Resumen del Libro TCP / IP De Douglas Comer 2do Parcial Redes II Incluye temas adicionales Índice 21 ARRANQUE Y AUTOCONFIGURACIÓN (BOOTP Y DHCP) ............................................................................. 6 21.1 INTRODUCCIÓN .............................................................................................................................................. 6 21.2 LA NECESIDAD DE UNA ALTERNATIVA A RARP ...................................................................................................... 6 21.3 UTILIZACIÓN DE IP PARA DETERMINAR UNA DIRECCIÓN IP ...................................................................................... 6 21.4 POLÍTICA DE RETRANSMISIÓN BOOTP ............................................................................................................... 6 21.5 FORMATO DE LOS MENSAJES BOOTP ................................................................................................................ 7 21.6 PROCEDIMIENTO DE ARRANQUE EN DOS PASOS .................................................................................................... 7 21.7 CAMPO DE ÁREA DE VENDEDOR ESPECIFICO ......................................................................................................... 7 21.8 LA NECESIDAD DE UNA CONFIGURACIÓN DINÁMICA ............................................................................................... 7 21.9 CONFIGURACIÓN DINÁMICA DE ANFITRIÓN .......................................................................................................... 8 21.10 ASIGNACIÓN DINÁMICA DE DIRECCIONES IP ....................................................................................................... 8 21.11 OBTENCIÓN DE DIRECCIONES MÚLTIPLES ........................................................................................................... 8 21.12 ESTADOS DE ADQUISICIÓN DE DIRECCIONES ....................................................................................................... 8 21.13 TERMINACIÓN TEMPRANA DE ARRENDAMIENTO ................................................................................................. 9 21.14 ESTADO DE RENOVACIÓN DE ARRENDAMIENTO................................................................................................... 9 21.15 FORMATO DE LOS MENSAJES DHCP............................................................................................................... 10 21.16 OPCIONES Y TIPOS DE MENSAJES DHCP.......................................................................................................... 10 21.17 OPCIÓN OVERLOAD .................................................................................................................................... 10 21.18 DHCP Y NOMBRES DE DOMINIOS .................................................................................................................. 10 22 SISTEMA DE NOMBRE DE DOMINIO (DNS) ............................................................................................... 11 22.1 INTRODUCCIÓN ............................................................................................................................................ 11 22.2 NOMBRES PARA LAS MÁQUINAS ...................................................................................................................... 11 22.3 ESPACIO DE NOMBRE PLANO .......................................................................................................................... 11 22.4 NOMBRES JERÁRQUICOS ................................................................................................................................ 11 22.5 DELEGAR AUTORIDAD PARA LOS NOMBRES ........................................................................................................ 11 22.6 AUTORIDAD PARA SUBCONJUNTOS DE NOMBRES ................................................................................................ 11 22.7 NOMBRES DE DOMINIO TCP/IP ...................................................................................................................... 12 22.8 NOMBRES DE DOMINIO OFICIALES Y NO OFICIALES .............................................................................................. 12 22.9 COSAS POR NOMBRAR Y SINTAXIS DE LOS NOMBRES ............................................................................................ 13 22.10 ASOCIACIÓN DE NOMBRES DE DOMINIO EN DIRECCIONES ................................................................................... 14 22.11 RESOLUCIÓN DE NOMBRES DE DOMINIO ......................................................................................................... 15 22.12 TRADUCCIÓN EFICIENTE ............................................................................................................................... 15 22.13 DESEMPEÑO DEL CACHE: LA CLAVE DE LA EFICIENCIA ......................................................................................... 15 22.14 FORMATO DE LOS MENSAJES DEL SERVIDOR DE DOMINIOS .................................................................................. 15 22.15 FORMATO DEL NOMBRE COMPRIMIDO ........................................................................................................... 15 22.16 ABREVIATURA DE NOMBRES DE DOMINIO ........................................................................................................ 15 22.17 ASOCIACIONES INVERSAS ............................................................................................................................. 16 22.18 BÚSQUEDAS DE APUNTADOR ........................................................................................................................ 16 22.19 TIPOS DE OBJETOS Y CONTENIDO DEL REGISTRO DE RECURSOS ............................................................................. 16 22.20 OBTENCIÓN DE AUTORIDAD PARA UN SUBDOMINIO........................................................................................... 16 23 APLICACIONES: ACCESO REMOTO ............................................................................................................ 17 23.2 COMPUTACIÓN REMOTA INTERACTIVA .............................................................................................................. 17 23.3 PROTOCOLO TELNET ................................................................................................................................... 17 23.4 ADAPTARSE A LA HETEROGENEIDAD ................................................................................................................. 18 23.5 TRANSFERENCIA DE COMANDOS QUE CONTROLAN EXTREMO REMOTO .................................................................... 18 23.6 FORZAR AL SERVIDOR A LEER UNA FUNCIÓN DE CONTROL...................................................................................... 19 23.7 OPCIONES DE TELNET.................................................................................................................................. 19 23.8 NEGOCIACIÓN DE OPCIONES DE TELNET .......................................................................................................... 19 23.9 RLOGIN (BSD DE UNIX) ............................................................................................................................... 19 24 APLICACIONES: TRANSFERENCIA Y ACCESO DE ARCHIVOS ....................................................................... 20 24.2 ACCESO Y TRANSFERENCIA DE ARCHIVOS ........................................................................................................... 20 24.3 ACCESO COMPARTIDO EN LÍNEA ...................................................................................................................... 20 24.4 COMPARTIR MEDIANTE TRANSFERENCIA DE ARCHIVOS ......................................................................................... 20 2 24.6 CARACTERÍSTICAS DE FTP .............................................................................................................................. 20 24.7 MODELO DE PROCESO FTP ............................................................................................................................ 21 24.8 ASIGNACIÓN DE NÚMEROS DE PUERTO ............................................................................................................. 21 24.10 EJEMPLO DE UNA SESIÓN CON FTP ANÓNIMO .................................................................................................. 21 24.11 TFTP ....................................................................................................................................................... 22 24.12 NFS ........................................................................................................................................................ 22 24.13 IMPLANTACIÓN NFS ................................................................................................................................... 22 24.14 LLAMADA DE PROCEDIMIENTO REMOTO (RPC) ................................................................................................ 23 24.15 RPC PORT MAPPER ................................................................................................................................... 23 24.16 SERVICIOS, PUERTOS Y PROCESOS ................................................................................................................. 24 24.17 EL PROCESO PORTMAP ................................................................................................................................ 25 25 APLICACIONES: CORREO ELECTRÓNICO .................................................................................................... 26 25.2 CORREO ELECTRÓNICO .................................................................................................................................. 26 25.3 NOMBRES Y ALIAS DE LOS BUZONES DE CORREO.................................................................................................. 26 25.4 EXPANSIÓN DE ALIAS Y DIRECCIONAMIENTO DE CORRESPONDENCIA ........................................................................ 26 25.5 RELACIÓN ENTRE EL ENLACE DE REDES Y EL CORREO ELECTRÓNICO .......................................................................... 27 25.6 ESTÁNDARES TCP/IP PARA EL SERVICIO DE CORREO ELECTRÓNICO ......................................................................... 27 25.7 DIRECCIONES DE CORREO ELECTRÓNICO ............................................................................................................ 28 25.8 PSEUDO DIRECCIONES DE DOMINIO .................................................................................................................. 28 25.9 PROTOCOLO DE TRANSFERENCIA DE CORREO SIMPLE (SMTP) ............................................................................... 28 25.10 LA EXTENSIÓN MIME PARA DATOS NO ASCII .................................................................................................. 29 25.11 MENSAJES MIME MULTIPART ...................................................................................................................... 30 25.12 EL COMANDO TURN .................................................................................................................................. 30 28 SEGURIDAD DE INTERNET Y DISEÑO DEL MURO DE SEGURIDAD .............................................................. 31 28.1 INTRODUCCIÓN ............................................................................................................................................ 31 28.2 RECURSOS DE PROTECCIÓN ............................................................................................................................ 31 28.3 NECESIDAD DE UNA POLÍTICA DE INFORMACIÓN ................................................................................................. 31 28.4 COMUNICACIÓN, COOPERACIÓN Y DESCONFIANZA MUTUA ................................................................................... 32 28.5 MECANISMOS PARA LA SEGURIDAD DE INTERNET ................................................................................................ 32 28.5.1 Mecanismos de autenticación ......................................................................................................... 32 28.5.2 Mecanismos de privacidad .............................................................................................................. 32 28.6 FIREWALLS Y ACCESO A INTERNET .................................................................................................................... 33 28.7 CONEXIONES MÚLTIPLES Y VÍNCULOS MÁS DÉBILES .............................................................................................. 33 28.8 IMPLANTACIÓN DE FIREWALL Y HARDWARE DE ALTA VELOCIDAD ............................................................................ 34 28.9 FILTROS DE NIVEL DE PAQUETES ...................................................................................................................... 34 28.10 ESPECIFICACIÓN DE SEGURIDAD Y DE FILTRO DE PAQUETES .................................................................................. 34 28.11 CONSECUENCIA DEL ACCESO RESTRINGIDO PARA CLIENTES .................................................................................. 34 28.12 ACCESO A SERVICIOS A TRAVÉS DE UN FIREWALL ............................................................................................... 35 28.13 DETALLES DE LA ARQUITECTURA DE UN FIREWALL ............................................................................................. 35 28.15 IMPLANTACIÓN ALTERNATIVA DE UN FIREWALL................................................................................................. 36 28.16 MONITOREO Y ESTABLECIMIENTO DE CONEXIÓN ............................................................................................... 36 29 EL FUTURO DE TCP/IP .............................................................................................................................. 37 29.2 ¿POR QUÉ CAMBIAR TCP/IP E INTERNET? ........................................................................................................ 37 29.2.1 Nuevas tecnologías de comunicación y computación ..................................................................... 37 29.2.2 Nuevas aplicaciones ........................................................................................................................ 37 29.2.3 Incrementos en el tamaño y en la carga .......................................................................................... 37 29.2.4 Nuevas políticas .............................................................................................................................. 37 29.3 MOTIVOS PARA EL CAMBIO DEL IPV4 ............................................................................................................... 37 29.4 EL CAMINO HACIA UNA NUEVA VERSIÓN DEL IP .................................................................................................. 37 29.5 NOMBRE DEL PRÓXIMO IP ............................................................................................................................. 37 29.6 CARACTERÍSTICAS DEL IPV6 ........................................................................................................................... 38 29.8 FORMA GENERAL DE UN DATAGRAMA IPV6 ...................................................................................................... 38 29.8 FORMATO DEL ENCABEZADO BASE DEL IPV6 ...................................................................................................... 38 29.9 ENCABEZADOS DE EXTENSIÓN IPV6 ................................................................................................................. 39 29.10 ANÁLISIS DE UN DATAGRAMA IPV6 ............................................................................................................... 39 29.11 FRAGMENTACIÓN Y RE ENSAMBLAJE DEL IPV6 ................................................................................................. 39 29.12 CONSECUENCIA DE LA FRAGMENTACIÓN DE EXTREMO A EXTREMO ....................................................................... 39 3 29.13 RUTEO DE ORIGEN DEL IPV6 ........................................................................................................................ 40 29.14 OPCIONES DEL IPV6 ................................................................................................................................... 40 29.15 TAMAÑO DEL ESPACIO DE DIRECCIÓN DEL IPV6 ................................................................................................ 40 29.16 NOTACIÓN HEXADECIMAL CON DOS PUNTOS DEL IPV6 ...................................................................................... 40 29.17 TRES TIPOS BÁSICOS DE DIRECCIONES IPV6 ..................................................................................................... 41 29.18 DUALIDAD DE DIFUSIÓN Y MULTIDIFUSIÓN....................................................................................................... 41 29.19 UNA ELECCIÓN DE INGENIERÍA Y DIFUSIÓN SIMULADA ........................................................................................ 41 29.20 ASIGNACIÓN PROPUESTA DE ESPACIO DE DIRECCIÓN IPV6 .................................................................................. 42 29.21 CODIFICACIÓN Y TRANSICIÓN DE LA DIRECCIÓN IPV4 ......................................................................................... 42 29.22 PROVEEDORES, SUSCRIPTORES Y JERARQUÍA DE DIRECCIONES .............................................................................. 42 29.23 JERARQUÍA ADICIONAL ................................................................................................................................ 42 APÉNDICE 1 IPSEC ......................................................................................................................................... 43 A.1.1 ¿QUÉ ES IPSEC? ......................................................................................................................................... 43 A.1.2 LOS PROTOCOLOS IPSEC ............................................................................................................................... 43 A.1.2.1 Cabecera de autenticación AH ...................................................................................................... 43 A.1.2.2 Carga de Seguridad Encapsulada ESP ......................................................................................... 44 APÉNDICE 2 PROTOCOLO IKE ........................................................................................................................ 46 A.2.1 ¿PARA QUE SIRVE IKE? ................................................................................................................................ 46 A.2.2 CARACTERÍSTICAS DE IKE.............................................................................................................................. 46 A.2.3 FASES DE IKE ............................................................................................................................................. 46 APÉNDICE 3 NAT ........................................................................................................................................... 47 A.3.1 ¿QUÉ ES NAT? .......................................................................................................................................... 47 A.3.2 FUNCIONAMIENTO ...................................................................................................................................... 47 A.3.2.1 Estático .......................................................................................................................................... 47 A.3.2.2 Dinámico ....................................................................................................................................... 47 A.3.2.3 Sobrecarga..................................................................................................................................... 48 A.3.2.4 Solapamiento ................................................................................................................................. 48 APÉNDICE 4 HTTP.......................................................................................................................................... 49 A.4.1 QUE ES HTTP? .......................................................................................................................................... 49 A.4.2 EL PROTOCOLO SEGÚN LAS VERSIONES ............................................................................................................ 49 A.4.3 CARACTERÍSTICAS DEL PROTOCOLO ................................................................................................................. 49 A.4.4 DEFINICIONES RELACIONADAS CON EL PROTOCOLO ............................................................................................ 49 A.4.5 SISTEMAS INTERMEDIOS ............................................................................................................................... 50 A.4.6 MÉTODOS DE PETICIÓN EXISTENTES ................................................................................................................ 50 A.4.7 IDENTIFICACIÓN DE RECURSOS ....................................................................................................................... 51 A.4.8 MENSAJES DE RESPUESTA ............................................................................................................................. 51 A.4.9 CABECERAS HTTP....................................................................................................................................... 51 APÉNDICE 5 PAT............................................................................................................................................ 52 A.5.1 ¿QUÉ ES PAT? .......................................................................................................................................... 52 A.5.2 PROCEDIMIENTO PAT.................................................................................................................................. 52 APÉNDICE 6 BGP ........................................................................................................................................... 53 A.6.1 INTRODUCCIÓN .......................................................................................................................................... 53 A.6.2 FUNCIONES DE BGP .................................................................................................................................... 53 A.6.3 MENSAJES DE BGP ..................................................................................................................................... 53 A.6.4 PROCEDIMIENTOS FUNCIONALES DE BGP ........................................................................................................ 53 A.6.4.1 Adquisición de vecino .................................................................................................................... 54 A.6.4.2 Detección de vecino alcanzable ..................................................................................................... 54 A.6.4.3 Detección de red alcanzable .......................................................................................................... 54 APÉNDICE 7 RSVP.......................................................................................................................................... 55 A.7.1 ¿QUÉ ES RSVP? ........................................................................................................................................ 55 A.7.2 CARACTERÍSTICAS DE RSVP .......................................................................................................................... 55 A.7.3 ¿QUÉ ES EL SOFT STATE? ............................................................................................................................. 55 A.7.4 LOS MENSAJES DE RSVP .............................................................................................................................. 55 4 REFERENCIAS ................................................................................................................................................ 56 ACRÓNIMOS ................................................................................................................................................. 57 5 21 Arranque y autoconfiguración (BOOTP y DHCP) 21.1 Introducción Una máquina necesita de cierta información para poder transmitir, como por ejemplo la dirección de un router, su propia dirección IP, la máscara de red en uso, etc. Estos dos protocolos son una alternativa a RARP. Utilizan un esquema cliente/servidor y trabajan sobre UDP como protocolo de transporte. 21.2 La necesidad de una alternativa a RARP Una máquina sin disco, posee un pequeño programa de arranque en su memoria no volátil (ROM). Pero como este código es utilizado en diferentes máquinas, la dirección IP no puede ser harcodeada en el mismo, por lo tanto una máquina deberá obtener su IP (y otra información adicional) desde otra fuente. RARP brinda esta funcionalidad, pero posee tres problemas: 1. Como es un protocolo de bajo nivel, su uso requiere acceso directo al HW, por tanto puede resultar muy difícil para un programador implementar un servidor. 2. La respuesta por parte del servidor a una solicitud contiene muy poca información (dirección IP del cliente de 4 bytes) y esto resulta molesto para redes que imponen un tamaño mínimo de paquete. 3. Como RARP utiliza las direcciones físicas para identificar las máquinas, no puede usarse en redes de asignación dinámica de direcciones de HW. Para sortear estas deficiencias de RARP fue que se presentó BOOTP (Boot Strip Protocol) y más tarde DHCP (Dynamic Host Configuration Protocol) como su sucesor. 21.3 Utilización de IP para determinar una dirección IP La máquina que desea obtener información de la red, envía un mensaje en modo difusión (IP destino 255.255.255.255). Este mensaje es recibido por el servidor quien contestará con la información correspondiente utilizando también la difusión, ya que si lo enviara directamente al solicitante, cuando este reciba el paquete con la información, no sabrá que es para él ya que no conoce su propia IP. 21.4 Política de retransmisión BOOTP BOOTP confiere toda la responsabilidad de la confiabilidad de la comunicación al cliente. BOOTP requiere que UDP realice sumas de verificación para protegerse de la alteración de datos, ya que IP sólo verifica el encabezado IP, y además que se envíe con el bit de no fragmentación activado. Para manejar pérdidas se usa la técnica de temporizador y retransmisión. Los tiempos elegidos para el timeout son aleatorios, y se duplican después de cada retransmisión. Esto sirve para evitar que BOOTP añada un tráfico excesivo a la red (aumentar el temporizador) y para evitar colisiones (tiempos aleatorios). 6 21.5 Formato de los mensajes BOOTP Con motivos de tener una implantación sencilla, los mensajes de ida y vuelta de BOOTP tienen el mismo formato y poseen campos de longitud fija. Algunos campos son: OP: Especifica si se trata de un mensaje de solicitud o respuesta. HTYPE: Especifica el tipo de hardware de la red. HLEN: Especifica la longitud de la dirección física. HOPS: Indica la cantidad de veces que la solicitud es reenviada por un servidor BOOTP a otro servidor BOOTP. Cuando el cliente envía la solicitud, pone este valor en 0. SECONDS: Especifica la cantidad de segundos desde que el cliente inició el arranque. 21.6 Procedimiento de arranque en dos pasos BOOTP no proporciona una imagen de memoria a los clientes, sino que brinda información necesaria para que los clientes puedan obtenerla. Utilizar un procedimiento de dos pasos ayuda a mantener separadas las etapas de configuración y almacenamiento y esto sirve para permitir al administrador configurar conjuntos de máquinas para que estas actúen en forma idéntica. Ejemplo: Supongamos un conjunto de estaciones de trabajo en el cual hay diferentes arquitecturas de HW. Dada la diversidad de arquitecturas, se sabe que una sola imagen de memoria no puede operar en todas las máquinas, por lo tanto BOOTP otorga un campo llamado BOOT FILE NAME, para que cada cliente pueda manifestar su preferencia depositando un nombre genérico (ej.: Unix). El servidor BOOTP luego relaciona ese nombre genérico con el nombre de archivo buscando en una base de datos de configuración. Si el cliente envía el campo en 0, el servidor seleccionará una imagen de manera automática. Enviar “Unix” en el BOOT FILE NAME significa que el cliente dice “quiero arrancar el SO UNIX para esta máquina” 21.7 Campo de área de vendedor especifico 21.8 La necesidad de una configuración dinámica Como RARP, BOOTP fue diseñado para un ambiente relativamente estático en el que cada anfitrión tiene una conexión de red permanente. Un administrador crea un archivo de configuración BOOTP para cada máquina que especifica un conjunto de parámetros para cada anfitrión, y éste permanece relativamente estable dada la baja cantidad de cambios. Con la llegada de las redes inalámbricas se hizo posible el transporte de una máquina de un lugar a otro, y BOOTP no se adapta porque es necesario que un administrador agregue parámetros a cada anfitrión y almacene la información en un archivo de configuración de servidor BOOTP. BOOTP no admite una forma de asignar dinámicamente valores a máquinas individuales. 7 21.9 Configuración dinámica de anfitrión Para la asignación dinámica de direcciones IP, se creó el protocolo DHCP (Dynamic Host Configuration Protocol) que extiende a BOOTP de dos formas: 1. Permite que una máquina adquiera toda la información que necesita con un sólo mensaje. 2. Permite que una computadora posea una dirección IP en forma rápida y dinámica. Para ser completamente general, DHCP permite tres tipos de configuraciones diferentes: 1. Al igual que BOOTP, DHCP permite la configuración manual, donde el administrador puede asignar una dirección específica para una máquina determinada. 2. Configuración automática, mediante la cual el administrador permite a un servidor DHCP asignar una dirección automática a una computadora que es conectada por primera vez a la red. 3. Configuración dinámica. El servidor “presta” una dirección para una computadora por tiempo limitado. Un servidor DHCP puede configurarse para asignar direcciones estáticas a ciertas máquinas y direcciones dinámicas a otras. 21.10 Asignación dinámica de direcciones IP La asignación dinámica no es una transformación uno a uno, y el servidor no necesita conocer la identidad del cliente a priori. Como el DHCP permite a un anfitrión obtener todos los parámetros necesarios para la comunicación, sin la intervención manual, también permite la autoconfiguración, la cual se encuentra sujeta a restricciones administrativas. Para hacer posible la autoconfiguración un servidor DHCP comienza con un conjunto de direcciones IP que el administrador de red asigna al servidor para su manejo, además de las reglas bajo las que opera el servidor. Cuando se produce un intercambio el servidor proporciona una dirección al cliente, el cliente chequea la IP y si es aceptable ya puede comenzar a usarla. Esta asignación, a diferencia de la asignación estática, tiene un determinado tiempo de validez. Ese tiempo lo establece el servidor en el momento de la asignación. Cuando se vence ese tiempo, el cliente debe renovar la dirección o dejar de usarla. El tiempo de arrendamiento de las direcciones puede variar dependiendo del propósito de la red. Para adaptarse a todos los ambientes, DHCP no especifica un periodo fijo sino que permite que el cliente solicite un determinado tiempo y que el servidor le comunique que ese tiempo ha sido garantizado. Así el administrador puede decidir durante cuánto tiempo podrá asignar un servidor una dirección a un cliente. 21.11 Obtención de direcciones múltiples 21.12 Estados de adquisición de direcciones Un cliente puede estar en alguno de los siguientes 6 estados: 1. INITIALIZE: Cuando el cliente arranca por primera vez. 8 2. SELECT: Este estado es seteado luego de que el cliente envió el mensaje DHCPDISCOVER (este mensaje es enviado en un datagrama UDP con el puerto de destino activado para el puerto BOOTP). Los servidores que están configurados para responder, responden con un mensaje DHCPOFFER. Mientras el cliente está en estado SELECT, recolecta dichas respuestas. 3. REQUEST: Una vez que el cliente selecciona una de las respuestas enviadas y negocia el tiempo de arrendamiento, envía un mensaje DHCPREQUEST y entra en este estado. 4. BOUND: Con fin de enviar un acuse de recibo, el servidor contesta la solicitud con un mensaje DHCPACK. Cuando el cliente lo recibe cambia su estado a BOUND, en el cual el cliente pasa a usar la dirección obtenida. Este estado sería el estado normal de operación. 5. RENEW: Se alcanza cuando un cliente en estado BOUND envía un mensaje DHCPREQUEST porque ha caducado el temporizador que controla la renovación. En ese mensaje viaja la dirección IP del cliente. 6. REBIND: Cuando un cliente envió un mensaje DHCPREQUEST y no hay una respuesta por parte del servidor, el cliente lo considera inactivo. Cuando el temporizador que controla la reasignación (este se setea cuando el cliente entra en el estado BOUND y tiene un valor por defecto del 87.5% del valor de arrendamiento) caduca, el cliente pasa al estado REBIND y comienza a difundir mensajes DHCPREQUEST. 21.13 Terminación temprana de arrendamiento Sirve para cuando un cliente quiere terminar su arrendamiento sin tener que esperar a que ese tiempo expire. Es especialmente útil cuando el número de máquinas es más elevado que el número de direcciones IP disponibles, ya que los clientes que consideren que no necesitan la IP que tienen asignada, pueden liberarla para que otras máquinas la utilicen. Para terminar un arrendamiento de manera temprana, el cliente envía un mensaje DHCPRELEASE. Liberar una dirección es una acción final que previene que el cliente continúe utilizando la dirección, así, luego de transmitir el mensaje de liberación, el cliente no debe enviar ningún otro datagrama que utilice la dirección IP. Cuando el mensaje DHCPRELEASE es enviando, el cliente pasa del estado BOUND al estado INITIALIZE. 21.14 Estado de renovación de arrendamiento Cuando un cliente adquiere el estado BOUND, inicia 3 temporizadores que controlan: 1. La renovación de arrendamiento 2. La reasignación de arrendamiento 3. La expiración de arrendamiento El servidor puede determinar valores para estos temporizadores, pero en caso de que no lo haga, el cliente asignará valores por omisión. El valor para el temporizador de renovación será la mitad del tiempo de arrendamiento. Cuando se vence el tiempo de renovación, el cliente pasa al estado RENEW y envía un mensaje DHCPREQUEST con su IP y espera una respuesta por parte del servidor. El servidor puede responder de dos formas: 1. Puede instruir al cliente para que deje de usar la IP enviando DHCPNACK, lo cual obliga al cliente a volver a su estado INITIALIZE. 9 2. Puede aprobar que siga usando su IP actual enviando un DHCPACK. En este mensaje pueden viajar nuevos valores de temporización. Si el servidor no responde (por estar inactivo o inaccesible para el cliente) el cliente pasará al estado REBIND en el momento en que se venza el temporizador de reasignación (este posee un valor por defecto de un 87.5% del tiempo de arrendamiento) y comienza a difundir mensajes DHCPREQUEST. Cualquier servidor habilitado para responder, puede hacerlo de manera positiva o negativa. Si la respuesta es positiva, el cliente pasa nuevamente al estado BOUND (en esa respuesta pueden enviarse nuevos valores de temporizacion). Si la respuesta es negativa el usuario deberá dejar de utilizar la dirección IP inmediatamente. Si estando en REBIND ningún servidor contesta los DHCPREQUEST del cliente, este último pasará al estado INITIALIZE (para comenzar nuevamente la obtención de una IP) una vez que haya vencido el tercer temporizador (el que controla la expiración). 21.15 Formato de los mensajes DHCP El formato de los mensajes DHCP es muy similar al de los mensajes BOOTP, de hecho, los protocolos son compatibles. Hay algunas diferencias en la interpretación de algunos campos, como por ejemplo el campo UNUSED de BOOTP que en DHCP se llama FLAGS y se usa para que el cliente pueda informarle al servidor si quiere que este último responda realizando una unidifusión o una multidifusión por HW. 21.16 Opciones y tipos de mensajes DHCP 21.17 Opción Overload Los campos SERVER HOST NAME y BOOT FILE NAME en el encabezado BOOTP ocupan mucho espacio, entonces si un mensaje no contiene información en estos campos, DHCP posee una Option Overload para que los campos puedan ser sobrecargados e indica al receptor si debe ignorar el significado usual de estos campos y considerar las opciones con las que se sobrecargó. 21.18 DHCP y nombres de dominios 10 22 Sistema de nombre de dominio (DNS) 22.1 Introducción 22.2 Nombres para las máquinas 22.3 Espacio de nombre plano Se denomina espacio de nombre plano al conjunto original de nombres usados a través de Internet formado por una secuencia de caracteres que no contiene ninguna estructura adicional. Estos nombres eran administrados por la NIC (Network Information Center) que luego fue reemplazado por la INTERNIC. (Internet Network Information Center). Ventajas: Nombres convenientes y cortos Desventajas: El espacio de nombres no puede generalizarse para conjuntos grandes de máquinas. Mucho tráfico en la única entidad administradora. Poca adaptabilidad para el crecimiento rápido. 22.4 Nombres jerárquicos Se creó para la descentralización del mecanismo de asignación de nombres, delegando la autoridad del espacio de nombres y repartiendo la responsabilidad de traducción de nombres. La estructura elegida es una estructura de árbol invertido. 22.5 Delegar autoridad para los nombres El espacio de nombres es particionado y la autoridad para los nombres de las subdivisiones pasa a agentes designados. Ejemplo: local.localidad La autoridad central autoriza a la localidad localidad a administrar una determinada partición de nombres. En el ejemplo, local es la parte del nombre controlado por localidad. Cuando la máxima autoridad añade una nueva localidad X, la añade a la lista de localidades válidas y delega a X la autoridad sobre todos los nombres que terminen con “.X” 22.6 Autoridad para subconjuntos de nombres En el espacio jerárquico de nombres, la autoridad puede subdividirse en cada nivel. La idea es subdividir tanto como sea necesario para que las subdivisiones sean manejables. Sintácticamente, cada vez que se subdivide el espacio de nombres, se introduce una nueva partición del nombre. Ejemplo: local.grupo.localidad 11 La localidad localidad delega autoridad a grupo, por lo tanto podrá haber nombres distintos o no de grupos para las diferentes localidades. Ejemplo: producción.grupo1.localidad1 producción.grupo1.localidad2 producción.grupo2.localidad1 En una red de redes TCP/IP, la jerarquía de nombres de máquina se asigna de acuerdo con la estructura de la organización que obtiene la autoridad para dividir el espacio de nombres y no necesariamente de acuerdo con la estructura de las interconexiones de red física. En una universidad puede pasar que dos departamentos diferentes compartan físicamente las mismas instalaciones de red, pero pueden tener líneas de autoridad diferentes dentro de la misma. 22.7 Nombres de dominio TCP/IP El mecanismo que implanta una jerarquía de nombres para la red de redes TCP/IP se llama DNS (Domain Name System) y tiene dos aspectos independientes: 1. Es abstracto. Especifica la sintaxis del nombre y las reglas para delegar autoridad de los nombres. 2. Es concreto. Dice como se implementa el sistema distribuido que transforma los nombres en direcciones IP. El sistema de nombres de dominio llama a cada componente del nombre (separados por punto) etiqueta, por lo tanto el siguiente ejemplo posee tres etiquetas: cs.purdue.edu cs: Este dominio corresponde al departamento de ciencias Computacionales de la Universidad de Purdue. purdue: Es el nombre de dominio para la Universidad de Purdue. edu: Es el nombre de dominio para las instituciones educativas. 22.8 Nombres de dominio oficiales y no oficiales El sistema de dominio dicta sólo la forma de los nombres y no sus valores, por lo tanto es posible, para cualquier grupo que constituya una instancia del dominio seleccionar etiquetas para todas las partes de su jerarquía. Sin embargo la mayoría de los usuarios de tecnología de dominio sigue la jerarquía de etiquetas usada por el sistema de dominio oficial de Internet por dos razones: 1. El esquema de Internet es completo y flexible y se adapta a una amplia variedad de organizaciones. 2. Porque de esta manera pueden conectar sus instalaciones TCP/IP a la red global de Internet. La autoridad central, particionó sus dominios en los siguientes subdominios: COM Organizaciones comerciales 12 EDU GOV MIL NET ORG ARPA INT Instituciones educativas Instituciones gubernamentales Grupos militares Centros mayores de soporte de red Organizaciones Para ARPANET (obsoleto) Organizaciones internacionales El nombre de nivel superior admite dos jerarquías de nombres diferentes: 1. El esquema geográfico 2. El esquema organizacional El geográfico divide el universo de máquinas por país. Ejemplo: El dominio para el estado de Virginia en EEUU seria: va.us La desventaja de este esquema es que los nombres son largos y difíciles de adivinar. Como alternativa al esquema jerárquico geográfico existe el organizacional. Si una organización quiere registrarse bajo cierto dominio, se lo solicita a la autoridad central y ésta deberá autorizarlo. Ejemplo: Una máquina en el departamento de ciencias de la Universidad de Purdue tiene el siguiente dominio: xinu.cs.purdue.edu El nombre de la máquina (xinu) fue aprobado y registrado por el administrador de la red local en el departamento de ciencias. El administrador de tal departamento había obtenido previa autorización para el dominio cs.purdue.edu de una autoridad de la red universitaria, quien a su vez había obtenido permiso para administrar el subdominio purdue.edu de la autoridad de Internet. La autoridad de Internet conserva el control del dominio edu, de manera que nuevas universidades puedan añadirse sólo con su permiso. 22.9 Cosas por nombrar y sintaxis de los nombres El esquema de nombres de dominio permite que los clientes distingan entre varios tipos de entrada. Para esto, cada aspecto almacenado en el sistema es asignado a un tipo que especifica si se trata de una máquina, buzón, usuario, etc. Cuando una aplicación solicita resolver el problema de un nombre, especifica qué tipo de aspecto que está buscando. Es importante entender lo siguiente: Un nombre dado puede transformarse en más de un aspecto en el sistema de dominio. El cliente especifica el tipo de aspecto deseado cuando resuelve el problema de un nombre, y el servidor devuelve objetos de ese tipo. Además de especificar el tipo de respuesta, el sistema de dominio permite al cliente especificar la familia de protocolos que utilizará. 13 raíz sin nombre com edu gov us va nsf purdue reston cc cs ecn Organizacional cnri Geográfico Figura 22 22.10 Asociación de nombres de dominio en direcciones El esquema de nombres de dominio incluye un sistema distribuido, confiable y de propósito general para asociar nombres en direcciones. Distribuido: Un conjunto de servidores opera en varias localidades de manera conjunta. Eficiente: La mayor parte de los nombres pueden ser asociados localmente, sólo unos pocos requieren tráfico de red de redes. Confiable: Una sola falla de una máquina previene al sistema para que opere correctamente. El mecanismo de dominio está conformado por sistemas independientes y cooperativos llamados servidores de nombres. Un servidor de nombres es un programa servidor que ofrece asociación entre nombres y direcciones IP. La forma más fácil de entender cómo trabaja un servidor es verlo como un árbol que corresponde a la jerarquía nombrada (Figura 22.3). 14 Servidor raíz Servidor .com Servidor .edu Servidor .gov Servidor dec.com Servidor purdue.edu Servidor nsf.gov … Servidor .us Nivel Superior Servidor va.us Figura 22.3 La jerarquía del árbol se divide de la siguiente forma: La raíz del árbol es un servidor que reconoce el dominio de nivel superior y sabe que servidor resuelve cada dominio. En el siguiente nivel, un conjunto de servidores de nombre proporciona respuestas para un dominio de nivel superior (Ej.: edu).Un servidor en este nivel sabe que servidor puede resolver cada uno de los subdominios bajo su dominio En el tercer nivel del árbol, el servidor de nombres proporciona respuestas para el subdominio (Ej.: purdue bajo edu). El árbol conceptual continúa con un servidor en cada nivel para el que se ha definido un subdominio. Las conexiones entre servidores no indican conexiones físicas. Cada servidor puede estar en una red distinta dentro de la red de redes. 22.11 Resolución de nombres de dominio CONTINUAR DESDE LA PÁGINA 395 22.12 Traducción eficiente 22.13 Desempeño del cache: la clave de la eficiencia 22.14 Formato de los mensajes del servidor de dominios 22.15 Formato del nombre comprimido 22.16 Abreviatura de nombres de dominio 15 22.17 Asociaciones inversas 22.18 Búsquedas de apuntador 22.19 Tipos de objetos y contenido del registro de recursos 22.20 Obtención de autoridad para un subdominio 16 23 Aplicaciones: acceso remoto (TELNET y Rlogin) 23.2 Computación remota interactiva 23.3 Protocolo TELNET Permite establecer una conexión TCP con un servidor de acceso a otro. TELNET transfiere las pulsaciones de teclado directamente desde el teclado del usuario a la computadora remota. También transporta la salida de la máquina remota de regreso al usuario. Este servicio se llama transparent ya que el usuario ve como si su teclado y monitor estuvieran conectados directamente a la máquina remota. TELNET permite que el usuario especifique la máquina remota a través del nombre de dominio o de la dirección IP. Ofrece tres servicios básicos: 1. Define una Terminal virtual de red que proporciona una interfaz estándar para los sistemas remotos. 2. Incluye un mecanismo que permite negocias opciones entre cliente y servidor. 3. Maneja los extremos de la conexión de manera simétrica. El cliente lee de la terminal Cliente Telnet El cliente manda al servidor Servidor Telnet El servidor manda a una pseudo terminal Disp. de E/S usuario sistema operativo El servidor recibe del cliente sistema operativo red de redes TCP/IP Figura 23.1 Cuando un usuario invoca a TELNET, un programa de aplicación se convierte en el cliente, que establece la conexión TCP con el servidor. Una vez hecha la conexión, el cliente acepta los pulsos de teclado y los envía al servidor. Concurrentemente, acepta los caracteres enviados por el servidor y los muestra en la pantalla de usuario. El servidor puede atender varias conexiones con distintos clientes. Lo que se muestra en la figura 23.1 es un esclavo dentro del servidor que atiende una conexión con un cliente. El termino pseudo terminal de la figura se refiere a que el servidor no envía los caracteres directamente al terminal, sino que los manda al SO que actúa simulando una terminal. 17 Que el servidor TELNET corra como una aplicación cliente tiene como: Ventaja: Es más fácil controlarlo y modificarlo que si el servidor estuviera enclavado en el SO. Desventaja: Es menos eficiente porque los caracteres deben atravesar una capa mas (el SO). 23.4 Adaptarse a la heterogeneidad Para adaptarse a la heterogeneidad de los sistemas, TELNET define como deben mandarse las secuencias de datos y comandos a través de Internet. Dicha definición se conoce como network virtual terminal (NVT). La idea es realizar una traducción de las pulsaciones de teclado antes de enviarlas. Disp. de E/S usuario conexión TCP Cliente Formato sistema cliente Sistema del servidor Servidor Formato NVT Formato sistema servidor Figura 23.2 La codificación usada por NVT es USASCII, que incluye 95 caracteres imprimibles y 33 códigos de control. Cada código de control de USASCII tiene una interpretación determinada dentro de NVT (ver figura 23.3 en el libro) y los caracteres imprimibles tienen el mismo significado que el conjunto de caracteres estándar de USACII. Ejemplo: Si el usuario presiona ENTER, el cliente deberá traducir el código que el sistema cliente usa para el ENTER a CR-LF del sistema NVT y eso es lo que viaja a través de la conexión TCP hasta el servidor que luego traducirá CR-LF al código que use el sistema del servidor. 23.5 Transferencia de comandos que controlan extremo remoto NVT adapta las funciones de control creando funciones de control conceptuales. Algunas de esas funciones son: IP (Interrupt Process) Interrupción del proceso AO (Abort Output) Salida abortada AYT (Are You There) Estas ahí. Prueba si el servidor responde EC (Erase Character) Borra carácter. EL (Erase Line) Borra línea SYNCH (Syncronize) Sincroniza. Despeja la trayectoria de datos hasta que el punto de datos TCP es urgente, pero interpreta comandos BRK (Break) Teclas de pausa o señal de atención El hecho de que NVT separe la definición de comandos de control *1 de los caracteres ASCII normales tiene dos ventajas: 1. Permite mayor flexibilidad, porque de esta forma se pueden transmitir todas las secuencias de caracteres ASCII posibles entre el cliente y el servidor *2 2. Permite que el cliente especifique las señales de manera no ambigua. 18 TELNET codifica los comandos de control a través de TCP usando la secuencia de escape. O sea que envía un byte IAC (Internet as Command) que indica que a continuación sigue un comando de control (Para ver los comandos de control, ver la figura 23.5 en el libro, pagina 415). Cuando se va a enviar un IAC y en los datos existe un carácter IAC, este se envía dos veces. 23.6 Forzar al servidor a leer una función de control En ciertos casos, puede pasar que los buffers del servidor estén llenos, entonces el servidor anuncie un tamaño de ventana cero lo que evita la transferencia de datos a través de la conexión TCP. Si en ese momento el usuario envía un IAC IP para finalizar la aplicación, el servidor no leerá la secuencia porque TCP ha dejado de enviar datos a la máquina del servidor. Para evitar esto, TELNET utiliza una señal fuera de banda. Esto se implementa con el mecanismo de dato urgente. Cuando se va a transmitir un comando de control, TELNET también envía un comando SYNCH, luego anexa un byte especial llamado marca de datos y hace que TCP envíe los datos con el bit de URGEN DATA. Los segmentos que llevan los datos urgentes evitan el control de flujo y así logran llegar al servidor. 23.7 Opciones de TELNET En TELNET las opciones son negociables, con lo que se logra reconfigurar una conexión entre el cliente y el servidor. El rango de opciones es bastante amplio. Por ejemplo, una de las opciones permite que TELNET opere en half-duplex (modo de operación normal) o fullduplex (Para ver más opciones ver la figura 23.6 en el libro, pagina 417). 23.8 Negociación de opciones de TELNET Telnet utiliza un mecanismo de negociación de opción simétrica para permitir a los clientes y a los servidores reconfigurar los parámetros que controlan su interacción. Como el software TELNET comprende un protocolo NVT básico, los clientes y los servidores pueden interoperar aun cuando uno comprenda las opciones y el otro no. 23.9 Rlogin (BSD de UNIX) *1: Nótese la diferencia entre caracteres de control y comando de control. El primero es un código ASCII que sirve por ejemplo para mover el cursor, indicar una nueva línea, etc. Los caracteres de control llegan a la aplicación cliente. En cambio los comandos, no llegan al cliente, ya que indican una terminación abrupta, o una consulta al servidor, etc. *2: Recordar que los comandos no llegan a la aplicación cliente. Por ejemplo, cuando se presiona CTRL+C para la terminación de un programa, este nunca se entera de que el usuario presionó esa combinación de teclas, ya que el SO lo mata antes. 19 24 Aplicaciones: transferencia y acceso de archivos (FTP, TFTP, NFS) 24.2 Acceso y transferencia de archivos Algunos sistemas son pensados como unidades centrales de almacenamiento que proporcionan almacenamiento secundario a un conjunto de máquinas de bajo costo que no poseen disco. Otros diseños se valen del almacenamiento remoto para archivar datos y en otros casos la motivación principal es la compartición de datos entre varios usuarios. 24.3 Acceso compartido en línea Compartir archivos se presenta en dos formas: 1. Acceso en línea 2. Copiado de archivo completo El primero significa que permite a varios programas acceder de manera concurrente a un solo archivo y los cambios estarán disponibles para todos los que acceden, mientras que el copiado significa que cada vez que un programa quiera acceder a un archivo, este obtendrá una copia local. El copiado se usa generalmente para datos de solo lectura, pero en caso de que se hagan modificaciones, el programa hace los cambios locales y luego transfiere de regreso el archivo modificado a la localidad original. Los archivos remotos están integrados con los archivos locales, es decir, el usuario no necesita acceder a los remotos a través de aplicaciones cliente particulares, sino que el acceso a ellos es idéntico al acceso a los locales, por lo tanto se dice que se proporciona acceso transparente, lo que brinda como ventaja que el acceso a archivos remotos ocurre sin cambios visibles en los programas de aplicación. Esta integración entre máquinas puede verse complicada por la diversidad de arquitecturas y SO que estas puedan utilizar. 24.4 Compartir mediante transferencia de archivos Acceder a datos remotos a través de una transferencia requiere dos pasos: 1. Obtener la copia local 2. Trabajar en la copia La mayor parte de los mecanismos de transferencia no están integrados, por eso para que el usuario pueda transferir debe acceder a aplicaciones cliente de propósito especial a las que le deberá especificar la máquina de la que se obtendrán los archivos además de cuenta y clave (de ser necesario). 24.6 Características de FTP FTP (File Ttransfer Protocol) es un protocolo complejo porque lidia con las diferentes arquitecturas de máquinas y además brinda más facilidades que la simple transferencia. Acceso interactivo: Si bien está orientado para usarse mediante programas, posee una interfaz que permite a los usuarios interactuar con los servidores remotos. 20 Especificación de formato: El FTP permite especificar al usuario el tipo y formato de los datos almacenados. Control de autenticación: Requiere que los usuarios se autoricen a si mismos con el envío de nombre de conexión y una clave de acceso al servidor. 24.7 Modelo de proceso FTP Un proceso servidor maestro espera las conexiones y crea un proceso esclavo para manejar cada conexión, pero a diferencia de casi todos los servidores, el proceso esclavo no ejecuta todos los cómputos necesarios, sino que crea un proceso (o varios) adicional que se encarga de manejar la transferencia de manera separada. Por la conexión de control se transmiten comandos que le dicen al servidor que archivo transferir, mientras que los datos viajan por la conexión de transferencia de datos. Ambas conexiones utilizan TCP como transporte. Las conexiones y procesos de transferencia de datos pueden crearse de manera dinámica cuando se necesitan, pero la conexión de control continúa a través de una sesión. Una vez que la conexión de control desaparece, la sesión se termina y el software en ambos extremos termina todos los procesos de transferencia de datos. sistema cliente transf. de datos proceso de control sistema operativo sistema servidor conexión de control de cliente proceso de control conexión de control de servidor transf. de datos sistema operativo red de redes TCP/IP Figura 24.1 24.8 Asignación de números de puerto CONTINUAR DESDE LA PÁGINA 428 24.10 Ejemplo de una sesión con FTP anónimo El acceso al FTP anónimo significa que un cliente no necesita una cuenta o clave para acceder al servidor de recursos sino que accede con un nombre de conexión anónimo y una 21 clave de invitado. El servidor restringe el acceso a los archivos públicos que figuran en el servidor. Los mensajes de control y error entre el cliente y servidor FTP comienzan con un número de tres dígitos seguido de texto. El software interpreta el numero; el texto está dirigido a los usuarios. 24.11 TFTP TFTP (Trivial File Transfer Protocol) es un segundo protocolo del grupo de protocolos TCP/IP que se utiliza para la transferencia de archivos. Es una versión simplificada de FTP para aquellas máquinas que no necesitan o no pueden soportar la complejidad del FTP, ya que este requiere que se manejen varias conexiones TCP/IP simultáneas. TFTP restringe las operaciones a transferencia de archivos sencilla y no proporciona autenticación. SE PUEDE AGREGAR INFORMACION (PAGINA 432) 24.12 NFS NFS (Network File System) proporciona un acceso de archivos compartidos en línea que es transparente e integrado. 24.13 Implantación NFS NFS se encuentra embebido en el SO. El mecanismo de acceso a archivos recibe las peticiones y las transmite de manera automática al SW de sistema de archivos local o del cliente NFS dependiendo de si el archivo solicitado esta en el disco local o en una máquina remota. aplicación Mecanismo de acceso a archivos Local File System Disco local Cliente NFS Conexión de red de redes hacia el servidor NFS Figura 24.3 22 24.14 Llamada de procedimiento remoto (RPC) En lugar de definir el protocolo NFS de cero, los diseñadores prefirieron construir tres piezas independientes. El protocolo NFS, es un mecanismo general de llamada de procedimiento remoto o RPC (Remote Procedure Call) y una representación de datos externa o XDR (External Data Representation). Desde el punto vista del programador, NFS no proporciona por si mismo nuevos procedimientos que un programa pueda llamar, pero una vez que un administrador configura el NFS los programas pueden acceder a los archivos remotos de la misma forma que acceden a los archivos locales. RPC y XDR proporcionan mecanismos que los programadores pueden usar para crear programas distribuidos. Ejemplo RPC: Un programador puede dividir un programa de un lado como cliente y de otro como servidor y usar RPC como principal mecanismo de comunicación. En el lado cliente, el programador designa como remotos algunos procedimientos, forzando así al compilador a incorporar el código RPC en dichos procedimientos. En el lado del servidor, el programador implanta los procedimientos deseados y utiliza otras características de RPC para declararlos como parte de un servidor. Cuando el cliente llama a los procedimientos remotos, el RPC recolecta automáticamente los valores para los argumentos, forma el mensaje y lo envía al servidor, espera una respuesta, y cuando llega alacena los datos devueltos en los argumentos designados. Entonces, gracias a RPC, la comunicación ocurre de manera automática, haciendo posible que el programador se abstraiga de los detalles de la misma. Ejemplo XDR: Brinda a los programadores una manera de transmitir datos entre máquinas heterogéneas de manera transparente. El caso puntual de aplicación puede verse en la escritura de enteros de 32 bits. Algunos sistemas utilizan Big Endian y otros Little Endian, por lo tanto si no se hicieran las traducciones necesarias, el valor del entero pondría cambiar de un sistema a otro. XDR resuelve este problema definiendo una presentación independiente en cada máquina. En un extremo de la comunicación, un programa invoca procedimientos XDR para hacer la conversión de la representación del hardware local a la representación independiente de máquina. Una vez que los datos son transmitidos, se realizará el mismo proceso pero invertido en el otro extremo. 24.15 RPC Port Mapper El Port Mapper mapea programas RPC con números de puertos. Este programa realiza un binding dinámico de posibles programas remotos. Esto es deseable ya que el rango de los números de puerto reservados es muy pequeño en relación al número de programas remotos, que potencialmente es muy grande. También ayuda en la comunicación RPC. Cuando un RPC en el servidor inicia, el sistema le puede asignar un puerto arbitrario y ese puerto puede no ser conocido por el cliente, por lo tanto el cliente no sabrá a qué puerto enviar los paquetes para utilizar el RPC. El port mapper tiene dos funciones para solucionar esto. 1. La primera es que el port mapper siempre escucha en el mismo puerto, por eso los clientes saben a priori a que dirección enviar los paquetes. 2. La segunda es que cuando un RPC inicie, le informará al port mapper que puerto le fue asignado y que números de programa está preparado para atender, así cuando un 23 cliente invoque al RPC el port mapper le indicará al cliente a donde enviar los datos. Por tal motivo el port mapper debe ser iniciado antes que cualquier RPC. El Port Mapper soporta dos protocolos UDP y TCP, y es accedido desde el puerto 111. Los procedimientos del Port Mapper son los siguientes: PMAPPROC_NULL: Este procedimiento no realiza ningún trabajo. Por convenio, el procedimiento nulo de cualquier protocolo no requiere parámetros y no retorna ningún resultado. PMAPPROC_SET: Cuando un programa esta disponible en una máquina, se registra el mismo con el programa Port Mapper en la misma máquina. El programa pasa su número de programa, su número de versión, su número de protocolo de transporte y el puerto donde espera servicio. El procedimiento retorna una variable booleana puesta a TRUE si el procedimiento ha establecido correctamente el mapeo, y FALSE en cualquier otro caso. El procedimiento rechaza el establecimiento del mapeo si ya existe una tupla (programa, versión, protocolo). PMAPPROC_UNSET: Cuando un programa ya no esta disponible, debe eliminarse él mismo con el Port Mapper en la misma máquina. Los parámetros y resultado tienen el mismo significado que en el procedimiento anterior. El número de protocolo y de puerto son ignorados en este procedimiento. PMAPPROC_GETPORT: Dado un número de programa, un número de versión y un número de protocolo de transporte, este procedimiento retorna el número de puerto en donde el programa está esperando solicitudes. Un número de puerto igual a cero, quiere decir que el programa no ha sido registrado. El argumento puerto es ignorado. PMAPPROC_DUMP: Este procedimiento enumera todas las entradas en la base de datos del port mapper. El procedimiento no toma parámetros y retorna una lista de programa, versión, protocolo y valores de puerto. PMAPPROC_CALLIT: Este procedimiento permite a un cliente llamar a otro procedimiento remoto en la misma máquina, sin conocer el número de puerto del procedimiento remoto. Está destinado para soportar broadcast a programas remotos arbitrariamente vía los puertos conocidos del port mapper. Este procedimiento solo envía respuesta si el procedimiento ha sido correctamente ejecutado y no responde en otros casos. El Port Mapper comunica con el programa remoto utilizando solamente el protocolo UDP. Este procedimiento retorna el número de puerto del programa remoto, y la respuesta es la respuesta del procedimiento remoto. 24.16 Servicios, Puertos y Procesos Un proceso de servicio RPC se asocia a un programa constituido por un conjunto de procedimientos, mediante un número de identificación. Cuando hay una llamada a un procedimiento existirá un proceso encargado de la ejecución del servicio solicitado. Esto implica que se tiene acceso al código de los diferentes procesos de servicio. El proceso de servicio comunica con el modulo solicitado a través de un socket del dominio INTERNET, es decir mediante un protocolo de transporte: UDP o TCP. El socket en cuestión se asocia a un número de puerto. Puede ocurrir que se genere el proceso de servicio para que esté permanentemente a la escucha en el puerto asociado, o que el puerto asociado forme parte de un conjunto de puertos sobre los que escucha un proceso particular. Este último proceso es el que creará el proceso de servicio en el momento adecuado. 24 24.17 El proceso Portmap Este es un proceso que responde a un servicio RPC reservado (numero de programa 100000 y puerto 111). Su misión es la de asociar un número de puerto a cada número de servicio RPC dado. Para establecer una transmisión RPC este proceso debe estar activo. Por esto, cada nuevo servicio disponible debe ser notificado al proceso Portmap del sistema (proceso llamado: mecanismo de grabación de servicio). 25 25 Aplicaciones: Correo electrónico 25.2 Correo electrónico A diferencia de otros protocolos, el correo electrónico puede manejar las entregas con retraso. Esto es, enviar el correo a pesar de que las conexiones hayan fallado o que la máquina remota no esté disponible. Para lograrlo, se utiliza una técnica conocida como spooling. En el envío, se coloca una copia del mensaje en un área de almacenamiento privado, y el sistema inicia una actividad subordinada que realiza el envío hacia la máquina remota mientras el emisor puede dedicarse a otras tareas. envío de correo del usuario área spool de salida de correo cliente (transferencia subordinada) conexión TCP buzones para correo entrante servidor (para aceptar correo) conexión TCP para salida de correo Interfaz de usuario lectura de correo del usuario para correo entrante Figura 25.1 25.3 Nombres y alias de los buzones de correo Tres ideas importantes: 1. Los usuarios especifican recipientes, proporcionando pares de cadenas que identifican el nombre de la máquina y la dirección de buzón. 2. Los nombres utilizados en estas especificaciones son independientes de otros nombres asignados a las máquinas. Usualmente la dirección de un buzón es la misma que la del usuario frente al sistema, y el nombre de la máquina el mismo que el del dominio de la máquina aunque esto no tiene que ser así necesariamente. 3. La tercera realmente no se entiende, verla del libro (página 441). 25.4 Expansión de alias y direccionamiento de correspondencia Los alias incrementan la funcionalidad del correo electrónico. Permiten a una persona tener varios identificadores de correo como también generar un identificador asociado a varias direcciones (listas de correo electrónico). 26 Normalmente, luego de que el usuario compone el mensaje y nombra un recipiente, el programa de interfaz de correo consulta los alias locales para reemplazar el recipiente con la versión transformada antes de pasar el mensaje al sistema de entrega. 25.5 relación entre el enlace de redes y el correo electrónico Existen sistemas que pueden enviar e-mails sin estar conectados a Internet. ¿Cuál es la diferencia entre estos y los que se describen acá? 1. La primera es que una red de redes TCP/IP hace posible el servicio de entrega universal. 2. El sistema de correo TCP/IP es inherentemente más confiable. La primer razón es fácil de validar, ya que TCP/IP proporciona conexión a todas las máquinas en la red de redes, y en esencia todas las máquinas están conectadas a una sola red. La segunda se debe a que dado que el sistema emisor puede determinar siempre el estado exacto de un mensaje, éste puede guardar una copia hasta tener la certeza de que el mensaje fue correctamente enviado al servidor. Los sistemas de correo que utilizan la entrega EAE pueden garantizar que cada mensaje de correo se mantenga en la máquina del emisor hasta ser copiado con éxito en la máquina del receptor. Una alternativa a la entrega EAE es el uso de mail gateways. Es este caso los envíos se realizan a una máquina intermedia que se encarga de completar el envío. Las desventajas de las compuertas de mensajes son: Una disminución de la confiabilidad ya que una vez que se envió una copia al intermediario, se borra la copia local y mientras tanto ni el emisor ni el receptor tienen una copia del mensaje. Introducción de retardos. Las ventajas: Interoperabilidad. Permite enviar mensajes entre redes que soportan diferentes tecnologías. 25.6 Estándares TCP/IP para el servicio de correo electrónico TCP/IP persigue la interoperabilidad entre un amplio rango de sistemas. Para extenderla en el sistema de correo, divide sus entandares en dos grupos: 1. Uno especifica el formato de los mensajes. 2. El otro especifica los detalles de intercambio de correo entre dos computadoras. Un mensaje de correo está compuesto por un encabezado y por un cuerpo. El estándar TCP / IP para los mensajes de correo, especifica el formato del encabezado así como su interpretación. Por ejemplo, debe contener una línea que especifique el destino y otra que especifique el remitente (To: y From:). Algunos campos del encabezado son opcionales, como por ejemplo el campo de dirección de réplica (Cc:). 27 25.7 Direcciones de correo electrónico Normalmente las direcciones de correo poseen una forma sencilla de recordar: parte-local@nombre-dominio Donde el nombre de dominio es el nombre de dominio de un destino de correo (técnicamente especifica un distribuidor de correo, no un nombre de máquina) al que el correo debe ser entregado y parte local es la dirección de un buzón en la máquina. Ejemplo: comer@purdue.edu Sin embargo, las compuertas de correo pueden volver complejas a las direcciones. Cualquiera que esté fuera de Internet, deberá direccionar a la compuerta de correo más cercana, o tener un SW que lo haga automáticamente. parte-local % nombre-dominio @ compuerta Ejemplo: comer % purdue.edu @ relay.cs.net 25.8 Pseudo direcciones de dominio Es una forma que ayuda a resolver el problema de los diversos sistemas de correo, cada uno con su propio formato de dirección, logrando que para el usuario todas las direcciones de correo tengan la misma forma. Esto se logra utilizando direcciones especiales que serán luego traducidas por el SW para el envío de correo. 25.9 Protocolo de transferencia de correo simple (SMTP) SMTP (Simple Mail Transfer Protocol) es el protocolo de transferencia estándar. SMTP se enfoca en: Como el sistema de entrega de correo subyacente transfiere los mensajes a través del enlace de una máquina a otra. SMTP no especifica: De que manera el sistema de correo acepta los mensajes de un usuario. Como representa al usuario la interfaz de usuario de correo entrante. Como se almacena el correo Con que frecuencia el sistema de correo intenta enviar mensajes. El establecimiento de la conexión entre cliente y servidor sigue el siguiente esquema: 1. El cliente establece una conexión de flujo confiable (TCP) y espera que el servidor envíe el mensaje 220 READY FOR MAIL. 2. Al recibir el mensaje, el cliente envía el mensaje HELO (abreviatura de HELLO). 3. El servidor responde identificándose. 28 4. Una vez que se estableció la comunicación el emisor puede transmitir uno o más mensajes de correo. 5. El emisor puede terminar la conexión o solicitar al receptor que se intercambien los roles de emisor y receptor para que los mensajes puedan fluir en dirección opuesta (mensaje TURN). 6. El receptor debe enviar un acuse de recibo por cada correo recibido. 7. El receptor también puede abortar la transferencia. Una transacción de correo sigue los siguientes pasos: 1. Se comienza con el envío del comando MAIL, que proporciona la identificación del emisor así como un campo FROM que contiene la dirección a donde se deberán reportar los errores. 2. Un recipiente prepara su estructura de datos para recibir un nuevo correo y responde al comando MAIL enviando un 250 OK. 3. Cuando al emisor le llega el 250 OK, emite una serie de comandos RCPT que identifican a los recipientes del mensaje de correo. Los receptores deben enviar un acuse de recibo por cada comando RCPT enviando un 250 OK o 550 No Such User Here. 4. Después de que todos los comandos RCPT han sido reconocidos, el emisor emite un comando DATA que indica al receptor que el emisor esta listo para enviar un correo completo. 5. El receptor responde 354 Start mail input y especifica la secuencia de caracteres para terminar el mensaje de correo. La conexión se cierra en dos pasos. Primero el emisor envía una orden QUIT y espera una respuesta. Luego sigue cerrando la conexión TCP. El receptor hará lo propio luego de enviar su respuesta a la orden QUIT. El siguiente ejemplo tomado de la RFC 821 muestra el proceso: 25.10 La extensión MIME para datos no ASCII MIME (Multipurpose Internet Mail Extension) fue creado para la transmisión de datos no ASCII a través de e-mail. La MIME no cambia ni reemplaza a SMTP, sino que lo extiende. 29 De hecho permite que datos arbitrarios sigan codificándose en ASCII y luego se envíen a través de mensajes de mail estándar. La información MIME reside dentro del encabezado 822 y posee cinco campos: 1. 2. 3. 4. 5. versión MIME Tipo de contenido Codificación de transferencia de contenido Identificador del contenido Descripción del contenido Los posibles tipos de contenido son: 1. 2. 3. 4. 5. 6. 7. Texto Multiparte Mensaje Audio Imagen Video Aplicación 25.11 Mensajes MIME multipart El tipo de contenido multipart permite cuatro subtipos: 1. Mixed: permite que un sólo mensaje contenga submensajes independientes en donde cada uno tiene un tipo independiente y una codificación diferente. Un mensaje podrá contener audio, imágenes y otros formatos en simultáneo. 2. Alternative: permite que un sólo mensaje sea representado de diferentes formas. Esto es útil cuando se envían mensajes a varios recipientes que no utilizan el mismo HW / SW de sistema. 3. Parallel: Permite que un mensaje tenga subpartes que tengan que ser vistas todas juntas. Por ejemplo, subpartes de imagen y video que deben presentarse de manera simultánea) 4. Digest: Permite que un solo mensaje contenga un conjunto de otros mensajes. Por ejemplo, la colección mensajes de una discusión. 25.12 El comando TURN Este comando (descrito en la RFC 821), conlleva importantes problemas de seguridad, debido a que en ausencia de una fuerte autenticación del host que pide que el cliente y el servidor intercambien roles, puede ser fácilmente utilizado para desviar correos de su destino correcto, por tal motivo su uso fue deprecado. Los sistemas SMTP no deberían usarlo a menos que puedan autentificar al cliente. 30 28 Seguridad de Internet y diseño del muro de seguridad 28.1 Introducción La seguridad se apoya en tres acciones principales: 1. Prevención 2. Detección 3. Reacción Prevenir los ataques, detectarlos en caso de que ocurran y reaccionar ante tales detecciones. 28.2 Recursos de protección Seguridad significa integridad de los datos, confianza en que no existan accesos no autorizados, que los recursos están libres de intromisiones y que no hay interrupciones de servicios. Integridad Autenticidad Privacidad Disponibilidad La seguridad está ligada no solo a los recursos físicos sino también a los recursos abstractos, siendo esta ultima más difícil de implementar. La integridad de datos así como la disponibilidad de datos son cruciales, y como la información puede ser accedida a través de una red, la protección debe prevenir lecturas no autorizadas. 28.3 Necesidad de una política de información Antes de que se implante un proyecto de seguridad, la organización debe asumir riesgos y desarrollar una política clara de accesos de información y protección y darla a conocer a todos sus empleados. Esto es crucial dado que: Las personas son por lo general el punto más susceptible de cualquier esquema de seguridad. Un trabajador malicioso, descuidado o ignorante de las políticas de información puede comprometer la seguridad. Un empleado debe ser capaz de responder preguntas básicas como: ¿Qué tan importante es la información para la organización? ¿Qué significan los derechos de autor? ¿Qué tanto de la información a la que tiene acceso puede discutir con otros empleados? ¿Qué información puede importar a la compañía? ¿Qué son los derechos de propiedad intelectual? Las políticas de información deben abarcar tanto la información “entrante” como la “saliente”. 31 Las políticas de información pueden entrar en conflicto. Por ejemplo, si se consideran tres organizaciones A, B y C, donde A permite que la información fluya hacia B pero no hacia C, si la política de B permite fluir información hacia C eso entraría en conflicto con las políticas de A. 28.4 Comunicación, cooperación y desconfianza mutua Se dice que cuando tres organizaciones intercambian información, la seguridad de la política de seguridad es el cierre transitivo de las políticas de seguridad individuales. Como resultado: Una organización no puede conocer el efecto de comunicarse e interactuar con otras a menos que las dos organizaciones acuerden un nivel de confianza recíproca. 28.5 Mecanismos para la seguridad de Internet Los problemas de seguridad y los mecanismos de software que ayudan a prevenirlos pueden clasificarse en tres conjuntos: 1. El primero se enfoca en la autorización, autenticación e integridad. 2. El segundo en el problema de la privacidad. 3. El tercero en la disponibilidad mediante el control de acceso. 28.5.1 Mecanismos de autenticación Resuelven el problema de verificar la identificación. Cuando un cliente hace un primer contacto con un servidor, este debe verificar que el cliente este autorizado antes de prestar el servicio. El servidor puede utilizar diferentes técnicas para autenticar. Una de esas técnicas es identificar al cliente según su dirección IP, aunque puede ser violada con facilidad si es que un router que rutea paquetes al servidor es controlado por un impostor. El impostor puede actuar como servidor para un cliente como de cliente para un servidor. La solución a este problema radica en proporcionar un servicio confiable. Una forma de lograr esto es a través del cifrado de clave pública. Para usar un sistema de clave pública cada participante debe ser asignado a dos claves que son utilizadas para codificar y decodificar mensajes. Cada clave es un entero largo. Un participante publica una clave, llamada clave pública, en una base de datos pública y conserva la otra en secreto. Un mensaje se codifica mediante una clave que se puede decodificar usando la otra. Por ejemplo, un emisor codifica un mensaje con la clave pública del receptor. Ese mensaje puede solamente ser decodificada con la clave privada del receptor que sólo el receptor conoce. Un cliente y un servidor que utilicen cifrado de clave pública pueden estar razonablemente seguros de que su interlocutor es auténtico, aún si sus datagramas pasan a través de una red poco segura. 28.5.2 Mecanismos de privacidad Para dar privacidad con el mecanismo de cifrado de clave pública se procede de la siguiente forma: 32 Supongamos dos participantes Ay B. Ambos tienen una clave pública y otra privada. Si A tiene que enviar un mensaje a B y quiere que no sea leído por nadie más que B, lo que hace es encriptar ese mensaje con la clave pública de B. Ese mensaje podrá ser desencriptado únicamente con la clave privada de B, clave que es únicamente conocida por B. Así nos aseguramos que sólo B lea el mensaje (privacidad). En caso de que se quiera otorgar autenticidad e integridad se procede de la siguiente forma: Si A quiere enviar a B un mensaje y quiere que B sepa que sólo él (A) le pudo haber enviado ese mensaje, lo que hace A es encriptar el mensaje con su propia clave privada. Ese mensaje podrá ser desencriptado con la clave pública de A. Con esto no se puede asegurar que sólo B lea el mensaje (no aseguro privacidad), pero sí se asegura la autenticidad ya que B sabe que solamente A puede haberle enviado el mensaje, porque nadie más puede encriptar con la clave privada de A. En caso de querer otorgar autenticidad y privacidad en simultáneo se procede a un doble encriptado: Primero A encripta con su clave privada y luego encripta con la clave pública de B. 28.6 Firewalls y acceso a Internet Los mecanismos de control de acceso a la red de redes manejan el problema del filtrado hacia las redes de las comunicaciones no previstas. A diferencia de los mecanismos de autenticación y privacidad que pueden ser implementados a nivel de capa de aplicación, el control de acceso a la red por lo general requiere cambios en los componentes básicos de la infraestructura de la red. Una técnica para implementar esto es la de la creación de un firewall. Un firewall aparece como entrada a la red de redes que será protegida, y divide a la red de redes en dos regiones que se conocen informalmente como el interior y el exterior. Firewall de la organización Resto de Internet Red de la organización exterior interior Figura 28.1 28.7 Conexiones múltiples y vínculos más débiles En ciertos casos la imagen conceptual presentada por la figura 28.1 puede complicarse dado que una organización puede poseer una red interna que tenga varias conexiones externas. En tal caso, se deberá formar un perímetro de seguridad instalando un muro de seguridad en cada conexión externa, los cuales deberán estar coordinados para que posean restricciones de acceso idénticas. 33 Una organización que tiene múltiples conexiones externas debe instalar un muro de seguridad en cada conexión externa y coordinar todos los muros de seguridad. Las fallas para restringir en forma idéntica el acceso en todos los muros de seguridad pueden hacer que la organización sea vulnerable. 28.8 Implantación de firewall y hardware de alta velocidad En teoría, un firewall bloquea todas las comunicaciones no autorizadas entre máquinas internas y externas a la organización. En la práctica esto depende de las políticas de la organización, la carga de tráfico y la capacidad de conexión. La implantación de un firewall requiere de una alta capacidad de procesamiento ya que se deben analizar todos los datagramas que viajan a través de él (dentro-fuera o fuera-dentro). Muchos routers poseen un mecanismo de filtrado de alta velocidad que puede usarse para realizar muchas de las funciones necesarias, y pueden configurarse para que bloqueen datagramas específicos. 28.9 Filtros de nivel de paquetes El término filtrado de paquetes se debe a que el mecanismo de filtrado no conserva un registro de las interacciones o una historia de los datagramas previos, por el contrario, el filtro considera a cada datagrama de forma separada. Como TCP / IP no dicta un estándar de filtrado, cada fabricante de routers puede seleccionar las características que desee darle a su filtro. Algunos routers permiten configurar opciones de filtrado diferentes para cada interfaz. Los parámetros de filtrado pueden ser direcciones IP de origen o destino, numero de puerto, protocolo fuente, etc. 28.10 Especificación de seguridad y de filtro de paquetes El uso de listas de filtrado (se pueden filtrar puertos bien conocidos, direcciones IP, protocolos, etc.) en un firewall puede tener ciertos inconvenientes: El número de puertos bien conocidos es extenso y un administrador podría necesitar actualizar la lista continuamente debido a que un simple error puede volver vulnerable al muro. Gran parte del tráfico no viaja desde o hacia puertos bien conocidos. Además el uso de Port Mapper asigna puertos dinámicamente para las aplicaciones que así lo requieran. Los filtros pueden ser vulnerados por el uso de túneles. Un datagrama prohibido puede viajar encapsulado hacia un puerto habilitado. Para sortear estos problemas con las listas de filtrado, lo que se hace es justamente lo inverso, en vez de listar los datagramas que deben filtrarse, un firewall se configura para bloquear todos los datagramas, excepto aquellos destinados a redes específicas, anfitriones y puertos de protocolo para los que se ha aprobado la comunicación. 28.11 Consecuencia del acceso restringido para clientes Si el firewall de una organización restringe los datagramas entrantes excepto para puertos que corresponden a servicios puestos a disposición del exterior, una aplicación del interior no podrá volverse cliente de un servicio del exterior. Esto es porque: 34 Cuando un cliente trata de comunicarse con un servidor de afuera, genera uno o más datagramas y los envía. Cada datagrama que sale, tiene el puerto de protocolo del cliente como puerto de origen, y el puerto bien conocido del servidor como puerto de destino. El firewall no bloquea los datagramas salientes. Cuando se genera una respuesta, el puerto del cliente se vuelve el puerto de destino y el del servidor el puerto fuente. Cuando el datagrama llegue al firewall, será bloqueado ya que el puerto de destino no está aprobado. 28.12 Acceso a servicios a través de un firewall Dado la problemática del punto anterior, los usuarios necesitan un mecanismo seguro que proporcione acceso a servicios del exterior. En lugar de tratar de hacer que todas la maquinas de una organización sean seguras, lo que se hace es asociar una computadora segura con cada firewall, y se la conoce como anfitrión baluarte. Anfitrión baluarte Red de redes interior Red de redes exterior Barrera exterior Barrera de entrada Derivación habilitada manualmente Figura 28.3 La barrera exterior bloquea todo el tráfico entrante excepto: 1. Datagramas destinados a servicios en el anfitrión baluarte que la organización elige mantener disponibles al exterior. 2. Datagramas destinados a clientes en el anfitrión baluarte. La barrera de entrada bloquea el tráfico entrante excepto datagramas que vienen del anfitrión baluarte. 28.13 Detalles de la arquitectura de un firewall Las barreras mencionadas en el ítem anterior, son implementadas con routers que poseen filtros de paquetes. Las redes interconectan los routers y el anfitrión baluarte. Aún cuando un anfitrión baluarte es esencial para la comunicación a través de un firewall, la seguridad de dicho firewall depende de la seguridad en el anfitrión 35 baluarte. Un intruso que abra una grieta en la seguridad en el SO del baluarte puede lograr el acceso del anfitrión dentro del firewall. 28.15 Implantación alternativa de un firewall 28.16 Monitoreo y establecimiento de conexión 36 29 El futuro de TCP/IP (IPng, IPV6) 29.2 ¿Por qué cambiar TCP/IP e Internet? 29.2.1 Nuevas tecnologías de comunicación y computación Continuamente están saliendo nuevas tecnologías que los profesionales prueban en diferentes ámbitos y aplicaciones y que pueden producir mejoras significativas y fomentar cambios en las implementaciones ya existentes. 29.2.2 Nuevas aplicaciones Las nuevas aplicaciones crean una demanda continua de infraestructura y servicios que los protocolos actuales no pueden proporcionar. 29.2.3 Incrementos en el tamaño y en la carga Los últimos años Internet ha experimentado un crecimiento exponencial tanto en tamaño como en tráfico y todo apunta a que esta tendencia se siga manteniendo. 29.2.4 Nuevas políticas A medida de que Internet se expande hacia nuevos países, cambia de forma adquiriendo nuevas autoridades administrativas. Los cambios en las autoridades provocan cambios en las políticas administrativas. La evolución continúa conforme se conectan más columnas vertebrales de redes nacionales, produciendo un incremento complejo de las políticas que regulan la interacción. 29.3 Motivos para el cambio del IPV4 Algunas de las principales razones que motivan el cambio del protocolo IP son: El agotamiento del espacio de direcciones. Soporte a nuevas aplicaciones. Mejoramiento de la seguridad 29.4 El camino hacia una nueva versión del IP El diseño de base elegido para la nueva versión del IP es SIPP (Simple IP Plus). Toma la base del IP y añade algunas ideas de otras propuestas. 29.5 Nombre del próximo IP En primera instancia la IAB propuso el nombre de IP versión 7 lo cual trajo confusiones por el supuesto salto de dos versiones (5 y 6). Para evitar confusión el IETF cambió el nombre a IP la nueva generación (IPng). Luego, tras varias discusiones se decidió llamarlo IPV6. 37 29.6 Características del IPV6 IPV6 conserva varias de las características que hicieron exitoso al IPV4. Algunas son: Soporta entrega sin conexión. Permite al emisor seleccionar el tamaño de un datagrama. Solicita al emisor que especifique la cantidad máxima de saltos para la entrega de un datagrama. Los cambios que introduce IPV6 pueden ser agrupados en cinco categorías: 1. Direcciones más largas. Se paso de 32 a 128 bits. 2. Formato de encabezado flexible. El encabezado es incompatible con la versión anterior ya que IPV4 usa un encabezado donde sólo las opciones son de tamaño variable. 3. Opciones mejoradas. Se incluyen nuevas opciones que proporcionan capacidades adicionales no disponibles en IPV4. 4. Soporte de asignación de recursos. Permite la pre asignación de recursos de red. 5. Previsión para extensión del protocolo. Se pasa de un protocolo que especifica TODOS los detalles a otro que puede permitir características adicionales. 29.8 Forma general de un datagrama IPV6 El formato del datagrama cambia completamente. El encabezado base es de tamaño fijo seguido por posibles encabezados de extensión y luego los datos. opcional Encabezado base Extensión 1 de encabezado … Extensión n de encabezado DATOS Figura 29.1 29.8 Formato del encabezado base del IPV6 Cambios en los encabezados de los datagramas: La alineación se cambió de múltiplos de 32 bits a múltiplos de 64 bits. Los campos de longitud de encabezado se eliminaron, y el campo de longitud de datagrama se cambió por el campo PAYLOAD LENGTH. Los campos que llevan las direcciones (fuente y destino) se incrementaron a 16 bytes (128 bits). La información de fragmentación se ha movido de los campos fijos en el encabezado base hacia un encabezado de extensión. El campo TTL se reemplazó por el de HOP LIMIT (limite de saltos) El campo TOS se cambió por el FLOW LABEL. El campo protocolo se cambió por un campo que especifica el tipo del próximo encabezado. 38 4 16 ETIQUETA DE FLUJO VERS LONGITUD DE PAYLOAD PROX. ENCAB. 31 LIMITE DE SALTOS DIRECCION DE FUENTE DIRECCION DE DESTINO Figura 29.2 29.9 Encabezados de extensión IPV6 La idea de utilizar encabezados de extensión nació para lograr tanto eficiencia como generalidad. No todas las características del protocolo son necesarias en todos los datagramas, por eso es útil la capacidad de agregar sólo los encabezados necesarios como encabezados de extensión, que son similares a las opciones de IPV4. 29.10 Análisis de un datagrama IPV6 Cada encabezado de extensión posee un campo que determina cual será el siguiente encabezado (NEXT HEADER). 29.11 Fragmentación y re ensamblaje del IPV6 En IPV4, si un datagrama es más grande que el MTU, los routers intermedios podían fragmentar el datagrama. En cambio en IPV6 la fragmentación está restringida a la fuente para liberar a los intermediarios de esta acción. Para esto la fuente utiliza la técnica MTU Discovery. La fragmentación en si es bastante parecida a la de IPV4, ya que hay un campo que indica el desplazamiento y otro que indica si hay mas fragmentos. ENCAB. PROX RESERVADO DESPLAZAMIENTO DE FRAG. IDENTIFICACION DE DATAGRAMA MF Figura 29.5 29.12 Consecuencia de la fragmentación de extremo a extremo La fragmentación EAE (extremo a extremo) está fomentada por la reducción de carga para los routers intermedios, para que justamente estos se dediquen a rutear y no a fragmentar. Sin embargo esto trae una consecuencia, que es que los routers no puedan cambiar las rutas como en IPV4 ya que dicha acción puede modificar el tamaño del MTU. 39 Un protocolo de red de redes que use la fragmentación de EAE requiere que el emisor descubra el Path MTU para cada destino y que fragmente cualquier datagrama que salga si es mayor que el Path MTU. La fragmentación de EAE no se adapta al cambio de rutas. Para solucionar el cambio de rutas, si un router intermedio necesita fragmentar un datagrama, en vez de hacerlo, crea un túnel de IPV6 a través de IPV6. En vez de modificar el datagrama original, crea uno completamente nuevo que encapsula el datagrama original como dato. Como resultado, lo que fragmenta es el nuevo datagrama replicando el encabezado base e insertando un encabezado de extensión en cada fragmento. Luego envía todos los fragmentos al destino. 29.13 Ruteo de origen del IPV6 Para especificar opciones de ruteo desde el origen, a diferencia de IPV4 que usaba el campo OPTIONS, IPV6 usa encabezados de extensión. El encabezado de ruteo debe ser el primero de los encabezados de extensión, y posee un campo NUM ADDRS que especifica la cantidad de direcciones que componen la ruta y otro NEXT ADDRESS que especifica la dirección siguiente a la que se enviará el datagrama. 29.14 Opciones del IPV6 Existen además encabezados de opción, para que IPV6 se adapte a cualquier tipo de información. Estos encabezados se llaman: Hop By Hop extension Header End To End extension Header Ambos encabezados poseen la misma forma, y se los identifica por un código. El primero de ellos se examina en cada salto y el otro sólo en el destino. Poseen un campo NEXT HEADER, HEADER LEN (ambos de 1 byte) y OPTIONS (de size variable). Las opciones se colocan secuencialmente en el campo OPTIONS. 29.15 Tamaño del espacio de dirección del IPV6 El espacio de direccionamiento es ENORME. Si las direcciones se asignaran a razón de un millón de direcciones por milisegundo, harían falta alrededor de 20 años para asignarlas todas. 29.16 Notación hexadecimal con dos puntos del IPV6 Obviamente la notación en binario no sirve y la decimal usada en IPV4 tampoco. Ejemplo: Dirección IPV6 en notación IPV4 104.230.140.100.255.255.255.255.0.0.17.128.150.10.255.255 Para evitar cadenas tan largas se usa notación hexadecimal usando los dos puntos como separador 40 Ejemplo: La dirección anterior sería: 68E6:8C64:FFFF:FFFF:0:1180:96A:FFFF Se pueden expresar cadenas contiguas de 0s con dobles dos puntos. Ejemplo: Las siguientes direcciones son equivalentes FF05:0:0:0:0:0:0:B3 = FF05::B3 También se permite mezclar notaciones para hacer más amena la transferencia de IPV4 a IPV6. Ejemplo: 0:0:0:0:0:0:128.10.2.1 El ejemplo anterior también se puede comprimir. Ejemplo: ::128.10.2.1 La compresión de 0s se permite sólo una vez en toda la dirección. 29.17 Tres tipos básicos de direcciones IPV6 La asociación de direcciones es similar a IPV4. Las direcciones IP determinan una conexión de red y no una máquina. La diferencia de IPV6 es que permite que más de un prefijo sea asignado a una misma red, y que además, más de una dirección sea asignada a una interfaz determinada. En general, una dirección IP de destino cae entre los siguientes tres grupos: 1. Unidifusión: La dirección de destino especifica una sola computadora 2. Grupo: El destino es un conjunto de computadoras que comparten un prefijo de dirección. 3. Multidifusión: El destino es un conjunto de computadoras, posiblemente en múltiples localidades. 29.18 Dualidad de difusión y multidifusión El IPV6 no emplea difusión o difusión dirigida para referirse a la entrega a todas las computadoras en una red o una subred IP lógica. En cambio, utiliza el término multidifusión, y trata a la difusión como una forma especial de multidifusión. 29.19 Una elección de ingeniería y difusión simulada COMPLETAR ESTOS ULTIMOS PUNTOS 41 29.20 Asignación propuesta de espacio de dirección IPV6 Como dividir el espacio de direcciones es un tema de bastante debate. IPV4 tiene dividido su espacio según 29.21 Codificación y transición de la dirección IPV4 29.22 Proveedores, suscriptores y jerarquía de direcciones 29.23 Jerarquía adicional 42 Apéndice 1 IPsec A.1.1 ¿Qué es IPsec? IPsec es una extensión al protocolo IP que proporciona seguridad a IP y a los protocolos de capas superiores. Fue desarrollado para el nuevo estándar IPV6 y después fue portado a IPV4. Sirve para asegurar la autenticación, integridad y confidencialidad de la comunicación. Posee dos modos: 1. Modo Túnel 2. Modo Transporte En modo túnel el datagrama IP se encapsula completamente dentro de un nuevo datagrama IP que emplea el protocolo IPsec. En modo transporte IPsec sólo maneja la carga del datagrama IP, insertándose la cabecera IPsec entre la cabecera IP y la cabecera del protocolo de capas superiores (ver Figura a.1.1). Modo transporte IP Paquete original Modo túnel IP Nuevo header IP AH AH TCP DATA IP TCP DATA IP TCP DATA Figura a.1.1 A.1.2 Los protocolos IPsec La familia de protocolos IPsec está formada por dos protocolos: 1. AH (Authentication Header). 2. ESP (Encapsulated Security Payload). Ambos son protocolos IP independientes. AH es el protocolo IP 51 y ESP el protocolo IP 50. A.1.2.1 Cabecera de autenticación AH El protocolo AH protege la integridad del datagrama IP. Para conseguirlo, calcula una HMAC (Hash-based Message Authentication Code) basada en la clave secreta, el contenido del paquete y las partes inmutables de la cabecera IP (como son las direcciones IP). Tras esto, añade la cabecera AH al paquete (Ver Figura a.1.2). 43 8 Next Header 16 Payload Length Reserved Security Parameter Index (SPI) Sequence Number Hash Message Authentication Code Figura a.1.2 La cabecera AH mide 24 bytes. El primer byte es el campo Siguiente cabecera. Este campo especifica el protocolo de la siguiente cabecera. o En modo túnel se encapsula un datagrama IP completo, por lo que el valor de este campo es 4. o Al encapsular un datagrama TCP en modo transporte, el valor correspondiente es 6. El siguiente byte especifica la longitud del contenido del paquete. Este campo está seguido de dos bytes reservados. Los siguientes 4 bytes especifican en Índice de Parámetro de Seguridad (SPI). El SPI especifica la asociación de seguridad (SA) a emplear para el desencapsulado del paquete. El Número de Secuencia de 32 bit protege frente a ataques por repetición. Finalmente, los últimos 96 bit almacenan el código de resumen para la autenticación de mensaje (HMAC). Este HMAC protege la integridad de los paquetes ya que sólo los miembros de la comunicación que conozcan la clave secreta pueden crear y comprobar HMACs. Como el protocolo AH protege la cabecera IP incluyendo los aportes inmutables de la cabecera IP como las direcciones IP, el protocolo AH no permite NAT. Tras el intercambio, la HMAC ya no es válida. La extensión a IPsec NAT-transversal implementa métodos que evitan esta restricción. A.1.2.2 Carga de Seguridad Encapsulada ESP El protocolo ESP puede asegurar la integridad del paquete empleando una HMAC y la confidencialidad empleando cifrado. La cabecera ESP se genera y añade al paquete tras cifrarlo y calcular su HMAC. La cabecera ESP consta de dos partes (Ver Figura a.1.3). 44 Security Parameter Index (SPI) Sequence Number Initialization Vector DATA Padding Padding Length Next Header Hash Message Authentication Code Figura a.1.3 Los primeros 32 bits de la cabecera ESP especifican el Índice de Parámetros de Seguridad (SPI). Este SPI especifica qué SA emplear para desencapsular el paquete ESP. Los siguientes 32 bits almacenan el Número de Secuencia. Este número de secuencia se emplea para protegerse de ataques por repetición de mensajes. Los siguientes 32 bits especifican el Vector de Inicialización (IV - Initialization Vector) que se emplea para el proceso de cifrado. Los algoritmos de cifrado simétrico pueden ser vulnerables a ataques por análisis de frecuencias si no se emplean IVs. El IV asegura que dos cargas idénticas generan dos cargas cifradas diferentes. IPsec emplea cifradores de bloque para el proceso de cifrado. Por ello, puede ser necesario rellenar la carga del paquete si la longitud de la carga no es un múltiplo de la longitud del paquete (Padding). En ese caso se añade a continuación la longitud del relleno (Padding length). Tras la longitud del relleno se coloca el campo de 2 bytes Siguiente cabecera que especifica la siguiente cabecera. Por último, se añaden los 96 bit de HMAC para asegurar la integridad del paquete. Esta HMAC sólo tiene en cuenta la carga del paquete: la cabecera IP no se incluye dentro de su proceso de cálculo. El uso de NAT, por lo tanto, no rompe el protocolo ESP. Sin embargo, en la mayoría de los casos, NAT aún no es compatible en combinación con IPsec. NAT-Transversal ofrece una solución para este problema encapsulando los paquetes ESP dentro de paquetes UDP. 45 Apéndice 2 Protocolo IKE A.2.1 ¿Para que sirve IKE? El protocolo IKE (Internet Key Exchange) resuelve el problema más importante del establecimiento de comunicaciones seguras: la autenticación de los participantes y el intercambio de claves simétricas, tras ello, crea las asociaciones de seguridad. A.2.2 Características de IKE Suele implementarse a través de servidores de espacio de usuario, y no suele implementarse en el sistema operativo. Emplea el puerto 500 UDP para su comunicación. Funciona en dos fases. 1. La primera fase establece un ISAKMP SA (Internet Security Association Key Management Security Association). 2. En la segunda fase, el ISAKMP SA se emplea para negociar y establecer las SAs (Security Asociations) de IPsec. A.2.3 Fases de IKE La primer fase suele soportar dos modos distintos: 1. Modo principal 2. Modo agresivo. Ambos modos autentican al participante en la comunicación y establecen un ISAKMP SA, pero el modo agresivo sólo usa la mitad de mensajes para alcanzar su objetivo. Esto, sin embargo, tiene sus desventajas, ya que el modo agresivo no soporta la protección de identidades y, por lo tanto, es susceptible a un ataque man-in-the-middle (por escucha y repetición de mensajes en un nodo intermedio) si se emplea junto a claves compartidas con anterioridad (PSK Pre Shared Keys). Pero sin embargo este es el único objetivo del modo agresivo, ya que los mecanismos internos del modo principal no permiten el uso de distintas claves compartidas con anterioridad con participantes desconocidos. El modo agresivo no permite la protección de identidades y transmite la identidad del cliente en claro. Por lo tanto, los participantes de la comunicación se conocen antes de que la autenticación se lleve a cabo, y se pueden emplear distintas claves pre-compartidas con distintos comunicantes. En la segunda fase, el protocolo IKE intercambia propuestas de asociaciones de seguridad y negocia asociaciones de seguridad basándose en la ISAKMP SA. La ISAKMP SA proporciona autenticación para protegerse de ataques man-in-the-middle. Esta segunda fase emplea el modo rápido. Normalmente, dos participantes de la comunicación sólo negocian una ISAKMP SA, que se emplea para negociar varias (al menos dos) IPsec SAs unidireccionales. 46 Apéndice 3 NAT (Network Address Translation) A.3.1 ¿Qué es NAT? Es un mecanismo utilizado por routers IP para intercambiar paquetes entre dos redes que se asignan mutuamente direcciones incompatibles. Consiste en convertir en tiempo real las direcciones utilizadas en los paquetes transportados. También es necesario editar los paquetes para permitir la operación de protocolos que incluyen información de direcciones dentro de la conversación del protocolo. Su uso más común es permitir utilizar direcciones privadas para acceder a Internet. Existen rangos de direcciones privadas que pueden usarse libremente y en la cantidad que se quiera dentro de una red privada. Si el número de direcciones privadas es muy grande puede usarse solo una parte de direcciones públicas para salir a Internet desde la red privada. De esta manera simultáneamente sólo pueden salir a Internet con una dirección IP tantos equipos como direcciones públicas se hayan contratado. Esto es necesario debido al progresivo agotamiento de las direcciones IPV4. Se espera que con el advenimiento de IPV6 no sea necesario continuar con esta práctica. A.3.2 Funcionamiento Una pasarela NAT cambia la dirección origen en cada paquete de salida y, dependiendo del método, también el puerto origen para que sea único. Estas traducciones de dirección se almacenan en una tabla, para recordar qué dirección y puerto le corresponde a cada dispositivo cliente y así saber donde deben regresar los paquetes de respuesta. Si un paquete que intenta ingresar a la red interna no existe en la tabla de traducciones, entonces es descartado. Debido a este comportamiento, se puede definir en la tabla que en un determinado puerto y dirección se pueda acceder a un determinado dispositivo, como por ejemplo un servidor web, lo que se denomina NAT inverso o DNAT (Destination NAT). NAT tiene muchas formas de funcionamiento, entre las que destacan: Estático Dinámico Sobrecarga Solapamiento A.3.2.1 Estático Es un tipo de NAT en el que una dirección IP pública se traduce a una dirección IP privada, y donde esa dirección pública es siempre la misma. Esto le permite a un host, como un servidor Web, tener una dirección IP de red privada pero aún así ser visible en Internet. A.3.2.2 Dinámico Es un tipo de NAT en la que una dirección IP privada se mapea a una IP pública basándose en una tabla de direcciones de IP públicas registradas. Normalmente, el router NAT en una 47 red mantendrá una tabla de direcciones IP registradas, y cuando una IP privada requiera acceso a Internet, el router elegirá una dirección IP de la tabla que no esté siendo usada por otra IP privada. Esto permite aumentar la seguridad de una red dado que enmascara la configuración interna de una red privada, lo que dificulta a los hosts externos de la red el poder ingresar a ésta. Para este método se requiere que todos los hosts de la red privada que deseen conectarse a la red pública posean al menos una IP pública asociada. A.3.2.3 Sobrecarga La forma más utilizada de NAT, proviene del NAT dinámico, ya que toma múltiples direcciones IP privadas (normalmente entregadas mediante DHCP) y las traduce a una única dirección IP pública utilizando diferentes puertos. Esto se conoce también como PAT (Port Address Translation), NAT de única dirección o NAT multiplexado a nivel de puerto. A.3.2.4 Solapamiento Cuando las direcciones IP utilizadas en la red privada son direcciones IP públicas en uso en otra red, el router posee una tabla de traducciones en donde se especifica el reemplazo de éstas con una única dirección IP pública. Así se evitan los conflictos de direcciones entre las distintas redes. 48 Apéndice 4 HTTP (RFC 2616, 2068) A.4.1 Que es HTTP? HTTP (Hyper Text Transport Protocol) es un protocolo de capa de aplicación que fue creado por el World Wide Web Consortium y es utilizado en cada transacción a través de Internet. En un principio era limitado y no soportaba encabezados, por lo tanto no poseía el comando POST con lo cual solo era posible enviar poca información al servidor a través del comando GET. A.4.2 El protocolo según las versiones Versión 0.9: Solo soporta el comando GET Permitía transmitir texto plano Versión 1.0 Permite mas opciones de transferencia Datos con formato MIME. Metodos Get, Post y Head. Modifica la sintaxis de la petición y de la respuesta. Versión 1.1 Necesidades de los sistemas intermedios Necesidades de persistencia de la conexión. Metodos: Get, Post, Head, Options, Put, Delete, Trace, Patch, etc. A.4.3 Características del protocolo Algunas características importantes del protocolo son: Es un protocolo stateless, es decir que no presenta estados por lo cual no guarda información de conexiones anteriores. Es orientado a transacciones. Esquema de consulta / respuesta. El cliente, quien inicia la transacción, se denomina user agent. El servidor, quien posee el recurso, es quien realiza la respuesta. Es flexible en cuanto a los formatos. Es robusto. Se implementa sobre TCP / IP para brindar seguridad. Utiliza un cache. A.4.4 Definiciones relacionadas con el protocolo Cliente: Un programa de aplicación que establece conexiones con el propósito de enviar peticiones. Conexión: Circuito virtual de la capa de transporte establecido entre dos programas de aplicación con propósitos de comunicación. 49 Entidad: Una representación de un recurso de datos que puede estar incluido dentro de un mensaje de petición o respuesta. Una entidad consiste de cabeceras y un cuerpo. Mensaje: Es la unidad básica de comunicación HTTP. A.4.5 Sistemas intermedios El protocolo acepta sistemas intermedios. Se definen a continuación: Cache: Es un almacenamiento local que sirve para reducir el tiempo de respuesta y el consumo de ancho de banda en peticiones futuras. Puede ser implementado tanto en el cliente como en el servidor, aunque un servidor no puede utilizar un cache cuando actúa como túnel. No todas las operaciones pueden cachearse (Ej. Validación de usuario y password). Gateway (Pasarela): Se trata de un servidor que trabaja como intermediario para otros servidores, que recibe peticiones como si fuera el servidor original del recurso solicitado. Se usa cuando hay un firewall del lado del servidor y cuando hay que hacer traducciones de protocolos cómo FTP – HTTP. Proxy (Representante): Es un programa intermedio que trabaja tanto como un servidor como un cliente. Debe interpretar y/o reescribir un mensaje de petición antes de reenviarlo. Se usa cuando hay un firewall del lado del cliente, o hay diferentes versiones de HTTP. Túnel: Es un programa intermedio que trabaja como transmisor ciego entre dos conexiones. No se considera como parte de la comunicación HTTP. Un túnel se cierra cuando los dos extremos de la conexión transmitida se cierran. Se usa cuando hay un firewall del lado del cliente o del servidor. Se establece una conexión autenticada, que luego se usa solo para HTTP. A.4.6 Métodos de petición existentes GET: para pedir información identificada por una URL. PUT: petición para aceptar la entidad incorporada y almacenarla bajo la URL proporcionada. DELETE: solicita que el servidor origen suprima el recurso identificado por la URL. POST: una petición para aceptar la entidad incorporada como una nueva subordinada al URL identificado. LINK: establece una o más relaciones de enlace entre recursos identificados. PATCH: es similar a put salvo que la entidad contiene una lista de diferencias respecto al contenido del recurso original. UNLINK: elimina una o más relaciones de enlace entre recursos. COPY: solicita una copia del recurso identificado por la URL. TRACE: HEAD: es idéntica a GET salvo que la respuesta del servidor no debe incluir un cuerpo de entidad. MOVE: solicita que el recurso identificado por la URL se mueva a la localización dada en el campo cabecera-URL en la cabecera entidad. OPTIONS: para pedir las opciones disponibles para la cadena petición/respuesta identificada por la URL. WRAPPED: permite a un cliente enviar una o más solicitudes encapsuladas. 50 A.4.7 Identificación de recursos Para identificar el recurso con el que se desea trabajar se usa la URI (Uniform Resource Identifier) o la URL (Uniform Resource Locator). Es una cadena de caracteres que identifica el recurso que está disponible. Sintaxis de la URL: o Protocolo: // Host : Puerto/ ruta ? Parámetro = valor # Enlace A diferencia de la URL, la URI no especifica el protocolo. A.4.8 Mensajes de respuesta A.4.9 Cabeceras HTTP 51 Apéndice 5 PAT (Port Address Translation) A.5.1 ¿Qué es PAT? Es una característica del estándar NAT, que traduce conexiones TCP y UDP hechas por un host y un puerto en una red externa a otra dirección y puerto de la red interna. Permite que una sola dirección IP sea utilizada por varias máquinas de la intranet. Con PAT, una IP externa puede responder hasta a ~64000 direcciones internas. Cualquier paquete IP contiene la dirección y el puerto tanto del origen como del destino. En el destino, el puerto le dice al receptor cómo procesar el paquete. Un paquete con puerto 80 indica que contiene una página web, mientras que el puerto 25 es usado para transmitir correo electrónico entre servidores de correo. La traducción de los puertos, llamada PAT para distinguirla de la traducción de direcciones (NAT), se apoya en el hecho de que el puerto de origen carece de importancia para la mayoría de los protocolos. Igual que NAT, se sitúa en la frontera entre la red interna y externa, y realiza cambios en la dirección del origen y del receptor en los paquetes de datos que pasan a través de ella. Los puertos (no las IP), se usan para designar diferentes hosts en el intranet. El servicio PAT es como una oficina de correo que entrega las cartas. Los sobres que salen son modificados para que el remitente sea la oficina de correos, mientras que las cartas que llegan de afuera pierden su dirección y reciben la nueva con la calle y el número real. A.5.2 Procedimiento PAT Cuando un ordenador de la intranet manda un paquete hacia fuera, queremos ocultar su dirección real. El servicio NAT remplaza la IP interna con la nueva IP del propio servicio. Luego asigna a la conexión un puerto de la lista de puertos disponibles, inserta el puerto en el campo apropiado del paquete de datos y envía el paquete. El servicio NAT crea una entrada en su tabla de direcciones IP internas, puertos internos y puertos externos. A partir de ese entonces, todos los paquetes que provengan del mismo host serán traducidos con los mismos puertos. El receptor del paquete utilizará los IP y puerto recibidos para responder, por lo que dicha respuesta llegará a la “oficina de correos”. Si el puerto destino no existe en la tabla del NAT, los datos serán descartados. En otro caso, la nueva dirección y el nuevo puerto reemplazarán los datos de destino en el paquete y éste será enviado por la red interna. La traducción de puertos permite a varias máquinas compartir una única dirección IP. El servicio PAT borra las traducciones periódicamente de su tabla cuando aparenten no estar en uso. Como el número de posibles puertos a otorgar es de 16 bit (65535), la probabilidad de que un ordenador no encuentre una traducción es realmente pequeña. 52 Apéndice 6 BGP (Border Gateway Protocol) RFC 1771 A.6.1 Introducción BGP es un protocolo de routing externo. Los protocolos de routing externo son los que se utilizan para interconectar sistemas autónomos. En los protocolos de routing externo la prioridad es buscar rutas óptimas atendiendo únicamente al criterio de minimizar la distancia medida en términos de la métrica elegida para la red. Hasta 1990 se utilizaba como protocolo de routing externo en Internet el denominado EGP (Exterior Gateway Protocol). Este protocolo no fue capaz de soportar el crecimiento de la red y entonces se desarrollo un nuevo protocolo de routing externo denominado BGP. Desde entonces se ha producido 4 versiones de BGP, las especificaciones ahora vigentes de BGP-4 se encuentran en el RFC 1771. BGP es un protocolo de transporte fiable. Esto elimina la necesidad de llevar a cabo la fragmentación de actualización explícita, la retransmisión, el reconocimiento, y secuenciación. A.6.2 Funciones de BGP BGP se diseño para permitir la cooperación en el intercambio de información de encaminamiento entre dispositivos de encaminamiento, llamados pasarelas, en sistemas autónomos diferentes. El protocolo opera en términos de mensajes, que se envían utilizando TCP. A.6.3 Mensajes de BGP OPEN: sirve para adquirir un vecino. Un dispositivo de encaminamiento abre primero una conexión TCP con el vecino y después envía un OPEN. UPDATE: facilita dos tipos de información: o Información sobre una ruta particular a través del conjunto de redes. Esa información se puede incorporar a la base de datos de cada dispositivo de encaminamiento que la recibe. o Una lista de rutas previamente anunciadas por este dispositivo de encaminamiento que van a ser eliminadas KEEPALIVE: consta solo de la cabecera. Cada dispositivo de mantenimiento envía regularmente estos mensajes para evitar que expire el temporizador mantenimiento. NOTIFICATION: se envían cuando se detecta algún tipo de error. A.6.4 Procedimientos funcionales de BGP BGP posee tres procedimientos funcionales principales: 1. Adquisición de vecino. 2. Detección de vecino alcanzable. 3. Detección de red alcanzable. 53 A.6.4.1 Adquisición de vecino Dos dispositivos de encaminamiento se consideran vecinos si están en la misma subred. Si los dos dispositivos de encaminamiento están en sistemas autónomos, podrían desear intercambiar información de encaminamiento. Para este cometido es necesario realizar primero el proceso de adquisición de vecino. Para llevar a cabo la adquisición de vecino, un dispositivo envía al otro un mensaje OPEN. Si el otro dispositivo acepta la relación, envía un mensaje KEEPALIVE. A.6.4.2 Detección de vecino alcanzable Una vez establecida la relación de vecino, se utiliza el procedimiento de detección de vecino alcanzable para mantener la relación. Este procedimiento consiste en enviarse entre los dos vecinos periódicamente mensajes de KEEPALIVE para asegurarse de que la relación sigue establecida. A.6.4.3 Detección de red alcanzable El último procedimiento especificado por BGP es la detección de red alcanzable. Cada dispositivo de encaminamiento mantiene una base de datos con las redes que puede alcanzar y la ruta preferida para llegar hasta esa red. Siempre que se realiza un cambio en esa base de datos, el dispositivo de almacenamiento envía un mensaje de UPDATE por difusión a todos los dispositivos de encaminamiento que implementan BGP. 54 Apéndice 7 RSVP (RFC 2205) A.7.1 ¿Qué es RSVP? Protocolo de reserva de recursos (RSVP) es una técnica de señalización que se utiliza para garantizar la calidad de servicio (QoS) reservar ancho de banda para flujos de datos compatibles con RSVP. Todos los nodos de la ruta de acceso a datos deben ser compatibles con RSVP para una garantía de QoS. Las reservas son iniciado receptor para tráfico multidifusión y unidifusión. A.7.2 Características de RSVP La reserva es realizada por flujo. Es un protocolo de señalización. Es un protocolo de la capa de transporte. RSVP no es un protocolo de encaminamiento, pero trabaja con protocolos de enrutamiento actuales. RSVP está orientada hacia el receptor: es el receptor de un flujo de datos el que inicia y mantiene la reserva de recursos para ese flujo. RSVP es Soft State, es decir que mantiene solo temporalmente el estado de las reservas de recursos del host y de los routers, de aquí que soporte cambios dinámicos de la red. RSVP debe mantener en cada nodo los requerimientos de reserva (se define el Soft State). La reserva en cada nodo necesita refresco periódico. RSVP proporciona varios estilos de reserva (un conjunto de opciones) y permite que se añadan futuros estilos al protocolo para permitirle adaptarse a diversas aplicaciones. A.7.3 ¿Qué es el Soft State? Son los estados en los router y hosts extremos, refrescados por los mensajes Path y Resv. A.7.4 Los mensajes de RSVP 55 Referencias Redes Globales de Informacion con Internet y TCP /IP – Tercera Edicion. Douglas E. Commer Comunicaciones y Redes de William Stallings Wikipedia 56 Acrónimos EAE: Extremo a extremo. SW: Software. HW: Hardware. 57 Dudas Diferencia entre difusión por dirección de HW y difusión IP Temas BGP bootp dhcp nat pat proxy gateway firewall tunel dmz ftp tftp rsvp ipv6 ipsec seguridad IKE telnet dns http smtp mime ISA DSA 58