1 INDICE CAPITULO 1 TECNOLOGÍAS DE REDES Objetivo 1.1 ........................................................................................................................ 13 Explica la función de los siguientes protocolos TCP/IP suite, TCP, FTP, UDP, DHCP, TFTP, DNS, HTTP(S), ARP, SIP (VoIP), RTP (VoIP), SSH, POP3, NTP, IMAP4, Telnet, SMTP, SNMP2/3, ICMP, IGMP, TLS Objetivo 1.2 ........................................................................................................................ 16 Identificar los puertos usados por default en TCP/ UDP TCP ports • NTP – 123 • FTP – 20, 21 • IMAP4 – 143 • SSH – 22 • HTTPS – 443 • TELNET – 23 UDP ports • SMTP – 25 • TFTP – 69 • DNS – 53 • DNS – 53 • HTTP – 80 • BOOTPS/DHCP – 67 • POP3 – 110 • SNMP – 161 Objetivo 1.3 ........................................................................................................................ 17 Identificar el formato de las direcciones para IPv6, IPv4, MAC addressing Objetivo 1.4 ........................................................................................................................ 18 Dado un escenario, evaluar el uso apropiado de las siguientes tecnologías y esquemas de direccionamiento Tecnologías de direccionamiento: Subnetting, Classful vs. classless (e.g. CIDR, Supernetting), NAT, PAT, SNAT, Public vs. Private, DHCP (static, dynamic APIPA). Esquemas de direccionamiento: Unicast, Multicast, Broadcast. Objetivo 1.5 ........................................................................................................................ 24 Identificar los protocolo más comunes de ruteo para IPv4 y Ipv6 Link state: OSPF, IS-IS. Distance vector: RIP, RIPv2, BGP. Hybrid: EIGRP Objetivo 1.6 ........................................................................................................................ 28 Explicar el propósito y propiedades del routing IGP vs. EGP • Estático vs dinámico • Próximo salto • Entendiendo las tablas de ruteo 2 Objetivo 1.7 ........................................................................................................................ 29 Compara las características de los siguientes estándares de comunicación inalámbricas 802.11 a/b/g/n: velocidades, distancias, canales, frecuencias Autentificación y encriptación: WPA, WEP, RADIUS, TKIP. CAPITULO 2 MEDIOS DE TRANSMISIÓN Y TOPOLOGÍAS DE REDES Objetivo 2.1 ........................................................................................................................ 34 Categorías de cables y sus propiedades Tipos: CAT3, CAT5, CAT5e, CAT6, STP, UTP, fibra óptica multimode y monomodo, coaxial RG-59 y RG-6, Serial, Plenum vs. Non-plenum. Propiedades: velocidades, distancias, tolerancia a EMI y crosstalk. Objetivo 2.2 ........................................................................................................................ 37 Identificar los siguientes conectores: RJ-11, RJ-45, BNC, SC, ST, LC, RS-232. Objetivo 2.3 ........................................................................................................................ 40 Identificar las siguientes topologías: estrella, malla, bus, anillo, punto a punto, hibrida Objetivo 2.4 ........................................................................................................................ 47 Dado un escenario diferencia e implementa el estándar de cableado apropiado. 568A, 568B, cable recto vs cable cross over, rollover, loopback. Objetivo 2.5 ........................................................................................................................ 50 Tecnologías WAN tipos y sus propiedades Frame relay, E1/T1, ADSL, SDSL, VDSL, cable modem, satellite, E3/T3, OC-x, wireless, ATM, SONET, MPLS, ISDN BRI, ISDN PRI, POTS, PSTN. Objetivo 2.6 ........................................................................................................................ 54 Tecnologías LAN tipos y sus propiedades: Tipos: Ethernet, 10BaseT, 100BaseTX, 100BaseFX, 1000BaseT, 1000BaseX, 10GBaseSR, 10GBaseLR, 10GBaseER, 10GBaseSW, 10GBaseLW, 10GBaseEW, 10GBaseT. Objetivo 2.7 ........................................................................................................................ 57 Explica las topologías lógicas y sus características. Punto a punto, cliente / servidor, VPN, VLAN. Objetivo 2.8 ........................................................................................................................ 62 Instalación de cableado. Patch panels, 66 blocks, MDFs, IDFs. CAPITULO 3 COMPONENTES DE UNA RED Objetivo 3.1 ........................................................................................................................ 66 3 Instalación, configuración y diferencias de los siguientes componentes Hub, repetidor, modem, NIC, switch, puente, access point, router, firewall, servidor DHCP. Objetivo 3.2 ........................................................................................................................ 74 Identificar las funciones de los siguientes dispositivos de red. Switch multicapa, IDS/IPS, balanceador de carga, multifuncionales, servidor DNS, servidor proxy, CSU/DSU. Objetivo 3.3 ........................................................................................................................ 76 Explica las implementaciones avanzadas de un switch PoE, Spanning tree, VLAN, enlace troncal, port mirroring, port authentication. Objetivo 3.4 ........................................................................................................................ 81 Implementación básica de una red inalámbrica Instalación del cliente, instalación y configuración de un punto de acceso. CAPITULO 4 MANEJO DE UNA RED Objetivo 4.1 ........................................................................................................................ 86 Explica la función de las capas del modelo OSI Capa1-física, capa2-enlace, capa3-red, capa4- transporte, capa5-sesión, capa6-presentación, capa 7-aplicación. Objetivo 4.2 ........................................................................................................................ 93 Identifica los tipos de documentación Diagramas físicos y lógicos de una red, políticas, procedimientos y configuraciones, cableado, baseline. Objetivo 4.3 ........................................................................................................................ 93 Dado un escenario, evalúe una red basándose en su configuración y documentación Compare diagramas de cableado, topologías físicas y lógicas, baselines, políticas, procedimientos y configuraciones. Objetivo 4.4 ........................................................................................................................ 96 Monitorear el comportamiento de la red para determinar su desempeño y revisar salidas de conectividad utilizando: Monitores de red: (verificadores de salida, conectividad del software) Registros Objetivo 4.5 ........................................................................................................................ 98 Explica los diferentes métodos y razonamientos para la optimización en el desempeño de una red Métodos: QoS, Traffic shaping, balanceo de carga, Monitor de red, Caching engines, tolerancia fallos Objetivo 4.6 ........................................................................................................................ 99 4 Método para la solución de problemas en una red. Establecer los síntomas, identificar el área afectada, establecer que ha cambiado, seleccionar la posible causa, implementar la solución, identificar los efectos de la solución, documentar la solución Objetivo 4.7 ..................................................................................................................... 101 Dado un escenario resuelva problemas comunes de conectividad en una red. Crosstalk, atenuación, configuraciones de mascaras de red, DNS, IP, default Gateway incorrectos. CAPITULO 5 HERRAMIENTAS DE REDES Objetivo 5.1 ..................................................................................................................... 105 Dado un escenario seleccione el comando adecuado e interprete su salida para verificar problemas de conectividad. Traceroute, ipconfig, ifconfig, ping, arp, nslookup, hostname, dig, mtr, route, nbtstat, netstat. Objetivo 5.2 ..................................................................................................................... 111 Explica el propósito de los scanners de red. Packet sniffers, scanners de puertos, software para detección de intrusiones, software para detección prevención de intrusiones. Objetivo 5.3 ..................................................................................................................... 113 Dado un escenario utilice la herramienta apropiada de hardware Probador de cables /certificador, generador de tonos, TDR, OTDR, adaptador loopback, analizador de protocolos, multímetro digital, ponchadora. CAPITULO 6 SEGURIDAD EN LAS REDES Objetivo 6.1 ..................................................................................................................... 116 Explica la función de los siguientes componentes de seguridad: Red basada en un firewall, host basado en un firewall, IDS, IPS, concentrador VPN. Objetivo 6.2 ..................................................................................................................... 118 Explica las características de un firewall. Zonas, filtrado de contenido, cortafuegos de capa de aplicación, cortafuegos de capa de red o de filtrado de paquetes. Objetivo 6.3 ..................................................................................................................... 121 Explica los métodos de seguridad de acceso a la red Filtrado: ACL. Tunelado y encriptación: SSL, L2TP, PPTP, IPSEC. Acceso remoto: RAS, RDP, PPPoE, PPP, VNC, ICA. Objetivo 6.4 ..................................................................................................................... 124 5 Explica los métodos de autenticación de usuarios. PKI,kerberos, AAA: radius, TACACS+, CHAP, MS-CHAP. EAP, 802.1x. Objetivo 6.5 ..................................................................................................................... 127 Explica los métodos de autenticación de usuarios Seguridad física, Restricción local y acceso remoto. Métodos seguros vs métodos inseguros: SSH; HTTPS, SNMPv3, SFTP, SCP, TELNET, HTTP, FTP, RSH, RCP, SNMPv1/v2. Objetivo 6.6 ..................................................................................................................... 129 Identificar las amenazas de seguridad más comunes y técnicas que las disminuyan Amenzas: DoS, virus, gusanos, ingeniería social, atacantes, smurf. Técnicas: Parches y actualizaciones, entrenamiento del usuario, políticas y procedimientos. BIBLIOGRAFIA .............................................................................................................. 137 6 CAPITULO 1 TECNOLOGÍAS DE REDES 7 OBJETIVO 1.1 La suite del protocolo TCP / IP El Transmisión Control Protocol / Internet Protocol (TCP/IP) es actualmente el protocolo de red predominante en todas las redes, ofrece ventajas significativas sobre otros protocolos de red. Una de ellas es que trabaja sobre una gran variedad de hardware y sistemas operativos. De este modo puede crearse fácilmente una red heterogénea usando este protocolo. Dicha red puede contener estaciones Mac, PC compatibles, estaciones Sun, servidores Novell, etc. Todos estos elementos pueden comunicarse usando la misma suite de protocolos TCP/IP. A continuación listaremos algunos de los protocolos que están incluidos en la suite de TCP / IP: Internet Protocol (IP) El protocolo IP es un protocolo que trabaja en la capa de red y es responsable de transportar datos entre los diversos componentes de red. IP trabaja en modo connection-less, una de sus funciones es el addressing. Transmisión Control Protocol (TCP) Trabaja en la capa de transporte del modelo OSI en modo connection-oriented, trabajando en este modo TCP requiere que una sesión sea establecida entre dos host antes de que una comunicación tenga lugar. TCP proporciona confiabilidad a las comunicaciones IP ya que cuenta con control de flujo de datos, detección y corrección de errores y re-encadenamiento de información. User Datagram Protocol (UDP) UDP trabaja en la capa de transporte del modelo OSI, opera de forma similar que TCP con una notable diferencia, siendo UDP un protocolo connecction-less, no garantiza la correcta entrega de paquetes de información. Dado que UDP no tiene que garantizar la entrega de datos, es mucho más rápido en su tiempo de entrega de datos y no consume tanto ancho de banda. TCP y UDP usan IP como protocolo de transporte. File Transfer Protocol (FTP) El protocolo FTP trabaja en la capa de aplicación del Modelo OSI, se utiliza para transferir uno o más archivos de una computadora a otra (lo que se conoce como uploading y downloading) y utiliza a TCP como protocolo de transporte. FTP cuenta con mecanismos de seguridad tales como una cuenta de usuario (username) y contraseña. Sin embargo existen servidores donde se permite el acceso a usuarios no registrados (anonymous logon) dando como username: anonymous y como contraseña su email. Trivial File Transfer Protocol (TFTP) Es una variante del FTP trabaja también en la capa de aplicación del modelo OSI pero no ofrece los niveles de seguridad y funcionalidad que FTP. TFTP utiliza a UDP como protocolo de transporte lo que significa que trabaja en modo connection-less. 8 Nota: para propósitos de examen habrá que recordar que FTP es más seguro que TFTP y que este último es un protocolo connection-less UDP. Simple Mail Transfer Protocol (SMTP) Es un protocolo utilizado para enviar mensajes de correo electrónico entre servidores. La mayoría de los servidores de correo que envían mensajes a través de internet utilizan SMTP, los mensajes pueden luego ser descargados desde un cliente de correo usando protocolos como IMAP o POP3. SMTP es generalmente utilizado además para enviar mensajes desde un cliente al servidor de correo. Trabaja en la capa de aplicación del modelo OSI y utiliza a TCP como protocolo de transporte de datos. Hypertext Transfer Protocol (HTTP) El Protocolo de Transferencia de HiperTexto (Hypertext Transfer Protocol) es un sencillo protocolo cliente-servidor que articula los intercambios de información entre los clientes web y los servidores http mediante un URL( Uniform resource locutor). Http es connection-less y utiliza UDP como protocolo de transporte. Hypertext Transfer Protocol Secure (HTTPS) El http envía sus solicitudes en modo texto por lo que, para empresas de e-commerce esto implica un riesgo, la solución es utilizar el protocolo HTTPS el cual utiliza un sistema conocido como SSL (Secure Sockets Layer), este sistema en cripta la información que se envían tanto el cliente como el servidor. Al igual que HTTP, HTTPS utiliza a UDP como protocolo de transporte y trabaja en la capa de aplicación del modelo OSI. Post Office Protocol (POP) e Internet Message Access Protocol (IMAP4). Tanto POP como IMAP son mecanismos para descargar emails desde un servidor. Aunque los email circulan a través de la red mediante SMTP, los usuarios no siempre los leen inmediatamente así que se almacenan y para poder acceder a ellos se utilizan POP o IMAP. Telnet Telnet utiliza TCP como protocolo de transporte, trabaja en la capa de aplicación del modelo OSI. La función de telnet es establecer sesiones con un servidor remoto con lo cual podremos ejecutar algunos comandos en ese servidor. Telnet comúnmente se utiliza para acceder a servidores Unix y Linux. Secure Shell (SSH). Uno de los problemas con telnet es que no es seguro y como alternativa se utiliza este protocolo, realiza las mismas funciones que telnet, pero éste cuenta con mecanismos de seguridad, la información que transmite se encuentra encriptada. Internet Control Message Protocol (ICMP) ICMP es un protocolo que trabaja con IP, proporciona detección de errores y trabaja en la capa de red del modelo OSI. 9 Address Resolution Protocol / Reverse Address Resolution Protocol (ARP / RARP) ARP convierte direcciones IP a direcciones MAC (MAC address). Network Time Protocol (NTP) Se usa para sincronizar la hora de los clientes instalados en las pc y en los servidores, tomando como referencia otro servidor o fuente de tiempo (como puede ser un receptor de satélite). Esto provee al cliente de una exactitud en la sincronización del orden de los milisegundos en la LAN y de centésimas en las WAN relativos a un servidor primario sincronizado a la escala UTC. La escala UTC se usa en la mayoría de las naciones, y se basa en la rotación de la Tierra alrededor del Sol. Transport Layer Security (TLS) El protocolo es una evolución del protocolo SSL (Secure Sockets Layer). Los objetivos del protocolo son varios: • • • • Seguridad criptográfica. El protocolo se debe emplear para establecer una conexión segura entre dos partes. Interoperabilidad. Aplicaciones distintas deben poder intercambiar parámetros criptográficos sin necesidad de que ninguna de las dos conozca el código de la otra. Extensibilidad. El protocolo permite la incorporación de nuevos algoritmos criptográficos. Eficiencia. Los algoritmos criptográficos son costosos computacionalmente, por lo que el protocolo incluye un esquema de cache de sesiones para reducir el número de sesiones que deben inicializarse desde cero (usando criptografía de clave pública). Internet Group Management Protocol (IGMP) Este protocolo está íntimamente ligado a IP. Se emplea en máquinas que emplean IP multicast. El IP multicast es una variante de IP que permite emplear datagramas con múltiples destinatarios. RTP (VoIP) RTP son las siglas de Real-time Transport Protocol. Es un protocolo de nivel de sesión utilizado para la transmisión de información en tiempo real, como por ejemplo audio y video en una video conferencia. Esta desarrollado por el grupo de trabajo de transporte de audio y video del IETF, publicado por primera vez como estándar en 1996 como la RFC 1889, y actualizado posteriormente en 2003 en la RFC 3550, que constituye el estándar de Internet STD 64. Inicialmente se publicó como protocolo multicast, aunque se ha usado en varias aplicaciones unicast. Se usa frecuentemente en sistemas de streaming, junto a RTSP, videoconferencia y sistemas push to talk (en conjunción con H.323 o SIP). 10 SIP (VoIP) Session Initiation Protocol (SIP o Protocolo de Inicio de Sesiones) es un protocolo desarrollado por el IETF MMUSIC Working Group con la intención de ser el estándar para la iniciación, modificación y finalización de sesiones interactivas de usuario donde intervienen elementos multimedia como el video, voz, mensajería instantánea, juegos online y realidad virtual. La sintaxis de sus operaciones se asemeja a las de HTTP y SMTP, los protocolos utilizados en los servicios de páginas web y de distribución de e-mails respectivamente. Esta similitud es natural ya que SIP fue diseñado para que la telefonía se vuelva un servicio más en internet. OBJETIVO 1.2 Funciones de los puertos para TCP/ UDP Cada protocolo o aplicación de TCP / UDP tiene un puerto asociado. Cuando algún paquete de información es recibido el objetivo del número de puerto es revisar el protocolo o servicio de destino, por ejemplo el http tiene asignado el puerto 80 y cuando un navegador solicita o recibe una aplicación web, lo hace a través de ese puerto. TCP / IP tiene 65535 puertos disponibles donde los puertos del 0 al 1023 son conocidos como well kwnon ports. La tabla 1.2-1 muestra los puertos asociados a los servicios, los cuales son cuestionados en el examen de certificación. Tabla 1.2-1 Algunos de los llamados well kwon ports Protocolo FTP SSH TELNET SMTP DNS BOOTPS/DCHP TFTP HTTP POP3 NNTP NTP IMAP4 SNMP HTTPS Puerto asociado 21 22 23 25 53 67 69 80 110 119 123 143 161 443 Servicio TCP / UDP TCP TCP TCP TCP UDP UDP UDP TCP / UDP TCP TCP TCP TCP UDP TCP 11 OBJETIVO 1.3 Direcciones IP Con TCP/IP para ser capaz de identificar una máquina en internet, a cada interfaz de red de la máquina o host se le asigna una dirección, la dirección IP o dirección de internet. Cuando la máquina está conectada a más de una red se le denomina "multi-homed" y tendrá una dirección IP por cada interfaz de red. La dirección IP consiste en un par de números: IP dirección = Network ID y el HostID . La parte de la dirección IP correspondiente al número de red está administrada centralmente por el InterNIC (Internet Network Information Center) o a la IANA (Internet Assigned Numbers Authority) y es única en internet. IPv4 Las direcciones IP son números de 32 bits (separados en 4 octetos) aunque representados habitualmente en formato decimal. Veamos el siguiente IP en formato binario (32 bits) y su equivalente en decimal BINARIO 10010100 11011111 10001010 10010101 DECIMAL 148.223.138.149 IPv6 Aunque el IPv4 ha servido y funcionado bien durante muchos años, ha comenzado a llegar su fin. El principal problema con IPv4 simple y sencillamente es que ya no es capaz de cubrir la demanda de direcciones IP. A diferencia del IPv4 que utiliza 32 bits, el IPv6 utiliza 128 bits lo que proporciona: 340 282 366 920 938 463 463 374 607 431 768 211 456 direcciones posibles. Un IPv6 tiene una nomenclatura diferente al usado en IPv4 está compuesto de 8 pares de octetos expresados en hexadecimal y separados por “: “por ejemplo: 42DE : 7E55 : 63F2 : 21AA : CBD4 : D773 : CC21 : 554F Direcciones MAC El direccionamiento a través de las MACs, se da en la capa 2 del modelo OSI, los switches de manera particular las utilizan. La dirección MAC (Media Access Control address o dirección de control de acceso al medio) es un identificador de 48 bits (6 bytes) que corresponde de forma única a una tarjeta o interfaz de red. Es individual, cada dispositivo tiene su propia dirección MAC determinada y configurada por el IEEE (los últimos 24 bits) y el fabricante (los primeros 24 bits). Las direcciones se muestran generalmente en formato hexadecimal, con cada octeto separado por un guión o dos puntos. Un ejemplo de una dirección MAC sería "00-08-744C-7F-1D". 12 OBJETIVO 1.4 Direccionamiento IP Uno de los aspectos más importantes de las comunicaciones en una internetwork es el esquema de direccionamiento lógico. El direccionamiento IP es el método utilizado para identificar hosts y dispositivos de red. La cantidad de host conectados a internet continúa creciendo y el esquema de direccionamiento IP tuvo que ser adaptado para hacer frente a este crecimiento. Para enviar y recibir mensajes en una red IP, cada host de red debe tener asignada una única dirección IP de 32 bits. Dado que los números binarios extensos son difíciles de leer y comprender para un ser humano, las direcciones IP generalmente muestran una notación decimal punteada. En la notación decimal punteada, cada uno de los cuatro octetos se convierte a un número decimal separado por un punto decimal. Por ejemplo, la dirección IP: 11000000.10101000.00000001.01101010 se representa como 192.168.1.106 en la notación decimal punteada. Las direcciones IP son jerárquicas. Una jerarquía es como un árbol genealógico, con los padres en la parte superior y los hijos conectados a ellos, debajo. Para una red, esto significa que parte del número de 32 bits identifica la red (padre) mientras que el resto de los bits identifican el host (hijo). En los comienzos de internet, eran tan pocas las organizaciones que necesitaban conectarse que las redes eran asignadas sólo mediante los primeros 8 bits (primer octeto) de la dirección IP. Esto dejaba a los 24 bits restantes para ser utilizados para direcciones host locales. La designación de red de ocho bits inicialmente tuvo sentido, porque en un principio la gente pensaba que internet estaría compuesta de algunas grandes universidades, gobiernos y organizaciones militares. La utilización de sólo 8 bits para el número de red permitía la creación de 256 redes separadas, cada una con más de 16 millones de hosts. Pronto resultó evidente que más organizaciones, y eventualmente personas, se conectarían a internet para investigar y comunicarse con otros. Se requerían más redes y debía crearse una manera de asignar más números de redes, algunas soluciones han sido la implementación del subnetting y VLSM, aunque el direccionamiento IPv4 será sustituido por IPv6. 13 Subnetting, redes con clase y sin clase A medida que las redes fueron evolucionando se fue presentando un gran problema, las direcciones. Una primera solución a este problema fue ofrecida por el subnetting (implementacion de subredes). Este método consiste en dividir una red en varias más pequeñas lo que permite optimizar el uso de las direcciones IP. La idea es tomar mediante el manejo de la máscara de subred una <parte de red> de una dirección IP y asignar las direcciones IP de esa <parte de red> a varias redes físicas, que serán ahora referidas como subredes, protocolos de ruteo como RIP v1 e IGRP utilizaban este “direccionamiento con clase”. El desarrollo inicial del direccionamiento con clase resolvió el problema de agotamiento de IP temporalmente. Una década más tarde, fue evidente que el espacio de dirección IP se estaba reduciendo rápidamente. En respuesta, el Grupo de trabajo de ingeniería de internet (IETF) introdujo Classless Inter-domain Routing (CIDR), que utilizaba una máscara de subred de longitud variable (VLSM) para ayudar a conservar el espacio de dirección. Con la introducción de CIDR y VLSM, los ISP ahora podían asignar una parte de una red con clase a un cliente y otra parte diferente a otro cliente. Esta asignación no contigua de direcciones de los ISP era análoga al desarrollo de los protocolos de enrutamiento sin clase. Para comparar: los protocolos de enrutamiento con clase siempre resumen el borde con clase y no incluyen la máscara de subred en actualizaciones de enrutamiento. Los protocolos de enrutamiento sin clase sí incluyen la máscara de subred en las actualizaciones de enrutamiento y no deben realizar el resumen. NAT La traducción de direcciones de red (NAT) le permite a un grupo considerable de usuarios privados acceder a internet compartiendo un pequeño grupo de direcciones IP públicas. La traducción de direcciones es similar al modo en que trabaja un sistema telefónico en una compañía. A medida que la compañía suma empleados, en algún momento deja de colocar una línea telefónica pública directamente al escritorio de cada empleado. En su lugar, utiliza un sistema que le permite asignarle un número de extensión a cada empleado. La compañía puede hacer esto ya que no todos los empleados utilizan el teléfono al mismo tiempo. El uso de extensiones privadas permite a la compañía comprar una cantidad menor de líneas telefónicas externas a la compañía telefónica. NAT funciona de manera similar al sistema telefónico de una compañía. Una de las razones principales por las que NAT fue desarrollada es para ahorrar direcciones IP registradas. NAT también puede brindar seguridad a las pc, los servidores y los dispositivos de red al evitar que sus direcciones actuales de host IP tengan acceso directo a Internet. 14 La figura 1.4-1 muestra el funcionamiento de NAT Figura 1.4-1 Funcionamiento de NAT La principal ventaja de NAT es la reutilización de la dirección IP y la posibilidad de compartir de direcciones IP universalmente únicas entre varios hosts de una sola LAN. NAT también sirve a usuarios de manera transparente. En otras palabras, ellos no necesitan saber sobre NAT para conectarse a Internet desde una red privada. Por último, NAT ayuda a proteger a los usuarios de una red privada del acceso exterior. NAT tiene algunas desventajas, entre ellas: El impacto de NAT en determinadas aplicaciones que tienen direcciones IP en el contenido del mensaje. Estas direcciones IP también deben ser traducidas, lo que aumenta la carga en la CPU del router. Esta carga de trabajo adicional en routers dificulta el rendimiento de la red. NAT oculta direcciones IP privadas de las redes privadas. Funciona como un control de acceso que puede ser conveniente pero que también puede ser contraproducente si se desea acceso remoto legítimo desde internet a un dispositivo en la red privada. 15 PAT Cuando una organización tiene un pequeño grupo de direcciones IP registrado o quizás apenas una sola dirección IP, lo mismo puede permitir que varios usuarios accedan simultáneamente a la red pública con un mecanismo denominado sobrecarga de NAT o traducción de direcciones de puerto (PAT). PAT traduce múltiples direcciones locales en una sola dirección IP global. Cuando un host de origen envía un mensaje a un host de destino, utiliza una combinación de dirección IP y número de puerto para mantener un registro de cada conversación individual con el host de destino. En PAT, el gateway traduce la combinación de dirección de origen local y puerto en el paquete a una única dirección IP global y un número único de puerto por encima de 1024. A pesar de que cada host es traducido en la misma dirección IP global, el número de puerto asociado a la conversación es único. El tráfico de respuesta es direccionado a la dirección IP traducida y al número de puerto utilizado por el host. Una tabla en el router contiene una lista de las combinaciones de dirección IP interna y número de puerto que son traducidas a la dirección externa. El tráfico de respuesta es dirigido a la dirección interna y al número de puerto correspondiente. Dado que existen más de 64 000 puertos disponibles, es muy poco probable que a un router se le acaben las direcciones, lo que sí puede suceder con la NAT dinámica. Como la traducción es específica para la dirección local y el puerto local, cada conexión, que genera un nuevo puerto de origen, requiere una traducción individual. Por ejemplo, 10.1.1.1:1025 requiere una traducción individual desde 10.1.1.1:1026. La traducción sólo está en el lugar durante la conexión, de modo que un determinado usuario no mantiene la misma combinación de dirección IP global y número de puerto luego de que finaliza la conversación. Los usuarios en la red externa no pueden iniciar una conexión de manera confiable a un host en una red que utiliza PAT. No sólo es imposible predecir el número de puerto local o global del host, sino que además un gateway no crea una traducción a menos que un host en la red interna inicie la comunicación. SNAT (Static Network Address translation) SNAT es utilizado cuando necesitas que un servicio de una IP homologada siempre sea la misma. ejemplo tienes tu IP 200.33.0.1 y cuando llegan peticiones al puerto 80 las direcciona a la 192.168.0.2 puerto 25; esto se utiliza mas cuando es acceso a servidores de consulta. DHCP DHCP (Dynamic Host Configuration Protocol) es un protocolo de red que permite a los nodos de una red IP obtener sus parámetros de configuración automáticamente. Se trata de un protocolo de tipo cliente/servidor en el que generalmente un servidor posee una lista de 16 direcciones IP dinámicas y las va asignando a los clientes conforme éstas van estando libres, sabiendo en todo momento quién ha estado en posesión de esa IP, cuánto tiempo la ha tenido y a quién se la ha asignado después Sin DHCP, cada dirección IP debe configurarse manualmente en cada computadora y, si la computadora se mueve a otra subred, se debe configurar otra dirección IP diferente. El DHCP le permite al administrador supervisar y distribuir de forma centralizada las direcciones IP necesarias y automáticamente asignar y enviar una nueva IP si la computadora es conectada en un lugar diferente de la red. Esquema de direccionamiento En una red IPv4, los hosts pueden comunicarse de tres maneras diferentes: Unicast: el proceso por el cual se envía un paquete de un host a un host individual. Broadcast: el proceso por el cual se envía un paquete de un host a todos los hosts de la red. Multicast: el proceso por el cual se envía un paquete de un host a un grupo seleccionado de hosts. Estos tres tipos de comunicación se usan con diferentes objetivos en las redes de datos. En los tres casos, se coloca la dirección IPv4 del host de origen en el encabezado del paquete como la dirección de origen. Tráfico unicast La comunicación unicast se usa para una comunicación normal de host a host, tanto en una red de cliente/servidor como en una red punto a punto. Los paquetes unicast utilizan la dirección host del dispositivo de destino como la dirección de destino y pueden enrutarse a través de una internetwork. Sin embargo, los paquetes broadcast y multicast usan direcciones especiales como la dirección de destino. Al utilizar estas direcciones especiales, los broadcasts están generalmente restringidos a la red local. El ámbito del tráfico multicast también puede estar limitado a la red local o enrutado a través de una internetwork. Transmisión de broadcast Dado que el tráfico de broadcast se usa para enviar paquetes a todos los hosts de la red, un paquete usa una dirección de broadcast especial. La transmisión de broadcast se usa para ubicar servicios/dispositivos especiales para los cuales no se conoce la dirección o cuando un host debe brindar información a todos los hosts de la red. Algunos ejemplos para utilizar una transmisión de broadcast son: Asignar direcciones de capa superior a direcciones de capa inferior Solicitar una dirección 17 Intercambiar información de enrutamiento por medio de protocolos de enrutamiento Cuando un host necesita información envía una solicitud, llamada consulta, a la dirección de broadcast. Todos los hosts de la red reciben y procesan esta consulta. Uno o más hosts que poseen la información solicitada responderán, típicamente mediante unicast. De forma similar, cuando un host necesita enviar información a los hosts de una red, éste crea y envía un paquete de broadcast con la información. A diferencia de unicast, donde los paquetes pueden ser enrutados por toda la internetwork, los paquetes de broadcast normalmente están restringidos a la red local. Esta restricción depende de la configuración del router que bordea la red y del tipo de broadcast. Transmisión de multicast La transmisión de multicast está diseñada para conservar el ancho de banda de la red IPv4. Ésta reduce el tráfico al permitir que un host envíe un único paquete a un conjunto seleccionado de hosts. Para alcanzar hosts de destino múltiples mediante la comunicación unicast, sería necesario que el host de origen envíe un paquete individual dirigido a cada host. Con multicast, el host de origen puede enviar un único paquete que llegue a miles de hosts de destino. Algunos ejemplos de transmisión de multicast son: Distribución de audio y video Intercambio de información de enrutamiento por medio de protocolos de enrutamiento Distribución de software Suministro de noticias Clientes Multicast Los hosts que desean recibir datos multicast específicos se denominan clientes multicast. Los clientes multicast usan servicios iniciados por un programa cliente para subscribirse al grupo multicast. Cada grupo multicast está representado por una sola dirección IPv4 de destino multicast. Cuando un host IPv4 se suscribe a un grupo multicast, el host procesa paquetes dirigidos a esta dirección multicast y paquetes dirigidos a su dirección unicast exclusivamente asignada. IPv4 ha apartado un bloque especial de direcciones desde 224.0.0.0 a 239.255.255.255 para direccionamiento de grupos multicast. 18 OBJETIVO 1.5 OSPF Open Shortest Path es un protocolo de enrutamiento jerárquico de pasarela interior o IGP (Interior Gateway Protocol), que usa el algoritmo Dijkstra enlace-estado (LSA - Link State Algorithm) para calcular la ruta más corta posible. Usa cost como su medida de métrica. Además, construye una base de datos enlace-estado (link-state database, LSDB) idéntica en todos los enrutadores de la zona. OSPF es probablemente el tipo de protocolo IGP más utilizado en grandes redes. Puede operar con seguridad usando MD5 para autentificar a sus puntos antes de realizar nuevas rutas y antes de aceptar avisos de enlace-estado. Como sucesor natural de RIP, acepta VLSM o sin clases CIDR desde su inicio. A lo largo del tiempo, se han ido creando nuevas versiones, como OSPFv3 que soporta IPv6 o como las extensiones multidifusión para OSPF (MOSPF), aunque no están demasiado extendidas. OSPF puede "etiquetar" rutas y propagar esas etiquetas por otras rutas. IS-IS IS-IS (Intermediate System to Intermediate System) es un protocolo OSI de encaminamiento jerárquico de pasarela interior o IGP (Interior Gateway Protocol), que usa el estado de enlace para encontrar el camino más corto mediante el algoritmo SPF (Shortest Path First). El protocolo tiene un gran parecido con OSPF ya que en ambos se utiliza el estado de enlace para la búsqueda de caminos (utilizan puentes designados para eliminar bucles) y la asignación de redes en grupos para mejorar la eficiencia de la red. Pero IS-IS tiene ciertas ventajas respecto a OSPF tales como compatibilidad con IPv6 o que permite conectar redes con protocolos de encaminamiento distintos. Admite VLSM. RIP1 RIPv1 fue el primer y único protocolo de enrutamiento IP disponible durante los comienzos del networking. RIPv1 no envía información de máscara de subred en sus actualizaciones de enrutamiento y, por lo tanto, no es compatible con VLSM y CIDR. RIPv1 resume automáticamente las redes en el límite con clase y trata todas las redes como si fueran clases A, B y C predeterminadas. Mientras que sean redes contiguas, como 192.168.1.0, 192.168.2.0 y sucesivas, esta función no plantea problemas graves. Sin embargo, si las redes no son contiguas, por ejemplo, si las redes 192.168.1.0 y 192.168.2.0 están separadas por la red 10.0.1.0, es posible que RIPv1 no notifique las rutas correctamente. De forma predeterminada, RIPv1 envía broadcasts de las actualizaciones de enrutamiento a todos los routers conectados cada 30 segundos. 19 RIP2 RIPv2 tiene muchas funciones de RIPv1. También incluye mejoras importantes. RIPv2 es un protocolo de enrutamiento sin clase compatible con VLSM y CIDR. En las actualizaciones de v2, se incluye un campo de máscara de subred que permite el uso de redes no contiguas. RIPv2 también puede desactivar la sumarización automática de rutas. Ambas versiones de RIP envían la tabla de enrutamiento completa en actualizaciones a todas las interfaces involucradas. RIPv1 envía broadcasts de estas actualizaciones a 255.255.255.255. Esto requiere que todos los dispositivos de una red de broadcast, como Ethernet, procesen los datos. RIPv2 envía multicasts de sus actualizaciones a 224.0.0.9. Los multicasts ocupan menos ancho de banda de red que los broadcasts. Los dispositivos que no están configurados para RIPv2 descartan los multicasts en la capa de enlace de datos. Los atacantes generalmente introducen actualizaciones no válidas para hacer que un router envíe datos al destino equivocado o para degradar seriamente el rendimiento de la red. La información no válida puede aparecer en la tabla de enrutamiento debido a una configuración incorrecta o al mal funcionamiento de un router. La encriptación de la información de enrutamiento esconde el contenido de la tabla de enrutamiento a los routers que no poseen la contraseña o los datos de autenticación. RIPv2 tiene un mecanismo de autenticación, mientras que RIPv1 no lo tiene. Aunque RIPv2 proporciona varias mejoras, no es un protocolo completamente diferente. RIPv2 comparte muchas de las funciones de RIPv1, como: Métrica de conteo de saltos 15 saltos como máximo TTL equivale a 16 saltos Intervalo predeterminado de actualización de 30 segundos Envenenamiento de ruta, envenenamiento en reversa, horizonte dividido y esperas para evitar bucles Actualizaciones con el puerto UDP 520 Distancia administrativa de 120 Encabezado de mensaje con hasta 25 rutas sin autentificación Cuando un router se inicia, cada interfaz configurada con RIP envía un mensaje de solicitud. Este mensaje solicita que todos los vecinos de RIP envíen las tablas de enrutamiento completas. Los vecinos compatibles con RIP envían un mensaje de respuesta que incluye las entradas de red conocidas. El router receptor evalúa cada entrada de ruta según los siguientes criterios: Si la entrada de ruta es nueva, el router receptor instala la ruta en la tabla de enrutamiento. 20 Si la ruta ya se encuentra en la tabla y la entrada viene de un origen diferente, la tabla de enrutamiento reemplaza la entrada existente si la nueva tiene un conteo de saltos mejor. Si la ruta ya se encuentra en la tabla y la entrada viene del mismo origen, reemplaza la entrada existente aunque la métrica no sea mejor. A continuación, el router de inicio envía una triggered update a todas las interfaces compatibles con RIP que contiene su propia tabla de enrutamiento. Se informa a los vecinos de RIP de todas las rutas nuevas. Mientras que los routers envíen y procesen las versiones correctas de las actualizaciones de enrutamiento, RIPv1 y RIPv2 son totalmente compatibles. De forma predeterminada, RIPv2 envía y recibe sólo actualizaciones de la versión 2. Si una red debe utilizar ambas versiones de RIP, el administrador de red configura RIPv2 para que envíe y reciba ambas versiones, 1 y 2. De forma predeterminada, RIPv1 envía actualizaciones de la versión 1, pero recibe de las dos versiones, 1 y 2. Dentro de una empresa, puede ser necesario utilizar ambas versiones de RIP. Por ejemplo, es posible que parte de la red se migre a RIPv2, mientras que otra parte permanezca con RIPv1. El reemplazo de la configuración de RIP global con comportamiento específico de cada interfaz permite que los routers sean compatibles con ambas versiones de RIP. Para personalizar la configuración global de una interfaz, utilice los siguientes comandos de configuración de interfaz: ip rip send version <1 | 2 | 1 2> ip rip receive version <1 | 2 | 1 2> BGP El BGP o Border Gateway Protocol es un protocolo mediante el cual se intercambia información de encaminamiento entre sistemas autónomos. Por ejemplo, los ISP registrados en Internet suelen componerse de varios sistemas autónomos y para este caso es necesario un protocolo como BGP. Entre los sistemas autónomos de los ISP se intercambian sus tablas de rutas a través del protocolo BGP. Este intercambio de información de encaminamiento se hace entre los routers externos de cada sistema autónomo. Estos routers deben soportar BGP. Se trata del protocolo más utilizado para redes con intención de configurar un EGP (external gateway protocol) EIGRP Las limitaciones de RIP condujeron al desarrollo de protocolos más avanzados. Los profesionales de networking necesitaban un protocolo que fuera compatible con VLSM y 21 CIDR, de fácil escalabilidad y que proporcionara una convergencia rápida en redes empresariales complejas. Cisco desarrolló EIGRP como protocolo de enrutamiento vector distancia patentado. Cuenta con capacidades mejoradas que abordan muchas de las limitaciones de otros protocolos de vector distancia. EIGRP comparte algunas de las características de RIP y, a su vez, utiliza funciones avanzadas. Aunque la configuración de EIGRP es relativamente simple, las funciones y opciones subyacentes son complejas. EIGRP contiene muchas funciones que no posee ninguno de los otros protocolos de enrutamiento. Todos estos factores hacen que EIGRP sea una excelente opción para redes multiprotocolo grandes que utilizan, principalmente, dispositivos Cisco. Los dos objetivos principales de EIGRP son proporcionar un entorno de enrutamiento sin bucles y una convergencia rápida. Para lograr estos objetivos, EIGRP utiliza un método diferente al de RIP para calcular la mejor ruta. La métrica que utiliza es una métrica compuesta que considera, fundamentalmente, el ancho de banda y el retraso. Esta métrica es más precisa que el conteo de saltos en cuanto a la determinación de la distancia a una red de destino. 22 Objetivo 1.6 El routing es el método por el cual los dispositivos de red direccionan mensajes a través de las redes para que lleguen al destino correcto. Todos los routers deben tomar decisiones de routing. Lo hacen buscando la información guardada en sus tablas de routing. Cada router contiene una tabla de todas las redes conectadas en forma local y de las interfaces que se conectan con él. Estas tablas de routing contienen información sobre las rutas, o trayectorias, que el router utiliza para alcanzar otras redes remotas que no tienen conexión local. Un administrador puede asignar estas rutas al router en forma estática, o bien, otro router puede asignarlas en forma dinámica a través de un programa denominado protocolo de routing. Cada router utiliza una tabla de routing para decidir dónde enviar los paquetes. La tabla de routing contiene un conjunto de rutas en donde cada ruta describe qué gateway o interfaz necesita el router para llegar hasta una red específica. Una ruta tiene cuatro componentes principales: Valor de destino Máscara Gateway o dirección de interfaz Costo de la ruta o métrica Rutas de conexión directa Cuando el router se enciende, se habilitan las interfaces configuradas. A medida que entran en funcionamiento, el router guarda en la tabla de routing las direcciones de red local que se conectan directamente como rutas conectadas. En el caso de los routers Cisco, estas rutas se identifican en la tabla de routing con el prefijo C. Estas rutas se actualizan en forma automática cada vez que se desactiva o se vuelve a configurar la interfaz. Rutas estáticas Un administrador de red puede configurar en forma manual una ruta estática en una red específica. Una ruta estática no cambia hasta que el administrador la vuelve a configurar en forma manual. Estas rutas se identifican en la tabla de routing con el prefijo S. Rutas actualizadas en forma dinámica (Rutas dinámicas) Los protocolos de routing crean y mantienen en forma automática las rutas dinámicas. Los protocolos de routing se implementan en programas que se ejecutan con routers y que intercambian información de routing con otros routers de la red. Las rutas actualizadas en forma dinámica se identifican en la tabla de routing con el prefijo que corresponde al tipo 23 de protocolo de routing creado por la ruta; por ejemplo, se usa R para el Protocolo de Información de Routing (RIP, Routing Information Protocol). Los protocolos dinámicos de ruteo son divididos en las categorías que se muestran en la figura 1.6-1: Figura 1.6-1 División de los protocolos de ruteo La diferencia entre IGP y EGP es el routing interior o exterior de un sistema autónomo (AS). Un sistema autónomo es una colección de redes o subredes que están en el mismo dominio administrativo. IGP opera y rutea sin un AS mientras que EGP trabaja fuera o entre más de un AS. El protocolo más popular de EGP es BGP (border Gateway protocol) el cuál es típicamente usado por ISP’s o grandes corporaciones. Pasando a la categoría IGP podemos ver en la figura 1.6-2 que tiene dos categorías: los protocolos de Distancia de vector (DV) y los de Link state (LS) Figura 1.6-2 Protocolos de ruteo DV y LS Como podemos ver en la categoría de vector de distancia están IGRP y RIP versiones 1 y 2, en la categoría link state se encuentra OSPF e IS-IS. Cisco tiene un protocolo híbrido denominado EIGRP. 24 Objetivo 1.7 Se ha desarrollado una cantidad de estándares para garantizar que los dispositivos inalámbricos puedan comunicarse. Éstos especifican el espectro de RF usado, las velocidades de transmisión de datos, la manera en que se transmite la información y otras cuestiones. La principal organización responsable de la creación de los estándares técnicos inalámbricos es IEEE. El estándar IEEE 802.11 rige el entorno WLAN. Existen cuatro enmiendas al estándar IEEE 802.11 que describen diferentes características para las comunicaciones inalámbricas. Las enmiendas actualmente disponibles son 802.11a, 802.11b, 802.11g y 802.11n (802.11n no está ratificada en el momento de escribir este documento). Estas tecnologías se conocen grupalmente con el nombre Wi-Fi, amplia fidelidad. Otra organización, conocida como Wi-Fi Alliance, es responsable de probar los dispositivos LAN inalámbricos de distintos fabricantes. El logotipo Wi-Fi en un dispositivo significa que ese equipo cumple los estándares y debe interoperar con otros dispositivos del mismo estándar. En la tabla 1.7-1 se muestra un resumen de las características de estándar IEEE 802.1. Tabla 1.7-1 Estándares comunes de IEEE para WAN Tabla 1.7-1 25 Encriptación en una WLAN La autenticación y el filtrado MAC pueden evitar que un atacante se conecte a una red inalámbrica, pero no evitarán que intercepte los datos transmitidos. Dado que no existen límites distintivos en una red inalámbrica y que el tráfico se transmite por aire, es fácil para un atacante interceptar o detectar tramas inalámbricas. La encriptación es el proceso de transformar datos de manera que, aunque sean interceptados, queden inutilizables. Protocolo de equivalencia por cable (WEP, Wired Equivalency Protocol) El protocolo de equivalencia por cable (WEP) es una característica avanzada de seguridad que encripta el tráfico de la red a medida que éste se desplaza por el aire. El WEP utiliza claves pre configuradas para encriptar y descifrar datos. Una clave WEP se introduce como una cadena de números y letras, y generalmente consta de 64 ó 128 bits. En algunos casos, el WEP admite también claves de 256 bits. Para simplificar la creación y la introducción de estas claves, muchos dispositivos incluyen la opción por contraseña. La opción por contraseña es una fácil manera de recordar la palabra o frase usada para generar automáticamente una clave. A fin de que el WEP funcione, el AP (y cualquier otro dispositivo inalámbrico que tenga habilitado el acceso a la red) deberá tener la misma clave WEP introducida. Sin esta clave, los dispositivos no podrán comprender las transmisiones inalámbricas. El WEP es una excelente manera de evitar que los atacantes intercepten datos. Sin embargo, existen puntos débiles dentro del WEP, por ejemplo el uso de una clave estática en todos los dispositivos con WEP habilitado. Existen aplicaciones disponibles que los atacantes pueden utilizar para descubrir la clave WEP. Estas aplicaciones se encuentran disponibles fácilmente en Internet. Una vez que el atacante ha extraído la clave, tiene acceso completo a toda la información transmitida. Una manera de superar este punto débil es cambiar la clave frecuentemente. Otra manera es usar una forma de encriptación más avanzada y segura, conocida como acceso protegido Wi-Fi (WPA, Wi-Fi Protected Access). Acceso protegido Wi-Fi (WPA) El WPA también utiliza claves de encriptación de 64 a 256 bits. Sin embargo, el WPA, a diferencia del WEP, genera nuevas claves dinámicas cada vez que un cliente establece una conexión con el AP. Por esta razón el WPA se considera más seguro que el WEP, ya que es mucho más difícil de decodificar. 26 Protocolos de autenthication RADIUS RADIUS (acrónimo en inglés de Remote Authentication Dial-In User Server). Es un protocolo de autenticación y autorización para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1813 UDP para establecer sus conexiones. Cuando se realiza la conexión con un ISP mediante módem, DSL, cablemódem, Ethernet o Wi-Fi, se envía una información que generalmente es un nombre de usuario y una contraseña. Esta información se transfiere a un dispositivo NAS (Servidor de Acceso a la Red o Network Access Server (NAS)) sobre el protocolo PPP, quien redirige la petición a un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS comprueba que la información es correcta utilizando esquemas de autenticación como PAP, CHAP o EAP. Si es aceptado, el servidor autorizará el acceso al sistema del ISP y le asigna los recursos de red como una dirección IP, y otros parámetros como L2TP, etc. Una de las características más importantes del protocolo RADIUS es su capacidad de manejar sesiones, notificando cuando comienza y termina una conexión, así que al usuario se le podrá determinar su consumo y facturar en consecuencia; los datos se pueden utilizar con propósitos estadísticos. TKIP TKIP (Temporal Key Integrity Protocol) es también llamado hashing de clave WEP WPA, incluye mecanismos del estándar emergente 802.11i para mejorar el cifrado de datos inalámbricos. WPA tiene TKIP, que utiliza el mismo algoritmo que WEP, pero construye claves en una forma diferente. Estas tecnologías son fácilmente implementadas usando la interfaz gráfica de usuario (GUI) del AP de Cisco Systems, y recibió inicialmente el nombre WEP2. TKIP es una solución temporal que resuelve el problema de reutilización de clave de WEP. WEP utiliza periódicamente la misma clave para cifrar los datos. El proceso de TKIP comienza con una clave temporal de 128 bits que es compartida entre los clientes y los puntos de acceso. Combina la clave temporal con la dirección MAC del cliente. Luego agrega un vector de inicialización relativamente largo, de 16 octetos, para producir la clave que cifrará los datos. Este procedimiento asegura que cada estación utilice diferentes streams claves para cifrar los datos. El hashing de clave WEP protege a los vectores de inicialización (IVs) débiles para que no sean expuestos haciendo hashing del IV por cada paquete. Utiliza el RC4 para realizar el cifrado, que es lo mismo que el WEP. Sin embargo, una gran diferencia con el WEP es que cambia las claves temporales cada 10.000 paquetes. Esto proporciona un método de distribución dinámico, lo que mejora significativamente la seguridad de la red. 27 CAPITULO 2 MEDIOS DE TRANSMISIÓN Y TOPOLOGÍAS DE REDES 28 Objetivo 2.1 Existen tres tipos de cables de par trenzado: par trenzado no blindado, par trenzado blindado y par trenzado Figura 2.1-1 Cables par trenzado apantallado. (Vea la figura 2.1-1) El cable de par trenzado no blindado (UTP, Unshielded Twisted Pair) es el tipo de cable de red más común en Norteamérica y muchas otras áreas. Los cables blindados (ScTP y F-UTP) se utilizan casi exclusivamente en países europeos. El cable UTP no es costoso, ofrece un amplio ancho de banda y es fácil de instalar. Este tipo de cable se utiliza para conectar estaciones de trabajo, hosts y dispositivos de red. Puede incluir diferentes cantidades de pares dentro de la funda, pero el número de pares más común es cuatro. Cada par se identifica por un código de color específico. Con el tiempo, se han desarrollado muchas categorías diferentes de cables UTP. Cada categoría de cable ha sido desarrollada para una tecnología específica, y la mayoría ya no se encuentra en hogares u oficinas. Los tipos de cables que aún se encuentran comúnmente incluyen las categorías 3, 5, 5e y 6. Existen entornos eléctricos en los que las interferencias EMI y RFI son tan poderosas que se requiere una pantalla para posibilitar la comunicación (por ejemplo, en una fábrica ruidosa). En esta instancia puede ser necesario utilizar un cable que incluya una pantalla, como el cable de par trenzado blindado (STP) y el cable de par trenzado apantallado (ScTP). Lamentablemente, los cables STP y ScTP son muy costosos, no son tan flexibles y tienen requisitos adicionales, debido al blindaje, que dificultan el trabajo con ellos. Todas las categorías de cable UTP para datos terminan, tradicionalmente, en un conector RJ-45. 29 Cable coaxial Al igual que el par trenzado, el cable coaxial también transmite los datos en forma de señales eléctricas. Proporciona un blindaje mejorado en comparación con el cable UTP, por lo que tiene una menor relación señal/ruido y, por lo tanto, puede transportar más datos. A menudo se utiliza para conectar un televisor a la fuente de la señal, ya sea una salida de televisión por cable, televisión satelital o antena convencional. También se utiliza en los NOC para conectar el sistema de terminación de módems de cable (CMTS) y para conectar algunas interfaces de alta velocidad. (Vea la figura 2.1-2) Figura 2.1-2 Cable coaxial A pesar de que el cable coaxial ha mejorado las características de la transmisión de datos, el cableado de par trenzado lo ha reemplazado en las redes de área local. Algunas de las razones para el reemplazo son que, en comparación con el UTP, el cable coaxial es físicamente más difícil de instalar, más costoso y menos útil para la resolución de problemas. Cable de fibra óptica A diferencia del UTP y el cable coaxial, los cables de fibra óptica transmiten datos por medio de pulsos de luz. A pesar de que no se suele utilizar en entornos domésticos o de empresas pequeñas, el cableado de fibra óptica es ampliamente utilizado en entornos empresariales y en grandes centros de datos. El cable de fibra óptica está elaborado con vidrio o plástico, los cuales no conducen la electricidad. Esto implica que son inmunes a la EMI y son adecuados para la instalación en entornos donde la interferencia es un problema. Además de su resistencia a la EMI, los cables de fibra óptica admiten un gran ancho de banda, lo que los hace muy adecuados para backbones de datos de alta velocidad. Los backbones de fibra óptica pueden encontrarse en muchas corporaciones y también son utilizados para conectar ISP en Internet. 30 Cada circuito de fibra óptica consta en realidad de dos cables. Uno se utiliza para transmitir datos y el otro para recibirlo. Hay dos formas de cable de fibra óptica: multimodo y monomodo. (Vea la figura 2.1-3) Figura 2.1-3 Cable de fibra óptica Multimodo De las dos formas de fibra óptica, el cable multimodo es el menos costoso y el más ampliamente utilizado. La fuente de luz que produce los pulsos de luz generalmente es un LED. Se denomina multimodo debido a que cuenta con múltiples rayos de luz, cada uno de los cuales transporta datos que se transmiten por el cable simultáneamente. Cada rayo de luz toma un camino separado a través del núcleo multimodo. Los cables de fibra óptica multimodo generalmente son adecuados para enlaces de hasta 2000 metros. Sin embargo, los adelantos en la tecnología aumentan continuamente esta distancia. Monomodo Los cables de fibra óptica monomodo se construyen de forma tal que la luz pueda seguir un único camino a través de la fibra. La fuente de luz para los cables de fibra óptica monomodo generalmente es un láser LED, que es significativamente más costoso e intenso que los LED comunes. Debido a la intensidad del láser LED, se pueden obtener velocidades de datos mayores y distancias más extensas. Las fibras monomodo pueden transmitir datos a lo largo de aproximadamente 3000 metros y se utilizan para el cableado de backbone, incluso para la interconexión de varios NOC. Como en el caso anterior, los adelantos en la tecnología aumentan continuamente esta distancia. 31 Cables Plenum vs no plenum El espacio muerto que hay en muchas construcciones entre el falso techo y el piso de arriba se utiliza para que circule aire frío y caliente a través del edificio, las normas de incendios indican instrucciones muy específicas sobre el tipo de cableado que se puede mandar a través de esta zona, debido a que cualquier humo o gas en el plenum puede mezclarse con el aire que se respira en el edificio. El cableado de tipo plenum contiene materiales especiales en su aislamiento y en 1a clavija del cable. Estos materiales están certificados como resistentes al fuego y producen una mínima cantidad de humo; esto reduce los humos químicos tóxicos. El cable plenum se puede utilizar en espacios plenum y en sitios verticales (en una pared, por ejemplo) sin conductos. Sin embargo, el cableado plenum es más caro y menos flexible que el PVC. Para instalar el cable de red en la oficina sería necesario consultar las normas de la zona sobre electricidad y fuego para la regulación y requerimientos específicos. Los cables no plenum como el pvc es un tipo de plástico utilizado para construir el aíslante y la clavija del cable en la mayoría de los tipos de cable coaxial. El cable de PVC es flexible y se puede instalar fácilmente a través de la superficie de una oficina. Sin embargo, cuando se quema, desprende gases tóxicos. 32 Objetivo 2.2 Conector RJ-11 En aspecto similar al RJ-45 pero más chico, se utiliza en la conexión de líneas telefónicas y módems. La figura 2.2-1 muestra un ejemplo de ellos Figura 2.2-1 Conector RJ11 Conector RJ-45 Estos conectores son muy similares a los para las líneas telefónicas, su diferencia física es su tamaño además el RJ-45 utiliza 8 cables en vez de 4 que utiliza el cableado telefónico, y nos permiten velocidades que van desde los 10 Mbps. hasta 1000 Mbps. según sea el cable UTP que utilicemos y el equipo de comunicación al que nos vamos a conectar. (Vea la figura 2.2-2) Figura 2.2-2 Conector RJ45 Conectores de Fibra óptica Existen actualmente varios tipos de conectores para el cableado de fibra óptica a continuación discutiremos algunos de ellos, y es importante que ustedes puedan reconocerlos por su forma física para cuestión de examen, ya que podrían encontrarse con algunas preguntas al respecto de estos conectores y el cableado de fibra óptica Conectores ST Conector con ferrule de zirconio y pulido convexo, en versiones plástico o metal. Utilizan un método de enroscado para su conexión (Vea la figura 2.2-3) Figura 2.2-3 Conector ST 33 Conectores SC Conector con ferrule de zirconio y pulido angular convexo a 8 (Vea la figura 2.2-4) Figura 2.2-4 Conector SC Conector LC Figura 2.2-5 Conector LC El conector LC se asemeja a un pequeño conector SC. Lucent Technologies ha desarrollado el conector LC para su uso en entornos Telco. El conector LC se ha normalizado como FOCIS 10 (conector de fibra óptica Intermateability Standards) en EIA/TIA-604-10. (Vea la figura 2.2-5) Conector RS-232 El RS-232 es una interfaz que designa una norma para el intercambio serie de datos binarios entre un DTE (Equipo terminal de datos) y un DCE. Figura 2.2-6 Conector RS-232 de 9 pines El RS-232 consiste en un conector tipo DB-25 (de 25 pines), aunque es normal encontrar la versión de 9 pines (vea la figura 2.2-6), más barato e incluso más extendido para cierto tipo de periféricos (como el ratón serie del PC). 34 Objetivo 2.3 Topologías En una red simple, compuesta por sólo algunas computadoras, es sencillo visualizar cómo se conectan los diferentes componentes. A medida que las redes crecen, es más difícil recordar la ubicación de cada componente y cómo está conectado a la red. Las redes conectadas por cable requieren mucho cableado y varios dispositivos de red para proporcionar conectividad a todos los hosts de la red. Cuando se instala una red, se crea un mapa de la topología física para registrar dónde está ubicado cada host y cómo está conectado a la red. El mapa de la topología física también muestra dónde están los cables y las ubicaciones de los dispositivos de networking que conectan los hosts. En estos mapas de la topología, se utilizan íconos para representar los dispositivos físicos reales. Es muy importante mantener y actualizar los mapas de la topología física para facilitar futuras tareas de instalación y resolución de problemas. Además del mapa de la topología física, a veces es necesario tener también una representación lógica de la topología de red. Un mapa de la topología lógica agrupa los hosts según el uso que hacen de la red, independientemente de la ubicación física que tengan. En el mapa de la topología lógica se pueden registrar los nombres de los hosts, las direcciones, la información de los grupos y las aplicaciones. Las figuras 2.3-1, 2.3-2 ilustran la diferencia entre los mapas de topología lógica y física. Figura 2.3-1 Ejemplo de una topología física 35 Figura 2.3-2 Ejemplo de una topología lógica Topología de bus La topología de bus tiene todos sus nodos conectados directamente a un enlace y no tiene ninguna otra conexión entre nodos. Físicamente cada host está conectado a un cable coaxial común (trunk o backboone) usando conectores tipo T, por lo que se pueden comunicar directamente, aunque la ruptura del cable hace que los hosts queden desconectados. La topología de bus permite que todos los dispositivos de la red puedan ver todas las señales de todos los demás dispositivos, lo que puede ser ventajoso si desea que todos los dispositivos obtengan esta información. Sin embargo, puede representar una desventaja, ya que es común que se produzcan problemas de tráfico y colisiones, que se pueden paliar segmentando la red en varias partes. Para evitar rebotes de una señal se debe utilizar un terminador al final de cada punta. La implementación más común de una topología de bus es el estándar IEEE 802.3 (vea la figura 2.3-3). Figura 2.3-3 36 En la tabla 2.3-1 puede ver las ventajas y desventajas de la topología de bus Tabla 2.3-1 Ventajas Comparado con otras topologías esta es fácil de instalar y configurar Requiere menos cantidad de cable que cualquier otra topología. No utiliza ningún equipo especializado para su configuración o comunicación de red. Desventajas Habrá una interrupción en la comunicación de la red al agregar o quitar computadoras. Por estar todas las computadoras conectadas al mismo cable o bus, una ruptura en el cable haría que toda la red perdiera comunicación. Es difícil localizar un punto de falla en redes grandes utilizando esta topología. Topología de anillo (Ring) Las estaciones están unidas unas con otras formando un círculo por medio de un cable común (vea la figura 2.3-4). El último nodo de la cadena se conecta al primero cerrando el anillo. Las señales circulan en un sólo sentido alrededor del círculo, regenerándose en cada nodo. Con esta metodología, cada nodo examina la información que es enviada a través del anillo. Si la información no está dirigida al nodo que la examina, la pasa al siguiente en el anillo. La desventaja del anillo es que si se rompe una conexión, se cae la red completa. Uno de las desventajas que tiene esta topología es al querer agregar o quitar alguna computadora ya que por obvias razones se tiene que interrumpir el trabajo de la red. Figura 2.3-4 Una red de anillo comúnmente es cableada de forma de estrella, en una red token ring se utiliza una unidad denominada MSAU (multistation access unit) que sería el equivalente a un hub o switch de las redes ethernet generando de forma interna la circulación de los datos, así como al colocar más de un msau los puertos ring in (RI) y ring out (RO) de cada msau deben estar conectados a otro msau el puerto RI debe estar conectado al ultimo msau en el puerto RO y el RO del primer msau debe estar conectado al último msau al puerto RI para de esta forma cerrar el círculo, en la siguiente tabla podemos observar algunas de las ventajas y desventajas de las redes de anillo. 37 En la tabla 2.3-2 puede ver las ventajas y desventajas de la topología de anillo Tabla 2.3-2 Ventajas Las fallas en el cableado son fáciles de localizar, haciendo la resolución de problemas fácil en esta topología de red Son moderadamente fáciles de instalar Desventajas Al expandir o crecer la red se generan problemas de conectividad o suspensión del servicio de la red en todas las terminales. Un falla en cualquier segmente del cable haría que toda la red fuera inaccesible. Topología de estrella (Star) En una topología de estrella todas las computadoras y otros componentes de red están conectados a un punto central mediante un hub o switch. Cada elemento necesita un cable que debe ser conectado al hub o switch con lo que se crea una conexión punto a punto entre ese elemento y el hub (vea la figura 2.3-5). Figura 2.3-5 Aunque la topología de estrella requiere más cable que una de bus, ésta tiene una tolerancia a fallos mayor, por ejemplo si un cable se rompe sólo dejará de funcionar el dispositivo que esté conectado a él, también es las más fácil de expandir en el número de computadoras o periféricos ya que en comparación con cualquiera de las otras topologías al colocar o quitar una computadora de la red no existirá interrupción en el servicio de red. En la actualidad esta topología es la de mayor implementación aunque hay que tomar en consideración que por la mayor cantidad de cable que se utiliza y el uso de otros componentes el costo de implantación es también mayor. En la tabla 2.3-3 puede ver las ventajas y desventajas de la topología de estrella 38 Tabla 2.3-3 Ventajas La topología de estrella es fácil de expandir sin causar interrupción en el servicio de la red. La falla de cable afecta únicamente a la computadora o equipo conectado a ese cable. Fácil de localizar las fallas, y de corregir los problemas de comunicación. Desventajas Requiere más cable que cualquier otra topología de red. El utilizar un sólo concentrador o hub para la comunicación de la red, permite un sólo punto de falla en toda la red, ya que si el concentrador o switch falla toda la red quedaría sin servicio. Es una topología difícil de implementar comparada con las anteriores. Topología de malla ( Mesh ) En una topología de malla, cada computadora se enlaza directamente con las demás computadoras. Las ventajas son que, como cada computadora se conecta físicamente a los demás, se crea una conexión redundante lo que significa que si algún enlace deja de funcionar la información puede circular a través de cualquier cantidad de enlaces hasta llegar a destino. Además, esta topología permite que la información circule por varias rutas a través de la red (vea la figura 2.3-6). Figura 2.3-6 Aunque es la topología que mayor rango de tolerancia ofrece, su desventaja física principal es que sólo funciona con una pequeña cantidad de computadoras, ya que de lo contrario la cantidad de medios necesarios para los enlaces, y la cantidad de conexiones con los enlaces se torna abrumadora veamos: Para cada n computadoras tendrás n*(n-1) / 2 conexiones, por ejemplo en el gráfico de la topología de malla se tienen 5 computadoras por lo que se tendrán 5*(5-1) / 2 =10 conexiones. Como se puede comprender a mayor cantidad de computadoras se tengan, el número de conexiones crece considerablemente por lo que la localización de puntos de falla es muy difícil, además de que es la que mayor cantidad de cable requiere y es una de la una de las más caras de implementar por la cantidad de conexiones. 39 En la tabla 2.3-4 puede ver las ventajas y desventajas de la topología de malla. Tabla 2.3-4 Ventajas Provee redundancia entre equipos conectados y tolerancia a fallos. La red puede ser expandida sin interrupción en los servicios de red. Desventajas Requiere más cable que cualquier otra topología de red. La implementación es muy complicada. Topología punto-a-punto La topología punto-a-punto (point-to-point o PTP) conecta dos nodos directamente. Por ejemplo, dos computadoras comunicándose por módems, una terminal conectándose con una mainframe, o una estación de trabajo comunicándose a lo largo de un cable paralelo con una impresora. En un enlace PTP, dos dispositivos monopolizan un medio de comunicación. Debido a que no se comparte el medio, no se necesita un mecanismo para identificar las computadoras, y por lo tanto, no hay necesidad de direccionamiento. Topología híbrida En una topología híbrida, se combinan dos o más topologías para formar un diseño de red completo. Raras veces, se diseñan las redes utilizando un solo tipo de topología. Por ejemplo, es posible que desee combinar una topología en estrella con una topología de bus para beneficiarse de las ventajas de ambas (vea la figura 2.3-7). Importante: En una topología híbrida, si un solo equipo falla, no afecta al resto de la red. Figura 2.3-7 topología híbrida Normalmente, se utilizan dos tipos de topología híbridas: topología en estrella-bus y topología en estrella-anillo. 40 En estrella-bus: En una topología en estrella-bus, varias redes de topología en estrella están conectadas a una conexión en bus. Cuando una configuración en estrella está llena, podemos añadir una segunda en estrella y utilizar una conexión en bus para conectar las dos topologías en estrella. En una topología en estrella-bus, si un equipo falla, no afectará al resto de la red. Sin embargo, si falla el componente central, o concentrador, que une todos los equipos en estrella, todos los equipos adjuntos al componente fallarán y serán incapaces de comunicarse. En estrella-anillo: En la topología estrella-anillo, los equipos están conectados a un componente central al igual que en una red en estrella. Sin embargo, estos componentes están enlazados para formar una red en anillo. Al igual que la topología en estrella-bus, si un equipo falla, no afecta al resto de la red. Utilizando el paso de testigo, cada equipo de la topología en estrella-anillo tiene las mismas oportunidades de comunicación. Esto permite un mayor tráfico de red entre segmentos que en una topología en estrella-bus. Topologías punto a multipunto En caso que la cantidad de colisiones sean las suficientes para afectar el normal desempeño de la red, se debe pasar a una topología de concentración de las comunicaciones ubicando en el centro un dispositivo con la inteligencia y capacidad de administrar estas comunicaciones adecuadamente y restringiendo las colisiones a un conjunto de dispositivos determinado (llamado dominio de colisión). Estos dispositivos deben entonces conmutar las comunicaciones y/o encaminarlas convenientemente entre un punto central y varios (Multipuntos), estas operaciones son realizadas por switches (para la conmutación) si es una sola red LAN o se utilizan routers (para el encaminamiento) si hay que conectar varias redes LAN entre sí. 41 Objetivo 2.4 El cableado es una parte integral de la construcción de cualquier red. Cuando se instala el cableado es importante seguir los estándares de cableado, que fueron desarrollados para garantizar que las redes de datos funcionen de acuerdo con niveles acordados de rendimiento. Los estándares de cableado son un conjunto de especificaciones para la instalación y evaluación de los cables. Los estándares especifican los tipos de cables que deben utilizarse en entornos específicos, materiales conductores, diagrama de pines, tamaños de cable, blindaje, longitudes de cables, tipos de conectores y límites de rendimiento. Existen muchas organizaciones diferentes que participan en la creación de estándares de cableado. Si bien algunas de estas organizaciones tienen jurisdicción local únicamente, muchas ofrecen estándares que se adoptan en todo el mundo. En la figura 2.4-1 se muestran algunas de estas organizaciones y las áreas que administran. Figura 2.4-1 Organizaciones que determinan los estándares de cableado Normas 58A y 58B El cable de par trenzado es el más utilizado en las instalaciones de redes. La organización TIA/EIA define dos patrones o esquemas de cableado diferentes, llamados T568A y T568B. Cada esquema de cableado define el diagrama de pines o el orden de las conexiones de cable, en el extremo del cable. Ambos esquemas son similares, excepto en que el orden de terminación de dos de los cuatro pares está invertido. 42 Este la figura 2.4-2 muestra la codificación de color y la forma en que se invierten los dos pares. Figura 2.4-2 T568A y T568B En una instalación de red se debe seleccionar y seguir uno de los dos esquemas de cableado (T568A o T568B). Es importante utilizar el mismo esquema de cableado para todas las terminaciones del proyecto. Si trabaja sobre una red existente, utilice el esquema de cableado ya empleado. Al utilizar los estándares de cableado T568A y T568B, se pueden crear dos tipos de cables: un cable directo y un cable cruzado. Estos dos tipos de cables pueden encontrarse en las instalaciones de datos. Cables directos El cable directo es el tipo de cable más común. Asigna un cable a los mismos pines en ambos extremos del cable. Es decir: si se usa T568A en un extremo del cable, también se usa T568A en el otro extremo. Si se usa T568B en un extremo del cable, se usa T568B en el otro. Esto significa que el orden de las conexiones (el diagrama de pines) de cada color es exactamente el mismo en ambos extremos. El tipo de cable directo (T568A o T568B) utilizado en la red define el esquema de cableado de ésta. Cable cruzado El cable cruzado utiliza ambos esquemas de cableado. T568A en un extremo del cable y T568B en el otro extremo del mismo cable. Esto implica que el orden de las conexiones en un extremo del cable no coincide con el orden de las conexiones en el otro. Los cables directos y cruzados tienen usos específicos en la red. El tipo de cable necesario para conectar dos dispositivos depende de qué pares de cables utilice el dispositivo para transmitir y recibir datos. Se asocian pines específicos en el conector a una función de transmisión y a una función de recepción. El dispositivo determinará cuál será el pin de transmisión y cuál el de recepción. Dos dispositivos conectados directamente y que utilizan pines diferentes para transmitir y recibir se denominan dispositivos disímiles. Requieren un cable directo para intercambiar datos. Los dispositivos conectados directamente y que utilizan los mismos pines para transmitir y recibir se conocen como dispositivos similares. Éstos requieren un cable cruzado para intercambiar datos 43 Dispositivos disímiles Los pines del conector de datos RJ-45 de una PC utilizan los pines 1 y 2 para la transmisión, y 3 y 6 para la recepción. Los pines en el conector de datos de un switch utilizan los pines 1 y 2 para la recepción, y los pines 3 y 6 para la transmisión. Los pines utilizados para la transmisión en la PC corresponden a los utilizados para la recepción en el switch. Por lo tanto, se requiere un cable directo. El cable conectado al pin 1 (pin de transmisión) de la PC en un extremo del cable está conectado al pin 1 (pin de recepción) en el switch, en el otro extremo del cable. Éstos son algunos ejemplos de dispositivos disímiles que requieren un cable directo: Puerto de switch a puerto de router Puerto de hub a PC. Dispositivos similares Si una PC está conectada directamente a otra PC, los pines 1 y 2 en ambos dispositivos son pines de transmisión, y los pines 3 y 6 son de recepción. Un cable cruzado asegura que el cable verde conectado a los pines 1 y 2 (pines de transmisión) en una PC se conecte a los pines 3 y 6 (pines de recepción) en la otra PC. Si se utilizara un cable directo, el cable conectado al pin 1, el pin de transmisión, en la PC1 estaría conectado al pin 1, el pin de transmisión, en la PC2. No es posible recibir datos en un pin de transmisión. Éstos son otros ejemplos de dispositivos similares que requieren un cable cruzado: Puerto de switch a puerto de switch Puerto de switch a puerto de hub Puerto de hub a puerto de hub Puerto de router a puerto de router PC a puerto de router PC a PC Si se utiliza el tipo de cable incorrecto, no funcionará la conexión entre los dispositivos. Algunos dispositivos detectan automáticamente qué pines se utilizan para transmitir y recibir, y ajustan sus conexiones internas respectivamente. Roll over El cable rollover se trata de un cable transpuesto, es decir, el pin 1 de un extremo está conectado al pin 8 del otro; el pin 2 al pin 7 o lo que es lo mismo, cada pin de un conector con su opuesto en el otro. Se puede utilizar cualquiera de los estándares utilizados anteriormente. (568-A y 568-B). 44 Objetivo 2.5 Packet switching Paradigma de comunicaciones mediante el cual cada paquete de un mensaje recorre una ruta entre sistemas anfitriones (hosts), sin que esa ruta (path) este previamente definida. Su contenido puede ir desde un texto corto a un voluminoso conjunto de textos, gráficos estáticos o en movimiento, sonido, etc. Circuit switching network Red de conmutación de circuitos Tipo de red de área amplia (WAN) ejemplificada por el sistema telefónico mundial, en la cual las estaciones originaria y receptora están vinculadas por un simple circuito físico creado por complejos mecanismos de conmutación. ISDN El ISDN le permite a su línea de teléfono transmitir voz, datos e imágenes simultáneamente es una alternativa para las conexiones WAN por medio de módems lentos pero tiene un alto precio. Para tener este servicio se necesita de una línea telefónica especial la cual puede ser contratada con su distribuidor local. ISDN tiene dos interfaces estándar – Basic Rate Interface (BRI) y Primary Rate Interface (PRI). BRI Utiliza 3 canales, 2 de ellos conocidos como (B) de 64kbps cada uno y un delta (D) de 16Kbps. Los canales B pueden transmitir voz o datos y el canal D es usado para señalización. Los 2 canales B pueden usarse por separado o combinarse para transmitir a una velocidad de 128Kbps PRI Es una forma de ISDN que generalmente trabaja sobre una línea T1 y puede proporcionar una velocidad de transmisión de 1.544 Mbps. PRI está compuesta por 23 canales B y un canal D. Tabla 2.5-1 Comparación entre BRI y PRI Características Velocidad Canales Portador de transmisión PRI 1.544Mbps 23B+D T1 BRI 128 Kbps 2B+D PSTN 45 T-carrier lines T- carrier líneas son unas líneas que pueden ser contratadas con su compañía telefónica soportan la transmisión de voz y datos. Existen 4 tipos de líneas T: T1. Estas líneas ofrecen una transmisión de 1.544Mbps y son usadas comúnmente para la conexión de LANs. T2 ofrecen una velocidad de 6.312Mbps utilizando 96 canales B T3 ofrecen una velocidad de hasta 44.736Mbps utilizando 672 canales B T4 ofrecen una transmisión de hasta 274.176Mbps usando 4032 Kbps canales B FDDI (Distributed Data Interface) La red FDDI (Interfaz de Datos sobre Fibra Distribuida) es una red en anillo dual con velocidad de transmisión de 100 Mbps sobre fibra óptica. La especificación FDDI es un estándar ANSI. FDDI es capaz de soportar un gran número de estaciones con pequeños retrasos. FDDI puede conectar hasta 500 nodos y la longitud máxima de las fibras es 200 Km. La distancia entre nodos sucesivos no puede sobrepasar los 2 Km. SONET La red óptica sincronía (SONET, Synchronous Optical Network originalmente propuesto por Bellcore (Bell comunication research), normalizada por ANSI; define un estándar para señales ópticas, una estructura de trama para el multiplexado de trafico digital y un tráfico de operaciones. SONET se ideo para proporcionar una especificación que aproveche las ventajas que proporciona la transmisión digital de alta velocidad a través de fibra óptica. SONET es una tecnología de la capa física diseñada para proporcionar una transmisión universal y los multiplexores forman planos, con proporciones en la transmisión del Gigabyt por segundo, funcionamiento sofisticado y sistemas de dirección. Esta tecnología es regularizada por las normas nacionales americanas instituya (ANSI) T1 comité. Una tecnología parecida es el SDH, es regularizada por la unión de las telecomunicaciones internacionales (ITU) y es muy similar a SONET sólo que su jerarquía del multiplexado es una jerarquía de SONET. En la tabla 2.5-2 se muestra un resumen de las velocidades de transmisión de SONET a través de unos canales de transmisión conocidos como OC (optical carriers) 46 Tabla 2.5-2 Velocidades OC-x Portadora óptica Velocidad binaria (Mbps) OC-1 51,84 OC-3 155,52 OC-12 622,08 OC-24 1244,16 OC-48 2488,32 OC-192 9953,28 X.25 X.25 es la especificación para redes públicas de conmutación de paquetes que trabajan sobre SVC’s Switched Virtual Circuits (Circuitos Virtuales Conmutados). X.25 propiamente dicho corresponde a la capa 3 y se la denomina PLP (Packet Layer Protocol). La norma X.25 y sus protocolos de soporte definen sólo la comunicación entre estos 2 dispositivos, no interesa cómo es la red en su interior. La red puede ser Frame Relay, ATM, TCP/IP u otra. X.25 utiliza packet switching lo que significa que utiliza diferentes rutas para obtener la mejor conexión entre el componente que envía y el que recibe. MPLS Es un mecanismo de transporte de datos estándar creado por la IETF y definido en el RFC 3031. Opera entre la capa de enlace de datos y la capa de red del modelo OSI. Fue diseñado para unificar el servicio de transporte de datos para las redes basadas en circuitos y las basadas en paquetes. Puede ser utilizado para transportar diferentes tipos de tráfico, incluyendo tráfico de voz y de paquetes IP. xDSL DSL sigla de Digital Subscriber Line (Línea de abonado digital) es un término utilizado para referirse de forma global a todas las tecnologías que proveen una conexión digital sobre línea de abonado de la red telefónica local: ADSL, ADSL2, ADSL2+ SDSL, IDSL, HDSL, SHDSL, VDSL y VDSL2. Tienen en común que utilizan el par trenzado de hilos de cobre convencionales de las líneas telefónicas para la transmisión de datos a gran velocidad, su rango es de 5.5 km sin necesidad de utilizar un repetidor. 47 La diferencia entre ADSL y otras DSL es que la velocidad de bajada y la de subida no son simétricas, es decir que normalmente permiten una mayor velocidad de bajada que de subida. Broad Band Cable. Usado por el común de las personas (megared por ejemplo utiliza esta tecnología) y muchas empresas, proporciona acceso a internet mediante el uso de un cable coaxial y un modem, las compañías que venden este servicio ofrecen velocidades de 256, 512, 1024, 2028 Mbps. POST POTS es el acrónimo de Plain Old Telephone Service (viejo servicio telefónico, conocido también como Servicio Telefónico Tradicional), que se refiere a la manera en cómo se ofrece el servicio telefónico analógico (o convencional) por medio de hilos de cobre. En castellano, se denomina RTB. Este servicio es conocido como viejo o tradicional debido a que es el usado desde la invención del teléfono, ya que en las últimas décadas la introducción de medios electrónicos y computacionales ha supuesto la creación de la telefonía digital. Satellite La tecnología satelital permite tener acceso a internet, mediante un modem satelital se envían señales desde una pc a un satélite, las velocidades de descarga son de 1.5 Mbps y 128 Kbps de subida. Esta tecnología resulta muy útil por ejemplo en zonas rurales sonde no se cuenta con tecnología DSL o cableado convencional. Wireless La comunicación inalámbrica o wireless es el tipo de comunicación en la que no se utiliza un medio de propagación físico, sino se utiliza la modulación de ondas electromagnéticas, las cuales se propagan por el espacio sin un medio físico que comunique cada uno de los extremos de la transmisión. En general, la tecnología inalámbrica utiliza ondas de radiofrecuencia de baja potencia y una banda específica, de uso libre para transmitir, entre dispositivos. Estas condiciones de libertad de utilización, sin necesidad de licencia, han propiciado que el número de equipos, especialmente computadoras, que utilizan las ondas para conectarse, a través de redes inalámbricas haya crecido notablemente. Para tener conexión se utilizan access point que normalmente vienen con antena omni 2 Dbi, muchas veces desmontables, en las cuales se puede hacer enlaces por encima de los 50 metros. 48 Objetivo 2.6 Estándar IEEE 802.3 El estándar 802.3 define los rangos de los sistemas de redes en la actualidad, y están basados en la velocidad, topología física, y consideraciones de implementación que se deben seguir para la instalación de una red. 10baseT El estándar 10baseT nos permite una velocidad máxima de 10Mbps. Utiliza cable de par trenzado para realizar la conexión, y la máxima distancia por segmento es de 100 metros, las redes 10BaseT utilizan una topología de estrella realizando una conexión punto a punto entre el equipo o periférico al hub o switch, las redes 10BaseT pueden utilizar distintos tipos de categoría de cable par trenzado incluyendo categorías 3,4 y 5. 10 BaseFL El comité de IEEE publicó una especificación para Ethernet en cable de fibra óptica El resultado, 10 BaseFL (10 Mbps, banda base sobre cable de fibra óptica) es una red Ethernet que suele utilizar cable de fibra óptica para conectar los equipos y los repetidores. La principal razón para utilizar 10BaseFL es para trabajar con cables largos entre repetidores, como puede ser entre edificios. Algunas de sus características son: Longitud máxima del segmento: 2.000 metros. Atenuación máxima: 3,75 dB/km para las transmisiones con una longitud de onda de 850 nm; 1,5 dB/km para transmisiones en 1300 nm Número máximo de concentradores (hub) encadenados: 4 La Regla 5-4 para las redes de cableado UTP Igual que en las implementaciones de cable coaxial, existen reglas a seguir para implementar una red de cableado utp o par trenzado, la cual se maneja de la siguiente manera, un total de 5 segmentos se pueden utilizar utilizando un máximo de 4 repetidores, con la diferencia que los 5 segmentos pueden tener población o periféricos conectados. Fast Ethernet Actualmente es una de las redes más utilizadas para empresas y hogares, ya que su implementación ha bajado en cuanto a costo y facilidad de instalación. Ya que hoy en día muchas de las aplicaciones que utilizamos requieren de un gran ancho de banda para transmitir sus datos, podremos encontrar en casi cualquier empresa implementaciones de redes con el estándar de fast ethernet, el cual es una variación del estándar IEEE 802.3 y se conoce como 802.3U y que tiene las siguientes variaciones. 49 100 BaseTX 100 BaseT4 100 BaseFX 100BaseTX Esta es la implementación más utilizada en las redes actualmente, utiliza dos pares de cable de categoría 5 de par trenzado y puede ser utilizado el cableado de par trenzado STP cuando se requiere mayor protección a interferencias EMI, y se pueden obtener velocidades de hasta 100 Mbps y una longitud máxima por segmento de 100 metros. 100BaseT4 La ventaja de utilizar este estándar es para poder aprovechar el cableado ya instalado para poder realizar conexiones a velocidades de 100 Mbps utilizando cableado de categorías como serian 3 o 4, esta implementación utiliza los 4 pares de cables de las categorías 3,4 o 5 y previene la transmisión de datos en modo full duplex o modo completo. 100BaseFx El estándar IEEE 100BaseFX especifica una velocidad de 100Mbps sobre cable de fibra óptica, este estándar puede utilizar ambos modos en la fibra óptica, modo sencillo o multimodo, y tiene una distancia máxima del segmento de 412 metros cuando se utiliza cable de fibra multimodo, y 10,000 metros cuando se utiliza cable de fibra de modo sencillo, en la tabla 2.6-1 podremos ver un resumen de los estándares de 100Mbps así como sus características resumidas, es importante que recuerden las características de la tabla para cuestión de examen ya que casi seguro podrán encontrarse con algunas preguntas referentes a ella. Tabla 2.6-1 Comparación de Redes de 100 Mbps. Estándar Tipo del Cable 100BaseTX 100BaseT4 100BaseFX Categoría 5 UTP Categoría 2, 4, 5 UTP Multimodo Modo sencillo Fibra óptica Longitud Segmento 100 metros 100 metros 412 metros 10,000 metros del Conectores Topología RJ-45 RJ-45 Física de estrella Física de estrella SC, ST, MIC Física de estrella Gigabit Ethernet Este es uno de los estándares que nos ofrece una mayor velocidad de transferencia de datos a 1 Gbps o 1000 Mbps. Y existen dos estándares utilizados para la transferencia de gigabit ethernet que son sobre cableado de fibra óptica y sobre cableado de cobre o par trenzado, obviamente el estándar de fibra óptica es uno de los más utilizados hoy en día, aunque no hay que menospreciar el que utiliza el cableado de par trenzado ya que su uso cada día es más habitual en empresas donde requieren transferir gran número de archivos a una velocidad alta. Las dos especificaciones que menciona el estándar de gigabit son 802.3Z y 802.3AB. 50 802.3Z El estándar más ampliamente utilizado en tecnología gigabit en la actualidad es el IEEE 802.3z sobre fibra óptica (f.o.) multimodo, 1000baseSX. Esta norma proporciona una velocidad de 1 Gbps con conexiones de hasta 550 m, solucionando el 90% de las demandas de gran ancho de banda de las redes actuales. Para redes Gigabit con necesidades de distancia superiores el IEEE 802.3z impone la norma 1000baseLX en f.o. multimodo (hasta 550 m) y modo sencillo (monomodo) (hasta 5 Km.). Si deseamos usar conexiones a 1 Gbps sobre cables de cobre y equilibrados que enlacen salas de equipos disponemos de la norma 1000baseCX, para distancias de hasta 25 m. 802.3AB El cableado de categoría 5 es en estos momentos es el estándar predominante para LANs y se emplea de forma abrumadora frente a otros tipos de cable tales como la fibra óptica, coaxial delgado y categoría 6. Para poder reutilizar el cableado existente en las redes y alcanzar 1 Gbps, la IEEE impuso el estándar 802.3ab, con transceptores 1000baseT, para cableado de par trenzado sin apantallar o sin protección, utilizando 4 pares y categoría 5, a una distancia máxima de 100 metros. En la siguiente tabla veremos las principales de características de las redes a 1000Mbps. Tabla 2.6-2 Comparación de redes 1000 Mbps. Estándar Tipo del Cable 1000BaseLX 1000BaseSX 1000BaseCX Multimodo Modo Sencillo Fibra óptica Multimodo Fibra óptica STP par trenzado Longitud Segmento 550 Metros 5000 Metros del 550 Metros usando 50 Micrón multimodo fibra óptica 25 Metros Conectores Conectores de Fibra Conectores de Fibra Conector de 9 Pines con escudo, conector de fibra de 8 pines tipo 2 10GBase-SR Interfaz de nivel físico de 10 Gigabit Ethernet para redes de área local. Se trata de una interfaz LAN serial 850-nm para fibra multimodo capaz de alcanzar una distancia de transmisión máxima de 65 metros 10GBase-LR Interfaz de nivel físico (PHY) de 10 Gigabit Ethernet para conexiones de área local. Se trata de una interfaz LAN serial 1.310 nm para fibra monomodo capaz de alcanzar una distancia de transmisión máxima de 10 kilómetros. 10GBase-ER Interfaz de nivel físico (PHY) de 10 Gigabit Ethernet para conexiones de área local. Se trata de una interfaz LAN serial 1.550 nm para fibra monomodo capaz de alcanzar una distancia de transmisión máxima de 40 kilómetros. 51 Objetivo 2.7 Modelos de Redes. Básicamente hay dos modelos de redes a escoger el denominado punto a punto (peer to peer) y el cliente servidor (Client /Server). El modelo a utilizar para el diseño de la red es determinado por varios factores, incluyendo en cómo se va a utilizar la red, cuantos usuarios va a tener y algunas otras consideraciones. Redes Punto a Punto (peer to peer) Una red punto a punto es un modelo de red el cual ofrece un almacenamiento no centralizado de los recursos que se encuentran en la red, cada uno de los periféricos conectados a esta LAN ofrecen sus recursos de manera propia y controlan el acceso a los servicios que están ofreciendo o compartiendo de forma independiente en toda la red, y no contienen un almacén centralizado para la autentificación de los usuarios, cada equipo que comparte un recurso debe contar con su propia base de datos de usuarios autorizados para utilizar dicho recurso, este modelo de red es de fácil implementación en comparación con el modelo de red de cliente / servidor pero no funciona de forma adecuada para redes grandes o con un gran número de usuarios o equipos, ya que cuando una red de punto a punto crece se va volviendo mas y mas complicado el navegar entre los distintos recursos que comparten los equipos que se encuentran en la red, así como también se va volviendo sumamente complicada la administración de cuentas de usuarios y la seguridad de la red se va viendo comprometida. Típicamente este tipo de redes se encuentran en pequeñas empresas o casas donde están limitados a un pequeño número de computadoras que están dentro de la red y que sólo comparten unos cuantos recursos o directorios en la red, una regla general para instalar una de estas redes, es no utilizar más de 10 computadoras conectadas a una red de punto a punto. Ya que complicaría su administración y localización de recursos en la red. Redes Cliente / Servidor (Client / Server Network) Las redes cliente / servidor sin lugar a duda es una de las mas implementadas en la actualidad y es una de las que podrás encontrar con mayor frecuencia al entrar a un mercado laboral, aun cuando este modelo de redes tiende a ser más caro que un modelo de punto a punto, sus ventajas han hecho que las empresas migren a este modelo al permitirles una mejor manera de controlar los recursos que comparten así como también el mantener un mejor nivel de seguridad, y un aprovechamiento óptimo de los recursos de la empresa, ya que los usuarios pierden poco tiempo al buscar dentro de la red algún recurso compartido, como podría ser una impresora, un directorio, un correo electrónico, etc. este modelo requiere para su implementación de personal con cierto nivel de conocimiento en la implementación de redes cliente / servidor, así como de un servidor dedicado, y software especializado, pero nos provee de un nivel fácil de administración en cuanto a la seguridad de usuarios, recursos, y búsqueda de información dentro de este modelo de red. Por eso es el modelo a escoger para trabajar en un ambiente empresarial. 52 El rol de una computadora cliente en un ambiente de este modelo se limita a solicitar la información al servidor y presentársela al usuario en la computadora cliente. Todas las cuentas de usuarios, así como la localización de los recursos se encuentran de forma centralizada en el servidor, y se pueden llegar a mezclar múltiples servidores para realizar distintas tareas. Una comparación entre los dos modelos se presenta en la siguiente tabla. Tabla 2.7-1 Comparación de modelos de red Característica Tamaño Red Punto a Punto Restringido a un máximo de 10 computadoras Administración Cada equipo dentro de la red controla o maneja la administración de sus usuarios así como de los recursos que se comparten, no se requiere de un administrador dedicado. Seguridad Cada equipo y usuario es responsable por la seguridad de los recursos y archivos que están compartiendo dentro de la red. Costo Costo mínimo para su implementación y puesta en funcionamiento Implementación Fácil de configurar y ponerla a funcionar Red Cliente / Servidor El tamaño de la red está únicamente limitado por el tamaño del servidor y el hardware de comunicaciones que se está utilizando, por esta razón se pueden tener miles de equipos conectados a esta red. Un administrador dedicado con conocimiento en redes cliente / servidor es requerido para el manejo y mantenimiento de la red. La seguridad es manejada de forma centralizada pero se requiere de un administrador con conocimientos para una correcta implementación. Requiere de equipo dedicado y hardware especializado y la administración aumenta el costo de la red. Requiere de un procedimiento complejo para su implementación, así como personal calificado para su correcta configuración. VPN Figura 2.7-1 Al utilizar una VPN, se crea un túnel virtual mediante un enlace entre las direcciones de origen y destino. Todo el flujo de datos entre el origen y el destino está encriptado y encapsulado con un protocolo seguro. Este paquete seguro se transmite a través de la red. Cuando llega al extremo receptor, se desencapsula y desencripta (vea la figura 2.7-1). VPN Las VPN son aplicaciones cliente/servidor, de manera que los empleados a distancia deben instalar el cliente de la VPN en sus computadoras para establecer una conexión segura con la red de la empresa (vea la figura 2.7-2). 53 Una vez que los trabajadores a distancia están conectados a la red de la empresa a través de una VPN, pasan a ser parte de la red y tienen acceso a todos los servicios y los recursos que tendrían disponibles si se encontraran físicamente conectados a la LAN. Figura 2.7-2 VPN VLAN Los hosts y los servidores conectados a switches de Capa 2 son parte del mismo segmento de la red. Esta disposición presenta dos problemas considerables: Los switches inundan todos los puertos con las transmisiones de broadcast, lo que consume ancho de banda innecesario. A medida que aumenta la cantidad de dispositivos conectados a un switch, se genera más tráfico de broadcast y se desperdicia más ancho de banda. Todos los dispositivos conectados a un switch pueden enviar y recibir tramas de todos los demás dispositivos del mismo switch. Una de las mejores prácticas de diseño de red establece que el tráfico de broadcast debe quedar restringido al área de la red en la que resulta necesario. También existen razones comerciales por las cuales ciertos hosts se comunican entre ellos, pero otros no. Por ejemplo, es posible que los miembros del departamento de contabilidad sean los únicos usuarios que necesiten acceso al servidor de contabilidad. En una red conmutada, redes de área local virtuales (VLAN) se crean de modo que contengan broadcast y agrupen a los hosts en comunidades de interés. Una VLAN es un dominio lógico de broadcast que puede abarcar diversos segmentos de una LAN física. Esto le permite a un administrador agrupar estaciones por función lógica, por equipos de trabajo o por aplicaciones, independientemente de la ubicación física de los usuarios. 54 La siguiente figura 2.7-3 muestra el funcionamiento de la VLAN. Figura 2.7-3 VLAN La diferencia entre una red física y una red virtual o lógica puede ilustrarse mediante el siguiente ejemplo: Los estudiantes de una escuela se dividen en dos grupos. Los estudiantes del primer grupo se identifican con tarjetas rojas. Los del segundo grupo se identifican con tarjetas azules. El director anuncia que los estudiantes con tarjetas rojas sólo pueden hablar con los compañeros que también tengan tarjetas rojas, y que los estudiantes con tarjetas azules sólo pueden hablar con sus compañeros poseedores de tarjetas azules. Ahora los estudiantes están separados lógicamente en dos grupos virtuales, o VLAN. Según esta agrupación lógica, un broadcast se transmite sólo al grupo con tarjetas rojas, aunque ambos grupos están ubicados físicamente en la misma escuela. Este ejemplo también ilustra otra función de las VLAN. Los broadcasts no se envían entre distintas VLAN, están restringidos a la misma VLAN. Cada VLAN funciona como una LAN individual. Una VLAN abarca uno o más switches, lo que permite que los dispositivos host funcionen como si estuvieran en el mismo segmento de la red. Una VLAN tiene dos funciones principales: Contiene broadcasts. Agrupa dispositivos. Los dispositivos ubicados en una VLAN no son visibles para los dispositivos ubicados en otra VLAN. 55 Es necesario que el tráfico cuente con un dispositivo de Capa 3 para poder transmitirlo entre VLAN. En una red conmutada, un dispositivo puede asignarse a una VLAN según su ubicación, su dirección MAC, su dirección IP o las aplicaciones que utiliza con más frecuencia. Los administradores pueden asignar la membresía a una VLAN de forma estática o dinámica. La membresía estática a una VLAN requiere que el administrador asigne de forma manual cada puerto a una VLAN específica. Por ejemplo, el puerto fa0/3 puede asignarse a la VLAN 20. Cualquier dispositivo que se conecte al puerto fa0/3 es miembro de la VLAN 20 de forma automática. Este tipo de membresía a una VLAN es el más fácil de configurar y también es el más difundido; sin embargo, requiere un mayor grado de apoyo administrativo en caso de adiciones, traslados y cambios. Por ejemplo, el traslado de un host de la VLAN a otra requiere reconfigurar manualmente el puerto del switch para asignarlo a la nueva VLAN o conectar el cable de la estación de trabajo a otro puerto del switch de la nueva VLAN. La membresía a una VLAN determinada es totalmente transparente para los usuarios. Los usuarios que trabajen en un dispositivo conectado a un puerto del switch no tienen forma de saber que son miembros de una VLAN. 56 Objetivo 2.8 Terminación de un cable UTP Los cables UTP y STP generalmente se terminan con un conector RJ-45. El conector RJ-45 se considera un componente macho, engarzado en el extremo del cable. En la vista frontal de un conector macho con los contactos metálicos hacia arriba, las ubicaciones de los pines se enumeran desde el 8, a la izquierda, hasta el 1, a la derecha. El jack es considerado el componente hembra y se ubica en los dispositivos de red, tomacorrientes o paneles de conexión. El conector RJ-45 del cable se enchufa en el jack. Se pueden comprar cables que ya incluyen los conectores RJ-45 en los extremos. También se puede realizar la terminación manualmente, en el lugar, utilizando una tenaza engarzadora. Al terminar manualmente un cable UTP con un conector RJ-45, destrence solamente una pequeña porción de cable para minimizar el crosstalk. También asegúrese de que los cables queden completamente introducidos en el extremo del conector y de que el conector RJ-45 esté engarzado en la funda del cable. Esto asegura un buen contacto eléctrico y proporciona solidez a la conexión del cable. Terminación de cables UTP en paneles de conexión y jacks de pared En un NOC, los dispositivos de red generalmente están conectados a paneles de conexión. Éstos actúan como conmutadores que conectan los cables de las estaciones de trabajo a otros dispositivos. La utilización de paneles de conexión permite reorganizar rápidamente el cableado físico de la red a medida que se añade o se reemplaza el equipamiento. Estos paneles de conexión utilizan jacks RJ-45 para una conexión rápida en el frente, pero requieren que estos cables estén perforados en el lado reverso del jack RJ-45. (Vea la figura 2.8-1) Figura 2.8-1 Panel de conexión Los paneles de conexión ya no están confinados a las instalaciones de redes empresariales. Pueden encontrarse en empresas pequeñas e incluso en hogares, donde actúan como punto central de conexión para los sistemas de datos, teléfono y también de audio. 57 Figura 2.8-2 Jacks El jack RJ-45 tiene ocho conductores y tiene un cableado acorde a T568A o T568B (vea la figura 2.8-2). En el panel de conexión, se requiere un dispositivo conocido como herramienta de perforación para insertar los cables en el conector. Los colores de los cables deben coincidir con el conector de desplazamiento del aislamiento (IDC) adecuado antes de la perforación. La herramienta de perforación también recorta todo exceso de cable. No se requiere una herramienta de perforación para terminar la mayor parte de los jacks de pared. Para terminar estos conectores, se destrenzan los cables y se colocan en el IDC apropiado. Al colocar la tapa en el jack, se empujan los cables en el IDC y se corta el aislamiento de los cables. Luego, gran parte de estos conectores requiere que el instalador recorte manualmente cualquier exceso de cable. En todos los casos, si se destrenza más cable del necesario puede aumentar la cantidad de crosstalk y degradarse el rendimiento general de la red. Cuando se realiza la terminación de un cable nuevo o reparado, es importante verificar que el cable funcione correctamente y cumpla con los estándares de conectividad. Esto puede realizarse por medio de una serie de pruebas. La primera prueba es una inspección visual, en la que se verifica que todos los cables estén conectados de acuerdo con el estándar T568A o B. Pruebas del cable Además de hacer un examen visual, realice una verificación eléctrica del cable para determinar si hay problemas o fallas en la instalación del cableado de red. A continuación presentamos algunas herramientas que pueden emplearse en el diagnóstico de cables (vea las herramientas en la figura 2.8-3 en la siguiente página): Analizadores de cables Certificadores de cable Multímetros 58 Figura 2.8-3 Herramientas de diagnóstico de cables El analizador de cables se utiliza para realizar el diagnóstico inicial. La primera prueba se denomina prueba de continuidad y verifica que exista conectividad de extremo a extremo. También puede detectar fallas de cableado, como aberturas y cortocircuitos. Un circuito queda abierto cuando el cable no está presionado adecuadamente en el conector y no hay contacto eléctrico. Una abertura también puede producirse cuando hay una ruptura en el cable. El cortocircuito ocurre cuando los conductores de cobre se tocan entre sí. A medida que el pulso eléctrico viaja a través del cable, se cruza al cable que está en contacto. Esto crea una ruta no deseada en el flujo de la señal hacia su destino. Un analizador de cables también puede crear mapas de cableado para verificar que los cables estén correctamente terminados. Un mapa de cableado muestra qué pares de cables se conectan a qué pines en los conectores y sockets. La prueba del mapa de cableado verifica que los ocho cables estén conectados a los pines correctos e indica si hay fallas de cableado, como pares divididos o inversiones. Si se detecta alguna de estas fallas, la mejor forma de corregirla es volver a realizar la terminación del cable. En la siguiente figura se muestra las fallas de cables anteriormente mencionadas Figura 2.8-4 Fallas de cableado 59 CAPITULO 3 COMPONENTES DE UNA RED 60 Objetivo 3.1 HUBS (Concentradores) Un hub (también llamado concentrador) es un punto central para la conexión de otros componentes. Un hub puede tener 4 puertos aunque generalmente se utilizan los de 32. (Vea la figura 3.1-1) La función del hub es enviar la información que recibe de uno de sus puertos a todos los demás, pero sólo el equipo que sea el destinatario la aceptará A medida que se incrementa el número de dispositivos conectados al hub, aumenta el tráfico de información y las posibilidades de colisión Figura 3.1-1 Hub y su funcionamiento. Switches La conmutación es una tecnología que alivia la congestión en las LAN Ethernet, reduciendo el tráfico y aumentando el ancho de banda. Los switches, también denominados switches de LAN, reemplazaron a los hubs y funcionan con infraestructuras de cable existentes, de manera que su instalación puede realizarse con un mínimo de problemas en las redes existentes. Como en el caso de los puentes o bridges, los switches conectan segmentos de la LAN, usan una tabla de direcciones MAC para determinar el segmento en el que es necesario transmitir un datagrama y reducen el tráfico. Los switches operan a velocidades mucho más altas que los puentes y pueden soportar nuevas funcionalidades como por ejemplo, las LAN virtuales o vlans. Los switches son dispositivos de enlace de datos que, al igual que los puentes, permiten que múltiples segmentos físicos de LAN, se interconecten para formar una sola red de mayor tamaño. De forma similar a los puentes, los switches envían e inundan el tráfico con base a las direcciones MAC. Dado que la conmutación se ejecuta en el hardware en lugar del software, es significativamente más veloz. 61 Tipos de Switch Los switches Cut-through han tenido en el pasado una ventaja de velocidad, cuando un paquete ingresa al switch este examina únicamente la dirección de destino antes de enviarlo al segmento de destino. Un switch "store-and-forward", por el contrario, acepta y analiza el paquete entero antes de enviarlo a su dirección de destino. Le toma más tiempo examinar el paquete entero, pero esto le permite al switch determinar posibles errores o daños en los paquetes y detener su propagación a través de la red. Hoy, la velocidad de los switches "store-and-forward" ha alcanzado la de los switches "cutthrough" a punto tal que la diferencia entre los dos se ha vuelto mínima., también existen un gran número de switches híbridos que mezclan arquitecturas "cut-through" y "store-andforward", tanto los switches "cut-through" como los "store-and-forward" separan una red en dominios de colisión, permitiendo extender las reglas de diseño de redes. FragmentFree (liberación de fragmentos): Es otro método basado en el modo "cut-through"; se trata de un compromiso que evita el reenvío de la mayor parte de los paquetes erróneos, reduciendo al mismo tiempo la latencia en la mayoría de ellos. Con este método, se espera a recibir los primeros 64 bytes, que es la franja de tiempo en la que ocurren las colisiones de fragmentos, es decir, durante los primeros 51.2 ms de la recepción de los paquetes (ventana de colisión o "collision window"). En la siguiente figura podremos ver el funcionamiento y un switch administrable. Figura 3.2-2 Funcionamiento de un switch. Puentes (Bridges) La función de un bridge es conectar redes separadas uniéndolas, los bridges pueden conectar diferentes tipos de redes (tales como Ethernet y Fast Ethernet) o redes del mismo tipo, los bridges "mapean" las direcciones Ethernet de los nodos que residen en cada segmento de red y luego permiten pasar a través del bridge solamente el tráfico necesario, cuando un paquete es recibido por el bridge, el bridge determina los segmentos de origen y destino, si estos segmentos coinciden, el paquete es descartado ("dropped" o "filtered"); si los segmentos son distintos, entonces el paquete es transferido al segmento correcto, adicionalmente, los bridges evitan que paquetes malos o dañados se distribuyan innecesariamente simplemente no retransmitiéndolos, los bridges son llamados dispositivos "store-and-forward" (almacena y envía) 62 porque ellos examinan el contenido del paquete ethernet completo antes de realizar las decisiones de filtrado o envío. Los bridges operan en la capa de enlace del modelo de referencia OSI, en el nivel de trama MAC (Medium Access Control, Control de Acceso al Medio) Un bridge ejecuta tres tareas básicas: Aprendizaje de las direcciones de nodos en cada red. Filtrado de las tramas destinadas a la red local. Envío de las tramas destinadas a la red remota. Se distinguen dos tipos de bridge: Locales: sirven para enlazar directamente dos redes físicamente cercanas. Remotos o de área extensa: se conectan en parejas, enlazando dos o más redes locales, formando una red de área extensa, a través de líneas telefónicas. En la siguiente imagen podremos ver una figura 3.2-3 representativa de la conexión con un bridge. Figura 3.2-3 Puente / Bridge Ruteadores (Routers) Los routers trabajan de un modo similar a los switches y bridges en el sentido de que ellos filtran el tráfico de salida de una red, estos filtran más bien por protocolos específicos que por direcciones de paquetes, los routers nacieron como una necesidad de dividir redes lógicamente más que físicamente, un router IP puede dividir una red en varias sub-redes de modo tal que solamente tráfico destinado a una dirección IP particular puede pasar a través de segmentos, el precio pagado por este tipo de inteligencia de despacho y filtrado es usualmente calculado en términos de velocidad de la red, tal filtrado requiere más tiempo que el necesario en un switch o un bridge, los cuales sólo miran a la dirección ethernet, pero en redes más complejas la eficiencia de la red mejora de todas maneras, en los casos de grandes redes fuertemente enmalladas, este determinará el mejor camino para atender una dirección considerada, en la figura 3.2-4 podremos ver el funcionamiento de una red con routers. 63 Figura 3.2-4 Routers Algoritmos de ruteo El algoritmo de ruteo contiene todo o parte de los siguientes puntos: -Optimización seleccionando la mejor ruta en todos los casos. -Simplicidad y Robustez -Rapidez de Convergencia: La convergencia es el acuerdo entre todos los routers para determinar la mejor ruta Pasarelas o Gateways Cualquier equipo que traduzca los datos de un formato a otro se le conoce como gateway o pasarela, algunos ejemplos de incluyen routers que traducen los datos de una red o protocolo a otro, un bridge o puente convierte los datos entre dos sistemas de redes, y aplicaciones de software que convierten entre dos formatos no similares o en ocasiones similares, regularmente esta función está incorporada a otros equipos de hardware así como en algunas soluciones de software. NOTA: Gateways y Default Gateway (Pasarela por defecto) No deben ustedes de confundir los conceptos de Gateway y Default Gateway, que será discutido más adelante. El término de Default Gateway o pasarela por defecto se refiere al equipo o router en la red que reenviara todo el tráfico de esa red hacia su destino cuando no se encuentra en la red local o LAN. Tarjetas de Red (NIC) Las tarjetas de red también conocidas como Network Interface Card (NIC) son dispositivos que nos permiten conectar nuestras computadoras a una red ya sea esta cableada o inalámbrica (vea la figura 3.2-4). Es importante que ustedes tomen en consideración el siguiente procedimiento para cuando vayan a instalar una tarjeta de red o NIC a una computadora 64 Compatibilidad de su ranura de expansión, deberán verificar que la tarjeta que van a instalar sea compatible con el sistema o computadora, aun cuando hoy en día casi todos utilizamos la arquitectura de PCI algunos sistemas viejos podrían llegar a necesitar tarjeta o tener ranuras ISA. Recursos del sistema, al igual que otros dispositivos o periféricos de nuestra computadora las tarjetas de red o NIC requieren de IRQ y una dirección de I/O si la tarjeta de red después de instalarla no opera o funciona de forma correcta es muy probable que tengan conflictos de direcciones IRQ o I/O Compatibilidad del Medio, deberán verificar que tipo de medio de conexión está utilizando la red a la que la computadora se va a interconectar, aun cuando hoy en día es más común ver redes con cableado de par trenzado y conectores RJ45, recuerden que existen otros tipos de cableado y conectores que ustedes podrían utilizar como son coaxial, fibra óptica, o bien inalámbrico. Figura 3.2-4 Tarjeta de Red o NIC WAP’s (Wireless Access Point- Accesos inalámbricos a redes) Este tipo de equipo conocido como Access Point o acceso a la red inalámbrica nos provee de conectividad inalámbrica para todos nuestros equipos que tengan algún tipo de tarjeta o medio inalámbrico para conectarse a nuestra red, estos equipos vienen en dos modelos que son Wireless B que es el estándar para 802.11b que nos permite comunicaciones de 11 Mbps. y el nuevo estándar que se está utilizando que es el 802.11g que nos permite conexiones de hasta 54Mbps. La figura 3.2-5 nos muestra un Access point linksys. Figura 3.2-5 Access Point 65 Módems El módem una abreviación de modulador / demodulador es un equipo que permite la conversión de señales digitales generadas por una computadora o equipo digital en señales analógicas que puedan viajar en sobre líneas telefónicas convencionales, el módem que recibe la señal convierte la señal analógica en señal digital que pueda entender o utilizar una computadora o equipo digital, este tipo de transmisión se ha utilizado por varios años para conectarse a lo que actualmente se conocen como ISP (Internet Service Provider o proveedor de Servicios de Internet ), es un excelente mecanismo para conectar nuestras computadoras a una red ya sea internet o a la red de nuestro trabajo. Los módems pueden venir en versiones internas que se colocan en puertos ISA, PCI o puertos de módem y en versiones externas las cuales se colocan en puertos como los seriales (COM1, COM2, etc.) y en puertos USB para los equipos portátiles se pueden colocar en tarjetas PCMCIA o bien pueden venir integrados dentro de la misma computadora portátil. La configuración para estos equipos puede variar mucho dependiendo del módem que se desee utilizar, por ejemplo para los módems internos se requiere de asignarles un IRQ y una dirección de memoria de I / O. A continuación se muestra una tabla de la asignación de recursos de los puertos seriales, la cual es importante que memoricen por que pueden encontrar algunas preguntas en su examen sobre este tema. Tabla 3.2-1 Recursos utilizados para los puertos Seriales Puerto Com1 Com2 Com3 Com4 IRQ 4 3 4 3 Dirección I/O 03F8 02F8 03E8 02E8 Serial I/F Asociado 1 2 1 2 Para los módems externos, no se requiere de una configuración muy sofisticada si estos están conectados a los puertos seriales físicos de la computadora, ya que al momento de colocar el dispositivo e indicar la búsqueda de nuevo hardware a nuestra computadora sólo nos solicitara los controladores del fabricante y podremos utilizar el dispositivo ya que utiliza los recursos que ya se le han asignado a los puertos seriales, cuando estos módems o dispositivos se conectan se requiere de configurar también el IRQ y la dirección de I/O así como colocar el controlador especifico del equipo que estamos conectando. Existen dos factores que afectan de forma directa la comunicación o velocidad de nuestra transmisión cuando utilizamos módems una de ellas sería la velocidad del módem en sí, y la otra la velocidad de nuestros puertos UART (Universal Asynchronous Receiver / Transmitter) estos chips en nuestra computadora controlan la velocidad en la que el puerto serial se podrá comunicar con cualquier dispositivo, normalmente ustedes podrán localizar la información de fabricación de su chip dándole un vistazo a la documentación con la que viene su motherboard o computadora, en la tabla 3.2-2 podremos ver las características y velocidades de los Chips UART. 66 Tabla 3.2-2 Velocidad de los Chips UART Chip UART 8250 16450 16550 16650 16750 16950 Velocidad (Kbps) 9600 9600 115,200 430,800 921,600 921,600 Transceiver (media converters), Es un componente que sirve de interface entre la red y un nodo local. Un ejemplo puede ser una MAU la cual conecta una computadora a una red ethernet, un transceiver generalmente convierte a diferentes tipos de conectores como el AUI y el RJ45.Los transceiver trabajan en la capa física (capa 1) del modelo OSI. En la figura 3.26 se muestra un transceiver Figura 3.2-6 Transceiver Firewall Un firewall es un dispositivo que funciona como cortafuegos entre redes, permitiendo o negando las transmisiones de una red a la otra. Un uso típico es situarlo entre una red local y la red internet como dispositivo de seguridad para evitar que los intrusos puedan acceder a información confidencial. Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en función de lo que sean permite o deniega su paso. Para permitir o denegar una comunicación el firewall examina el tipo de servicio al que corresponde, como pueden ser el web, el correo o el IRC. Además, el firewall examina si la comunicación es entrante o saliente y dependiendo de su dirección puede permitirla o no. De este modo un firewall puede permitir desde una red local hacia internet servicios de web, correo y ftp, pero no a IRC que puede ser innecesario para nuestro trabajo. También podemos configurar los accesos que se hagan desde Internet hacia la red local y podemos denegarlos todos o permitir algunos servicios como el de la web, (si es que poseemos un servidor web y queremos que accesible desde Internet). Dependiendo del firewall que tengamos también podremos permitir algunos accesos a la red local desde Internet si el usuario se ha autentificado como usuario de la red local. 67 Un firewall puede ser un dispositivo, software o hardware, es decir, un dispositivo que se conecta entre la red y el cable de la conexión a internet (vea la figura 3.2-7) , o bien un programa que se instala en la máquina que tiene el módem que conecta con internet, incluso podemos encontrar computadoras muy potentes y con software específicos que lo único que hacen es monitorizar las comunicaciones entre redes. Figura 3.2-7 Firewall Existen 4 categorías de firewall: Packet filtering firewall Circuit level firewall Application level firewall Stateful inspection firewall 68 Objetivo 3.2 Multilayer Switch Mientras que muchos switches operan a nivel 2 (enlace de datos) según el modelo OSI, algunos incorporan funciones de router y operan a nivel 3 (red) también. De hecho, un multilayer switch o switch de nivel 3 es increíblemente similar a un router. Cuando un router recibe un paquete, mira dentro de él y verifica las direcciones de origen y destino para determinar el camino que el paquete debería tomar. Un switch estándar utiliza la dirección MAC para determinar el origen y destino de un paquete, lo cual es puramente nivel 2. La diferencia fundamental entre un router y un multilayer switch es que estos últimos tienen hardware optimizado para pasar datos igual de rápido que los switches de nivel 2. Sin embargo, toman decisiones de cómo debe ser transmitido el tráfico a nivel 3, igual que un router. Dentro de un entorno LAN, un multilayer switch es normalmente más rápido que un router porque está construido en la electrónica que usan los switches. La manera que tienen los multilayer switches de tratar los paquetes y gestionar el tráfico es muy similar a la de los routers. Ambos usan un protocolo de enrutamiento y una tabla de rutas para determinar el mejor camino. Sin embargo, un switch de nivel 3 tiene la habilidad de reprogramar el hardware de una forma dinámica con la información de rutas que tiene. Esto es lo que le permite procesar los paquetes mucho más deprisa. En los multilayer switches actuales, la información que se recibe de los protocolos de routing, es usada para actualizar las tablas hardware de almacenamiento caché. Equipos multifuncionales en red Son equipos conectados en red los cuales tienen integrados copiadoras, scanner, impresoras etc, Estos equipos permiten optimizar espacio y recursos, imagine tener por separado impresora, fax, scanner o una copiadora, todos estos equipos pueden llegar a ocupar mucho espacio y si se requirieran conectar en red se tendrían probablemente que cablear y ocupar más recursos. Por lo anterior si desea optimizar espacio y recursos, un equipo multifuncional resulta una buena opción. IDS / IPS Los sistemas IDS/IPS son un paso más adelante en la seguridad perimetral, son el paso siguiente, a los firewalls. Los ids/ips suponen un paso avanzando en la seguridad perimetral, estos sistemas una vez actualizados son capaces de reconocer vulnerabilidades de las aplicaciones más comunes a puertos abiertos en el firewall, la diferencias son básicamente dos Los IDS, solo detectan las posibles causas, fallos o vulnerabilidades éstos únicamente la detectan e informan al administrador. 69 Los IPS no solo detectan si no que son capaces de poder detener la falla o la vulnerabilidad. Servidor DNS Un servidor DNS (Domain Name System) se utiliza para proveer a las computadoras de los usuarios (clientes) un nombre equivalente a las direcciones IP. El uso de este servidor es transparente para los usuarios cuando éste está bien configurado, ejemplo www.hotmail.com el servidor DNS lo traduce a la IP 64.4.20.169. Load Balancer Un balanceador de carga fundamentalmente es un dispositivo de hardware o software que se pone al frente de un conjunto de servidores que atienden una aplicación y, tal como su nombre lo indica, asigna o balancea las solicitudes que llegan de los clientes a los servidores usando algún algoritmo (desde un simple round robin hasta algoritmos más sofisticados). Bandwidth Shaper Es una herramienta usada para optimizar el desempeño de una red, intenta controlar el tráfico en redes para así lograr optimizar o garantizar el rendimiento, baja latencia, y/o un ancho de banda determinado retrasando paquetes. La catalogación de tráfico propone conceptos de clasificación, colas, imposición de políticas, administración de congestión, calidad de servicio (QoS) y regulación. Por otra parte, esto consiste en una práctica utilizada por diversos ISPs para no sobrepasar sus capacidades de servicio. Servidor Proxy El Servidor Proxy se utiliza para almacenar la información que es consultada con mayor frecuencia en páginas de internet, por un período de tiempo, con el fin de aumentar la velocidad de acceso. Al mismo tiempo libera la carga de los enlaces hacia Internet. DSU / CSU El DSU/CSU (Data Service Unit/Channel Service Unit) o mejor conocido como DTU (Data Terminal Unit) es un equipo de interconexión que opera en la capa de enlace de datos. Un DSU/CSU es básicamente un modem digital que enlaza dos o más redes que tengan servicios digitales tales como E0s, E1/T1s, Frame Relay, etc. Un CSU provee además acondicionamiento y ecualización de la línea, así como pruebas de loopback. Un DSU (el cual puede contener las características de un CSU) convierte las señales de datos de un equipo DTE (Data Terminal Equipment) (ej una computadora) en señales digitales bipolares requeridas en la red digital, realiza la sincronización de relojes y regenera la señal. 70 Objetivo 3.3 Spanning tree protocol STP El protocolo de Spanning Tree (STP, Spanning Tree Protocol) proporciona un mecanismo de desactivación de enlaces redundantes en una red conmutada. El STP proporciona la redundancia requerida para brindar fiabilidad sin crear bucles de conmutación. (Vea la figura 3.3-1) El STP es relativamente autosuficiente y requiere poca configuración. La primera vez que se encienden los switches con STP activado, buscan bucles en la red de conmutación. Los switches que detecten un posible bucle bloquean algunos de los puertos de conexión, y dejan otros activos para enviar tramas. Figura 3.3-1 El STP define una estructura que abarca todos los switches de una red conmutada en estrella. Los switches verifican la red constantemente para garantizar que no haya bucles y que todos los puertos funcionen correctamente. Para evitar los bucles de conmutación, el STP: Obliga a ciertas interfaces a ingresar en un estado de espera o bloqueo Deja a otras interfaces en estado de envío Reconfigura la red activando la ruta en espera correspondiente, si la ruta de envío deja de estar disponible 71 VLAN Los hosts y los servidores conectados a switches de Capa 2 son parte del mismo segmento de la red. Esta disposición presenta dos problemas considerables: Los switches inundan todos los puertos con las transmisiones de broadcast, lo que consume ancho de banda innecesario. A medida que aumenta la cantidad de dispositivos conectados a un switch, se genera más tráfico de broadcast y se desperdicia más ancho de banda. Todos los dispositivos conectados a un switch pueden enviar y recibir tramas de todos los demás dispositivos del mismo switch. Una de las mejores prácticas de diseño de red establece que el tráfico de broadcast debe quedar restringido al área de la red en la que resulta necesario. También existen razones comerciales por las cuales ciertos hosts se comunican entre ellos, pero otros no. Por ejemplo, es posible que los miembros del departamento de contabilidad sean los únicos usuarios que necesiten acceso al servidor de contabilidad. En una red conmutada, redes de área local virtuales (VLAN) se crean de modo que contengan broadcast y agrupen a los hosts en comunidades de interés. Una VLAN es un dominio lógico de broadcast que puede abarcar diversos segmentos de una LAN física. Esto le permite a un administrador agrupar estaciones por función lógica, por equipos de trabajo o por aplicaciones, independientemente de la ubicación física de los usuarios. (Vea la figura 3.3-2) Figura 3.3-2 VLAN La diferencia entre una red física y una red virtual o lógica puede ilustrarse mediante el siguiente ejemplo: Los estudiantes de una escuela se dividen en dos grupos. Los estudiantes del primer grupo se identifican con tarjetas rojas. Los del segundo grupo se identifican con tarjetas azules. El director anuncia que los estudiantes con tarjetas rojas sólo pueden hablar con los compañeros que también tengan tarjetas rojas, y que los estudiantes con tarjetas azules sólo pueden hablar con sus compañeros poseedores de tarjetas azules. Ahora los estudiantes están separados lógicamente en dos grupos virtuales, o VLAN. Según esta agrupación lógica, un broadcast se transmite sólo al grupo con tarjetas rojas, aunque ambos grupos están ubicados físicamente en la misma escuela. 72 Enlace Troncal Una VLAN tiene tres funciones principales: Limita el tamaño de dominios de broadcast Mejora el rendimiento de la red Proporciona un nivel de seguridad A fin de aprovechar todos los beneficios de las VLAN, éstas se extienden por diversos switches. Los puertos del switch pueden configurarse para dos funciones diferentes. Un puerto se clasifica como puerto de acceso o puerto de enlace troncal. Puerto de acceso Un puerto de acceso pertenece sólo a una VLAN. Por lo general, los dispositivos individuales como las PC o los servidores se conectan a este tipo de puerto. Si un hub conecta varias PC a un único puerto de acceso, todos los dispositivos conectados al hub son miembros de la misma VLAN. (Vea la figura 3.3-3) Puerto de enlace troncal Figura 3.3-3 Puertos de acceso Un puerto de enlace troncal es un enlace punto a punto entre el switch y otro dispositivo de red. Los enlaces troncales transmiten el tráfico de diversas VLAN mediante un único enlace, y permiten que las VLAN se extiendan por toda la red. Los puertos de enlace troncal son necesarios para transmitir el tráfico de diversas VLAN entre dispositivos al conectar dos switches entre sí, un switch a un router o un host NIC compatible con los enlaces troncales definidos en 802.1Q. Sin los puertos de enlace troncal, cada VLAN requiere una conexión separada entre switches. Por ejemplo, una empresa con 100 VLAN requiere 100 enlaces de conexión. Este tipo de disposición no es fácil de escalar y resulta muy costosa. Los enlaces troncales ofrecen una solución a este problema al transportar tráfico de diversas VLAN a través del mismo enlace. 73 Cuando se transmiten diversas VLAN por el mismo enlace, éstas deben contar con identificación. Un puerto de enlace troncal es compatible con el etiquetado de tramas. El etiquetado de tramas agrega información sobre las VLAN a la trama. IEEE 802.1Q es el método estandarizado y aprobado para llevar a cabo el etiquetado de tramas. Cisco ha desarrollado un protocolo de etiquetado de tramas patentado denominado enlace Inter-Switch (ISL, Inter-Switch Link). Los switches de mayor nivel, como la serie Catalyst 6500, aún son compatibles con ambos protocolos de etiquetado. Sin embargo, la mayor parte de los switches LAN -como el 2960- son compatibles con 802.1Q únicamente. Autenticación de puertos Existen algunas formas de colocar seguridad en sus switches, la primera es implementar seguridad en cada puerto de cada switch, la cual es una buena idea siempre y cuando su red tuviera pocos switches. Si su red estuviera poblada de una gran cantidad de switches la seguridad de puertos puede ser implementada utilizando la autenticación 802.1x (Vea la figura 3.3-4) Figura 3.3-4 Como puede notar todos los clientes deben autentificarse en el servidor antes de conectarse al switch de la red. PoE La alimentación a través de Ethernet (Power over Ethernet, PoE) es una tecnología que incorpora alimentación eléctrica a una infraestructura LAN estándar. Permite que la alimentación eléctrica se suministre al dispositivo de red como, por ejemplo, un teléfono IP o una cámara de red, usando el mismo cable que se utiliza para una conexión de red. Elimina la necesidad de utilizar tomas de corriente en las ubicaciones de la cámara y permite una aplicación más sencilla de los sistemas de alimentación ininterrumpida (SAI) para garantizar un funcionamiento las 24 horas del día, 7 días a la semana. Power over Ethernet se regula en una norma denominada IEEE 802.3af, y está diseñado de manera que no haga disminuir el rendimiento de comunicación de los datos en la red o reducir el alcance de la red. La corriente suministrada a través de la infraestructura LAN se 74 activa de forma automática cuando se identifica un terminal compatible y se bloquea ante dispositivos preexistentes que no sean compatibles. Esta característica permite a los usuarios mezclar en la red con total libertad y seguridad dispositivos preexistentes con dispositivos compatibles con PoE. Actualmente existen en el mercado varios dispositivos de red como switches o hubs que soportan esta tecnología. Para implementar PoE en una red que no se dispone de dispositivos que la soporten directamente se usa una unidad base (con conectores RJ45 de entrada y de salida) con un adaptador de alimentación para recoger la electricidad y una unidad terminal (también con conectores RJ45) con un cable de alimentación para que el dispositivo final obtenga la energía necesaria para su funcionamiento. Port Mirroring Figura 3.3-5 Port mirroring es una función que copia el tráfico de un puerto específico a otro puerto. Este mecanismo ayuda a prevenir errores de redes o paquetes anormales que pueden interrumpir la transmisión de datos. (Vea la figura 3.3-5) 75 Objetivo 3.4 La tecnología inalámbrica ofrece muchas ventajas en comparación con las tradicionales redes conectadas por cable. Una de las principales ventajas es la capacidad de brindar conectividad en cualquier momento y lugar. La extendida implementación de la conexión inalámbrica en lugares públicos, conocidos como puntos de conexión, permite a las personas conectarse a Internet para descargar información e intercambiar mensajes de correo electrónico y archivos. La instalación de la tecnología inalámbrica es simple y económica. El costo de dispositivos inalámbricos domésticos y comerciales continúa disminuyendo. Sin embargo, a pesar de la disminución del costo, las capacidades y la velocidad de transmisión de datos han aumentado, lo que permite conexiones inalámbricas más confiables y rápidas. La tecnología inalámbrica permite que las redes se amplíen fácilmente, sin limitaciones de conexiones de cableado. Los usuarios nuevos y los visitantes pueden unirse a la red rápida y fácilmente. Configuración de un punto de acceso Una vez que se eligieron el estándar, la configuración y la asignación de canales inalámbricos, es hora de configurar el AP. Un AP linksys cuenta con una interfaz gráfica que se puede acceder mediante un navegador web tal y como se muestra en la figura 3.4-1. Figura 3.4-1 Interfaz de configuración de un AP linksys 76 Presentamos a continuación algunas opciones de configuración de linksys: Modo inalámbrico La mayoría de los dispositivos AP domésticos puede admitir varios modos, principalmente 802,11g, 802.11g y 802.11n. A pesar de que todos estos modos utilizan el rango de 2,4 GHz, cada uno usa una tecnología diferente para obtener el máximo rendimiento. El tipo de modo habilitado en el AP depende del tipo de host que se conecte a él. Si sólo se conecta un tipo de host al dispositivo AP, configure el modo que lo admita. Si se van a conectar distintos tipos de host, seleccione el modo Mixto. Cada modo incluye cierta cantidad de gasto. Al habilitar el modo Mixto, el rendimiento de la red disminuirá debido al gasto en el que se habrá incurrido para admitir todos los modos. SSID El SSID se utiliza para identificar la WLAN. Todos los dispositivos que deseen participar en la WLAN deben tener el mismo SSID. Para permitir una fácil detección de la WLAN por parte de los clientes se transmite el SSID. Se puede deshabilitar la característica de transmisión del SSID. Si no se transmite el SSID los clientes inalámbricos necesitarán configurar este valor manualmente. Canal inalámbrico La elección del canal para un AP debe estar relacionada con las otras redes inalámbricas que lo rodean. Los BSS adyacentes deben utilizar canales que no se superpongan a fin de optimizar el rendimiento. La mayoría de los AP actualmente ofrece una opción de configuración manual del canal o permite al AP localizar automáticamente el canal menos saturado o el que ofrezca el máximo rendimiento. La mayoría de los routers integrados ofrece conectividad por cable o inalámbrica y sirve como AP en la red inalámbrica. Las configuraciones básicas (como contraseñas, direcciones IP y configuraciones DHCP) son las mismas, independientemente de si el dispositivo se utiliza para conectar hosts con cable o host inalámbricos. Las tareas de configuración básicas, como cambiar la contraseña por defecto, se deben realizar antes de que el AP se conecte a una red activa. Cuando se utiliza la función inalámbrica de un router integrado se requieren parámetros de configuración adicionales, como la configuración de un modo inalámbrico, SSID, y canales inalámbricos para utilizar. Configuración del cliente inalámbrico Un host inalámbrico o STA se define como cualquier dispositivo que contenga una NIC inalámbrica y un software cliente inalámbrico. Este software cliente le permite al hardware participar en la WLAN. Los dispositivos que son STA incluyen: computadoras portátiles, PDA, computadoras de escritorio, impresoras, proyectores y teléfonos Wi-Fi. 77 A fin de que una STA se conecte a la WLAN, la configuración del cliente debe coincidir con la del AP. Esto incluye el SSID, las configuraciones de seguridad y la información del canal, si éste se configuró manualmente en el AP. Estas configuraciones están especificadas en el software cliente que administra la conexión cliente. El software cliente inalámbrico utilizado puede estar integrado por software al sistema operativo del dispositivo o puede ser un software de utilidad inalámbrica, independiente y descargable, diseñado específicamente para interactuar con la NIC inalámbrica. Software integrado de utilidad inalámbrica El software cliente inalámbrico de Windows XP es un ejemplo de una utilidad inalámbrica cliente popular que se incluye como parte del sistema operativo del dispositivo. El software cliente es un software básico de administración que puede controlar la mayoría de las configuraciones cliente-inalámbrico. Es fácil de usar y ofrece un proceso de conexión simple (vea la figura 3.4-2). Figura 3.4-2 Interfaz de configuración de un cliente linksys Software de utilidad inalámbrica independiente El software de utilidad inalámbrica, como el suministrado con la NIC inalámbrica, está diseñado para funcionar con esa NIC específica. Generalmente ofrece funcionalidad mejorada en comparación con el software de utilidad inalámbrica de Windows XP e incluye las siguientes características: 78 Información de enlace: muestra la potencia y la calidad actuales de una única red inalámbrica Perfiles: permite opciones de configuración, como el canal y el SSID que se especificarán para cada red inalámbrica Relevamiento del sitio: permite la detección de todas las redes inalámbricas cercanas No se permite al software de utilidad inalámbrica y al software cliente de Windows XP administrar la conexión inalámbrica al mismo tiempo. Para la mayoría de las situaciones Windows XP no es suficiente. Sin embargo, si se deben crear perfiles múltiples para cada red inalámbrica, o si son necesarias configuraciones avanzadas, es mejor usar la utilidad provista con la NIC. Una vez que se configure el software cliente, verifique el enlace entre el cliente y el AP. Abra la pantalla de información del enlace inalámbrico para mostrar datos como la velocidad de transmisión de datos de la conexión, el estado de conexión y el canal inalámbrico usado. Si está disponible, la característica Información de enlace muestra la potencia de señal y la calidad de la señal inalámbrica actuales. Además de verificar el estado de la conexión inalámbrica, verifique que los datos puedan transmitirse. Una de las pruebas más comunes para verificar si la transmisión de datos se realizó correctamente es la prueba de ping. Si el ping se realiza correctamente se puede realizar la transmisión de datos. Si el ping no se realiza correctamente de origen a destino haga ping en el AP desde el cliente inalámbrico para garantizar que la conectividad inalámbrica esté disponible. Si esto también falla, el problema se encuentra entre el cliente inalámbrico y el AP. Controle la información de configuración y pruebe restablecer la conectividad. Si el cliente inalámbrico puede conectarse correctamente al AP, controle la conectividad desde el AP hasta el siguiente salto en la ruta hacia el destino. Si esto se realiza correctamente, entonces el problema seguramente no está en la configuración del AP sino en otro dispositivo de la ruta hacia el destino o en el dispositivo de destino. 79 CAPITULO 4 MANEJO DE UNA RED 80 Objetivo 4.1 Introducción Una de las necesidades primordiales de un sistema de comunicaciones es el establecimiento de estándares, sin ellos sólo podrían comunicarse entre sí equipos del mismo fabricante y que usaran la misma tecnología. En un principio, las computadoras eran elementos aislados, constituyendo cada una de ellas una estación de trabajo independiente, una especie de "isla informática". Cada computadora precisaba sus propios periféricos y contenía sus propios archivos A medida que las empresas e instituciones ampliaban su número de computadoras fue necesario unir estos entre sí, surgiendo el concepto de "redes de computadoras" y de "trabajo en red" (networking), para poder de esta forma compartir archivos y periféricos entre los diferentes computadoras Pero cada una confiaba la implementación de sus redes a empresas diferentes, cada una de ellas con unos modelos de red propietarios (modelos con hardware y software propios, con elementos protegidos y cerrados), que usaban protocolos y arquitecturas diferentes. Si esta situación era difícil de por sí, el colmo fue cuando surgió la necesidad de unir entre sí estas redes diferentes. (Había diferencias de: procesador central, velocidad, memoria, dispositivos de almacenamiento, interfaces para comunicaciones, códigos de caracteres, y S.O. entre otros.) Fue entonces cuando las empresas se dieron cuenta de que necesitaban salir de los sistemas de networking propietarios, optando por una arquitectura de red con un modelo común que hiciera posible interconectar varias redes sin problemas En 1977 la Organización Internacional de Estándares (ISO), integrada por industrias representativas del medio, creó un subcomité para desarrollar estándares de comunicación de datos que promovieran la accesibilidad universal y una interoperabilidad entre productos de diferentes fabricantes. El resultado de estos esfuerzos es el Modelo de Referencia Interconexión de Sistemas Abiertos (OSI). Estructura en capas El proceso de intercomunicación entre dos computadoras es complejo y difícil de entender en su totalidad, pues son muchos los elementos que intervienen en el esquema de intercambio de datos entre equipos diferentes. Para poder simplificar el estudio y la implementación de la arquitectura necesaria, la ISO dividió el modelo de referencia OSI en capas, entendiéndose por "capa" una entidad que realiza de por sí una función específica 81 Cada capa define los procedimientos y las reglas (protocolos normalizados) que los subsistemas de comunicaciones deben seguir para poder comunicarse con sus procesos correspondientes de los otros sistemas. Esto permite que un proceso que se ejecuta en una computadora, pueda comunicarse con un proceso similar en otra computadora, si tienen implementados los mismos protocolos de comunicaciones de capas OSI. En el modelo de referencia OSI, hay siete capas numeradas, cada una de las cuales ilustra una función de red particular, en la siguiente tabla se muestra cada una de las capas del modelo OSI Tabla 4.1-1 Capas del Modelo OSI 7.-Capa de Aplicación Application 6.-Capa de Presentación Presentation 5.-Capa de Sesión Session 4.-Capa de Transporte Tansport 3.-Capa de Red Network 2.-Capa de Enlace Data Link 1.-Capa de Fisica Physical Cada capa individual del modelo OSI tiene un conjunto de funciones que debe realizar para que los paquetes de datos puedan viajar en la red desde el origen hasta el destino. Las cuatro capas inferiores (Física, de Enlace de Datos, de Red y de Transporte) se van a encargar de la transmisión de los datos (segmentación, empaquetamiento, enrutamiento, verificación y transmisión por los medios físicos), sin importarles el tipo de datos que se transmiten ni la aplicación que los envía o recibe. Por su parte, las tres capas superiores (de Sesión, de Presentación y de Aplicación) se encargan del establecimiento de sesiones de comunicación entre aplicaciones, del formateo, cifrado y compresión de datos y de suministrar los mismos a las aplicaciones de usuario de forma adecuada. Capa Física: La misión principal de esta capa es transmitir bits por un canal de comunicación, de manera que cuanto envíe el emisor llegue sin alteración al receptor. La capa física proporciona sus servicios a la capa de enlace de datos, definiendo las especificaciones eléctricas, mecánicas, de procedimiento y funcionales para activar, mantener y desactivar el enlace físico entre sistemas finales, de la velocidad de transmisión, si esta es unidireccional o bidireccional (simplex, duplex o flull-duplex) relacionando la agrupación de circuitos físicos a través de los cuales los bits son movidos. Las características tales como niveles de voltaje, temporización de cambios de voltaje, velocidad de datos físicos, distancias de transmisión máximas, conectores físicos y otros atributos similares se definen a través de las especificaciones de la capa física. 82 A continuación se describen las funciones de esta capa: Definir conexiones físicas entre computadoras. Describir el aspecto mecánico, eléctrico y funcional de la interface física. Definir la técnica de transmisión. (Topología) Definir el tipo de transmisión. Definir la codificación de línea. Definir la velocidad de transmisión. Capa Enlace de datos: La capa de enlace proporciona sus servicios a la capa de red, suministrando un tránsito de datos confiable a través de un enlace físico. Al hacerlo, la capa de enlace de datos se ocupa del direccionamiento físico, el acceso a la red, agrupa la información a transmitir en bloques (Frames), e incluye a cada uno una suma de control que permitirá al receptor comprobar su integridad. Los datagramas recibidos son comprobados por el receptor. Si algún datagrama se ha corrompido se envía un mensaje de control al remitente solicitando su reenvío. El protocolo PPP es ejemplo de esta capa.Por lo tanto, su principal misión es convertir el medio de transmisión en un medio libre de errores de cualquier tipo. La capa de enlace puede considerarse dividida en dos subcapas: Control lógico de enlace LLC (Logical Link Control) define la forma en que los datos son transferidos sobre el medio físico, proporcionando servicio a las capas superiores. Control de acceso al medio MAC (Medium Access Control). Se encarga de arbitrar la utilización del medio físico cuando varios equipos compiten por su utilización simultánea. El mecanismo CSMA/CD ("Carrier Sense Multiple Access with Collision Detection") utilizado en Ethernet es un típico ejemplo de esta subcapa. Las principales funciones de la capa de enlace son: Establece los medios necesarios para una comunicación confiable y eficiente entre dos máquinas en red. Agrega una secuencia especial de bits al principio y al final del flujo inicial de bits de los paquetes, estructurando este flujo bajo un formato predefinido llamado trama o marco. (frame en ingles)Suelen ser de unos cientos de bytes. Sincroniza el envío de las tramas, transfiriéndolas de una forma confiable libre de errores. Para detectar y controlar los errores se añaden bits de paridad, se usan CRC (Códigos Cíclicos Redundantes) y envío de acuses de recibo positivo y negativo, y para evitar tramas repetidas se usan números de secuencia en ellas. Envía los paquetes de nodo a nodo usando ya sea un circuito virtual o como datagramas. Controla la congestión de la red. Regula la velocidad de tráfico de datos. Controla el flujo de tramas mediante protocolos que prohíben que el remitente envíe tramas sin la autorización explícita del receptor, sincronizando así su emisión y recepción. 83 Se encarga de la de secuencia, de enlace lógico y de acceso al medio (soportes físicos de la red). Detectar errores en el nivel físico. Capa de red: La capa de red proporciona sus servicios a la capa de transporte, siendo una capa compleja que proporciona conectividad y selección de ruta entre dos sistemas de hosts que pueden estar ubicados en redes geográficamente distintas. Es la responsable de las funciones de conmutación y encaminamiento de la información, proporcionando los procedimientos precisos necesarios para el intercambio de datos entre el origen y el destino, por lo que es necesario que conozca la topología de la red, con objeto de determinar la ruta más adecuada. Podemos resumir las funciones de la capa de red en los siguientes puntos: Divide los mensajes de la capa de transporte en unidades más complejas, denominadas paquetes (datagramas), y los ensambla al final. Debe conocer la topología de la subred y manejar el caso en que la fuente y el destino estén en redes distintas. Para ello, se encarga de encaminar la información a través de la sub-red, mirando las direcciones del paquete para determinar los métodos de conmutación y enrutamiento, y rutea los paquetes de la fuente al destino a través de ruteadores intermedios. Envía los paquetes de nodo a nodo usando ya sea un circuito virtual o como datagramas. Debe controlar la congestión de la subred. En esta capa es donde trabajan los routers. Esta capa conmuta, en ruta y controla la congestión de los paquetes de información en una sub-red. Capa de transporte: La capa de transporte proporciona sus servicios a la capa de sesión, efectuando la transferencia de datos entre dos entidades de sesión, también se ocupa de garantizar la fiabilidad del servicio, describe la calidad y naturaleza del envío de datos. Esta capa define cuando y como debe utilizarse la retransmisión para asegurar su llegada. Segmenta los datos originados en el host emisor y los re ensambla en una corriente de datos dentro del sistema del host receptor. Al proporcionar un servicio de comunicaciones, la capa de transporte establece, mantiene y termina adecuadamente los circuitos virtuales. Al proporcionar un servicio confiable, se utilizan dispositivos de detección y recuperación de errores de transporte. Se conocen con el nombre de circuitos virtuales a las conexiones que se establecen dentro de una subred, y en ellos no hay la necesidad de tener que elegir una ruta nueva para cada paquete, ya que cuando se inicia la conexión se determina una ruta de la fuente al destino, ruta que es usada para todo el tráfico posterior. Flow Control Además de estos servicios la capa de transporte también es responsable por el flujo de datos de la red (flow control), esta es la parte donde el dispositivo receptor pueda aceptar los datos y la 84 cantidad de los mismos, existen dos métodos actualmente para el manejo del flujo de datos que son buffering y windowing Buffering. Cuando se utiliza Buffering los datos son almacenados temporalmente y esperan al dispositivo destino esté disponible para recibir los datos, este es un excelente método para los dispositivos que no pueden aceptar los datos tan rápido como son enviados. Windowing. En un ambiente windowing, los datos son enviados en grupos que sólo requieren de un aviso o acknowledgment. El tamaño de la ventana (esto quiere decir cuántos segmentos pueden caber en un sólo aviso o acknowledgment) es definido en la capa de sesión cuando dos dispositivos establecen su comunicación, como es de imaginarse la necesidad de un sólo aviso por cada 5 segmentos puede reducir considerablemente la sobrecarga de la red. Podemos resumir las funciones de la capa de transporte en los siguientes puntos: Incluye controles de integración entre usuarios de la red para prevenir perdidas o doble procesamiento de transmisiones. Controla el flujo de transacciones y direccionamiento de maquinas a procesos de usuario. Asegura que se reciban todos los datos y en el orden adecuado, realizando un control de extremo a extremo. Acepta los datos del nivel de sesión, fragmentándolos en unidades más pequeñas, llamadas segmentos, en caso necesario y los pasa al nivel de red. Realiza funciones de control y numeración de unidades de información, fragmentación y re ensamblaje de mensajes. Se encarga de garantizar la transferencia de información a través de la sub-red. Capa de sesión: La capa de sesión proporciona sus servicios a la capa de presentación, proporcionando el medio necesario para que las entidades de presentación en cooperación organicen y sincronicen su diálogo y procedan al intercambio de datos. Sus principales funciones son: Establece, administra y finaliza las sesiones entre dos hosts que se están comunicando. Si por algún motivo una sesión falla por cualquier causa ajena al usuario, esta capa restaura la sesión a partir de un punto seguro y sin pérdida de datos o si esto no es posible termina la sesión de una manera ordenada checando y recuperando todas sus funciones, evitando problemas en sistemas transaccionales Sincroniza el diálogo entre las capas de presentación de los dos hosts y administra su intercambio de datos, estableciendo las reglas o protocolos para el dialogo entre maquinas y así poder regular quien habla y por cuánto tiempo o si hablan en forma alterna, es decir, las reglas del dialogo que son acordadas. Ofrece disposiciones para una eficiente transferencia de datos, clase de servicio y un registro de excepciones acerca de los problemas de la capa de sesión, presentación y aplicación. Manejo de tokens. Los tokens son objetos abstractos y únicos que se usan para controlar las acciones de los participantes en la comunicación. 85 Hacer checkpoints, que son puntos de recuerdo en la transferencia de datos. Referencia a los dispositivos por nombre y no por dirección. Permite escribir programas que correrán en cualquier instalación de red. Capa de presentación: La capa de presentación proporciona sus servicios a la capa de aplicación, garantizando que la información que envía la capa de aplicación de un sistema pueda ser entendida y utilizada por la capa de aplicación de otro, estableciendo el contexto sintáctico del diálogo. Su tarea principal es aislar a las capas inferiores del formato de los datos de la aplicación, transformando los formatos particulares (ASCII, EBCDIC, etc.) en un formato común de red. Es también las responsable de la obtención y de la liberalización de la conexión de sesión cuando existan varias alternativas disponibles. Por ello, de ser necesario, la capa de presentación realiza las siguientes operaciones: Traducir entre varios formatos de datos utilizando un formato común, estableciendo la sintaxis y la semántica de la información transmitida. Para ello convierte los datos desde el formato local al estándar de red y viceversa. Definir la estructura de los datos a transmitir. Por ejemplo, en el caso de un acceso a base de datos, definir el orden de transmisión y la estructura de los registros. Definir el código a usar para representar una cadena de caracteres (ASCII, EBCDIC, etc). Dar formato a la información para visualizarla o imprimirla. Comprimir los datos si es necesario. Aplicar a los datos procesos criptográficos. Capa de aplicación: La capa de aplicación es la capa del modelo OSI más cercana al usuario, y está relacionada con las funciones de más alto nivel que proporcionan soporte a las aplicaciones o actividades del sistema, suministrando servicios de red a las aplicaciones del usuario y definiendo los protocolos usados por las aplicaciones individuales. Es el medio por el cual los procesos de aplicación de usuario acceden al entorno OSI. Su función principal es proporcionar los procedimientos precisos que permitan a los usuarios ejecutar los comandos relativos a sus propias aplicaciones. Los procesos de las aplicaciones se comunican entre sí por medio de las entidades de aplicación asociadas, estando éstas controladas por protocolos de aplicación, y utilizando los servicios del nivel de presentación. Difiere de las demás capas debido a que no proporciona servicios a ninguna otra capa OSI, sino solamente a aplicaciones que se encuentran fuera del modelo OSI. La capa de aplicación establece la disponibilidad de los diversos elementos que deben participar en la comunicación, sincroniza las aplicaciones que cooperan entre sí y establece acuerdos sobre los procedimientos de recuperación de errores y control de la integridad de los datos. 86 Algunos ejemplos de procesos de aplicación son: Programas de hojas de cálculo. Programas de procesamiento de texto. Transferencia de archivos (ftp). Login remoto (rlogin, telnet). Correo electrónico (mail - smtp). Páginas web (http). A continuación se muestra la tabla 4.1-2 que resume las funciones de cada capa y muestra los dispositivos y protocolos que trabajan en cada una de ellas Tabla 4.1-2 Resumen de las funciones del modelo OSI Capa Nombre Función 1 Físico Se ocupa de la transmisión del flujo de bits a través del medio. 2 Enlace 3 Red 4 Transporte 5 Sesión 6 Presentación Divide el flujo de bits en unidades con formato (tramas) intercambiando estas unidades mediante el empleo de protocolos Establece las comunicaciones y determina el camino que tomarán los datos en la red La función de este nivel es asegurar que el receptor reciba exactamente la misma información que ha querido enviar el emisor, y a veces asegura al emisor que el receptor ha recibido la información que le ha sido enviada. Envía de nuevo lo que no haya llegado correctamente Establece la comunicación entre las aplicaciones, la mantiene y la finaliza en el momento adecuado. Proporciona los pasos necesarios para entrar en un sistema utilizando otro. Permite a un mismo usuario, realizar y mantener diferentes conexiones a la vez (sesiones). Conversión entre distintas representaciones de datos y entre terminales y organizaciones de sistemas de ficheros con características diferentes. 7 Aplicación Este nivel proporciona unos servicios estandarizados para poder realizar unas funciones específicas en la red. Las personas que utilizan las aplicaciones hacen una petición de un servicio (por ejemplo un envío de un fichero). Esta aplicación utiliza un servicio que le ofrece el nivel de aplicación para poder realizar el trabajo que se le ha encomendado (enviar el fichero) Dispositivo y Protocolo Cables, tarjetas y repetidores (hub) RS-232, X.21 Puentes (bridges) HDLC y LLC Encaminador (router) IP, IPX Pasarela (gateway) UDP, TCP, SPX Pasarela Compresión, encriptado, VT100, MPEG, AVI, MP3, Etc. X.400, HTTP, SMTP, POP, IMAP etc 87 Objetivos 4.2 y 4.3 Diagramas físicos y lógicos de una red La documentación de una red es imprescindible para poder llevar a cabo actualizaciones, detección y solución de fallas, es necesario diseñar y documentar los mapas de las topologías física y lógica de la red antes de adquirir el equipo de networking y de conectar los hosts. Algunos aspectos que se deben considerar son: Control de la temperatura: todos los dispositivos tienen rangos específicos de temperatura y requisitos de humedad para funcionar correctamente Disponibilidad y ubicación de los tomacorrientes Longitud del cableado Verificar que la instalación eléctrica sea la adecuada. También es importante realizar los diagramas físicos y lógicos de la red, ya que con ello se tendrán perfectamente ubicadas a cada computadora, switch, servidores etc. Así como sus direcciones ip, con lo cual se simplifica la solución de problemas de conectividad. A continuación se detallan las características de éstos documentos Configuración física de la red: Ubicación física de los dispositivos (por ejemplo, routers, switches y hosts) Modo de interconexión de todos los dispositivos Ubicación y longitud de todo el cableado Configuración de hardware de los dispositivos finales, como hosts y servidores Figura 4.2.3-1 Diagrama físico de una red Configuración lógica de la red: Ubicación y tamaño de los dominios de broadcast y de colisiones Esquema de direccionamiento IP Esquema de denominación Configuración del uso compartido Permisos 88 Figura 4.2.3-2 Diagrama lógico de una red Una vez que los hosts se comunican a través de la red, es importante documentar el rendimiento de la red. Esto se conoce como determinación de la línea de base (baseline en ingles) para la red y se utiliza como indicación de un funcionamiento normal. Al comparar el rendimiento futuro de la red con la línea de base, se puede evaluar si existe algún problema. También a nivel de servidores de Microsoft es necesario documentar las políticas de seguridad que se implementan, los tipos de cuenta y permisos de cada una, cada cuando se deben cambiar las contraseñas de las cuentas de usuarios. Diagramas de cableado Figura 4.2.3-3 Diagrama de las normas T568A y T568B El cableado estructurado para redes de computadores tiene dos tipos de normas, la EIA/TIA-568A (T568A) y la EIA/TIA568B (T568B). Se diferencian por el orden de los colores de los pares a seguir en el armado de los conectores RJ45. Si bien el uso de cualquiera de las dos normas es indiferente, generalmente se utiliza la T568B para el cableado recto. Es importante contar con diagramas de las normas mencionadas, ya que ellos permitirán configurar de manera adecuada los distintos tipos de cable que se necesiten, algunos técnicos elaboran cables rectos sin utilizar las normas T568A o T568B, solamente se aseguran de que los pares coincidan en ambos extremos, lo cual puede repercutir en el desempeño de la red. 89 Políticas, procedimientos y configuraciones. Cuando se haga documentación de una red, se debe estar seguro de documentar cualquier política de seguridad. A continuación mencionamos algunas políticas que debe documentar: Políticas de Password: Estas políticas determinan que passwords son válidos en la red local, en este documento se especifica la longitud, caracteres que se utilizan y algún orden o secuencia en que los caracteres deben colocarse, así como la frecuencia en que éstas deben cambiarse. Derechos de usuario: En sistemas Windows server se utilizan los derechos, determinan alguno privilegios a ciertos usuarios, por ejemplo el administrador de la red puede ser el único en tener los derechos para cambiar los protectores de pantalla de la red local, por lo que, en el servidor deberá configurarse su cuenta de usuario para que pueda llevar a cabo ésta tarea, así como documentar la política usada . Políticas de firewall: Un política de seguridad muy importante es la del firewall, se deben especificar perfectamente que puertos son los que deben de estar abiertos. Una mala configuración puede ocasionar bloquear tráfico deseado o ser susceptible a algún ataque externo. Políticas de restricción de software: Estas políticas determinan que software debe estar instalado en las computadoras, para algunas empresas por ejemplo el uso de programas como Messenger está prohibido por ocasionar pérdida de tiempo chateando en horas trabajo por parte de los empleados, mientras que en algunas otras empresas su uso es de vital importancia para la comunicación entre empleados o brindar servicios como soporte técnico. 90 Objetivo 4.4 Para cubrir éste objetivo deberá entender e identificar algunas formas en que un error de sistema o componente de red ocurre, mediante algunos indicadores físicos, registros de sistema entre otros. Revisando indicadores físicos. Cuando inicias soporte a una red, varios indicadores pueden ayudarte a determinar el problema. Estos indicadores son una combinación de varios elementos físicos y lógicos. En el nivel físico se pueden detectar los problemas observando las luces de los dispositivos, a continuación se explican algunos de ellos: Luces Las luces son una herramienta muy poderosa a la hora de determinar errores de conectividad en una red. Routers, switches y tarjetas de red están equipados de leds que indican su estado de funcionamiento. Una led con luz verde indica que el dispositivo esta encendido, un led con luz verde parpadeando indica hay actividad (por ejemplo en los puertos de un hub o switch) una luz ámbar indica que hay colisiones en un dispositivo, obviamente la ausencia de luz en los leds indica que por alguna causa el dispositivo no está funcionando. Avisos de errores Un aviso de error indica un funcionamiento inadecuado de un dispositivo de la red, estos avisos se manifiestan mediante un cuadro de diálogo en la computadora, generalmente en esos avisos se muestra un número el cual se debe consultar en la documentación que se adjunta en el dispositivo, en él cada fabricante detalla cada código de error, de esta manera los técnicos podrán dar solución de manera adecuada. Registros de error Son similares a los avisos de error, los registros de error guardan una lista de errores encontrados en un dispositivo. Estos registros deberían proporcionar la hora en que sucedió el problema, la naturaleza del mismo y quizás indicar el procedimiento para resolver el problema. Desafortunadamente los registros de error no contienen suficiente información para resolver el problema, deberá seguramente consultar documentación adicional y valerse de otras herramientas para poder diagnosticar y resolver el problema. Los sistemas operativos Windows tienen un mecanismo de registro de errores llamado “Event Viewer” el cual es útil e importante en la resolución de problemas de éstos sistemas operativos. 91 Es recomendado que utilice el Event Viewer cuando tenga que resolver problemas relacionados a éstos sistemas operativos, especialmente cuando se trata de servidores. El Event Viewer es una aplicación que los registros binarios almacenados en <windows directory>\system32\config folder. No necesita ingresar a la carpeta config para ver los registros almacenados, Event Viewer proporciona una consola que brinda la información almacenada en esa carpeta. Hay tres principales tipos de registros en los sistemas operativos Windows los cuales si usted es administrador de un sistema operativo Windows server deberá monitorear: El registro de sistema: Graba los eventos que son proporcionados por el sistema operativo y contienen mensajes de error acerca de driver que no fueron cargados, servicios que fallaron en la carga inicial o información acerca de cualquier cosa que suceda en el sistema operativo. El registro de seguridad: Contiene todos los eventos relacionados a la seguridad, aquí se registran los usuarios que se loguean o el acceso a archivos o carpetas. El registro de aplicación: contiene eventos que han sido generados por aplicaciones que corren o se detienen en el sistema operativo, por ejemplo si tiene instalado SQL server o Exchange, estas aplicaciones guardaran sus errores en este registro. Para utiliza el Event Viewer relice lo siguiente: Figura 4.4-1 Event Viever 1 De clic en menú INICIO, de clic con el botón derecho en Equipo. 2 Expanda el Event Viewer dando clic en el signo + . 92 Objetivo 4.5 QoS Quality of Service es usado para controlar el ancho de banda de la red, es usado en aplicaciones como voice sobre IP or streaming multimedia en los cuales el administrador de red deberá asegurar el suficiente ancho de banda para éstas aplicaciones y por tanto puedan funcionar de forma adecuada. Monitor de red Es una herramienta que viene incorporada en los sistemas operativos Windows, sólo captura y despliega los frames que son enviados o provienen de tu sistema. Balanceo de carga Es un popular método para incrementar el desempeño de algunos recursos de red como son los sitios de comercio electrónico El balanceo de carga se puede ejemplificar de la siguiente forma: Puedes instalar un sitio de comercio electrónico en diversos servidores, por lo que, cuando los usuarios acceden a él, las peticiones se reparten entre los diferentes servidores. El beneficio del balanceo de carga es que, aunque múltiples usuarios se conecten al mismo tiempo al sitio web, éste no decrementa su desempeño. Tolerancia a fallos Es algo propio de sistemas que precisan de una alta disponibilidad en función de la importancia estratégica de las tareas que realizan, o del servicio que han de dar a un gran número de usuarios. La tolerancia a fallos se puede implementar en servidores al tener siempre un servidor en reserva que actúa de forma inmediata si el primero falla. 93 Objetivo 4.6 Solución a problemas Esta sección muestra los pasos y procedimientos que se deben realizar para resolver problemas de nuestros equipos. Como recomendación estudie perfectamente el orden de implementación ya que en el examen de certificación se pide tanto que identifique que se debe realizar en cada paso como el orden estricto que se debe seguir 1) Establecer los síntomas Obviamente si identificas el problema podrás empezar a resolverlo. El primer paso para solucionar algún problema es establecer los síntomas de él, la información que necesitarás la puedes obtener de los usuarios afectados o de los mensajes de error. 2) Identificar el área afectada Una vez que has identificado el problema tienes que determinar la magnitud del mismo, esto es importante por varias razones, algunos problemas son pequeños y afectan solamente a muy pocos o a un sólo usuario así como hay problemas que afectan a toda la red. Aquellos problemas generalmente están asociados con la infraestructura de la red como el mal funcionamiento de un switch o hub o insuficiente ancho de banda. El identificar el área afectada ayuda también a establecer la prioridad de su solución, obviamente se atendería primeramente un problema que afecta a toda una red que a un sólo usuario. 3) Establecer que ha cambiado. Cuando una computadora o red ha sido instalada y configurada correctamente y después de un periodo de tiempo empieza a fallar una pregunta que debes realizarte es ¿qué ha cambiado? Cuando busquemos cambios en una red o computadora considera lo siguiente: ¿Han instalado un nuevo software al sistema? ¿Algún dispositivo ha sido agregado? ¿Fue configurado correctamente? ¿Se eliminaron archivos del sistema? Por ejemplo si sabes que un equipo de red sólo a sido cambiado de lugar y no funciona ya, probablemente el problema radica en una mala conexión del cable (cambio ocurrido por el transporte y que ocurre muy frecuentemente). 94 4) Seleccionar la posible causa No siempre es fácil determinar la causa de un problema, ello dependerá de nuestra experiencia y estudio que tengamos. Por ejemplo si un usuario no puede acceder al sistema y los demás si, probablemente la causa sea que haya introducido mal su contraseña o nombre de usuario, o algo tan trivial como que muchas veces se tiene activada la tecla Bloq Mayús y como por ejemplo Windows 2003 Advanced Server distinguirá mayúsculas de minúsculas no te dejará acceder al sistema. 5) Implementar la solución Una vez que has seleccionado la posible causa, es tiempo de tratar de corregir el problema. Sin embargo tienes que seguir un plan que te permita corregir el problema sin afectar a todos los demás. Por ejemplo si la solución a un problema radica en realizar algún cambio en el servidor, tienes que realizar respaldos, y si hay que apagar el servidor busca la hora adecuada, imagina hacerlo en pleno día laboral. 6) Identificar los efectos de la solución Cuando implementes una posible solución a un problema considera como puede afectar no solamente a ese equipo si no a toda la red. No vaya a ser que la medicina resulte peor que la enfermedad. El desinstalar software, archivos compartidos o algún dispositivo, puede afectar el funcionamiento de toda la red. 7) Documentar la solución Este es uno de los pasos más importante en la solución de problemas, ya que con ello irás formando una guía de los problemas más comunes y su solución, recuerda que siempre la primera vez cuesta trabajo solucionar un problema que hasta ese entonces nos era desconocido, pero una vez identificado y documentado, su solución podrá ser muy rápida. Cuando documente toma en cuenta lo siguiente: Detalla cual fue el problema y su solución Otras posibles soluciones si es que las hay Quien implemento la solución Fecha de implementación. 95 Objetivo 4.7 A continuación se muestran algunos escenarios en los cuales deberás resolver los problemas que ahí se plantean. 1) Acabas de terminar de instalar una red, todos los cables están correctamente, conectados sin embargo no tienes conexión a internet Revise la imagen y determine ¿cuál es la falla? a) La máscara de subred no es la adecuada para la dirección IP b) DNS no está configurado en las estaciones de trabajo c) Se bloqueo el puerto 80 d) Default Gateway no está configurado en las estaciones de trabajo Respuesta D. Observe con cuidado la imagen y verá que el Default Gateway no está configurado y sin el recuerde que no se tiene salida a internet. 2) ¿Qué representa la salida mostrada en la imagen? a) un ping a SERVER0 b) un tracert a SERVER0 c) Es la tabla arp de SERVER0 d) Es el cache arp de SERVER0 e) Es NETBIOS name caché Respuesta E El NETBIOS name cache es lo que se muestra en la figura. 96 3) Eres el administrador de una red con 10 estaciones de trabajo. Una de las estaciones de trabajo presenta problemas de comunicación con el servidor. Durante el día dicha estación de trabajo funciona correctamente, sin embargo a partir de la tarde-noche la estación empieza a presentar problemas ¿Cuál podría ser el problema? a) Un puerto dañado del hub b) Bajo voltaje c) El cableado de la red está instalado cerca de la instalación de luz d) El password del usuario expiró Respuesta C Seguramente el cableado esta junto al de la instalación eléctrica, en la noche al prender las luces se produce los problemas de comunicación. El colocar el cableado cerca de la instalación eléctrica produce crosstalk (lo que ocasiona pérdida de paquetes de información). 4) Cuentas con una conexión permanente de internet, además tu red cuenta con un servidor SMTP y un servidor web. Como administrador estás preocupado por el acceso que vía internet que pudieran realizar los hackers a tu red. Para incrementar la seguridad cambias el http por https para realizar el acceso al servidor web. Después de realizar el cambio no se tiene acceso al servidor web desde Internet, pero si por lo usuarios de la red local. ¿Cuál es la posible causa? a) El servidor DNS está apagado b) Se cambio accidentalmente la dirección del servidor web c) El puerto 443 está bloqueado d) El puesto 338 está bloqueado Respuesta C El https utiliza el puesto 443 por lo que sí está bloqueado, no se tendrá acceso a la red. 97 5) En la imagen mostrada, la estación de trabajo B fue cambiada al mismo segmento que la estación de trabajo C, sin embargo la estación de trabajo B no tiene comunicación. Todas las configuraciones de la estación de trabajo B son correctas y ninguna otra estación de trabajo presenta algún problema. ¿Cuál podría ser la causa? a) El hub B b) El puente (bridge) c) El router B d) El cable conectado a la estación de trabajo B. Respuesta D El problema se aísla a una sola computadora, por lo que, seleccionar alguna de las otras opciones implicaría que la red presentara una general. 98 CAPITULO 5 HERRAMIENTAS DE REDES 99 Objetivo 5.1 Traceroute Traceroute es una herramienta de diagnóstico de redes que permite seguir la pista de los paquetes que van desde un host (punto de red) a otro (vea la figura 5.1-1). Se obtiene además una estadística del RTT o latencia de red de esos paquetes, lo que viene a ser una estimación de la distancia a la que están los extremos de la comunicación. Esta herramienta se llama traceroute en UNIX y GNU/linux, mientras que en Windows se llama tracert. Figura 5.1-1 Comando tracert Ipconfig Ipconfig en Windows es una utilidad de línea de comandos que muestra la configuración de red actual de una computadora local (dirección IP, máscara de red, dafault gateway, etc ), así como controlar el servicio Windows que actúa como cliente DHCP(vea la figura 5.1-2). Ipconfig en Mac OS X es una utilidad de línea de comandos que puede ser usada para controlar los clientes BootP y DHCP. Como en otros sistemas operativos basado en UNIX, en Mac OS X también se puede utilizar el comando ifconfig para un control más directo sobre las interfaces de red. Figura 5.1-2 Comando ipconfig 100 Ifconfig Figura 5.1-3 Comando ifconfig Ifconfig es un programa disponible en varias versiones del sistema operativo UNIX, que permite configurar o desplegar numerosos parámetros de las interfaces de redes, como la dirección IP (dinámica o estática), o la máscara de red(vea la figura 5.1-3). Si se llama sin argumentos suele mostrar la configuración vigente de las interfaces de red activas, con detalles como la dirección MAC o el tráfico que ha circulado por las mismas hasta el momento. Ping La utilidad ping comprueba el estado de la conexión con uno o varios equipos remotos por medio de los paquetes de solicitud de eco y de respuesta de eco (ambos definidos en el protocolo de red ICMP) para determinar si un sistema IP específico es accesible en una red. Es útil para diagnosticar los errores en redes o routers (vea la figura 5.1-4). Muchas veces se utiliza para medir la latencia o tiempo que tardan en comunicarse dos puntos remotos, y por ello, se utiliza entre los aficionados a los juegos en red el término PING para referirse al lag o latencia de su conexión. Figura 5.1-4 Comando ping 101 Arp ARP son las siglas en inglés de Address Resolution Protocol (Protocolo de resolución de direcciones). Es un protocolo de nivel de red responsable de encontrar la dirección hardware (Ethernet MAC) que corresponde a una determinada dirección IP (vea la figura 5.1-5). Para ello se envía un paquete (ARP request) a la dirección de difusión de la red (broadcast MAC = ff ff ff ff ff ff) que contiene la dirección IP por la que se pregunta, y se espera a que esa máquina (u otra) responda (ARP reply) con la dirección ethernet que le corresponde. Cada máquina mantiene una caché con las direcciones traducidas para reducir el retardo y la carga. ARP permite a la dirección de internet ser independiente de la dirección ethernet, pero esto sólo funciona si todas las máquinas lo soportan. Figura 5.1-5 Comando arp Nslookup Nslookup es un programa, utilizado para saber si el DNS está resolviendo correctamente los nombres y las IPs (vea la figura 5.1-6). Funciona tanto en windows como en unix para obtener la dirección IP conociendo el nombre de dominio, y viceversa. Figura 5.1-6 Comando nslookup nslookup www.hotmail.com Server: 192.168.1.1 Address: 192.168.1.1#53 Non-authoritative answer: Name: www.hotmail.com Address: 66.230.200.100 102 Hostname Hostname es el programa que se utiliza para mostrar o establecer el nombre actual del sistema (nombre de equipo). Muchos de los programas de trabajo en red usan este nombre para identificar a la máquina (vea la figura 5.1-7). Cuando se invoca sin argumentos, el programa muestra los nombres actuales. hostname muestra el nombre del sistema que le devuelve la función gethostname(2). Figura 5.1-7 Comando hostname Route Route es una herramienta de línea de comandos disponible tanto en Microsoft Windows como en GNU/Linux. Nos permite manipular las tablas de enrutamiento de nuestro sistema (vea la figura 5.1-8). Figura 5.1- 8 Comando route 103 Netstat Netstat (network statistics) es una herramienta de línea de comandos que muestra un listado de las conexiones activas de un host, tanto entrantes como salientes (vea la figura 5.1-9). Existen versiones de este comando en varios sistemas como Unix, GNU/Linux, Mac OS X, Windows y BeOS. La información que resulta del uso del comando incluye el protocolo en uso, las direcciones IP tanto locales como remotas, los puertos locales y remotos utilizados y el estado de la conexión. Existen, además de la versión para línea de comandos, herramientas con interfaz gráfica (GUI) en casi todos los sistemas operativos desarrollados por terceros. Figura 5.1-9 Comando netstat Nbtstat (NetBios Remote Machine Name Table) Este comando sirve para obtener información de equipos remotos como: nombre del host, IP, puertos, estado, (vea la figura 5.1-10). Figura 5.1- 10 Comando nbtstat 104 Dig El comando dig (Domain informatioI Groper) constituye una herramienta para realizar consultas de diversos tipos a un servidor de DNS. Este muestra las respuestas recibidas de acuerdo a su solicitud. Es muy útil para detectar problemas en la configuración de los servidores de DNS debido a su flexibilidad, facilidad de uso y claridad en su salida. En el caso de que no se indique el servidor a consultar se asumirán los especificados en /etc/resolv.conf. Cuando no se añade ninguna opción o argumento en la línea de comando se consultan los servidores de nombres del dominio raíz (NS query). La forma básica de invocar a dig es: dig <@servidor> <nombre> [tipo] donde: @servidor - es el nombre o la dirección IP del servidor a consultar. nombre - es el nombre de dominio del record por el cual se quiere preguntar. tipo - es el tipo del record por el que se consulta (ANY, NS, SOA, MX, etc.). De no indicarse se asumirá A. Mtr Mtr o My traceroute es un programa que combina las funcionalidades de traceroute y ping en una única utilidad de diagnóstico (vea la figura 5.1-11). Básicamente, mtr prueba cada uno de los saltos que hay desde que un paquete se envía hasta que llega a su destino, realizando pings en cada uno de ellos y sacando por pantalla estadísticas de respuesta en porcentajes de cada uno de estos saltos cada X segundos. Figura 5.1- 11 Comando mtr 105 Objetivo 5.2 Los scanners de red son herramientas utilizadas para analizar redes, CompTIA Network+ hace un análisis de ellos clasificándolos de la siguiente forma: Packet sniffers Intrusion Detection System / Intrusion Prevention System (IDS/IPS) software Port scanners Packet sniffers Un packet sniffer es un programa de captura de tramas de red. Los packet sniffers tienen diversos usos como monitorear una red para detectar y analizar fallos o ingeniería inversa de protocolos de red. También es habitual su uso para fines maliciosos, como robar contraseñas, interceptar mensajes de correo electrónico, espiar conversaciones de chat, etc. Para conseguir esto el sniffer pone la tarjeta de red o NIC en un estado conocido como "modo promiscuo" en el cual en la capa de enlace de datos (ver niveles OSI) no son descartadas las tramas no destinadas a la MAC address de la tarjeta; de esta manera se puede capturar todo el tráfico que viaja por la red. Existen packet sniffers para Ethernet/LAN y algunos de ellos son Wireshark (anteriormente conocido como [[Ethereal ), Ettercap, TCPDump, WinDump, WinSniffer, Hunt, Darkstat, traffic-vis, KSniffer) y para Redes inalámbricas como Kismet o Network Stumbler. Port Scanner El término port scanner se emplea para designar la acción de analizar por medio de un programa el estado de los puertos de una máquina conectada a una red de comunicaciones. Detecta si un puerto está abierto, cerrado, o protegido por un firewall. Se utiliza para detectar qué servicios comunes está ofreciendo la máquina y posibles vulnerabilidades de seguridad según los puertos abiertos. También puede llegar a detectar el sistema operativo que está ejecutando la máquina según los puertos que tiene abiertos. Es usado por administradores de sistemas para analizar posibles problemas de seguridad, pero también es utilizado por usuarios malintencionados que intentan comprometer la seguridad de la máquina o la red. Existen varios programas escaneadores de puertos de red, uno de los más conocidos es Nmap, disponible tanto para Linux como Windows. 106 IPS Un sistema de prevención de intrusos (IPS) es un dispositivo que ejerce el control de acceso en una red informática para proteger a los sistemas computacionales de ataques y abusos. La tecnología de prevención de intrusos es considerada por algunos como una extensión de los sistemas de detección de intrusos (IDS), pero en realidad es otro tipo de control de acceso, más cercano a las tecnologías firewall. Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon para resolver ambigüedades en el monitoreo pasivo de redes de computadoras, al situar sistemas de detecciones en la vía del tráfico de red. Los IPS presentan una mejora importante sobre las tecnologías de cortafuegos tradicionales, al tomar decisiones de control de acceso basados en los contenidos del tráfico, en lugar de direcciones IP o puertos. Tiempo después, algunos IPS fueron comercializados por la empresa One Secure, la cual fue finalmente adquirida por NetScreen Technologies, que a su vez fue adquirida por Juniper Networks en 2004. Dado que los IPS fueron extensiones literales de los sistemas IDS, continúan en relación. También es importante destacar que los IPS pueden actuar al nivel de equipo, para combatir actividades potencialmente maliciosas. Un sistema de prevención de intrusos, al igual que un sistema de detección de intrusos, funciona por medio de módulos, pero la diferencia es que este último alerta al administrador ante la detección de un posible intruso (usuario que activó algún sensor), mientras que un sistema de prevención de intrusos establece políticas de seguridad para proteger el equipo o la red de un ataque; se podría decir que un IPS protege al equipo proactivamente y un IDS lo protege reactivamente. IDS Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System) es un programa usado para detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automáticas. El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas. 107 Objetivo 5.3 Figura 5.3-1 Probadores de cables Probador de cables /certificador Existen distintos tipos probadores de cables, algunos solo monitorean la señal eléctrica y otros son capaces de reconocer errores tales como colisiones, congestión de tráfico, errores de frames o protocolos. Típicamente miden las frecuencias para determinar los MHz (vea la figura 5.3-1). Generador de tonos Figura 5.3-2 Generador de tonos Utilizado para encontrar los puntos finales de un cable. Se coloca el generador de tonos en un punto final del cable y el localizador en el otro punto (vea la figura 5.3-2). TDR (Time Domain Reflectometer) Reflectómetro en el dominio del tiempo es un dispositivo que puede enviar señales a través de un cable de red (coaxial o UTP) para verificar la continuidad, longitud y otros atributos del cable (vea la figura 5.3-3). Los TDR se utilizan para detectar problemas de la capa física de la red. Figura 5.3-3 TDR Se utiliza para: Medir la velocidad y condición del cable Medir cuanto tiempo toma enviar una señal a través de un cable de ida y regreso Medir la impedancia de un cable Estimar la longitud de un cable OTDR (Optical Time Domain Reflectometer) Figura 5.3-4 OTDR Un OTDR es un instrumento óptico-electrónico usado para caracterizar una fibra óptica. Un OTDR inyecta en la fibra bajo análisis una serie de pulsos ópticos. También extrae, del mismo extremo de la fibra, luz que ha sido dispersada y reflejada de vuelta desde puntos de la fibra con un cambio en el índice de refracción. Este dispositivo es el equivalente en óptica al Reflectómetro en el Dominio del Tiempo (TDR), que mide los cambios producidos en la impedancia de un cable (vea la figura 5.3-4). 108 La intensidad del pulso devuelto, es integrado como una función del tiempo, y representado en función de la longitud de la fibra. Un OTDR puede ser utilizado para estimar la longitud de la fibra, y su atenuación, incluyendo pérdidas por empalmes y conectores. También puede ser utilizado para detectar fallos, tales como roturas de la fibra. Figura 5.3-5 Adaptador loopback Adaptador loopback Es un tipo de terminador que se conecta a la NIC para probarla, se le configura una IP y simula como si la red estuviera conectada (vea la figura 5.3-5) Analizador de protocolos (sniffer) A veces es confundido con un packed sniffer debido a que algunos productos incluyen ambos --- un packed sniffer revisa todo el tráfico de una red --- un analizador de protocolos como su nombre lo indica analiza protocolos, (vea la figura 5.3-6) sus funciones son las siguientes: Ayuda e detectar e identificar malware Ayuda a identificar protocolos no conocidos y borrarlos posteriormente Contiene un generador de trafico de red usado es test de penetración Figura 5.3-6 Multímetro digital Multímetro digital Es un instrumento de medida que ofrece la posibilidad de medir distintos parámetros eléctricos y magnitudes en el mismo aparato. Las más comunes son las de voltímetro, amperímetro y óhmetro (vea la figura 5.3-6) Punch down tool Figura 5.3-7 Punch down tool Las pinzas ponchadoras son de dos tipos: para telefonía son del tipo RJ11 para comunicaciones son de tipo RJ45 En cualquier tipo, las pinzas son para "ponchar" (fijar) los conectores a los cables (vea la figura 5.3-7) . 109 CAPITULO 6 SEGURIDAD EN LAS REDES 110 Objetivo 6.1 Redes basadas en firewalls Una red basada en un firewall es la que las compañías usan para proteger sus redes privadas de las públicas. Un firewall es una barrera que se coloca al frente de una red con el fin de protegerla de ataques externos. Host- Basado en firewall Un host-basado en firewall es implementado en una sola máquina, actualmente todos las computadoras que tengan instalado el sistema operativo Windows cuentan con un firewall integrado. Siempre es recomendable implementar un firewall a tu red o computadora vía hardware pero a menos que seas director de la CIA o tengas información extremadamente confidencial la implementación de un firewall vía software como el que brindan los sistemas operativos Windows te proporcionará un nivel de seguridad bastante aceptable de ataques externos. Sistemas de prevención y detección de intrusiones Si alguna vez han penetrado tu red, ¿cómo podrías saberlo? Aunque es verdad que mediante la búsqueda de huellas dactilares se podría encontrar al atacante (si es que lo hizo directamente en una máquina de tu red) la realidad es que el ataque seguramente se infiltro de forma externa, sin embargo los atacantes pueden dejar rastros que te permitan saber cómo obtuvieron acceso. Una excelente herramienta para hacer labor de detective es conocida como IDS (Intrusion Detection System). Los firewalls estas diseñados para bloquear el tráfico de red no deseado, pero los IDS son más que una herramienta auditora: te permiten seguir la pista de toda la actividad de tu red, de tal forma que puedes detectar si alguien ha violado tu seguridad. Los IDS son una tecnología reciente por lo que los administradores de redes se encuentran desarrollando formas para combinar los IDS con los firewalls existentes. Nota: Un IDS no sustituye a un firewall más bien se complementan Hay dos formas que los sistemas IDS pueden detectar ataques o intrusiones. La primera está basada en la firma de una intrusión la cual es conocida como misuse-detection IDS (MD-IDS), las firmas reconocen un uso indebido de a red con lo que las IDS envían una alarma. 111 La segunda forma es buscar anomalías en la actividad de la red “AD-IDS”(anomalydetection IDS). Un AD-IDS básicamente lo que hace es buscar cualquier actividad anormal en la red, si descubre alguna envía una alerta. En la figura 6.1-1 se muestra el funcionamiento de un sistema IDS Figura 6.1-1 IDS Cuando un IDS se mueve para prevenir un ataque, se dice que es un IPS (Intrusion Protecion System), por ejemplo si se detecta un ataque por el puerto 21 tu IDS cierra temporalmente ese puerto. Concentradores VPN Un concentrador VPN es un componente el cual crea acceso remoto para redes privadas virtuales. La empresa Cisco fabrica concentradores VPN los cuales soportan hasta 10 000 conexiones remotas simultáneas. Figura 6.1-2Concentrador VPN La encriptación para los accessosremotos VPN a través de un concentrador se realizan mediante IPsec o SSL, y la authentication puede llevarse a cabo vía Active Directory , Kerberos, RADIUS o RSA. En la figura 6.1-2 se muestra la interacción de un concentrador VPN en una red. 112 Objetivo 6.2 Introducción a los firewalls Un cortafuegos (o firewall en inglés) es un elemento de hardware o software que se utiliza en una red de computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas según las políticas de red que haya definido la organización responsable de la red. Su modo de funcionar es indicado por la recomendación RFC 2979, que define las características de comportamiento y requerimientos de interoperabilidad. La ubicación habitual de un cortafuegos es el punto de conexión de la red interna de la organización con la red exterior, que normalmente es Internet; de este modo se protege la red interna de intentos de acceso no autorizados desde Internet, que puedan aprovechar vulnerabilidades de los sistemas de la red interna. Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en función de lo que sean permite o deniega su paso. También es frecuente conectar a los cortafuegos a una tercera red, llamada zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior. Un cortafuegos correctamente configurado añade protección a una instalación informática, pero en ningún caso debe considerarse suficiente. La seguridad informática abarca más ámbitos y más niveles de trabajo y protección. Cortafuegos de capa de red o de filtrado de paquetes Las reglas acerca del filtrado de paquetes a través de un router para rehusar/permitir el trafico, está basado en un servicio en especifico desde entonces muchos servicios vierten su información en numerosos puertos TCP/UDP conocidos. Por ejemplo, un servidor Telnet esta a la espera para conexiones remotas en el puerto 23 TCP y un servidor SMTP espera las conexiones de entrada en el puerto 25 TCP. Para bloquear todas las entradas de conexión Telnet, el router simplemente descarta todos los paquetes que contengan el valor del puerto destino TCP igual a 23. Para restringir las conexiones Telnet a un limitado número de servidores internos, el router podrá rehusar el paso a todos aquellos paquetes que contengan el puerto destino TCP igual a 23 y que no contengan la dirección destino IP de uno de los servidores permitidos. Algunas características típicas de filtrado que un administrador de redes podría solicitar en un router filtra-paquetes para perfeccionar su funcionamiento serian: Permitir la entrada de sesiones Telnet únicamente a una lista específica de servidores internos. Permitir la entrada de sesiones FTP únicamente a los servidores internos especificados. 113 Permitir todas las salidas para sesiones Telnet. Permitir todas las salidas para sesiones FTP. Rehusar todo el trafico UDP. Cortafuegos de capa de aplicación Trabaja en la capa de aplicación (nivel 7 OSI) de manera que los filtrados se pueden adaptar a características propias de los protocolos de este nivel. Por ejemplo, si se trata de tráfico HTTP, se pueden realizar filtrados según la URL a la que se está intentando acceder. Un cortafuegos a nivel 7 de tráfico HTTP suele denominarse proxy, y permite que los host de una organización entren a internet de una forma controlada. Un cortafuegos personal es un caso particular de cortafuegos que se instala como software en un host, filtrando las comunicaciones entre dicho host y el resto de la red y viceversa. Ventajas de un cortafuego Protege de intrusiones.- El acceso a ciertos segmentos de la red de una organización sólo se permite desde máquinas autorizadas de otros segmentos de la organización o de internet. Protección de información privada.- Permite definir distintos niveles de acceso a la información, de manera que en una organización cada grupo de usuarios definido tendrá acceso sólo a los servicios y la información que le son estrictamente necesarios. Optimización de acceso.- Identifica los elementos de la red internos y optimiza que la comunicación entre ellos sea más directa. Esto ayuda a reconfigurar los parámetros de seguridad. Limitaciones de un cortafuegos Un cortafuegos no puede proteger contra aquellos ataques cuyo tráfico no pase a través de él. El cortafuegos no puede proteger de las amenazas a las que está sometido por ataques internos o usuarios negligentes. El cortafuego no puede prohibir a espías corporativos copiar datos sensibles en medios físicos de almacenamiento (diskettes, memorias, etc.) y sustraerlas del edificio. El cortafuegos no puede proteger contra los ataques de ingeniería social. El cortafuegos no puede proteger contra los ataques posibles a la red interna por virus informáticos a través de archivos y software. La solución real está en que la organización debe ser consciente en instalar software antivirus en cada máquina para protegerse de los virus que llegan por cualquier medio de almacenamiento u otra fuente. El cortafuegos no protege de los fallos de seguridad de los servicios y protocolos cuyo tráfico esté permitido. Hay que configurar correctamente y cuidar la seguridad de los servicios que se publiquen a Internet. 114 Políticas del cortafuegos Hay dos políticas básicas en la configuración de un cortafuegos que cambian radicalmente la filosofía fundamental de la seguridad en la organización: Política restrictiva: Se deniega todo el tráfico excepto el que está explícitamente permitido. El cortafuegos obstruye todo el tráfico y hay que habilitar expresamente el tráfico de los servicios que se necesiten. Política permisiva: Se permite todo el tráfico excepto el que esté explícitamente denegado. Cada servicio potencialmente peligroso necesitará ser aislado básicamente caso por caso, mientras que el resto del tráfico no será filtrado. La política restrictiva es la más segura, ya que es más difícil permitir por error tráfico potencialmente peligroso, mientras que en la política permisiva es posible que no se haya contemplado algún caso de tráfico peligroso y sea permitido por omisión. DMZ En seguridad informática, una zona desmilitarizada (DMZ, demilitarized zone) o red perimetral es una red local que se ubica entre la red interna de una organización y una red externa, generalmente internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan a la red externa -- los equipos (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejón sin salida. La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde fuera, como servidores de e-mail, Web y DNS. Las conexiones que se realizan desde la red externa hacia la DMZ se controlan generalmente utilizando port address translation (PAT). Una DMZ se crea a menudo a través de las opciones de configuración del cortafuegos, donde cada red se conecta a un puerto distinto de éste. Esta configuración se llama cortafuegos en trípode (three-legged firewall). Un planteamiento más seguro es usar dos cortafuegos, donde la DMZ se sitúa en medio y se conecta a ambos cortafuegos, uno conectado a la red interna y el otro a la red externa. Esta configuración ayuda a prevenir configuraciones erróneas accidentales que permitan el acceso desde la red externa a la interna. Este tipo de configuración también es llamado cortafuegos de subred monitoreada (screened-subnet firewall). 115 Objetivo 6.3 ACL Una Lista de Control de Acceso o ACL (del inglés, Access Control List) es un concepto de seguridad informática usado para fomentar la separación de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido. Las ACLs permiten controlar el flujo del tráfico en equipos de redes, tales como routers y switches. Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna condición. Sin embargo, también tienen usos adicionales, como por ejemplo, distinguir "tráfico interesante" (tráfico suficientemente importante como para activar o mantener una conexión) en ISDN. VPN Una VPN es una red privada que se extiende, mediante un proceso de encapsulación y en su caso de encriptación, de los paquetes de datos a distintos puntos remotos mediante el uso de unas infraestructuras públicas de transporte. Los paquetes de datos de la red privada viajan por medio de un "túnel" definido en la red pública. Las VPN pueden enlazar por ejemplo oficinas corporativas con sus socios, con usuarios móviles, con oficinas remotas mediante los protocolos como internet, IP, Ipsec, Frame Relay, ATM. L2TP L2TP fue concebido a partir de la unión de esfuerzos de Microsoft y Cisco Systems. Microsoft ya tenía PPTP como protocolo de tunelado y Cisco estaba trabajando en L2F, y de esa comunión nació el borrador de L2TP. L2TP al igual que PPTP, se utiliza para encapsular PPP con toda la funcionalidad que eso conlleva. Pero para ello, L2TP define sus propios mecanismos y resulta independiente de IP. Esto significa que se amplía el abanico de posibilidades para el transporte pudiendo elegir entre tecnologías como ATM, Frame Relay o incluso IP. Cuando se utiliza IP para el transporte, L2TP puede ser utilizado como un protocolo de tunelado a través de Internet. PPTP El protocolo PPTP resulta ser uno de los más sencillos protocolos para el tunelado de paquetes, si no el que más. Fue propuesto por un grupo de empresas entre las que se encuentran 3Com y Microsoft y su inclusión en los sistemas operativos de esta última lo ha convertido en una solución muy extendida para redes privadas virtuales y mucho más para acceso remoto seguro, ya que en un principio tan sólo se soportaba esta segunda opción. 116 PPTP encapsula paquetes PPP usando una versión modificada de GRE y utiliza los mecanismos de autenticación propios de PPP tales como PAP, CHAP o MS-CHAP. Además en las VPN que utilizan esta tecnología, es habitual que exista cifrado de datos mediante el protocolo MPPE también desarrollado por Microsoft. IPSEC Durante el diseño de IPv4 no se desarrollaron mecanismos de seguridad propios de IP. A la hora de diseñar IPv6 en cambio sí que se tuvo en cuenta la seguridad. El paquete de medidas conjuntas que proporciona seguridad a IPv6 se denomina IPsec y puede ser introducido en IPv4 mediante modificaciones en la pila de protocolos de los sistemas operativos. De esta manera, no hace falta migrar por completo a IPv6 para beneficiarnos del uso de IPsec. IPsec proporciona autenticación, integridad de los datos y confidencialidad en redes IP a nivel de paquete. Esta tecnología tiene muchas aplicaciones y una de las principales es sin duda la creación de redes privadas virtuales. RAS Es una conexión de acceso por discado desde módems de computadoras de escritorio, portátiles y de mano a través de la Red Pública de Telefonía Conmutada (PSTN, por sus siglas en inglés) a un ISP determinado a lo largo de líneas telefónicas regulares. RDP Los servicios de Windows Terminal Services de Windows 2000 Server y Windows Server 2003, tienen la finalidad de permitir conexiones interactivas remotas desde un cliente conectado a la red mediante el protocolo TCP/IP. Escritorio remoto (Remote Desktop) de Windows XP, se basa en dicha tecnología para ejecutar aplicaciones en un equipo remoto que utilice Windows XP Professional, desde cualquier otro cliente que utilice como sistema operativo Microsoft Windows. Estas características están disponibles a través del protocolo de escritorio remoto (RDP), un protocolo de presentación que permite que un terminal basado en Windows u otros clientes también bajo Windows, puedan comunicarse con un servidor Terminal Server. RDP funciona a través de cualquier conexión TCP/IP, incluida una conexión de acceso telefónico, una red de área local (LAN), una red de área extensa (WAN), una red digital de servicios integrados (ISDN), DSL o una red privada virtual (VPN). PPPoE Las conexiones telefónicas a internet recurren al protocolo punto a punto (PPP). PPPoE es un método de administrar protocolos PPP a través de Ethernet. 117 PPPoE proporciona autenticación de sesiones mediante el protocolo de autenticación de contraseñas (PAP o Password Authentication Protocol) o CHAP (Challenge Handshake Authentication Protocol). PPP El PPP es el producto del grupo de trabajo IETF (Internet Engineering Task Force), y es básicamente un protocolo de enlace de datos para líneas punto a punto. PPP provee un protocolo de encapsulación tanto sobre enlaces sincrónicos orientados a bits, como sobre enlaces asincrónicos con 8 bits de datos sin paridad. PPP puede operar a través de cualquier interfaz DTE/DCE. Estos enlaces deben ser FullDuplex pero pueden ser dedicados, o de circuitos conmutados. VNC VNC son las siglas en inglés de Virtual Network Computing (Computación en Red Virtual). VNC es un programa de software libre basado en una estructura cliente-servidor el cual nos permite tomar el control de un servidor remotamente a través de un host cliente. También llamado software de escritorio remoto. VNC permite que el sistema operativo en cada computadora sea distinto: Es posible compartir la pantalla de una máquina de "cualquier" sistema operativo conectando desde cualquier otro host o dispositivo que disponga de un cliente VNC portado. La versión original del VNC se desarrolló en Reino Unido, concretamente en los laboratorios AT&T, en Cambridge. El programa era de código abierto por lo que cualquiera podía modificarlo y existen hoy en día varios programas para el mismo uso. ICA Independent Computing Architecture es un protocolo diseñado por Citrix Systems el cual proporciona comunicación entre servidores y clientes. Citrix WinFrame permite a los clientes ejecutar procesos en un servidor remoto al pasar sólo pulsaciones de teclas, el movimiento del mouse (ratón) y vídeo a través de una conexión, normalmente ISDN (RDSI) o acceso telefónico. Esto reduce la sobrecarga para el cliente y permite sistemas más antiguos y más lentos que obtiene rendimiento mucho mayor. 118 Objetivo 6.4 PKI La tecnología PKI permite a los usuarios autenticarse frente a otros usuarios y usar la información de los certificados de identidad (por ejemplo, las claves públicas de otros usuarios) para cifrar y descifrar mensajes, firmar digitalmente información, garantizar el no repudio de un envío, y otros usos. En una operación criptográfica que use infraestructura PKI, intervienen conceptualmente como mínimo las siguientes partes: Un usuario iniciador de la operación Unos sistemas servidores que dan fe de la ocurrencia de la operación y garantizan la validez de los certificados implicados en la operación (autoridad de certificación, Autoridad de registro y sistema de Sellado de tiempo) Un destinatario de los datos cifrados/firmados/enviados garantizados por parte del usuario iniciador de la operación (puede ser él mismo). PAP fue diseñado de manera sencilla y es un protocolo de dos pasos. El host que está conectando y se puede decir que actúa como cliente, envía un nombre de usuario y una contraseña al sistema servidor. Este último, responde si aprueba o no la conexión, convirtiéndose en el propio autenticador de la misma. PAP resulta ser un protocolo bastante inseguro, puesto que envía la información en texto plano. CHAP es un protocolo similar a PAP, pero resulta más seguro al incorporar un tercer paso para la autenticación. Es un protocolo de desafío y respuesta, lo que significa que el servidor envía un mensaje de desafío al cliente y este calcula la respuesta mediante MD5 El desafío consiste en un identificador de sesión y una cadena arbitraria. Con ellos, el cliente elabora una respuesta mediante un condensado en MD5 de estos dos elementos más la contraseña. Dicha respuesta incluye también fuera del condensado MD5 el nombre de usuario (vea la figura 6.4-1). Una vez que el servidor recibe la respuesta del cliente, la puede comparar con el resultado esperado y aceptar o no la conexión. Como el desafío y la respuesta se elaboran con sistemas de condensado de un sólo sentido, el servidor no podrá deshacer el condensado de la respuesta del cliente. Por lo que deberá elaborar el mismo condensado él mismo. Es fácil darse cuenta de que este esquema depende de que el servidor y el cliente compartan cierta información de antemano, porque en otro caso el condensado no podría coincidir. Esta información compartida es la contraseña de usuario. Figura 6.4-1 Funcionamiento de CHAP . 119 MS-CHAP funciona en esencia como lo hace CHAP. Como en CHAP, el autenticador envía al cliente un desafío que consiste en un identificador de sesión y una cadena arbitraria. El cliente remoto debe incluir en la respuesta el nombre de usuario y un condensado MD4 que incluye la cadena arbitraria, el identificador de sesión y un condensado MD4 a su vez de la contraseña. Este esquema en el que en el condensado de la respuesta se incluye el condensado de la contraseña, permite que el servidor almacene las contraseñas a su vez condensadas en lugar de hacerlo en texto plano. De este modo, el servidor podrá reproducir el proceso para comparar el resultado con la respuesta del cliente sin necesidad de tener la contraseña original en texto plano, resultando así un poco más seguro ante ataque (vea la figura 6.4-2). Figura 6.4-2 ilustra el funcionamiento de MS-CHAP. MS-CHAP proporciona también códigos de error y mensajes nuevos que no se encontraban en CHAP. Algunos de estos mensajes permiten cosas como el cambio de contraseña o la posibilidad de detectar contraseñas expiradas. Una vez que una conexión PPP ha sido negociada, autenticada y establecida, el protocolo comienza a transferir datos entre los dos puntos. Cada paquete que se transmite se encapsula en el origen con una cabecera PPP que es retirada por el sistema que lo recibe. De esta manera se obtiene la carga útil de PPP que como ya se ha dicho puede incluir protocolos diversos (IP,IPX...). RADIUS (acrónimo en inglés de Remote Access Dial-In User Server). Es un protocolo de autentificación, autorización y accounting para aplicaciones de acceso a la red o movilidad IP. Cuando se realiza la conexión con un ISP mediante módem, DSL, cable módem o Wi-Fi, se debe introducir un nombre de usuario y una contraseña. Esta información se transfiere a un dispositivo NAS (Servidor de Acceso a la Red) sobre el protocolo PPP, después a un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS comprueba que la información es correcta utilizando esquemas de autentificación como PAP, CHAP o EAP. 120 Si es aceptado, el servidor autorizará el acceso al sistema del ISP y seleccionará una dirección IP, parámetros L2TP, etc. Al servidor RADIUS también se le notifica cuando comienza y termina la sesión, así que al usuario se le podrá facturar en consecuencia; o los datos se pueden utilizar con propósitos estadísticos. RADIUS fue desarrollado originalmente por Livingston Enterprises para la serie PortMaster de sus Servidores de Acceso a la Red (NAS), más tarde se publicó como RFC 2138 y RFC 2139. Actualmente existen muchos servidores RADIUS, tanto comerciales como de código abierto. Las prestaciones pueden variar, pero la mayoría pueden gestionar los usuarios en archivos de texto, servidores LDAP, bases de datos varias, etc. RADIUS es extensible; la mayoría de fabricantes de software y hardware RADIUS implementan sus propios dialectos. TACACS+ (acrónimo de Terminal Access Controller Access Control System) es un protocolo de autenticación remota que se usa para gestionar el acceso (proporciona servicios separados de autenticación, autorización y registro) a servidores y dispositivos de comunicaciones. TACACS+ está basado en TACACS, pero, a pesar de su nombre, es un protocolo completamente nuevo e incompatible con las versiones anteriores de TACACS. Kerberos es un protocolo de autenticación de redes que permite a dos comunicantes en una red insegura demostrarse su identidad mutuamente de manera segura. El Instituto Tecnológico de Massachussets (MIT) desarrolló Kerberos para proteger los servicios de red proporcionados por el proyecto Athena. El MIT distribuye una implementación de Kerberos libremente bajo una licencia similar a la de BSD. EAP Extensible Authentication Protocol. Uno de los elementos básicos del 802.1x y desarrollado como mejora del Point to Point Protocol (PPP - RFC 1661). PPP utiliza como método de autenticación "username" y "password". Actualmente existe la necesidad de ampliar dicho método a otros, que resulten más seguros o cómodos para el usuario. Así fue diseñado EAP, basado en el protocolo PPP y proporcionando un marco generalizado para diversos métodos de autenticación. EAP sirve como soporte a protocolos propietarios de autenticación, gestiona las contraseñas en mecanismos de desafío-respuesta y es capaz de trabajar con tecnología de clave pública. 121 Objetivo 6.5 Seguridad Física La seguridad física es un tema que muchas empresas olvidan, se preocupan por tener un antivirus, por tener los equipos actualizados y perfectamente configurados, sin embargo dejan los servidores al alcance de cualquiera, de forma personal he visto como en algunas empresas los servidores o routers se encuentran junto al escritorio de la secretaria incluso personal trabajando en ellos como si se tratara de cualquier máquina. Ante tales circunstancias es muy fácil desconectar o des configurar dichos equipos con todas las consecuencias que ello implica. Lo ideal es que se cuente con un cuarto aislado al cual solo tengan acceso el o los administradores de la red. Adicionalmente se pueden agregar otras medidas de seguridad que a continuación veremos Barrera Física Un centro de cómputo debe tener más de una barrera física para sus servidores y routers, la primera barrera es delimitar un perímetro de acceso, el cual puede implicar el uso de biométricos (lectores de huellas digitales, o retinas) para identificar a las personas autorizadas que pueden ingresar al cuarto donde se encuentran los servidores. También puede incluir el uso de cámaras de vigilancia. Una segunda línea de defensa es colocar chapas en las puertas de acceso al cuarto de los servidores y una tercera línea de defensa en colocar bajo llave el site donde se encuentran nuestros equipos. La figura 6.5-1 muestra un ejemplo de la implementación de una barrera física de 3 niveles Figura 6.5-1 Barrera física 122 Restricción local y acceso remoto El control de acceso es una parte fundamental en cualquier programa de seguridad, ya hemos hablado de la implementación de seguridad a través de barreras físicas, ahora es tiempo de pensar quien puede acceder al servidor. Cuando el acceso es local, solo los administradores de la red pueden loguearse en el servidor directamente (En el mundo de Microsoft server las cuentas por default que pueden loguearse en el dominio son las de los administradores). El acceso remoto requiere especial cuidado, algunas ocasionas las necesidades de una empresa requieren que otras personas puedan acceder al servidor de forma remota para consultar algún dato de importancia por ejemplo un vendedor, en estos casos como administradores de red se debe garantizar que solo las personas designadas accedan al servidor y solo a los recursos que necesite utilizar o consultar, Windows 2003 y 2008 server permiten implementar excelentes mediadas de seguridad para acceso remoto mediante las cuentas de usuario. Métodos seguros e inseguros Algunas aplicaciones que se utilizan para tener acceso a una red pueden generar problemas de seguridad, ya que mediante un snnifer se puede capturar el tráfico de la red y si los datos no están encriptados pueden obtener información valiosa o infiltrarse en los servidores, por lo anterior se listan a continuación una serie de protocolos y aplicaciones inseguras y por cual se recomienda cambiar con el fin de incrementar la seguridad en sus conexiones. (Vea la tabla 6.5-1) Tabla 6.5-1 Protocolos inseguros y seguros Método inseguro http Telnet FTP SNMP (v1 y v2) Método seguro https SSH SFTP SNMP (v3) 123 Objetivo 6.6 Sin importar si están conectadas por cable o de manera inalámbrica, las redes de computadoras cada vez se tornan más esenciales para las actividades diarias. Tanto las personas como las organizaciones dependen de sus computadores y de las redes para funciones como correo electrónico, contabilidad, organización y administración de archivos. Las intrusiones de personas no autorizadas pueden causar interrupciones costosas en la red y pérdidas de trabajo. Los ataques a una red pueden ser devastadores y pueden causar pérdida de tiempo y de dinero debido a los daños o robos de información o de activos importantes. Los intrusos pueden obtener acceso a la red a través de vulnerabilidades del software, ataques al hardware o incluso a través de métodos menos tecnológicos, como el de adivinar el nombre de usuario y la contraseña de una persona. Por lo general, a los intrusos que obtienen acceso mediante la modificación del software o la explotación de las vulnerabilidades del software se los denomina piratas informáticos. Una vez que el pirata informático obtiene acceso a la red, pueden surgir cuatro tipos de amenazas: Robo de información Robo de identidad Pérdida/manipulación de datos Interrupción del servicio Las amenazas de seguridad causadas por intrusos en la red pueden originarse tanto en forma interna como externa. Amenazas externas Las amenazas externas provienen de personas que trabajan fuera de una organización. Estas personas no tienen autorización para acceder al sistema o a la red de la computadora. Los atacantes externos logran ingresar a la red principalmente desde internet, enlaces inalámbricos o servidores de acceso dial-up. Amenazas internas Las amenazas internas se originan cuando una persona cuenta con acceso autorizado a la red a través de una cuenta de usuario o tiene acceso físico al equipo de la red. Un atacante interno conoce la política interna y las personas por lo general, conocen información valiosa y vulnerable y saben cómo acceder a ésta. Sin embargo, no todos los ataques internos son intencionales, en algunos casos la amenaza interna puede provenir de un empleado confiable que capta un virus o una amenaza de seguridad mientras se encuentra fuera de la compañía y, sin saberlo, lo lleva a la red interna. 124 Para un intruso, una de las formas más fáciles de obtener acceso, ya sea interno o externo, es el aprovechamiento de las conductas humanas. Uno de los métodos más comunes de explotación de las debilidades humanas se denomina ingeniería social. Ingeniería social Ingeniería social es un término que hace referencia a la capacidad de algo o alguien para influenciar la conducta de un grupo de personas. En el contexto de la seguridad de computadores y redes, la ingeniería social hace referencia a una serie de técnicas utilizadas para engañar a los usuarios internos a fin de que realicen acciones específicas o revelen información confidencial. A través de estas técnicas, el atacante se aprovecha de usuarios legítimos desprevenidos para obtener acceso a los recursos internos y a información privada, como números de cuentas bancarias o contraseñas. Los ataques de ingeniería social aprovechan el hecho de que a los usuarios generalmente se los considera uno de los enlaces más débiles en lo que se refiere a la seguridad. Los ingenieros sociales pueden ser internos o externos a la organización; sin embargo, por lo general no conocen a sus víctimas cara a cara. Tres de las técnicas más comúnmente utilizadas en la ingeniería social son: pretextar, suplantación de identidad y vishing. (Vea la figura 6.6-1) Figura 6.6-1 Uso de ingeniería social para obtener una contraseña Figura 6.6-2 Virus, gusanos, caballos de troya La ingeniería social es una amenaza de seguridad común que se basa en la debilidad humana para obtener los resultados deseados. Además de la ingeniería social, existen otros tipos de ataques que explotan las vulnerabilidades del software de computadoras. Algunos ejemplos de técnicas de ataque son: virus, gusanos y caballos de Troya. (Figura 6.6-2) 125 Todos estos son tipos de software maliciosos que se introducen en un host. Pueden dañar un sistema, destruir datos y también denegar el acceso a redes, sistemas o servicios. También pueden enviar datos y detalles personales de usuarios de PC desprevenidos a delincuentes. En muchos casos, pueden replicarse y propagarse a otros hosts conectados a la red. En algunas ocasiones estas técnicas se utilizan en combinación con la ingeniería social para engañar a un usuario desprevenido a fin de llevar a cabo el ataque. Virus Un virus es un programa que se ejecuta y se propaga al modificar otros programas o archivos. Un virus no puede iniciarse por sí mismo, sino que debe ser activado. Una vez que está activado, un virus no puede hacer más que replicarse y propagarse. A pesar de ser simple, hasta este tipo de virus es peligroso, ya que puede utilizar rápidamente toda la memoria disponible e interrumpir completamente el sistema. Un virus más peligroso puede estar programado para borrar o dañar archivos específicos antes de propagarse. Los virus pueden transmitirse mediante documentos adjuntos a correos electrónicos, archivos descargados, mensajes instantáneos, disquetes, cd o dispositivos usb. Gusanos Un gusano es similar a un virus pero, a diferencia de éste, no necesita adjuntarse a un programa existente. Un gusano utiliza la red para enviar copias de sí mismo a cualquier host conectado. Un gusano puede ejecutarse independientemente y propagarse rápidamente. No requieren necesariamente activación o intervención humana. Los gusanos que se propagan por sí mismos por la red pueden tener un impacto mucho mayor que un simple virus y pueden infectar rápidamente grandes partes de Internet. Caballos de Troya Un caballo de Troya es un programa que no se replica por sí mismo y que se escribe para asemejarse a un programa legítimo, cuando en realidad se trata de una herramienta de ataque. Un caballo de Troya se basa en su apariencia legítima para engañar a una víctima a fin de que inicie el programa. Puede ser relativamente inofensivo o contener códigos que pueden dañar el contenido del disco duro de la computadora. Los troyanos también pueden crear una puerta trasera en un sistema para permitir que los piratas informáticos obtengan acceso. Denegación de servicio (DoS) Por lo general, el objetivo de un atacante es interrumpir el funcionamiento normal de una red. Este tipo de ataque a menudo se lleva a cabo con el fin de interrumpir el funcionamiento de una organización. Los ataques DoS son ataques agresivos sobre una computadora personal o un grupo de computadoras con el fin de denegar el servicio a los usuarios a quienes está dirigido. Los 126 ataques DoS tienen como objetivo sistemas de usuarios finales, servidores, routers y enlaces de red. Figura 6.6-3 En general, los ataques DoS tienen como fin: Inundar un sistema o una red con tráfico a fin de evitar que el tráfico de red legítimo fluya. Interrumpir las conexiones entre un cliente y un servidor para evitar el acceso al servicio. (Figura 6.6-3) Existen varios tipos de ataques DoS. Los administradores de redes deben estar al tanto de los tipos de ataques DoS que se pueden producir a fin de asegurarse de que sus redes estén protegidas. Dos tipos comunes de ataques DoS son: Flooding SYN (sincrónica): se envía una gran cantidad de paquetes a un servidor, para solicitar una conexión de cliente. Los paquetes contienen direcciones IP de orígenes no válidos. El servidor se ocupa de responder a estas solicitudes falsas y, por lo tanto, no puede responder a las solicitudes legítimas. Ping of death: se envía a un dispositivo un paquete con un tamaño mayor que el máximo permitido por el IP (65 535 bytes). Esto puede hacer que el sistema receptor colapse. Políticas de seguridad No se pueden eliminar o evitar completamente los riesgos de seguridad. Sin embargo, tanto la administración como la evaluación efectiva de riesgos pueden minimizar significativamente los riesgos de seguridad existentes. Para minimizar los riesgos es importante comprender que no existe un único producto que pueda asegurar una organización. La verdadera seguridad de redes proviene de una combinación de productos y servicios junto con una política de seguridad exhaustiva y un compromiso de respetar esa política. Una política de seguridad es una declaración formal de las normas que los usuarios deben respetar a fin de acceder a los bienes de tecnología e información. Puede ser tan simple como una política de uso aceptable o contener muchas páginas y detallar cada aspecto de conectividad de los usuarios, así como los procedimientos de uso de redes. La política de seguridad debe ser el punto central acerca de la forma en la que se protege, se supervisa, se evalúa y se mejora una red. Mientras que la mayoría de los usuarios domésticos no tiene una política de seguridad formal por escrito, a medida que una red crece en tamaño y en alcance, la importancia de una política de seguridad definida para todos los usuarios aumenta drásticamente. Algunos de los puntos que deben incluirse en una política de 127 seguridad son: políticas de identificación y autenticación, políticas de contraseñas, políticas de uso aceptable, políticas de acceso remoto y procedimientos para el manejo de incidentes. Cuando se desarrolla una política de seguridad es necesario que todos los usuarios de la red la cumplan y la sigan para que sea efectiva. La política de seguridad debe ser el punto central acerca de la forma en la que se protege, se supervisa, se evalúa y se mejora una red. Los procedimientos de seguridad implementan políticas de seguridad. Los procedimientos definen la configuración, el inicio de sesión, la auditoría y los procesos de mantenimiento de los hosts y dispositivos de red. Incluyen la utilización tanto de medidas preventivas para reducir el riesgo como de medidas activas acerca de la forma de manejar las amenazas de seguridad conocidas. Los procedimientos de seguridad abarcan desde tareas simples y poco costosas, como el mantenimiento de las versiones actualizadas de software, hasta implementaciones complejas de firewalls y sistemas de detección de intrusiones. Algunas de las herramientas y aplicaciones de seguridad utilizadas en la protección de redes incluyen: Parches y actualizaciones de software Protección contra virus Protección contra spyware Bloqueadores de correo no deseado Bloqueadores de elementos emergentes Firewalls. Parches y actualizaciones Uno de los métodos más comunes que utiliza un pirata informático para obtener acceso a los hosts y/o a las redes es atacar las vulnerabilidades del software. Es importante mantener las aplicaciones de software actualizadas con los últimos parches y actualizaciones de seguridad a fin de ayudar a evitar las amenazas. Un parche es un pequeño código que corrige un problema específico. Por otro lado, una actualización puede incluir funciones adicionales al paquete de software y también parches para problemas específicos. Los proveedores de SO (sistemas operativos, como Linux, Windows, etc.) y aplicaciones proporcionan continuamente actualizaciones y parches de seguridad que pueden corregir vulnerabilidades conocidas del software. Además, los proveedores lanzan, por lo general, conjuntos de parches y actualizaciones, conocidos como paquetes de servicios. Afortunadamente, muchos sistemas operativos ofrecen una función de actualización automática que permite que las actualizaciones de SO y las aplicaciones se descarguen e instalen automáticamente en un host. 128 CONCLUSIONES Para poder realizar el programa de preparación del examen Network + se utilizó Access como base de datos para almacenar las preguntas del mismo. La interfaz fue desarrollada en Visual Basic 2005, dicha interfaz hace una conexión a la base de datos para obtener las preguntas del examen, el manejo del programa es bastante intuitivo y le permite al aspirante tanto evaluar sus conocimientos adquiridos como tener una idea aproximada del tipo de preguntas que tendrá que responder en el examen real. Las preguntas del programa fueron obtenidas del examen muestra Test King, el cual brinda preguntas del mismo tipo que el examen real. También se tomaron preguntas de otros simuladores como el sybex y troytec y de los libros de consulta. Para grabar los videos que acompañan la tesis y que explican el funcionamiento del programa se utilizó el programa Camtasia. Para realizar la tesis se tomo como referencia el manual Delux de Sybex, la Guía de Estudio de Mc Graw hill, entre otros. Además se siguió el orden del temario tal y como la empresa CompTIA lo indica (en http://www.comptia.org/certifications/testprep.aspx puede descargar los objetivos en ingles) de tal forma que el lector puede ubicar sin ningún problema los temas tal y como el temario de Network+ lo indica. Cabe mencionar que ostento dicha certificación y además cuento con experiencia impartiendo el curso por lo que garantizo que si el aspirante estudia y comprende los temas expuestos en la presente tesis, así como si obtiene un porcentaje del 90% en el programa simulador del examen, aprobará el examen de certificación. Finalmente a quien desee hacer más completo el simulador, podría entre otras cosas almacenar los resultados en una base de datos, crear cuentas de usuario y generar reportes con los resultados de los exámenes. En cuanto al contenido de la tesis, ésta cubre los objetivos que la certificación Network+ en su versión 2009 indica, generalmente las certificaciones se actualizan en promedio cada 3 años por lo que, en ese periodo de tiempo este documento indudablemente servirá de base para quien quiera presentar el examen de certificación, pero indudablemente el aspirante deberá completar su preparación con los nuevos temas y de ser posible actualizarse este documento. 129 APENDICE A TEST NP+ v1 130 TEST NP+ v1 El Test NP+ v1 es un programa que permitirá al estudiante prepararse para presentar el CompTIA Network +, su base de datos esta actualizada para presentar el examen en su versión 2009. El programa está elaborado en Visual Basic .Net de la suite Visual Studio 2005, se utiliza Access como base de datos y se utiliza una conexión ODBC para enlazarla con el programa. Funcionamiento general del programa El siguiente diagrama de flujo muestra el funcionamiento general de programa 131 132 Base de datos La base de datos utilizada para almacenar las preguntas del programa de examen como se mencionó está elaborada en Access 2007. Nombre de la base de datos: exámenes.mdb Tabla: preguntas Estructura de la tabla: CAMPO id pregunta a b c correcta TIPO DE DATO Auto numérico Memo Memo Memo Memo Texto DESCRIPCION Este campo contiene el número de pregunta Este campo contiene la pregunta que el usuario deberá responder Este campo contiene una de las respuestas que el usuario deberá elegir Este campo contiene una de las respuestas que el usuario deberá elegir Este campo contiene una de las respuestas que el usuario deberá elegir Este campo contiene cual de las 3 opciones es la correcta 133 Descarga del controlador Visual Básic .Net no tiene conexión nativa con mysql, para solucionar este problema mysql desarrolló un controlador denominado mysql-connector-odbc. Para descargarlo realice lo siguiente: Acceda a la página de mysql en www.mysql.com De clic en Downloads busque MySQL Connectors y de clic en Connector/ODBC. Seleccione en plataforma Microsoft Windows De clic en download en Windows (x86, 32-bit), MSI Installer (el común de los sistemas operativos esta 32 bits, sistema operativo es de 64 bits descargue Windows (x86, 64-bit), MSI Installer) Instalación del controlador De doble clic en el archivo de instalador mysql-connector-odbc-5.1.6-win32 (en su caso la versión del controlador puede cambiar). En la ventana que aparezca de clic en Ejecutar Aparece la primera ventana del asistente de instalación, de clic en Next Seleccione Typical y de clic en Next De clic en Install Cuando finalice el proceso de instalación de clic en Finish Crear la cadena OBDC De clic en Botón de Inicio / Panel de control / Herramientas Administrativas / Orígenes de datos ODBC Aparecerá la ventana Administrador de orígenes de datos ODBC en esa ventana de clic en la ficha DNS de Sistema De clic en el botón Agregar En la lista que aparezca busque y selecciones MysSQL ODBC 5.1 Driver de clic en Finalizar. En la ventana que aparezca deberá configurar los siguientes parámetros Data Source Name: Server: User: Password: Database: Permitir el acceso vía remota a la base de datos 134 Videos En la carpeta videos del CD que acompaña a la tesis encontrará los siguientes videos en los cuales se explica el funcionamiento y configuración del programa. Instalacion.avi Este video muestra el procedimiento de instalación del programa, así como las configuraciones necesarias para su correcto funcionamiento. Funcionamiento.avi Este video muestra el funcionamiento del programa. CódigoFuente.avi En este video se explica el código fuente y la función de los controles del programa. 135 BIBLIOGRAFIA [1] BOSH, Arán A. 3ra edición. Fundamentos de las redes. Mcgraw-Hill [2] DEAN, Tamara. 2009. CompTIA Network+ 2009 in Depth. USA. Cengage Learning. [3] GLEN, E. Clarke. Fourth Edition 2009. CompTIA Network+ Study Certification Study Guide. USA, Mcgraw-Hill. [4] LAMMLE, Todd. 2009. CompTIA Network+ Deluxe, Deluxe Study Guide. USA. Wiley Publishing,Inc. [5] MEYERS,Mike. Second Edition. CompTIA Network+® Guide to Managing and Troubleshooting Networks. USA, Mcgraw-Hill. [6] RAYA, José L. Cuarta Edición 2006. Redes locales. España. Alfa-Omega. [7] Vilmar, Anthony. 2005. CompTIA Network+ Self Study Guide. USA. Thomson Delmar Learning. Direcciones electrónicas consultadas [1] http://www.comptia.org [2] http://www.testking.com [3] http://www.vue.com 136