verificación de la dirección de la Red y con un OR y la máscara negada se obtiene la dirección del broadcasting. FIREWALL REDES I – Unidad V – 9 / 42 Un firewall es un sistema que protege a un ordenador o a una red de ordenadores contra intrusiones provenientes de redes de terceros (generalmente desde internet). Un sistema de firewall filtra paquetes de datos que se intercambian a través de internet. Por lo tanto, se trata de una pasarela de filtrado que comprende al menos las siguientes interfaces de red: una interfaz para la red protegida (red interna) una interfaz para la red externa. El sistema firewall es un sistema de software, a menudo sustentado por un hardware de red dedicado, que actúa como intermediario entre la red local (u ordenador local) y una o más redes externas. Un sistema de firewall puede instalarse en ordenadores que utilicen cualquier sistema siempre y cuando: La máquina tenga capacidad suficiente como para procesar el tráfico El sistema sea seguro No se ejecute ningún otro servicio más que el servicio de filtrado de paquetes en el servidor Cómo funciona un sistema Firewall Un sistema firewall contiene un conjunto de reglas predeterminadas que le permiten al sistema: Autorizar la conexión (permitir) Bloquear la conexión (denegar) Rechazar el pedido de conexión sin informar al que lo envió (negar) Todas estas reglas implementan un método de filtrado que depende de la política de seguridad adoptada por la organización. Las políticas de seguridad se dividen generalmente en dos tipos que permiten: la autorización de sólo aquellas comunicaciones que se autorizaron explícitamente: "Todo lo que no se ha autorizado explícitamente está prohibido" el rechazo de intercambios que fueron prohibidos explícitamente El primer método es sin duda el más seguro. Sin embargo, impone una definición precisa y restrictiva de las necesidades de comunicación. Filtrado de paquetes Stateless REDES I – Unidad V – 10 / 42 Un sistema de firewall opera según el principio del filtrado simple de paquetes, o filtrado de paquetes stateless. Analiza el encabezado de cada paquete de datos (datagrama) que se ha intercambiado entre un ordenador de red interna y un ordenador externo. Así, los paquetes de datos que se han intercambiado entre un ordenador con red externa y uno con red interna pasan por el firewall y contienen los siguientes encabezados, los cuales son analizados sistemáticamente por el firewall: La dirección IP del ordenador que envía los paquetes La dirección IP del ordenador que recibe los paquetes El tipo de paquete (TCP, UDP, etc.) El número de puerto (recordatorio: un puerto es un número asociado a un servicio o a una aplicación de red). Las direcciones IP que los paquetes contienen permiten identificar el ordenador que envía los paquetes y el ordenador de destino, mientras que el tipo de paquete y el número de puerto indican el tipo de servicio que se utiliza. La siguiente tabla proporciona ejemplos de reglas del firewall: Regla 1 2 3 Acción IP fuente IP destino Protocolo Aceptar 192.168.10.20 194.154.192.3 tcp Aceptar cualquiera 192.168.10.3 tcp Aceptar 192.168.10.0/24 cualquiera tcp 4 Negar cualquiera cualquiera Puerto fuente cualquiera cualquiera cualquiera cualquiera cualquiera Puerto destino 25 80 80 cualquiera Los puertos reconocidos (cuyos números van del 0 al 1023) están asociados con servicios ordinarios (por ejemplo, los puertos 25 y 110 están asociados con el correo electrónico y el puerto 80 con la Web). La mayoría de los dispositivos de firewall se configuran al menos para filtrar comunicaciones de acuerdo con el puerto que se usa. Normalmente, se recomienda bloquear todos los puertos que no son fundamentales (según la política de seguridad vigente). Por ejemplo, el puerto 23 a menudo se bloquea en forma predeterminada mediante dispositivos de firewall, ya que corresponde al protocolo TELNET, el cual permite a una persona emular el acceso terminal a una máquina remota para ejecutar comandos a distancia. Los datos que se intercambian a través de TELNET no están codificados. Esto significa que es probable que un hacker observe la actividad de la red y robe cualquier contraseña que no esté codificada. Generalmente, los administradores prefieren el protocolo SSH, el cual tiene la reputación de ser seguro y brinda las mismas funciones que TELNET. Filtrado Dinámico El Filtrado de paquetes Stateless sólo intenta examinar los paquetes IP independientemente, lo cual corresponde al nivel 3 del modelo OSI (Interconexión de sistemas abiertos). Sin embargo, la mayoría de las conexiones son admitidas por el protocolo TCP, el cual administra sesiones, para tener la seguridad de que todos los intercambios se lleven a cabo en forma correcta. Asimismo, muchos servicios (por ejemplo, FTP) inician una conexión en un puerto estático. Sin embargo, abren un puerto en forma dinámica (es decir, aleatoria) para establecer una sesión entre la máquina que actúa como servidor y la máquina cliente. De esta manera, con un filtrado de paquetes stateless, es imposible prever cuáles puertos deberían autorizarse y cuáles deberían prohibirse Para solucionar este problema, el sistema de filtrado dinámico de paquetes se basa en la inspección de las capas 3 y 4 del modelo OSI, lo que permite REDES I – Unidad V – 11 / 42 controlar la totalidad de las transacciones entre el cliente y el servidor. El término que se usa para denominar este proceso es "inspección stateful" o "filtrado de paquetes stateful". Un dispositivo de firewall con "inspección stateful" puede asegurar el control de los intercambios. Esto significa que toma en cuenta el estado de paquetes previos cuando se definen reglas de filtrado. De esta manera, desde el momento en que una máquina autorizada inicia una conexión con una máquina ubicada al otro lado del firewall, todos los paquetes que pasen por esta conexión serán aceptados implícitamente por el firewall. El hecho de que el filtrado dinámico sea más efectivo que el filtrado básico de paquetes no implica que el primero protegerá el ordenador contra los hackers que se aprovechan de las vulnerabilidades de las aplicaciones. Aún así, estas vulnerabilidades representan la mayor parte de los riesgos de seguridad. Filtrado de aplicaciones El filtrado de aplicaciones permite filtrar las comunicaciones de cada aplicación. El filtrado de aplicaciones opera en el nivel 7 (capa de aplicaciones) del modelo OSI, a diferencia del filtrado simple de paquetes (nivel 4). El filtrado de aplicaciones implica el conocimiento de los protocolos utilizados por cada aplicación. Como su nombre lo indica, el filtrado de aplicaciones permite filtrar las comunicaciones de cada aplicación. El filtrado de aplicaciones implica el conocimiento de las aplicaciones en la red y un gran entendimiento de la forma en que en ésta se estructuran los datos intercambiados (puertos, etc.). Un firewall que ejecuta un filtrado de aplicaciones se denomina generalmente "pasarela de aplicaciones" o ("proxy"), ya que actúa como relé entre dos redes mediante la intervención y la realización de una evaluación completa del contenido en los paquetes intercambiados. Por lo tanto, el proxy actúa como intermediario entre los ordenadores de la red interna y la red externa, y es el que recibe los ataques. Además, el filtrado de aplicaciones permite la destrucción de los encabezados que preceden los mensajes de aplicaciones, lo cual proporciona una mayor seguridad. Este tipo de firewall es muy efectivo y, si se ejecuta correctamente, asegura una buena protección de la red. Por otra parte, el análisis detallado de los datos de la aplicación requiere una gran capacidad de procesamiento, lo que a menudo implica la ralentización de las comunicaciones, ya que cada paquete debe analizarse minuciosamente. Además, el proxy debe interpretar una gran variedad de protocolos y conocer las vulnerabilidades relacionadas para ser efectivo. Finalmente, un sistema como este podría tener vulnerabilidades debido a que interpreta pedidos que pasan a través de sus brechas. Por lo tanto, el firewall (dinámico o no) debería disociarse del proxy para reducir los riesgos de comprometer al sistema. El concepto de Firewall personal El término firewall personal se utiliza para los casos en que el área protegida se limita al ordenador en el que el firewall está instalado. Un firewall personal permite controlar el acceso a la red de aplicaciones instaladas en el ordenador y prevenir notablemente los ataques de programas como los troyanos, es decir, programas dañinos que penetran en el sistema para permitir que un hacker controle el ordenador en forma remota. Los firewalls personales permiten subsanar y prevenir intrusiones de aplicaciones no autorizadas a conectarse a su ordenador. Limitaciones del Firewall REDES I – Unidad V – 12 / 42 Por supuesto que los sistemas firewall no brindan seguridad absoluta; todo lo contrario. Los firewalls sólo ofrecen protección en tanto todas las comunicaciones salientes pasen sistemáticamente a través de éstos y estén configuradas correctamente. Los accesos a la red externa que sortean el firewall también son puntos débiles en la seguridad. Claramente, éste es el caso de las conexiones que se realizan desde la red interna mediante un módem o cualquier otro medio de conexión que evite el firewall. Asimismo, la adición de medios externos de almacenamiento a los ordenadores de sobremesa o portátiles de red interna puede dañar enormemente la política de seguridad general. Para garantizar un nivel máximo de protección, debe ejecutarse un firewall en el ordenador y su registro de actividad debe controlarse para poder detectar intentos de intrusión o anomalías. Además, se recomienda controlar la seguridad (por ejemplo, inscribiéndose para recibir alertas de seguridad de CERT) a fin de modificar los parámetros del dispositivo de firewall en función de las alertas publicadas. La instalación de un firewall debe llevarse a cabo de la mano de una política de seguridad real. REDES PRIVADAS VIRTUALES Una red privada virtual o VPN (siglas en inglés de virtual private network), es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet. Ejemplos comunes son, la posibilidad de conectar dos o más sucursales de una empresa utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la infraestructura de Internet. Medios Para hacerlo posible de manera segura es necesario proporcionar los medios para garantizar la autentificación, integridad y confidencialidad de toda la comunicación: Autentificación y autorización: ¿Quién está del otro lado? Usuario/equipo y qué nivel de acceso debe tener. Integridad: de que los datos enviados no han sido alterados. Para ello se utiliza funciones de Hash. Los algoritmos de hash más comunes son los Message Digest (MD2 y MD5) y el Secure Hash Algorithm (SHA). Confidencialidad: Dado que solo puede ser interpretada por nadie más que los destinatarios de la misma. Se hace uso de algoritmos de cifrado como Data Encryption Standard (DES), Triple DES (3DES) y Advanced Encryption Standard (AES). No repudio: es decir, un mensaje tiene que ir firmado, y el que lo firma no puede negar que el mensaje lo envió él. Requerimientos básicos Identificación de usuario: las VPN deben verificar la identidad de los usuarios y restringir su acceso a aquellos que no se encuentren autorizados. Codificación de datos: los datos que se van a transmitir a través de la red pública (Internet), antes deben ser cifrados, para que así no puedan ser leídos. Esta tarea se realiza con algoritmos de cifrado como DES o 3DES que solo pueden ser leidos por el emisor y receptor. Administración de claves: las VPN deben actualizar las claves de cifrado para los usuarios. Tipos de VPN REDES I – Unidad V – 13 / 42 Básicamente existen tres arquitecturas de conexión VPN: VPN de acceso remoto Es quizás el modelo más usado actualmente, y consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles, aviones preparados, etcétera) utilizando Internet como vínculo de acceso. Una vez autentificados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. Muchas empresas han reemplazado con esta tecnología su infraestructura dial-up (módems y lineas telefónicas). VPN punto a punto Este esquema se utiliza para conectar oficinas remotas con la sede central de la organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta las conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, típicamente mediante conexiones de banda ancha. Esto permite eliminar los costosos vínculos punto a punto tradicionales, sobre todo en las comunicaciones internacionales. Es más común el siguiente punto, también llamado tecnología de túnel o tunneling. Tunneling La técnica de tunneling consiste en encapsular un protocolo de red sobre otro (protocolo de red encapsulador) creando un túnel dentro de una red de computadoras. El establecimiento de dicho túnel se implementa incluyendo una PDU determinada dentro de otra PDU con el objetivo de transmitirla desde un extremo al otro del túnel sin que sea necesaria una interpretación intermedia de la PDU encapsulada. De esta manera se encaminan los paquetes de datos sobre nodos intermedios que son incapaces de ver en claro el contenido de dichos paquetes. El túnel queda definido por los puntos extremos y el protocolo de comunicación empleado, que entre otros, podría ser SSH.. El uso de esta técnica persigue diferentes objetivos, dependiendo del problema que se esté tratando, como por ejemplo la comunicación de islas en escenarios multicast, la redirección de tráfico, etc. Uno de los ejemplos más claros de utilización de esta técnica consiste en la redirección de tráfico en escenarios IP Móvil. En escenarios de IP móvil, cuando un nodo-móvil no se encuentra en su red base, necesita que su home-agent realice ciertas funciones en su puesto, entre las que se encuentra la de capturar el tráfico dirigido al nodo-móvil y redirigirlo hacia él. Esa redirección del tráfico se realiza usando un mecanismo de tunneling, ya que es necesario que los paquetes conserven su estructura y contenido originales (dirección IP de origen y destino, puertos, etc.) cuando sean recibidos por el nodo-móvil. VPN Virtual LAN VLAN Este esquema es el menos difundido pero uno de los más poderosos para utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet como medio de conexión, emplea la misma red de área local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna. Esta capacidad lo hace muy conveniente para mejorar las prestaciones de seguridad de las redes inalámbricas (WiFi). Un ejemplo clásico es un servidor con información sensible, como las nóminas de sueldos, ubicado detrás de un equipo VPN, el cual provee autenticación adicional más el agregado del cifrado, haciendo posible que sólo el personal de recursos humanos habilitado pueda acceder a la información. REDES I – Unidad V – 14 / 42 Otro ejemplo es la conexion a redes WIFI haciendo uso de Tuneles encriptados IPSEC o SSL que ademas de pasar por los metodos de autenticacion tradicionales (WAP, WEP , MAcaddress etc) agregan las credenciales de seguridad del tunel VPN creado en la LAN Interna. Implementaciones El protocolo estándar de hecho es el IPSEC, pero también tenemos PPTP, L2F, L2TP, SSL/TLS, SSH, etc. Cada uno con sus ventajas y desventajas en cuanto a seguridad, facilidad, mantenimiento y tipos de clientes soportados. Actualmente hay una línea de productos en crecimiento relacionada con el protocolo SSL/TLS, que intenta hacer más amigable la configuración y operación de estas soluciones. Las soluciones de hardware casi siempre ofrecen mayor rendimiento y facilidad de configuración, aunque no tienen la flexibilidad de las versiones por software. Dentro de esta familia tenemos a los productos deFortinet, SonicWALL, WatchGuard, Nortel, Cisco, Linksys, Netscreen (Juniper Networks), Symantec, Nokia, U.S. Robotics, D-link, etc. Las aplicaciones VPN por software son las más configurables y son ideales cuando surgen problemas de interoperatividad en los modelos anteriores. Obviamente el rendimiento es menor y la configuración más delicada, porque se suma el sistema operativo y la seguridad del equipo en general. Aquí tenemos por ejemplo a las soluciones nativas de Windows, GNU/Linux y los Unix en general. Por ejemplo productos de código abierto como OpenSSH, OpenVPN y FreeS/Wan. En ambos casos se pueden utilizar soluciones de firewall ("barrera de fuego" en castellano o cortafuego), obteniendo un nivel de seguridad alto por la protección que brinda, en detrimento del rendimiento. Ventajas Integridad, confidencialidad y seguridad de datos. Las VPN reducen los costos y son sencillas de usar. Facilita la comunicación entre dos usuarios en lugares distantes. Se utiliza más en campus de universidades. VOZ SOBRE IP (VOIP) Unas soluciones típicas basadas en VoIP. Un adaptador para un teléfono analógico corriente para conectar un teléfono común a una red VoIP. Avaya 1140E VoIP Phone Voz sobre Protocolo de Internet, también llamado Voz IP, VozIP, VoIP (por sus siglas en inglés), es un grupo de recursos que hacen posible que la señal de voz viaje a través de Internet empleando REDES I – Unidad V – 15 / 42 un protocolo IP (Protocolo de Internet). Esto significa que se envía la señal de voz en forma digital, en paquetes, en lugar de enviarla en forma digital o analógica, a través de circuitos utilizables sólo para telefonía como una compañía telefónica convencional o PSTN (sigla de Public Switched Telephone Network, Red Telefónica Pública Conmutada). Los Protocolos que se usan para enviar las señales de voz sobre la red IP se conocen como protocolos de Voz sobre IP o protocolos IP. Estos pueden verse como aplicaciones comerciales de la "Red experimental de Protocolo de Voz" (1973), inventada por ARPANET. El tráfico de Voz sobre IP puede circular por cualquier red IP, incluyendo aquellas conectadas a Internet, como por ejemplo las redes de área local (LAN). Es muy importante diferenciar entre Voz sobre IP (VoIP) y Telefonía sobre IP. VoIP es el conjunto de normas, dispositivos, protocolos, en definitiva la tecnología que permite comunicar voz sobre el protocolo IP. Telefonía sobre IP es el servicio telefónico disponible al público, por tanto con numeración E.164, realizado con tecnología de VoIP. [Nota: No confundir Telefonía sobre IP con ToIP (Text-over-IP)] Ventajas La principal ventaja de este tipo de servicios es que evita los cargos altos de telefonía (principalmente de larga distancia) que son usuales de las compañías de la Red Pública Telefónica Conmutada (PSTN). Algunos ahorros en el costo son debidos a utilizar una misma red para llevar voz y datos, especialmente cuando los usuarios tienen sin utilizar toda la capacidad de una red ya existente la cual pueden usar para VoIP sin un costo adicional. Las llamadas de VoIP a VoIP entre cualquier proveedor son generalmente gratis, en contraste con las llamadas de VoIP a PSTN que generalmente cuestan al usuario de VoIP. El desarrollo de codecs para VoIP (aLaw, G.729, G.723, etc.) ha permitido que la voz se codifique en paquetes de datos de cada vez menor tamaño. Esto deriva en que las comunicaciones de voz sobre IP requieran anchos de banda muy reducidos. Junto con el avance permanente de las conexiones ADSL en el mercado residencial, éste tipo de comunicaciones, están siendo muy populares para llamadas internacionales. Hay dos tipos de servicio de PSTN a VoIP: "Discado Entrante Directo" (Direct Inward Dialling: DID) y "Números de acceso". DID conecta a quien hace la llamada directamente al usuario VoIP mientras que los Números de Acceso requieren que este introduzca el número de extensión del usuario de VoIP. Los Números de acceso son usualmente cobrados como una llamada local para quien hizo la llamada desde la PSTN y gratis para el usuario de VoIP. Estos precios pueden llegar a ser hasta 50 veces más económicos que los precios de operadores locales. Funcionalidad VoIP puede facilitar tareas que serían más difíciles de realizar usando las redes telefónicas comunes: Las llamadas telefónicas locales pueden ser automáticamente enrutadas a un teléfono VoIP, sin importar dónde se esté conectado a la red. Uno podría llevar consigo un teléfono VoIP en un viaje, y en cualquier sitio conectado a Internet, se podría recibir llamadas. REDES I – Unidad V – 16 / 42 Números telefónicos gratuitos para usar con VoIP están disponibles en Estados Unidos de América, Reino Unido y otros países de organizaciones como Usuario VoIP. Los agentes de Call center usando teléfonos VoIP pueden trabajar en cualquier lugar con conexión a Internet lo suficientemente rápida. Algunos paquetes de VoIP incluyen los servicios extra por los que PSTN (Red Publica Telefónica Conmutada) normalmente cobra un cargo extra, o que no se encuentran disponibles en algunos países, como son las llamadas de 3 a la vez, retorno de llamada, remarcación automática, o identificación de llamada. Móvil Los usuarios de VoIP pueden viajar a cualquier lugar en el mundo y seguir haciendo y recibiendo llamadas de la siguiente forma: Los subscriptores de los servicios de las líneas telefónicas pueden hacer y recibir llamadas locales fuera de su localidad. Por ejemplo, si un usuario tiene un número telefónico en la ciudad de Nueva York y está viajando por Europa y alguien llama a su número telefónico, esta se recibirá en Europa. Además si una llamada es hecha de Europa a Nueva York, esta será cobrada como llamada local, por supuesto el usuario de viaje por Europa debe tener una conexión a Internet disponible. Los usuarios de Mensajería Instantánea basada en servicios de VoIP pueden también viajar a cualquier lugar del mundo y hacer y recibir llamadas telefónicas. Los teléfonos VoIP pueden integrarse con otros servicios disponibles en Internet, incluyendo videoconferencias, intercambio de datos y mensajes con otros servicios en paralelo con la conversación, audio conferencias, administración de libros de direcciones e intercambio de información con otros (amigos, compañeros, etc). Repercusión en el comercio La Voz sobre IP está abaratando las comunicaciones internacionales y mejorando por tanto la comunicación entre proveedores y clientes, o entre delegaciones del mismo grupo. Asimismo, la voz sobre IP se está integrando, a través de aplicaciones específicas, en portales web. De esta forma los usuarios pueden solicitar una llamada de X empresa o programar una llamada para una hora en concreto, que se efectuará a través de un operador de Voz IP normalmente. Futuro de la Voz sobre IP El ancho de banda creciente a nivel mundial, y la optimización de los equipos de capa 2 y 3 para garantizar el QoS (Quality of Service) de los servicios de voz en tiempo real hace que el futuro de la Voz sobre IP sea muy prometedor. En Estados Unidos los proveedores de voz sobre IP como Vonage consiguieron una importante cuota de mercado. En España, gracias a las tarifas planas de voz, los operadores convencionales consiguieron evitar el desembarco masivo de estos operadores. Sin embargo la expansión de esta tecnología está viniendo de mano de los desarrolladores de sistemas como Cisco y Avaya que integran en sus plataformas redes de datos y voz. Otros fabricantes como Alcatel-Lucent, Nortel Networks, Matra, Samsung y LG también desarrollan soluciones corporativas de voz sobre IP en sus equipos de telecomunicaciones. El Estándar VoIP (H.323) Definido en 1996 por la UIT (Unión Internacional de Telecomunicaciones) proporciona a los diversos fabricantes una serie de normas con el fin de que puedan evolucionar en conjunto. REDES I – Unidad V – 17 / 42 Características principales Por su estructura el estándar proporciona las siguientes ventajas: Permite controlar el tráfico de la red, por lo que se disminuyen las posibilidades de que se produzcan caídas importantes en el rendimiento. Las redes soportadas en IP presentan las siguientes ventajas adicionales: Es independiente del tipo de red física que lo soporta. Permite la integración con las grandes redes de IP actuales. Es independiente del hardware utilizado. Permite ser implementado tanto en software como en hardware, con la particularidad de que el hardware supondría eliminar el impacto inicial para el usuario común. Permite la integración de Vídeo y TPV VoIP no es un servicio, es una tecnología En muchos países del mundo, IP ha generado múltiples discordias, entre lo territorial y lo legal sobre esta tecnología, está claro y debe quedar en claro que la tecnología de VoIP no es un servicio como tal, sino una tecnología que usa el Protocolo de Internet (IP) a través de la cual se comprimen y descomprimen de manera altamente eficiente paquetes de datos o datagramas, para permitir la comunicación de dos o más clientes a través de una red como la red de Internet. Con esta tecnología pueden prestarse servicios de Telefonía o Videoconferencia, entre otros. Arquitectura de red El propio Estándar define tres elementos fundamentales en su estructura: Terminales: son los sustitutos de los actuales teléfonos. Se pueden implementar tanto en software como en hardware. Gatekeepers: son el centro de toda la organización VoIP, y serían el sustituto para las actuales centrales. Normalmente implementadas en software, en caso de existir, todas las comunicaciones pasarían por él. Gateways: se trata del enlace con la red telefónica tradicional, actuando de forma transparente para el usuario. Con estos tres elementos, la estructura de la red VoIP podría ser la conexión de dos delegaciones de una misma empresa. La ventaja es inmediata: todas las comunicaciones entre las delegaciones son completamente gratuitas. Este mismo esquema se podría aplicar para proveedores, con el consiguiente ahorro que esto conlleva. Protocolos de VoIP: son los lenguajes que utilizarán los distintos dispositivos VoIP para su conexión. Esta parte es importante ya que de ella dependerá la eficacia y la complejidad de la comunicación. Por orden de antigüedad (de más antiguo a más nuevo): H.323 - Protocolo definido por la ITU-T; SIP - Protocolo definido por la IETF; REDES I – Unidad V – 18 / 42 Megaco (También conocido como H.248) y MGCP - Protocolos de control; Skinny Client Control Protocol - Protocolo propiedad de Cisco; MiNet - Protocolo propiedad de Mitel; CorNet-IP - Protocolo propiedad de Siemens; IAX - Protocolo original para la comunicación entre PBXs Asterisk (Es un estándar para los demás sistemas de comunicaciones de datos,[cita requerida] actualmente está en su versión 2, IAX2); Skype - Protocolo propietario peer-to-peer utilizado en la aplicación Skype; IAX2 - Protocolo para la comunicación entre PBXs Asterisk en reemplazo de IAX; Jingle - Protocolo abierto utilizado en tecnología Jabber; MGCP- Protocolo propietario de Cisco; weSIP- Protocolo licencia gratuita de VozTelecom. Como hemos visto VoIP presenta una gran cantidad de ventajas, tanto para las empresas como para los usuarios comunes. La pregunta sería ¿por qué no se ha implantado aún esta tecnología?. A continuación analizaremos los aparentes motivos, por los que VoIP aún no se ha impuesto a las telefonías convencionales. Parámetros de la VoIP Este es el principal problema que presenta hoy en día la penetración tanto de VoIP como de todas las aplicaciones de IP. Garantizar la calidad de servicio sobre Internet, que solo soporta "mejor esfuerzo" (best effort) y puede tener limitaciones de ancho de banda en la ruta, actualmente no es posible; por eso, se presentan diversos problemas en cuanto a garantizar la calidad del servicio. Códecs La voz ha de codificarse para poder ser transmitida por la red IP. Para ello se hace uso de Códecs que garanticen la codificación y compresión del audio o del video para su posterior decodificación y descompresión antes de poder generar un sonido o imagen utilizable. Según el Códec utilizado en la transmisión, se utilizará más o menos ancho de banda. La cantidad de ancho de banda suele ser directamente proporcional a la calidad de los datos transmitidos. Entre los codecs utilizados en VoIP encontramos los G.711, G.723.1 y el G.729 (especificados por la ITU-T) Estos Codecs tienen este tamaño en su señalización: G.711: bit-rate de 56 o 64 Kbps. G.722: bit-rate de 48, 56 o 64 Kbps. G.723: bit-rate de 5,3 o 6,4 Kbps. G.728: bit-rate de 16 Kbps. G.729: bit-rate de 8 o 13 Kbps. REDES I – Unidad V – 19 / 42 Esto no quiere decir que es el ancho de banda utilizado, por ejemplo el Codec G729 utiliza 31.5 Kbps de ancho de banda en su transmisión. Retardo o latencia Una vez establecidos los retardos de tránsito y el retardo de procesado la conversación se considera aceptable por debajo de los 150 ms. Pérdida de tramas (Frames Lost): Durante su recorrido por la red IP las tramas se pueden perder como resultado de una congestión de red o corrupción de datos. Además, para tráfico de tiempo real como la voz, la retransmisión de tramas perdidas en la capa de transporte no es práctico por ocasionar retardos adicionales. Por consiguiente, los terminales de voz tienen que retransmitir con muestras de voz perdidas, también llamadas Frame Erasures. El efecto de las tramas perdidas en la calidad de voz depende de como los terminales manejan las Frame Erasures. En el caso más simple, el terminal deja un intervalo en el flujo de voz, si una muestra de voz es perdida. Si muchas tramas son perdidas, sonara grietoso con silabas o palabras perdidas. Una posible estrategia de recuperación es reproducir las muestras de voz previas. Esto funciona bien si sólo unas cuantas muestras son perdidas. Para combatir mejor las ráfagas de errores usualmente se emplean sistemas de interpolación. Basándose en muestras de voz previas, el decodificador predecirá las tramas perdidas. Esta técnica es conocida como Packet Loss Concealment (PLC). La ITU-T G.113 apéndice I provee algunas líneas de guía de planificación provisional en el efecto de perdida de tramas sobre la calidad de voz. El impacto es medido en términos de Ie, el factor de deterioro. Este es un número en la cual 0 significa no deterioró. El valor más grande de Ie significa deterioro más severo. La siguiente tabla está derivada de la G.113 apéndice I y muestra el impacto de las tramas perdidas en el factor Ie. Calidad del servicio La calidad de este servicio se está logrando bajo los siguientes criterios: La supresión de silencios, otorga más eficiencia a la hora de realizar una transmisión de voz, ya que se aprovecha mejor el ancho de banda al transmitir menos información. Compresión de cabeceras aplicando los estándares RTP/RTCP. Priorización de los paquetes que requieran menor latencia. Las tendencias actuales son: CQ (Custom Queuing) (Sánchez J.M:, VoIP'99): Asigna un porcentaje del ancho de banda disponible. PQ (Priority Queuing) (Sánchez J.M:, VoIP'99): Establece prioridad en las colas. WFQ (Weight Fair Queuing) (Sánchez J.M:, VoIP'99): Se asigna la prioridad al tráfico de menos carga. DiffServ: Evita tablas de encaminados intermedios y establece decisiones de rutas por paquete. La implantación de IPv6 que proporciona mayor espacio de direccionamiento y la posibilidad de tunneling. TECNOLOGÍA ETHERNET Ethernet es el nombre que se le ha dado a una popular tecnología LAN de conmutación de paquetes inventada por Xerox PARC a principios de los años setenta. Xerox Corporation, Intel Corporation y REDES I – Unidad V – 20 / 42 Digital Equipment Corporation estandarizaron Ethernet en 1978; IEEE liberó una versión compatible del estándar utilizando el número 802.3. Ethernet se ha vuelto una tecnología LAN popular; muchas compañías, medianas o grandes, utilizan Ethernet. Cada cable Ethernet tiene aproximadamente ½ pulgada de diámetro y mide hasta 500 m de largo. Se añade una resistencia entre el centro del cable y el blindaje en cada extremo del cable para prevenir la reflexión de señales eléctricas. ½ pulgada Cubierta exterior de aislamiento Blindaje de malla trenzada Relleno de polietileno Alambre central Figura 1 El diseño original de Ethernet utilizaba cable coaxial como el mostrado en la figura 1. Llamado ether, el cable por sí mismo es completamente pasivo; todos los componentes electrónicos activos que hacen que la red funcione están asociados con las computadoras que se comunican en la red. La conexión entre una computadora y un cable coaxial Ethernet requiere de un dispositivo de hardware llamado transceptor. Físicamente la conexión entre un transceptor y el cable Ethernet requiere de una pequeña perforación a la capa exterior del cable. Los técnicos con frecuencia utilizan el término tap para describir la conexión entre un transceptor Ethernet y el cable. Por lo general, una pequeña aguja de metal montada en el transceptor atraviesa la perforación y proporciona el contacto eléctrico con el centro del cable y el blindaje trenzado. Algunos fabricantes de conectores hacen que el cable se corte y se inserte una ‘T’. Cada conexión a una red Ethernet tiene dos componentes electrónicos mayores. Un transceptor es conectado al centro del cable y al blindaje trenzado del cable, por medio del cual recibe y envía señales por el cable ether. Una interfaz anfitrión o adaptador anfitrión se conecta dentro del bus de la computadora (por ejemplo, en una tarjeta madre) y se conecta con el transceptor. Un transceptor es una pequeña pieza de hardware que por lo común se encuentra físicamente junto al cable ether. Además del hardware análogo que envía y controla las señales eléctricas en el cable ether, un transceptor contiene circuitería digital que permite la comunicación con una computadora digital. El transceptor, cuando el cable ether está en uso, puede recibir y traducir señales eléctricas analógicas hacia o desde un formato digital en el cable ether. Un cable llamado Attachment Unit Interface (AUI) conecta el transceptor con la tarjeta del adapatador en una computadora anfitrión. Informalmente llamado cable transceptor, el cable AUI contiene muchos cables. Los cables transportan la potencia eléctrica necesaria para operar el transceptor, las señales de control para la operación del transceptor y el contenido de los paquetes que se están enviando o recibiendo. Cada interfaz de anfitrión controla la operación de un transceptor de acuerdo a las intrucciones que recibe del software de la computadora. Para el software del sistema operativo, la interfaz aparece como un dispositivo de entrada/salida que acepta instrucciones de transferencia de datos básicas desde la computadora, controla la transferencia del transceptor e interrumpe el proceso cuando éste ha concluido, finalmente reporta la información de estado. Aun cuando el transceptor es un simple dispositivo de hardware, la interfaz de anfitrión puede ser compleja (por ejemplo, puede contener un microprocesador utilizado para controlar la transferencia entre la memoria de la computadora y el cable ether). REDES I – Unidad V – 21 / 42 En la práctica las organizaciones que utilizan Ethernet original en el ambiente de una oficina convencional extienden el cable Ethernet por el techo de las habitaciones e instalan una conexión para cada oficina conectándola de este modo con el cable. La figura 2 ilustra el esquema de cableado físico resultante. Cable Ethernet (normalmente por el techo) Transceptores Cable AUI Computadora A Computadora B Figura 2 Ethernet de cable delgado Varios componentes de la tecnología Ethernet original tenían propiedades indeseables. Por ejemplo, un transceptor contenía componentes electrónicos, su costo no era insignificante. Además, ya que el transceptor estaba localizado en el cable y no en la computadora, estos podían ser difíciles de accesar o remplazar. El cable coaxial que forma el ether puede también ser difícil de instalar. En particular, para proporcionar la máxima protección contra la interferencia eléctrica el cable contiene un blindaje pesado que hace que el cable sea difícil de doblar. Por último un cable AUI también es grueso y difícil de doblar. Para reducir costos en el caso de ambientes como el de las oficinas, en donde no existe mucha interferencia eléctrica, los ingenieros desarrollaron una alternativa al esquema de cableado Ethernet. Llamada thin wire Ethernet o thinnet, el cable coaxial alternativo es más delgado, menos caro y más flexible. Sin embargo, un cable delgado Ethernet tiene algunas desventajas. Dado que no proporciona mucha protección contra la interferencia eléctrica, el cable delgado Ethernet no puede ser colocado junto a un equipo eléctrico potente, como podría suceder en el caso de una fábrica. Además, el cable delgado Ethernet cubre distancias algo más cortas y soporta un menor número de conexiones de computadoras por red que el cable grueso Ethernet. Para reducir aún más los costos del cable delgado Ethernet, los ingenieros remplazaron el costoso transceptor con circuitería digital de alta velocidad especial y proporcionaron una conexión directa desde una computadora hasta el cable ether. De esta forma, en el esquema de cable delgado, una computadora contiene tanto la interfaz de anfitrión como la circuitería necesaria para conectar la computadora con el cable. Los fabricantes de pequeñas computadoras y estaciones de trabajo encontraron el esquema del cable delgado Ethernet especialmente atractivo, debido a que podían REDES I – Unidad V – 22 / 42 integrar el hardware de Ethernet en una sola tarjeta de computadora y hacer las conexiones necesarias de manera directa en la parte posterior de la computadora. Como el cable delgado Ethernet conecta directamente una computadora con otra, el esquema de cableado trabaja bien cuando muchas computadoras ocupan una sola habitación. El cable delgado conecta en forma directa una computadora con otra. Para añadir una nueva computadora sólo es necesario enlazarla con la cadena. En la figura 3 se ilustra la conexión utilizada en el esquema de cable delgado Ethernet. Cable Thinnet Computadora A Computadora B Figura 3 El esquema de cable delgado Ethernet está diseñado para conectarse y desconectarse fácilmente. El esquema de cable delgado utiliza conectores BNC, los cuales no requieren de herramientas para conectar una computadora con el cable. Así, un usuario puede conectar una computadora al cable delgado Ethernet sin ayuda de un técnico. Por supuesto, permitir que el usuario manipule el cable ether tiene sus desventajas: si un usuario desconecta el cable ether, esto provocará que todas las máquinas en el ether queden incomunicadas. En muchos casos, sin embargo, las ventajas superan las desventajas. Ethernet de par trenzado Los avances en la tecnología han hecho posible contruir redes Ethernet que no necesitan del blindaje eléctrico de un cable coaxial. LLamada twisted pair ethernet (Ethernet de par trenzado), esta tecnología permite que una computadora accese a una red Ethernet mediante un par de cables de cobre convencionales sin blindaje, similares a los cables utilizados para conectar los teléfonos. La ventaja de usar cables de par trenzado es que reducen mucho los costos y protegen a otras computadoras conectadas a la red de los riesgos que se podrían derivar de que un usuario desconecte una computadora. En algunos casos, la tecnología de de par trenzado hace posible que una organización instale una red Ethernet a partir del cableado telefónico existente sin tener que añadir cables nuevos. Conocido con el nombre técnico de 10base-T, el esquema de cableado de par trenzado conecata cada computadora con un hub (concentrador) Ethernet como se muestra en la figura 4. REDES I – Unidad V – 23 / 42 Concentrador (Hub) Conexión de par trenzado hacia el concentrador Computadora A Computadora B Figura 4 l concentrador es un dispositivo electrónico que simula la señal en un cable Ethernet. Físicamente, un concentrador consiste en una pequeña caja que por lo general se aloja en un gabinete para cableado; la conexión entre un concentrador y una computadora debe tener una longitud menor a 100 m. Un concentrador requiere de alimentación eléctrica y puede permitir que el personal autorizado monitoree y controle la operación de la red. Para la interfaz anfitrión, en una computadora, la conexión hacia un concentrador parece operar de la misma forma que la conexión hacia un transceptor. Esto es, un concentrador Ethernet proporciona la misma capacidad de comunicación que un Ethernet delgado o grueso; los concentradores sólo ofrecen una alternativa al esquema de cableado. Esquemas de cableado múltiples y adaptadores Una conexión Ethernet de cable grueso requiere de un conector AUI, una conexión para Ethernet de cable delgado requiere de un conector BNC y una conexión para 10base-T requiere de un conector RJ45 que recuerda a los conectores modulares utilizados en los teléfonos. Muchos productos Ethernet permiten que cada usuario selecciones el esquema de cableado. Por ejemplo, las tarjetas adaptadoras para computadoras personales con frecuencia cuentan con los 3 conectores como se muestra en la figura 5. Dado que sólo un conector puede usarse a la vez, una computadora que cuenta con un adaptador determinado puede cambiarse de un esquema de cableado a otro con facilidad. REDES I – Unidad V – 24 / 42 Conector RJ-45 para 10Base-t Conector AUI para Thicknet Conector BNC para Thinnet Figura 5 Propiedades de una red Ethernet La red Ethernet es una tecnología de bus de difusión de 10 Mbps que se conoce como 'entrega con el mejor esfuerzo' y un control de acceso distribuido. Es un bus debido a que todas las estaciones comparten un sólo canal de comunicación, es de difusión porque todos los transceptores reciben todas las transmisiones. El método utilizado para dirigir paquetes de una estación a otra únicamente o al subconjunto de todas las estaciones se analizará más adelante. Por ahora, es suficiente con entender que los transceptores no distinguen las transmisiones -- transfieren todos los paquetes del cable a la interfaz anfitrión, la cual selecciona los paquetes que la computadora debe recibir y filtra todos los demás--. Las redes Ethernet cuentan con un mecanismo llamado entrega con el mejor esfuerzo debido a que el hardware no proporciona información al emisor acerca de si el paquete ha sido recibido. Por ejemplo, si la máquina de destino es apagada, los paquetes enviados se perderán y el emisor no será notificado. Más adelante veremos cómo el protocolo TCP/IP se adapta al hardware de entrega con el mejor esfuerzo. El control de acceso en las redes Ethernet es distribuido porque, a difencia de algunas tecnologías de red, Ethernet no tiene la autoridad central para garantizar el acceso. El esquema de acceso de Ethernet es conocido como Carrier Sense Multiple Access with Collision Detect (CSMA/CD). Es un CSMA debido a que varias máquinas pueden accesar la red Ethernet de manera simultánea y cada máquina determina si el cable ether está disponible al verificar si está presente una onda portadora. Cuando una interfaz anfitrión tiene un paquete para transmitir verifica el cable ether para comprobar si un mensaje se está transmitiendo (por ejemplo, verificando si existe una portadora). Cuando no se comprueba la presencia de una transmisión, la interfaz de anfitrión comienza a transmitir. Cada transmisión está limitada en duración (dado que hay un tamaño máximo para los paquetes). Además, el hardware debe respetar un tiempo mínimo de inactividad entre transmisiones, esto significa que no se dará el caso de que un par de computadoras que se comuniquen puedan utilizar la red sin que otras máquinas tengan la oportunidad de accesarla. Recuperación y detección de colisiones Cuando un transceptor comienza a transmitir, la señal no alcanza todas las partes de la red de manera simultánea. En lugar de ello, la señal viaja a lo largo del cable a una velocidad aproximada al 80% de la velocidad de la luz. De esta forma, es posible que dos transceptores perciban que la red está desocupada y comiencen a transmitir en forma simultánea. Cuando las dos señales eléctricas se cruzan, se produce una perturbación y ninguna de las dos señales será significativa. Este tipo de incidentes se conoce como colisiones. REDES I – Unidad V – 25 / 42 El manejo de colisiones en Ethernet se resuelve de manera ingeniosa. Cada transceptor monitorea el cable mientras está transmitiendo para explorar si hay alguna señal eléctrica exterior que interfiera con su transmisión. Técnicamente, el monitoreo se conoce como detección de colisiones (CD), esto hace de Ethernet una red CSMA/CD. Cuando se detecta una colisión, la interfaz de anfitrión aborta la transmisión y espera a que la actividad disminuya, luego intenta de nuevo transmitir. Se debe tener mucho cuidado pues de otra forma la red podría caer en una situación en la que todos los transceptores se ocuparían de intentar transmitir y todas las trasnmisiones producirían colisiones. Para ayudar a evitar este tipo de situaciones, las redes Ethernet utilizan un procedimiento de retroceso exponencial binario mediante el cual el emisor espera un lapso aleatorio, después de la primera colisión esperará el doble de tiempo para intentar transmitir de nuevo, si de nuevo se produce una colisión esperará cuatro veces el lapso inicial antes de realiza un tercer intento y así sucesivamente. El retroceso exponencial evita que se pueda producir un congestionamiento intenso cuando estaciones diferentes tratan de transmitir en forma simultánea. En caso de que se de un congestionamiento, existe una alta probabilidad de que dos estaciones seleccionen retrocesos aleatorios muy cercanos. Así, la probabilidad de que se produzca otra colisión es alta. Al duplicar el retardo aleatorio, la estrategia de retroceso exponencial distribuye con rapidez los intentos de las estaciones para retransmitir en un intervalo de tiempo razonablemente largo, haciendo que la probabilidad de que se produzcan nuevas colisiones sea muy pequeña. Capacidad de las redes Ethernet El estándar Ethernet se define en 10 Mbps, lo cual significa que los datos pueden transmitirse por el cable a razón de 10 millones de bits por segundo. A pesar de que una computadora puede generar datos a la velocidad de la red Ethernet, la velocidad de la red no debe pensarse como la velocidad a la que dos computadoras pueden intercambiar datos. La velocidad de la red debe pensarse como una medida de la capacidad del tráfico total de la red. Pensemos en una red como en una carretera que conecta varias ciudades y pensemos en los paquetes como en coches en la carretera. Un ancho de banda alto hace posible transferir cargas de tráfico pesadas, mientras que un ancho de banda bajo significa que la carretera no puede transportar mucho tráfico. Una red Ethernet a 10 Mbps, por ejemplo, puede soportar unas cuantas computadoras que generan cargas pesadas o muchas computadoras que generan cargas ligeras. SPANNING TREE Spanning Tree Protocol (SmmTPr) es un protocolo de red de nivel 2 de la capa OSI, (nivel de enlace de datos). Está basado en un algoritmo diseñado por Radia Perlman mientras trabajaba para DEC. Hay 2 versiones del STP: la original (DEC STP) y la estandarizada por el IEEE (IEEE 802.1D), que no son compatibles entre sí. En la actualidad, se recomienda utilizar la versión estandarizada por el IEEE. Su función es la de gestionar la presencia de bucles en topologías de red debido a la existencia de enlaces redundantes (necesarios en muchos casos para garantizar la disponibilidad de las conexiones). El protocolo permite a los dispositivos de interconexión activar o desactivar automáticamente los enlaces de conexión, de forma que se garantice que la topología está libre de bucles. STP es transparente a las estaciones de usuario. Los bucles infinitos ocurren cuando hay rutas alternativas hacia una misma máquina o segmento de red de destino. Estas rutas alternativas son necesarias para proporcionar redundancia, ofreciendo una mayor fiabilidad. Si existen varios enlaces, en el caso que uno falle, otro enlace puede seguir soportando el tráfico de la red. Los problemas aparecen cuando utilizamos dispositivos de interconexión de nivel de enlace, como un puente de red o un conmutador de paquetes. Cuando hay bucles en la topología de red, los dispositivos de interconexión de nivel de enlace reenvían indefinidamente las tramas Broadcast y multicast, al no existir ningún campo TTL (Time To Live, Tiempo de Vida) en la Capa 2, tal y como ocurre en la Capa 3. Se consume entonces una gran cantidad de ancho de banda, y en muchos caso la red queda inutilizada. Un router, por el contrario, sí podría evitar este tipo de reenvíos indefinidos. La solución consiste en permitir la existencia de REDES I – Unidad V – 26 / 42 enlaces físicos redundantes, pero creando una topología lógica libre de bucles. STP permite solamente una trayectoria activa a la vez entre dos dispositivos de la red (esto previene los bucles) pero mantiene los caminos redundantes como reserva, para activarlos en caso de que el camino inicial falle. Si la configuración de STP cambia, o si un segmento en la red redundante llega a ser inalcanzable, el algoritmo reconfigura los enlaces y restablece la conectividad, activando uno de los enlaces de reserva. Si el protocolo falla, es posible que ambas conexiones estén activas simultáneamente, lo que podrían dar lugar a un bucle de tráfico infinito en la LAN. Existen múltiples variantes del Spaning Tree Protocol, debido principalmente al tiempo que tarda el algoritmo utilizado en converger. Una de estas variantes es el Rapid Spanning Tree Protocol El árbol de expansión (Spanning tree) permanece vigente hasta que ocurre un cambio en la topología, situación que el protocolo es capaz de detectar de forma automática. El máximo tiempo de duración del árbol de expansión es de cinco minutos. Cuando ocurre uno de estos cambios, el puente raíz actual redefine la topología del árbol de expansión o se elige un nuevo puente raíz. Funcionamiento Este algoritmo cambia una red física con forma de malla, en la que existen bucles, por una red lógica en árbol en la que no existe ningún bucle. Los puentes se comunican mediante mensajes de configuración llamados Bridge Protocol Data Units (B.P.D.U). El protocolo establece identificadores por puente y elige el que tiene la prioridad más alta (el número más bajo de prioridad numérica), como el puente raíz. Este puente raíz establecerá el camino de menor coste para todas las redes; cada puerto tiene un parámetro configurable: el Span path cost. Después, entre todos los puentes que conectan un segmento de red, se elige un puente designado, el de menor coste (en el caso que haya mismo coste en dos puentes, se elige el que tenga el menor identificador "direccion MAC"), para transmitir las tramas hacia la raíz. En este puente designado, el puerto que conecta con el segmento, es el puerto designado y el que ofrece un camino de menor coste hacia la raíz, el puerto raíz. Todos los demás puertos y caminos son bloqueados, esto es en un estado ya estacionario de funcionamiento. Elección del puente raíz La primera decisión que toman todos los switches de la red es identificar el puente raíz ya que esto afectará al flujo de tráfico. Cuando un switch se enciende, supone que es el switch raíz y envía las BPDU que contienen la dirección MAC de sí mismo tanto en el BID raíz como emisor. Cada switch reemplaza los BID de raíz más alta por BID de raíz más baja en las BPDU que se envían. Todos los switches reciben las BPDU y determinan que el switch que cuyo valor de BID raíz es el más bajo será el puente raíz. El administrador de red puede establecer la prioridad de switch en un valor más pequeño que el del valor por defecto (32768), lo que hace que el BID sea más pequeño. Esto sólo se debe implementar cuando se tiene un conocimiento profundo del flujo de tráfico en la red. Elección de los puertos raíz Una vez elegido el puente raíz hay que calcular el puerto raíz para los otros puentes que no son raíz. Para cada puente se calcula de igual manera, cual de los puertos del puente tiene menor coste al puente raíz, ese será el puerto raíz de ese puente. Elección de los puertos designados Una vez elegido el puente raíz y los puertos raíz de los otros puentes pasamos a calcular los puertos designados de cada LAN, que será el que le lleva al menor coste al puente raíz. Si hubiese empate se elige por el ID más bajo. REDES I – Unidad V – 27 / 42 Puertos bloqueados Aquellos puertos que no sean elegidos como raíz ni como designados deben bloquearse. Mantenimiento del Spanning Tree El cambio en la topología puede ocurrir de dos formas: El puerto se desactiva o se bloquea El puerto pasa de estar bloqueado o desactivado a activado Cuando se detecta un cambio el switch notifica al puente raíz dicho cambio y entonces el puente raíz envía por broadcast dicha cambio. Para ello, se introduce una BPDU especial denominada notificación de cambio en la topología (TCN). Cuando un switch necesita avisar acerca de un cambio en la topología, comienza a enviar TCN en su puerto raíz. La TCN es una BPDU muy simple que no contiene información y se envía durante el intervalo de tiempo de saludo. El switch que recibe la TCN se denomina puente designado y realiza el acuse de recibo mediante el envío inmediato de una BPDU normal con el bit de acuse de recibo de cambio en la topología (TCA). Este intercambio continúa hasta que el puente raíz responde. Estado de los puertos Los estado en los que puede estar un puerto son los siguientes: Bloqueo: En este estado sólo se pueden recibir BPDU's. Las tramas de datos se descartan y no se actualizan las tablas de direcciones MAC (mac-address-table). Escucha: A este estado se llega desde Bloqueo. En este estado, los switches determinan si existe alguna otra ruta hacia el puente raíz. En el caso que la nueva ruta tenga un coste mayor, se vuelve al estado de Bloqueo. Las tramas de datos se descartan y no se actualizan las tablas ARP. Se procesan las BPDU. Aprendizaje: A este estado se llega desde Escucha. Las tramas de datos se descartan pero ya se actualizan las tablas de direcciones MAC (aquí es donde se aprenden por primera vez). Se procesan las BPDU. Envío: A este estado se llega desde Aprendizaje. Las tramas de datos se envían y se actualizan las tablas de direcciones MAC (mac-address-table). Se procesan las BPDU. Desactivado: A este estado se llega desde cualquier otro. Se produce cuando un administrador deshabilita el puerto o éste falla. No se procesan las BPDU. Próximamente estará el nuevo protocolo 802.11t que será mucho más rápido que este. enero 2010 TRUNKING El trunking es una función para conectar dos switchs, routers o servidores, del mismo modelo o no, mediante 2 cables en paralelo en modo Full-Duplex. Así se consigue un ancho de banda del doble para la comunicación entre los switches. Esto permite evitar cuellos de botella en la conexión de varios segmentos y servidores. El protocolo es 802.1ad SMDS Este servicio (Switched Multimegabit Data Service) es apropiado cuando: Se tienen múltiples LANs en una ciudad por ejemplo las redes de celulares El tráfico entre LANs es esporádico Se requiere transferir grandes cantidades de datos en intervalos cortos de tiempo REDES I – Unidad V – 28 / 42 Las aplicaciones se encargan de la retransmisión y chequeo de errores SMDS cuenta con una serie de facilidades adicionales como son: Se pueden crear redes privadas dentro de una red pública usando "pantallas" o filtrado Se ofrece el servicio de "broadcast" de paquetes SMDS es un servicio no orientado a la conexión y no confiable (connectionelss, non reliable). Su formato interno consta de tres campos principales: Dirección origen, Dirección destino y datos. El campo de datos puede contener hasta 9188 bytes que puede ser un paquete de cualquier protocolo. La funcionalidad de SMDS reside en aparatos (switches) con una velocidad de transferencia estándard de 45Mbps. Para una colección de N LANs, se necesitarían N enlaces hacia el switch el cual le dará conectividad a todas las LANs a la velocidad que el cliente esté dispuesto a pagar. X.25 El conjunto de protocolos X.25 se usa en una gran cantidad de redes públicas en todo el mundo para conectar LANs privadas a redes públicas de datos. Desde el punto de vista de X.25, la red funciona como lo hace el sistema telefónico. En X.25, cada host se conecta a un switch que tendrá la obligación de enrutar los paquetes de los diferentes enlaces. X.25 es un servicio orientado a la conexión y ofrece circuitos virtuales y permanentes. Un circuito conmutado virtual se crea cuando un nodo envía un paquete a la red pidiendo llamar a un nodo remoto. Se establece una ruta desde el nodo remitente al nodo destino y por ahí se transmiten los paquetes que generalmente llegan en orden. En los niveles 2 y 4 se checan errores de transmisión. X.25 también realiza un control de flujo que asegura que los paquetes no serán perdidos si hay una diferencia de velocidad de transmisión/recepción entre emisor y receptor. Un circuito virtual permanente es igual que el conmutado, excepto que existe una línea física entre emisor y receptor y la llamada inicial del nodo a la red es innecesaria. X.25 es interesante para personas que requieren acceso a LANs desde lugares remotos a través del servicio telefónico público. El servicio de PAD (Packet Assembler Disassembler) es útil y se realiza entre una terminal que hable X.25 (descrito en un documento llamado X.3). Otro protocolo llamado X.28 define la comunicación entre la terminal y el PAD, mientras el protocolo X.9 la define entre el PAD y la red. Al X.3, X.28 y X.29 se le conoce como triple X. ATM INTRODUCCIÓN ATM: La tecnología ATM (Asyncronous Transfer Mode) es una tecnología de conmutación de celdas que utiliza la multiplexación por división en el tiempo asíncrona, permitiendo una ganancia REDES I – Unidad V – 29 / 42 estadística en la agregación de tráfico de múltiples aplicaciones. Las celdas son las unidades de transferencia de información en ATM. Estas celdas se caracterizan por tener una longitud fija de 53 octetos. La longitud fija de las celdas permite que la conmutación sea realizada por el hardware, consiguiendo con ello alcanzar altas velocidades (2, 34, 155 y 622 Mbps) de forma fácilmente escalable. El Servicio ATM, basado en la tecnología de conmutación de celdas, permite la de transmisión de voz, imágenes y datos de alta velocidad. El Servicio ATM permite la conexión eficiente, fiable y con retardo mínimo, entre las diferentes instalaciones de cliente. La tecnología ATM forma parte de la RDSI de banda ancha propuesta por el ITU. El Servicio ATM es un servicio de transporte de celdas ATM extremo a extremo. Las celdas ATM generadas por un equipo cliente son transportadas a un destino remoto de forma eficiente y fiable y con retardo mínimo. ATM es una tecnología orientada a la conexión, en la que las comunicaciones se establecen mediante circuitos virtuales que permiten mantener múltiples comunicaciones con uno o varios destinos. El Servicio ATM proporciona una multiplexación estadística de diferentes comunicaciones establecidas en circuitos virtuales, permitiendo la compartición de una misma línea de transmisión. Los circuitos virtuales son de carácter permanente. Hacia el cliente, el Servicio ATM se plasma en una Red de Cliente ATM, que es el conjunto integrado y gestionado de conexiones de acceso, circuitos virtuales y, en general, recursos de Red que constituyen el Servicio entregado al cliente, prestándose este en régimen de Red Privada Virtual. El Servicio ATM incluye la configuración, administración, mantenimiento, supervisión y control de todos los elementos involucrados en la provisión del Servicio: elementos de Red y líneas punto a punto de acceso de cliente. APLICACIONES TÍPICAS Intercambio de información en tiempo real, dentro del ámbito empresarial. Interconexión de Redes de Área Local (LAN) que requieran un gran ancho de banda. Interconexión de PABX Acceso a Internet de alta velocidad. Videoconferencia. Voz en entorno corporativo con compresión y supresión de silencios. Distribución de Audio/Vídeo. Optimización de los costes de telecomunicaciones: Con el Servicio ATM los usuarios podrán transportar simultáneamente, compartiendo los mismos recursos de red, el tráfico perteneciente a múltiples comunicaciones y aplicaciones, y hacia diferentes destinos. Servicio gestionado extremo a extremo: El proveedor de Transmisión de Datos se ocupa de la configuración, administración, mantenimiento, supervisión y control permanente durante las 24 horas del día, los 365 días del año de los elementos de red. Tecnología punta y altas prestaciones: Más velocidad, mayor ancho de banda: Bajo retardo en la transmisión y soporte de aplicaciones tanto en tiempo real (como voz y vídeo) como aplicaciones menos sensibles al retardo como la transferencia de ficheros, la interconexión de redes de área local o el acceso a Internet. Utilización de diferentes clases de servicio para diferentes aplicaciones. REDES I – Unidad V – 30 / 42 Soporte de aplicaciones multimedia. Flexibilidad del servicio: El Servicio ATM es una solución adaptable a las necesidades cambiantes del cliente basada en circuitos virtuales permanentes (CVP). Sobre un interfaz de acceso a la red se pueden establecer simultáneamente múltiples circuitos virtuales permanentes distintos, lo que permite una fácil incorporación de nuevas sedes a la Red de Cliente. Estándares maduros y consolidados: ATM es un servicio normalizado según los estándares y recomendaciones de ITU-T con lo que queda garantizada la interoperatividad con cualquier otro producto ATM asimismo normalizado. VENTAJAS ¿Qué ventajas ofrece el servicio ATM respecto a servicios basados en X.25? El servicio ATM no requiere complicados procedimientos de control y retransmisiones, lo que lleva consigo una alta proporción de información útil respecto a la información de control del Servicio (en las celdas ATM no existen cabeceras de control de nivel 3 como ocurre con la tecnología X.25). Concretamente, ATM desplaza hacia los equipos terminales del cliente funcionalidad que en X.25 corresponde a la red (corrección de errores, control de flujo, etc.). Como consecuencia de la disminución de proceso en red, el servicio ATM se adecua mejor a altas velocidades de transmisión, minimiza el retardo en red y presenta un elevado rendimiento (alto porcentaje de información útil transmitida, cabeceras mínimas). X.25 ATM Velocidad 2400 bit/s a 2 Mbit/s 34 Mbit/s Retardo Alto Bajo Caudal (throughput) Medio Alto Tipo de tráfico Datos Datos/Voz/Video X.25 está especialmente indicado para tráfico transaccional de bajo /medio caudal y, en particular, para comunicaciones centralizadas en las que muchos puntos se comunican con una instalación central. Ofrece gran cantidad de facilidades opcionales. ATM está diseñado fundamentalmente para aplicaciones de entorno de Red de Área Local, es decir, transporte transparente de datos a alta velocidad, bajo retardo y alto caudal, transporte conjunto de diferentes tipos de tráfico y múltiples protocolos; también permite el transporte de voz y video. Qué ventajas ofrece el servicio ATM respecto a soluciones punto a punto? El servicio ATM constituye una alternativa económica y flexible frente a las soluciones de red privada basadas en líneas dedicadas. Al basarse en la multiplexación estadística, permite la compartición y asignación dinámica de recursos de transmisión (equipos, líneas de acceso, red) a múltiples comunicaciones, con el consiguiente ahorro económico. Es especialmente adecuado para redes malladas con alta conectividad entre sus sedes (concepto de CVP), sin ocasionar los gastos elevados inherentes a la instalación de múltiples líneas dedicadas y sus respectivos interfaces en el equipamiento del cliente. Mientras las líneas dedicadas constituyen una solución bastante rígida a la hora de modificar o ampliar la red, y sin capacidad de enrutamiento alternativo en caso de producirse un fallo o caída de una línea, el servicio ATM se adapta a los cambios en la topología de la Red de Cliente, y utiliza REDES I – Unidad V – 31 / 42 mecanismos de encaminamiento que establecen vías alternativas dentro de la Red de Datos en caso de fallo. Por último, ATM es un servicio gestionado extremo a extremo, incluye la gestión de la Red de Cliente, siendo esta tarea en el caso de líneas dedicadas responsabilidad del propio cliente. ¿Qué ventajas ofrece el servicio ATM respecto al servicio Frame Relay? ATM es similar en concepto a Frame Relay. Ambos tienen la ventaja de proporcionar mayor velocidad de transmisión que X.25. En ATM la información está organizada en paquetes de tamaño fijo llamados celdas. Al igual que en Frame Relay , no hay información para el control de errores ni de flujo en las celdas, lo que permite alcanzar altas velocidades. En ATM, el uso de celdas pequeñas de tamaño fijo tiene varias ventajas. En primer lugar, el uso de celdas pequeñas puede reducir el retardo en cola para una celda de alta prioridad cuando otra celda está siendo transmitida. En segundo lugar, al ser las celdas de tamaño fijo, la conmutación puede ser realizada más eficientemente. Este es un factor importante para obtener las tasas de bits tan altas. Frame Relay El servicio de Frame Relay nació con los cambios tecnológicos, ya que ahora las computadoras y el servicio telefónico son más baratos. Frame Relay se basa en la existencia de líneas telefónicas privadas, digitales y con pocos errores. El cliente renta una línea privada entre dos nodos y puede enviar información a una velocidad estándard de 1.5 Mbps (contra una velocidad estándard de X.25 de 64Kbps). También es posible la transmisión con circuitos virtuales conmutados y enviar marcos de 1600 bytes a diferentes destinos, para lo cual se usan paquetes que llevan la dirección destino (consumiendo 10 bits). El uso de circuitos virtuales conmutados es más barato en general que una línea privada. Frame Relay es una competencia para X.25, sus ventajas son: Opera a una velocidad estándard mayor (1.5 Mpbs contra 64Kbps) El protocolo es más moderno y acorde a la tecnología actual Tiene menos sobrecarga porque no realiza chequeo de errores Tiene menos sobrecarga porque no tiene control de flujo Sus desventaja contra X.25 son: Le deja a la aplicación el realizar el control de errores No es tan robusto como X.25 No tiene control de flujo Tiene un modo muy simple de indicar errores (un bit de error) Protocolo Ethernet El protocolo IEEE 802.x mas conocido como ethernet en forma genérica, es el protocolo mas difundido en la actualidad para aplicaciones de tipo LAN. Es un protocolo bautizado por Xerox y se basa en el método de acceso al medio CSMA/CD. Concretamente es un protocolo que logra muy buenas velocidades de transmisión resignando direccionalidad y corrección de errores. El CSMA/CD o “Método de Acceso al Medio por Censado de portadora con detección de colisiones” se basa en el principio de la conversación educada para competir por el acceso al medio de transmisión, el cual es común para todas las estaciones. En un principio, la estación que desea transmitir escucha el medio compartido para conocer el estado del mismo (Censado de portadora); si el medio está en silencio, transmite su información. Si el medio está siendo usado por otra REDES I – Unidad V – 32 / 42 estación espera un tiempo aleatorio y vuelve a intentar la escucha. Este método funciona siempre y cuando dos estaciones no escuchen el medio exactamente al mismo tiempo, caso en el cual ambas transmiten generando una colisión. En este caso, ambas detectan este hecho abortando la comunicación e intentando nuevamente luego de un tiempo aleatorio. Este método es un método probabilístico ya que se basa en el hecho de que hay una importante probabilidad de que no haya colisiones. Esta probabilidad disminuye a medida que se aumenta el número de estaciones que compiten por el medio. Hubs y Switches Una parte importante del cableado en una red ethernet son los concentradores quienes se encargan de distribuir los paquetes transmitidos entre todos los integrantes de la red. La diferencia fundamental que existe entre Hubs y Switches es que los primeros simplemente toman los paquetes que reciben por una boca y los retransmiten a todas las demas, dejando la tarea de selección a cada integrante de la red. Los switches en cambio, tienen la capacidad de generar tablas de MAC (únicas para cada dispositivo ethernet) con un mapa interno de la ubicación física de cada equipo. De esta manera disminuyen el tráfico general de la red ya que solo envían los paquetes por la boca donde está el equipo destinatario. VLANs Teniendo en cuenta el comportamiento de los switches no es difícil imaginar un dispositivo que tenga la capacidad de dividir lógicamente las tablas evitando que las MAC de un lado se propaguen hacia el otro generando lo que llamamos Virtual LANS, es decir, LANs que si bien están físicamente unidas, los paquetes no circulan entre ellas. Protocolos de LAN inalámbricas Descripción general de las redes LAN inalámbricas Las redes LAN inalámbricas de alta velocidad ofrecen las ventajas de la conectividad de red sin las limitaciones que supone estar atado a una ubicación o por cables. Existen numerosos escenarios en los que este hecho puede ser de interés; entre ellos, se pueden citar los siguientes. Las conexiones inalámbricas pueden ampliar o sustituir una infraestructura con cables cuando es costoso o está prohibido tender cables. Las instalaciones temporales son un ejemplo de una situación en la que la red inalámbrica tiene sentido o incluso es necesaria. Algunos tipos de construcciones o algunas normativas de construcción pueden prohibir el uso de cableado, lo que convierte a las redes inalámbricas en una importante alternativa. Y, por supuesto, el fenómeno asociado al término "inalámbrico", es decir, no tener que instalar más cables además de los de la red de telefonía y la red de alimentación eléctrica, ha pasado a ser el principal catalizador para las redes domésticas y la experiencia de conexión desde el hogar. Los usuarios móviles, cuyo número crece día a día, son indudables candidatos a las redes LAN inalámbricas. El acceso portátil a las redes inalámbricas se realiza a través de equipos portátiles y NIC inalámbricas. Esto permite al usuario viajar a distintos lugares (salas de reunión, vestíbulos, salas de espera, cafeterías, aulas, etc.) sin perder el acceso a los datos de la red. Sin el acceso inalámbrico, el usuario tendría que llevar consigo pesados cables y disponer de conexiones de red. Más allá del campo empresarial, el acceso a Internet e incluso a sitios corporativos podría estar disponible a través de zonas activas de redes inalámbricas públicas. Los aeropuertos, los restaurantes, las estaciones de tren y otras áreas comunes de las ciudades se pueden dotar del equipo necesario para ofrecer este servicio. Cuando un trabajador que está de viaje llega a su REDES I – Unidad V – 33 / 42 destino, quizás una reunión con un cliente en su oficina, se puede proporcionar acceso limitado al usuario a través de la red inalámbrica local. La red reconoce al usuario de la otra organización y crea una conexión que, a pesar de estar aislada de la red local de la empresa, proporciona acceso a Internet al visitante. En todos estos escenarios, vale la pena destacar que las redes LAN inalámbricas actuales basadas en estándares funcionan a alta velocidad, la misma velocidad que se consideraba vanguardista para las redes con cable hace tan solo unos años. El acceso del usuario normalmente supera los 11 MB por segundo, de 30 a 100 veces más rápido que las tecnologías de acceso telefónico o de las redes WAN inalámbricas estándar. Este ancho de banda es sin duda adecuado para que el usuario obtenga una gran experiencia con varias aplicaciones o servicios a través de PC o dispositivos móviles. Además, los avances en curso de estos estándares inalámbricos continúa aumentando el ancho de banda, con velocidades de 22 MB. Muchos proveedores de infraestructura están dotando de cable zonas públicas de todo el mundo. En los próximos 12 meses, la mayoría de los aeropuertos, centros de conferencias y muchos hoteles proporcionarán acceso de 802.11b a sus visitantes. Comparación de las tecnologías de las redes LAN inalámbricas Actualmente, destaca la implementación de dos soluciones LAN inalámbricas. Se trata de los estándares IEEE 802.11, principalmente 802.11b, y la solución propuesta por el grupo de trabajo HomeRF. Ambas soluciones no son interoperables entre sí ni con otras soluciones de redes LAN inalámbricas. Mientras que HomeRF está diseñado exclusivamente para el entorno doméstico, 802.11b se está implementando en hogares, en la pequeña y mediana empresa, en grandes organizaciones y en un número cada vez mayor de zonas activas de redes inalámbricas públicas. Algunos de los principales distribuidores de portátiles los equipa o tiene previsto equiparlos con tarjetas NIC 802.11b internas. A continuación se ofrece una comparación de las dos soluciones: Principales fabricantes que lo han admitido Estado Extensión Velocidad Aplicación Costo Seguridad Distribuidores Puntos de acceso públicos Cuota de mercado de las tarjetas NIC inalámbricas IEEE 802.11b Cisco, Lucent, 3Com WECA HomeRF Apple, Compaq, HomeRF Working Group Se incluye 50-300 pies (15,24-91,44 cm) 11 Mbps Hogares, oficinas pequeñas, campus, empresas 75-150 dólares por tarjeta WEP/802.1x Más de 75 Más de 350 Se incluye (baja velocidad) 150 pies (45,72 cm) 72% 21% 1, 2, 10 Mbps Hogar 85-129 dólares NWID/cifrado Menos de 30 Ninguno Microsoft considera que 802.11 es la solución más sólida y prometedora que se puede aplicar a múltiples entornos. Desde este punto, estas notas del producto se centran en la tecnología 802.11. Topologías de redes LAN inalámbricas Las redes LAN inalámbricas se construyen utilizando dos topologías básicas. Para estas topologías se utilizan distintos términos, como administradas y no administradas, alojadas y par a par, e REDES I – Unidad V – 34 / 42 infraestructura y "ad hoc". En este documento se utilizarán los términos “infraestructura” y “ad hoc”. Estos términos están relacionados, esencialmente, con las mismas distinciones básicas de topología. Una topología de infraestructura es aquella que extiende una red LAN con cable existente para incorporar dispositivos inalámbricos mediante una estación base, denominada punto de acceso. El punto de acceso une la red LAN inalámbrica y la red LAN con cable y sirve de controlador central de la red LAN inalámbrica. El punto de acceso coordina la transmisión y recepción de múltiples dispositivos inalámbricos dentro de una extensión específica; la extensión y el número de dispositivos dependen del estándar de conexión inalámbrica que se utilice y del producto. En la modalidad de infraestructura, puede haber varios puntos de acceso para dar cobertura a una zona grande o un único punto de acceso para una zona pequeña, ya sea un hogar o un edificio pequeño. Desktop Printer Existing LAN... Access Point Server Desktop Infrastructure Mode Network Tablet Laptop Figura 1. Red de la modalidad de infraestructura En una topología ad hoc, los propios dispositivos inalámbricos crean la red LAN y no existe ningún controlador central ni puntos de acceso. Cada dispositivo se comunica directamente con los demás dispositivos de la red, en lugar de pasar por un controlador central. Esta topología es práctica en lugares en los que pueden reunirse pequeños grupos de equipos que no necesitan acceso a otra red. Ejemplos de entornos en los que podrían utilizarse redes inalámbricas ad hoc serían un domicilio sin red con cable o una sala de conferencias donde los equipos se reúnen con regularidad para intercambiar ideas. Desktop AD HOC Network Tablet Laptop Figura 2. Red ad hoc REDES I – Unidad V – 35 / 42 Por ejemplo, cuando se combinan con la nueva generación de software y soluciones par a par inteligentes actuales, estas redes inalámbricas ad hoc pueden permitir a los usuarios móviles colaborar, participar en juegos de equipo, transferir archivos o comunicarse de algún otro modo mediante sus PC o dispositivos inteligentes sin cables. Descripción general del funcionamiento de la modalidad de infraestructura El portátil o dispositivo inteligente, denominado "estación" en el ámbito de las redes LAN inalámbricas, primero debe identificar los puntos de acceso y las redes disponibles. Este proceso se lleva a cabo mediante el control de las tramas de señalización procedentes de los puntos de acceso que se anuncian a sí mismos o mediante el sondeo activo de una red específica con tramas de sondeo. La estación elige una red entre las que están disponibles e inicia un proceso de autenticación con el punto de acceso. Una vez que el punto de acceso y la estación se han verificado mutuamente, comienza el proceso de asociación. La asociación permite que el punto de acceso y la estación intercambien información y datos de capacidad. El punto de acceso puede utilizar esta información y compartirla con otros puntos de acceso de la red para diseminar la información de la ubicación actual de la estación en la red. La estación sólo puede transmitir o recibir tramas en la red después de que haya finalizado la asociación. En la modalidad de infraestructura, todo el tráfico de red procedente de las estaciones inalámbricas pasa por un punto de acceso para poder llegar a su destino en la red LAN con cable o inalámbrica. El acceso a la red se administra mediante un protocolo que detecta las portadoras y evita las colisiones. Las estaciones se mantienen a la escucha de las transmisiones de datos durante un período de tiempo especificado antes de intentar transmitir (ésta es la parte del protocolo que detecta las portadoras). Antes de transmitir, la estación debe esperar durante un período de tiempo específico después de que la red está despejada. Esta demora, junto con la transmisión por parte de la estación receptora de una confirmación de recepción correcta, representan la parte del protocolo que evita las colisiones. Observe que, en la modalidad de infraestructura, el emisor o el receptor es siempre el punto de acceso. Dado que es posible que algunas estaciones no se escuchen mutuamente, aunque ambas estén dentro del alcance del punto de acceso, se toman medidas especiales para evitar las colisiones. Entre ellas, se incluye una clase de intercambio de reserva que puede tener lugar antes de transmitir un paquete mediante un intercambio de tramas "petición para emitir" y "listo para emitir", y un vector de asignación de red que se mantiene en cada estación de la red. Incluso aunque una estación no pueda oír la transmisión de la otra estación, oirá la transmisión de "listo para emitir" desde el punto de acceso y puede evitar transmitir durante ese intervalo. El proceso de movilidad de un punto de acceso a otro no está completamente definido en el estándar. Sin embargo, la señalización y el sondeo que se utilizan para buscar puntos de acceso y un proceso de reasociación que permite a la estación asociarse a un punto de acceso diferente, junto con protocolos específicos de otros fabricantes entre puntos de acceso, proporcionan una transición fluida. La sincronización entre las estaciones de la red se controla mediante las tramas de señalización periódicas enviadas por el punto de acceso. Estas tramas contienen el valor de reloj del punto de acceso en el momento de la transmisión, por lo que sirve para comprobar la evolución en la estación receptora. La sincronización es necesaria por varias razones relacionadas con los protocolos y esquemas de modulación de las conexiones inalámbricas. Descripción general del funcionamiento de la modalidad ad hoc REDES I – Unidad V – 36 / 42 Después de explicar el funcionamiento básico de la modalidad de infraestructura, del modo ad hoc se puede decir que no tiene punto de acceso. En esta red sólo hay dispositivos inalámbricos presentes. Muchas de las operaciones que controlaba el punto de acceso, como la señalización y la sincronización, son controladas por una estación. La red ad hoc no disfruta todavía de algunos avances como retransmitir tramas entre dos estaciones que no se oyen mutuamente. Retos actuales de las redes LAN inalámbricas Cuando un medio de red nuevo se introduce en un nuevo entorno siempre surgen nuevos retos. Esto es cierto también en el caso de las redes LAN inalámbricas. Algunos retos surgen de las diferencias entre las redes LAN con cable y las redes LAN inalámbricas. Por ejemplo, existe una medida de seguridad inherente en las redes con cable, ya que la red de cables contiene los datos. Las redes inalámbricas presentan nuevos desafíos, debido a que los datos viajan por el aire, por ondas de radio. Otros retos se deben a las posibilidades únicas de las redes inalámbricas. Con la libertad de movimiento que se obtiene al eliminar las ataduras (cables), los usuarios pueden desplazarse de sala en sala, de edificio en edificio, de ciudad en ciudad, etc., con las expectativas de una conectividad ininterrumpida en todo momento. Las redes siempre han tenido retos, pero éstos aumentan cuando se agrega complejidad, tal como sucede con las redes inalámbricas. Por ejemplo, a medida que la configuración de red continúa simplificándose, las redes inalámbricas incorporan características (en ocasiones para resolver otros retos) y métrica que se agrega a los parámetros de configuración. Retos de seguridad Una red con cable está dotada de una seguridad inherente en cuanto a que un posible ladrón de datos debe obtener acceso a la red a través de una conexión por cable, lo que normalmente significa el acceso físico a la red de cables. Sobre este acceso físico se pueden superponer otros mecanismos de seguridad. Cuando la red ya no se sustenta con cables, la libertad que obtienen los usuarios también se hace extensiva al posible ladrón de datos. Ahora, la red puede estar disponible en vestíbulos, salas de espera inseguras, e incluso fuera del edificio. En un entorno doméstico, la red podría extenderse hasta los hogares vecinos si el dispositivo de red no adopta o no utiliza correctamente los mecanismos de seguridad. Desde sus comienzos, 802.11 ha proporcionado algunos mecanismos de seguridad básicos para impedir que esta libertad mejorada sea una posible amenaza. Por ejemplo, los puntos de acceso (o conjuntos de puntos de acceso) 802.11 se pueden configurar con un identificador del conjunto de servicios (SSID). La tarjeta NIC también debe conocer este SSID para asociarlo al AP y así proceder a la transmisión y recepción de datos en la red. Esta seguridad, si se llegase a considerar como tal, es muy débil debido a estas razones: Todas las tarjetas NIC y todos los AP conocen perfectamente el SSID El SSID se envía por ondas de manera transparente (incluso es señalizado por el AP) La tarjeta NIC o el controlador pueden controlar localmente si se permite la asociación en caso de que el SSID no se conozca No se proporciona ningún tipo de cifrado a través de este esquema Aunque este esquema puede plantear otros problemas, esto es suficiente para detener al intruso más despreocupado. REDES I – Unidad V – 37 / 42 Las especificaciones 802.11 proporcionan seguridad adicional mediante el algoritmo WEP (Wired Equivalent Privacy). WEP proporciona a 802.11 servicios de autenticación y cifrado. El algoritmo WEP define el uso de una clave secreta de 40 bits para la autenticación y el cifrado, y muchas implementaciones de IEEE 802.11 también permiten claves secretas de 104 bits. Este algoritmo proporciona la mayor parte de la protección contra la escucha y atributos de seguridad física que son comparables a una red con cable. Una limitación importante de este mecanismo de seguridad es que el estándar no define un protocolo de administración de claves para la distribución de las mismas. Esto supone que las claves secretas compartidas se entregan a la estación inalámbrica IEEE 802.11 a través de un canal seguro independiente del IEEE 802.11. El reto aumenta cuando están implicadas un gran número de estaciones, como es el caso de un campus corporativo. Para proporcionar un mecanismo mejor para el control de acceso y la seguridad, es necesario incluir un protocolo de administración de claves en la especificación. Para hacer frente a este problema se creó específicamente el estándar 802.1x, que se describe más adelante en estas notas del producto. Retos para los usuarios móviles Cuando un usuario o una estación se desplaza de un punto de acceso a otro punto de acceso, se debe mantener una asociación entre la tarjeta NIC y un punto de acceso para poder mantener la conectividad de la red. Esto puede plantear un problema especialmente complicado si la red es grande y el usuario debe cruzar límites de subredes o dominios de control administrativo. Si el usuario cruza un límite de subred, la dirección IP asignada originalmente a la estación puede dejar de ser adecuada para la nueva subred. Si la transición supone cruzar dominios administrativos, es posible que la estación ya no tenga permiso de acceso a la red en el nuevo dominio basándose en sus credenciales. Más allá del simple desplazamiento dentro de un campus corporativo, otros escenarios de usuarios móviles son muy reales. Los aeropuertos y restaurantes agregan conectividad inalámbrica con Internet y las redes inalámbricas se convierten en soluciones de red populares para el hogar. Ahora es más probable que el usuario pueda abandonar la oficina para reunirse con alguien de otra compañía que también disponga de una red inalámbrica compatible. De camino a esta reunión, el usuario necesita recuperar archivos desde la oficina principal y podría encontrarse en una estación de tren, un restaurante o un aeropuerto con acceso inalámbrico. Para este usuario sería de mucha utilidad poder autenticarse y utilizar esta conexión para obtener acceso a la red de la empresa. Cuando el usuario llegue a su destino, puede que no tenga permiso de acceso a la red local de la empresa que va a visitar. Sin embargo, sería fortuito que el usuario pudiera obtener acceso a Internet en este entorno extraño. Entonces, dicho acceso podría utilizarse para crear una conexión de red privada virtual con la red de su empresa. Después, el usuario podría irse a casa y desear conectarse a la red doméstica para descargar o imprimir archivos para trabajar esa tarde. Ahora, el usuario se ha desplazado a una nueva red inalámbrica, que posiblemente incluso puede ser de la modalidad ad hoc. Para este ejemplo, la movilidad es una situación que debe pensarse muy detenidamente. La configuración puede ser un problema para el usuario móvil, ya que las distintas configuraciones de red pueden suponer un reto si la estación inalámbrica del usuario no tiene capacidad para configurarse automáticamente. Retos de configuración Ahora que tenemos una conexión de red inalámbrica y la complejidad ha aumentado, posiblemente hay muchas más configuraciones que realizar. Por ejemplo, podría ser necesario configurar el SSID de la red a la que se va a realizar la conexión. O bien, podría ser necesario configurar un conjunto REDES I – Unidad V – 38 / 42 de claves WEP de seguridad; posiblemente, varios conjuntos de claves si es necesario conectarse a varias redes. Podría ser necesario tener una configuración para el trabajo, donde la red funciona en modo de infraestructura, y otra configuración para el domicilio, donde funciona en modo ad hoc. Entonces, sería necesario elegir qué configuración se va a utilizar en función del lugar donde nos encontremos. Soluciones para los retos de las redes LAN inalámbricas Seguridad – 802.1X Para ofrecer una mayor seguridad de la que proporciona WEP, el equipo de conexiones de red de Windows XP trabajó con IEEE, distribuidores de red y otros colaboradores para definir IEEE 802.1X. 802.1X es un borrador de estándar para el control de acceso a redes basado en puerto que se utiliza para proporcionar acceso a red autenticado para las redes Ethernet. Este control de acceso a red basado en puerto utiliza las características físicas de la infraestructura LAN conmutada para autenticar los dispositivos conectados a un puerto LAN. Si el proceso de autenticación no se realiza correctamente, se puede impedir el acceso al puerto. Aunque este estándar se ha diseñado para redes Ethernet con cable, se puede aplicar a las redes LAN inalámbricas 802.11. Concretamente, en el caso de las conexiones inalámbricas, el punto de acceso actúa como autenticador para el acceso a la red y utiliza un servidor del Servicio de usuario de acceso telefónico de autenticación remota (RADIUS) para autenticar las credenciales del cliente. La comunicación es posible a través de un “puerto no controlado” lógico o canal en el punto de acceso con el fin de validar las credenciales y obtener claves para obtener acceso a la red a través de un “puerto controlado” lógico. Las claves de que dispone el punto de acceso y el cliente como resultado de este intercambio permiten cifrar los datos del cliente y que el punto de acceso lo identifique. De este modo, se ha agregado un protocolo de administración de claves a la seguridad de 802.11. Los pasos siguientes describen el planteamiento genérico que se utilizaría para autenticar el equipo de un usuario de modo que obtenga acceso inalámbrico a la red. Sin una clave de autenticación válida, el punto de acceso prohíbe el paso de todo el flujo de tráfico. Cuando una estación inalámbrica entra en el alcance del punto de acceso, éste envía un desafío a la estación. Cuando la estación recibe el desafío, responde con su identidad. El punto de acceso reenvía la identidad de la estación a un servidor RADIUS que realiza los servicios de autenticación. Posteriormente, el servidor RADIUS solicita las credenciales de la estación, especificando el tipo de credenciales necesarias para confirmar su identidad. La estación envía sus credenciales al servidor RADIUS (a través del “puerto no controlado” del punto de acceso). El servidor RADIUS valida las credenciales de la estación (da por hecho su validez) y transmite una clave de autenticación al punto de acceso. La clave de autenticación se cifra de modo que sólo el punto de acceso pueda interpretarla. El punto de acceso utiliza la clave de autenticación para transmitir de manera segura las claves correctas a la estación, incluida una clave de sesión de unidifusión para esa sesión y una clave de sesión global para las multidifusiones. Para mantener un nivel de seguridad, se puede pedir a la estación que vuelva a autenticarse periódicamente. RADIUS simplifica la dificultad REDES I – Unidad V – 39 / 42 Este planteamiento de 802.1x saca partido del uso extendido y creciente de RADIUS para la autenticación. Un servidor RADIUS puede realizar consultas en una base de datos de autenticación local si ello es adecuado para el escenario. O bien, la solicitud puede transmitirse a otro servidor para su validación. Cuando RADIUS decide que se puede autorizar el equipo en esta red, vuelve a enviar el mensaje al punto de acceso y éste permite que el tráfico de datos fluya hacia la misma. Un ejemplo real podría ser similar al siguiente: Un usuario enciende su equipo portátil, con tarjeta 802.11, en un aeropuerto. El equipo detecta que existen redes inalámbricas disponibles, elige la óptima y se asocia a ella. El equipo envía las credenciales de usuario al punto de acceso para verificar que tiene permiso en esta red. El usuario es ErikB@bigco.com. BigCo ha adquirido acceso inalámbrico para todos sus usuarios en todos los aeropuertos del mundo. El servidor RADIUS, que recibe la solicitud desde el punto de acceso, comprueba el paquete y descubre que procede de un usuario de BigCo. A continuación, el servidor RADIUS pide a un servidor de BigCo que determine si esta persona es un usuario real y si le conceden acceso. Si el servidor de BigCo responde afirmativamente, se indica al punto de acceso que permita el flujo del tráfico. BigCo RADIUSServer Figura 3. Ejemplo de escenario de acceso público Isthisuser valid? YES! ISP RADIUS Server Allowaccess Comm. Tower Para ofrecer este nivel de seguridad, Microsoft incluye una implementación del cliente 802.1X en Windows XP y mejora el servidor RADIUS de Windows, el servidor de autenticación de Internet (IAS), para admitir la autenticación de dispositivos inalámbricos. Microsoft también ha trabajado con muchos distribuidores de dispositivos 802.11 para que admitiesen estos mecanismos en sus controladores NIC y en el software de punto de acceso. Actualmente, muchos de los principales distribuidores incluyen o pronto incluirán la compatibilidad con 802.1x en sus dispositivos. Movilidad – Movilidad fluida Windows 2000 incluía mejoras para detectar la disponibilidad de una red y actuar en consecuencia. Estas mejoras se han ampliado y complementado en Windows XP para dar cabida a la naturaleza transicional de una red inalámbrica. En Windows 2000, se utilizaba la capacidad de detección de medios (detectar una red que está conectada) para controlar la configuración de la pila de red e informar al usuario de cuándo la red no estaba disponible. Con Windows esta característica se emplea para mejorar la experiencia de la movilidad inalámbrica mediante la detección de los desplazamientos a nuevos puntos de acceso; en el proceso, se exige una nueva autenticación para garantizar un acceso correcto a la red y se REDES I – Unidad V – 40 / 42 detectan los cambios de la subred IP de manera que se pueda utilizar una dirección adecuada para obtener un acceso óptimo a los recursos. En un sistema Windows pueden existir múltiples configuraciones de direcciones IP (direcciones asignadas por DHCP o estáticas) y la configuración correcta se selecciona automáticamente. Cuando se produce un cambio de dirección IP, Windows permite que se realicen nuevas configuraciones si es adecuado. Por ejemplo, las reservas de calidad de servicio (QoS) se pueden actualizar y la configuración proxy de IE se puede volver a detectar. A través de extensiones de Windows Sockets, si se desea que las aplicaciones reconozcan la red (servidores de seguridad, exploradores, etc.), éstas pueden recibir notificación de los cambios de conectividad y actualizar su comportamiento basándose en dichos cambios. La detección automática y la posibilidad de realizar una nueva configuración eliminan la necesidad de que IP móvil actúe como mediador y resuelven la mayoría de los problemas de los usuarios al desplazarse de una red a otra. En los desplazamientos de un punto de acceso a otro, hay información de estado y de otro tipo sobre la estación que debe moverse con la estación. Entre otros datos, se incluye información sobre la ubicación de la estación para la entrega de mensajes y otros atributos de la asociación. En lugar de volver a crear esta información en cada transición, un punto de acceso puede transmitirla al nuevo punto de acceso. Los protocolos necesarios para transferir esta información no se definen en el estándar, pero varios distribuidores de redes LAN inalámbricas se han unido para desarrollar un protocolo de punto de interacceso (IAPP) con esta finalidad, lo que mejora todavía más la interoperabilidad entre los distintos distribuidores. Configuración – Configuración rápida de las conexiones inalámbricas Microsoft ha colaborado también con distribuidores de NIC 802.11 para mejorar la experiencia de la movilidad mediante la automatización del proceso de configuración de la tarjeta NIC para su asociación a una red disponible. La NIC inalámbrica y su controlador NDIS deben hacer muy poco más que admitir unos cuantos identificadores de objetos (OID) NDIS nuevos que se utilizan para las consultas y configuraciones del comportamiento del dispositivo y del controlador. La NIC busca las redes disponibles y las pasa a Windows. Windows tiene un servicio de configuración inalámbrica rápida que se ocupa de configurar la NIC con una red disponible. Supongamos, por ejemplo, que hay dos redes que dan cobertura a la misma zona. El usuario puede configurar un orden de redes preferidas y el equipo probará con cada red en ese orden hasta que encuentre una activa. Es incluso posible limitar la asociación a las redes preferidas configuradas. Si no se encuentran redes 802.11 en las cercanías, Windows configura la NIC para que utilice la modalidad de red ad hoc. El usuario puede configurar la NIC inalámbrica para deshabilitarla o hacer que utilice el modo ad hoc. Estas mejoras de configuración rápida están integradas con las mejoras de seguridad de modo que, si se produce un error en la autenticación, se encontrará otra red para intentar la asociación. CSMA/CD Carrier sense multiple access with collision detection CSMA/CD, siglas que corresponden a Carrier Sense Multiple Access with Collision Detection (en español, "Acceso Múltiple por Detección de Portadora con Detección de Colisiones"), es una técnica usada en redes Ethernet para mejorar sus prestaciones. Anteriormente a esta técnica se usaron las de Aloha puro y Aloha ranurado, pero ambas presentaban muy bajas prestaciones. Por eso apareció en primer lugar la técnica CSMA, que fue posteriormente mejorada con la aparición de CSMA/CD. REDES I – Unidad V – 41 / 42 En el método de acceso CSMA/CD, los dispositivos de red que tienen datos para transmitir funcionan en el modo "escuchar antes de transmitir". Esto significa que cuando un nodo desea enviar datos, primero debe determinar si los medios de red están ocupados o no. Tipos de CSMA/CD CSMA/CD (Carrier Sense Multiple Access, acceso múltiple por detección de portadora) significa que se utiliza un medio de acceso múltiple y que la estación que desea emitir previamente escucha el canal antes de emitir. En función de como actúe la estación, el método CSMA/CD se puede clasificar en: CSMA no-persistente: si el canal está ocupado espera un tiempo aleatorio y vuelve a escuchar. Si detecta libre el canal, emite inmediatamente CSMA 1-persistente: con el canal ocupado, la estación pasa a escuchar constantemente el canal, sin esperar tiempo alguno. En cuanto lo detecta libre, emite. Podría ocurrir que emitiera otra estación durante un retardo de propagación o latencia de la red posterior a la emisión de la trama, produciéndose una colisión (probabilidad 1). CSMA p-persistente: después de encontrar el canal ocupado y quedarse escuchando hasta encontrarlo libre, la estación decide si emite. Para ello ejecuta un algoritmo o programa que dará orden de transmitir con una probabilidad p, o de permanecer a la espera (probabilidad (1-p)). Si no transmitiera, en la siguiente ranura o división de tiempo volvería a ejecutar el mismo algoritmo hasta transmitir. De esta forma se reduce el número de colisiones (compárese con CSMA 1-persistente, donde p=1). Una vez comenzado a emitir, no para hasta terminar de emitir la trama completa. Si se produjera una colisión, esto es, que dos tramas de distinta estación fueran emitidas a la vez en el canal, ambas tramas serán incompresibles para las otras estaciones y la transmisión fracasaría. Finalmente CSMA/CD supone una mejora sobre CSMA, pues la estación está a la escucha a la vez que emite, de forma que si detecta que se produce una colisión, detiene inmediatamente la transmisión. La ganancia producida es el tiempo que no se continúa utilizando el medio para realizar una transmisión que resultará inútil, y que se podrá utilizar por otra estación para transmitir. Funcionamiento de CSMA/CD El primer paso a la hora de transmitir será saber si el medio está libre. Para eso escuchamos lo que dicen los demás. Si hay portadora en el medio, es que está ocupado y, por tanto, seguimos escuchando; en caso contrario, el medio está libre y podemos transmitir. A continuación, esperamos un tiempo mínimo necesario para poder diferenciar bien una trama de otra y comenzamos a transmitir. Si durante la transmisión de una trama se detecta una colisión, entonces las estaciones que colisionan abortan el envío de la trama y envían una señal de congestión denominada jamming. Después de una colisión (Los host que intervienen en la colisión invocan un algoritmo de postergación que genera un tiempo aleatorio), las estaciones esperan un tiempo aleatorio (tiempo de backoff) para volver a transmitir una trama. En redes inalámbricas, resulta a veces complicado llevar a cabo el primer paso (escuchar al medio para determinar si está libre o no). Por este motivo, surgen dos problemas que pueden ser detectados: 1. Problema del nodo oculto: la estación cree que el medio está libre cuando en realidad no lo está, pues está siendo utilizado por otro nodo al que la estación no "oye". 2. Problema del nodo expuesto: la estación cree que el medio está ocupado, cuando en realidad lo está ocupando otro nodo que no interferiría en su transmisión a otro destino. REDES I – Unidad V – 42 / 42 Para resolver estos problemas, la IEEE 802.11 propone MACA (MultiAccess Collision Avoidance – Evitación de Colisión por Acceso Múltiple).