redes de datos

Anuncio
Redes Corporativas
REDES DE DATOS
Ing. José Joskowicz
Instituto de Ingeniería Eléctrica, Facultad de Ingeniería
Universidad de la República
Montevideo, Uruguay
Agosto 2008
Versión 5
Redes de Datos
Página 1
Redes Corporativas
Temario
Temario ................................................................................................................... 2
1 Introducción...................................................................................................... 4
2 Modelos de referencia OSI y TCP/IP .............................................................. 7
2.1
Capa Física............................................................................................... 8
2.2
Capa de Enlace ........................................................................................ 9
2.3
Capa de Red............................................................................................. 9
2.4
Capa de Transporte ................................................................................ 10
2.5
Capa de Aplicación ................................................................................. 10
3 Redes LAN..................................................................................................... 11
3.1
Ethernet .................................................................................................. 11
3.1.1
El medio físico en Ethernet .............................................................. 12
3.1.2
Reglas de acceso al medio físico en Ethernet ................................. 13
3.1.3
Trama Ethernet ................................................................................ 15
3.2
Hubs........................................................................................................ 16
3.3
Bridges.................................................................................................... 19
3.4
Switches.................................................................................................. 19
3.4.1
Introducción a los Switches ............................................................. 19
3.4.2
Spanning Tree ................................................................................. 20
3.4.3
VLANs.............................................................................................. 22
3.4.4
Routing Switches (Switches de capa 3)........................................... 24
3.5
Redes inalámbricas (Wireless LAN)........................................................ 26
3.5.1
Introducción e historia...................................................................... 26
3.5.2
Arquitectura de 802.11..................................................................... 28
3.5.3
Modelo de capas en IEEE 802.11.................................................... 30
3.5.3.1
Capa física de 802.11............................................................... 31
3.5.3.2
Capa MAC de 802.11 ............................................................... 41
3.5.4
Alcance de IEEE 802.11 .................................................................. 43
3.5.5
Seguridad en redes inalámbricas..................................................... 44
4 Redes PAN .................................................................................................... 46
4.1
Bluetooth................................................................................................. 48
4.1.1
Origen e historia............................................................................... 48
4.1.2
Tecnología Bluetooth ....................................................................... 49
4.1.3
Consumo y Alcance en Bluetooth .................................................... 51
4.1.4
Arquitectura y modelo de capas en Bluetooth ................................. 51
4.2
IEEE 802.15............................................................................................ 54
4.3
Coexistencia IEEE 802.15/Bluetooth y IEEE 802.11............................... 55
5 Redes WAN ................................................................................................... 57
5.1
Frame Relay ........................................................................................... 57
5.1.1
Trama Frame Relay ......................................................................... 59
5.1.2
LMI (Local Management Interface) .................................................. 60
5.1.3
La contratación de Frame Relay (CIR) ............................................ 60
5.2
ATM ........................................................................................................ 62
5.2.1
Capa ATM........................................................................................ 63
5.2.1.1
Celdas ATM .............................................................................. 63
5.2.2
Capa AAL (ATM Adaptation Layer).................................................. 64
Redes de Datos
Página 2
Redes Corporativas
6
7
8
9
5.2.2.1
AAL - 1...................................................................................... 65
5.2.2.2
AAL - 2...................................................................................... 65
5.2.2.3
AAL – 3/4 .................................................................................. 66
5.2.2.4
AAL – 5 ..................................................................................... 66
5.2.3
Capa Física...................................................................................... 66
5.3
Routers ................................................................................................... 66
Tecnologías de acceso xDSL......................................................................... 68
6.1
ADSL....................................................................................................... 69
6.2
ADSL Light o G.Light .............................................................................. 71
6.3
HDSL ...................................................................................................... 71
6.4
HDSL2 .................................................................................................... 72
6.5
VDSL2..................................................................................................... 72
Administración de Redes ............................................................................... 74
7.1
Funciones a considerar en la administración de redes según ISO ......... 75
7.1.1
Gestión de Fallas (Fault Management)............................................ 75
7.1.2
Gestión de Configuración (Configuration Management) .................. 75
7.1.3
Gestión de Costos (Accounting) ...................................................... 76
7.1.4
Gestión de Desempeño (Performance Management)...................... 77
7.1.5
Gestión de la Seguridad (Security Management) ............................ 77
7.2
Funciones a considerar en la administración de redes según ITU-T ...... 78
7.2.1
Gestión de Negocio (Bussines Management).................................. 79
7.2.2
Gestión de Servicio (Service Management)..................................... 79
7.2.3
Gestión de Red (Network Management).......................................... 79
7.2.4
Gestión de Elementos de Red (Network Element Management)..... 79
7.3
SNMP...................................................................................................... 79
Seguridad de la Información .......................................................................... 83
8.1
Recomendaciones y normas relacionadas con la seguridad de la
información ........................................................................................................ 83
8.2
Política de seguridad............................................................................... 85
8.3
Vulnerabilidades, amenazas y contramedidas........................................ 90
8.3.1
Vulnerabilidad .................................................................................. 90
8.3.1.1
Factores relacionados con la tecnología: ................................. 90
8.3.1.2
Factores humanos: ................................................................... 91
8.3.1.3
Política de seguridad: ............................................................... 91
8.3.2
Amenazas........................................................................................ 91
8.3.2.1
Tipos de ataques ...................................................................... 92
8.3.3
Detección de ataques e intrusos...................................................... 94
8.3.4
Contramedidas................................................................................. 96
8.4
Tecnologías asociadas a la seguridad de la información........................ 97
8.4.1
Criptografía ...................................................................................... 97
8.4.1.1
Criptografía de clave secreta .................................................... 97
8.4.1.2
Criptografía de clave pública .................................................... 98
8.4.1.3
Firmas digitales......................................................................... 99
8.4.2
Firewall .......................................................................................... 100
8.4.3
VPN ............................................................................................... 109
Referencias .................................................................................................. 112
Redes de Datos
Página 3
Redes Corporativas
1 Introducción
La industria de la computación es relativamente joven, comparada con otras
industrias, aún en el área de telecomunicaciones, como por ejemplo la telefonía.
Sin embargo, la rapidez de crecimiento y el abaratamiento de costos hace que hoy
en día las computadoras están al alcance de la gran mayoría de las personas y de
prácticamente todas las empresas.
Junto con la proliferación de computadoras, surgió la necesidad
interconectarlas, para poder intercambiar, almacenar y procesar información.
de
Las redes de datos, tiene como objetivos
•
Compartir recursos, equipos, información y programas que se encuentran
localmente o dispersos geográficamente.
•
Brindar confiabilidad a la información, disponiendo de alternativas de
almacenamiento.
•
Obtener una buena relación costo / beneficio
•
Transmitir información entre usuarios distantes de la manera más rápida y
eficiente posible
La topología en las redes de datos puede ser enmarcada en dos tipos según el
tipo de transmisión utilizada:
•
Redes de difusión: Donde se comparte el mismo medio de transmisión
entre todos los integrantes de la red. Cada mensaje (típicamente llamado
“paquete”) emitido por una máquina es recibido por todas las otras
máquinas de la misma red. Cada paquete dispone de la información de
“Origen” y “Destino” y de esta manera se discrimina quien debe procesar
cada mensaje. Por ejemplo, Ethernet es una red de difusión
•
Redes punto a punto: Donde existen muchas conexiones entre pares
individuales de máquinas. Para enviar mensajes hasta máquinas distantes,
puede ser necesario pasar por varias máquinas intermedias. Por ejemplo,
las conexiones por MODEM son redes punto a punto.
En forma independiente la tecnología utilizada, las redes de datos pueden ser
clasificadas según el alcance o tamaño de las mismas:
•
LAN (Local Area Networks, Redes de Área Local): Las redes LAN son
de alcance limitado. Generalmente son redes privadas que están instaladas
Redes de Datos
Página 4
Redes Corporativas
dentro de un mismo edificio, oficina o campus. Su objetivo principal
típicamente es compartir recursos (impresoras, discos, etc.).
Estas redes pueden tener velocidades de transmisión de hasta 1000 Mb/s y
pueden tener topologías del tipo bus, estrella o anillo.
•
WAN (Wide Area Networks, Redes de Área Amplia): Estas redes se
extienden en una amplia zona geográfica, la que eventualmente puede ser
dividida en subredes interconectadas con equipos de conversión de
interfases y/o protocolos. Estos equipos se conectan con diferentes tipos de
líneas de transmisión.
Una de las funciones típicas de las redes WAN es la interconexión de dos o
varias redes LAN.
La topología de las redes WAN puede ser del tipo estrella, anillo, árbol o
malla.
•
PAN (Personal Area Networks, Redes de Área Personal): Las redes
PAN son de alcance muy limitado (unos pocos metros), y se utilizan para
interconectar dispositivos personales de manera inalámbrica (PCs, laptops,
celulares, PDAs, impresoras, etc.)
Estas redes son de velocidad media (algunos Mb/s) y están teniendo
creciente desarrollo en los últimos años.
Todos los tipos de redes e interredes vistas anteriormente requieren de programas
dedicados al control, mantenimiento y diseño así como sus conexiones.
Para reducir la complejidad del diseño, la mayoría de las redes están organizadas
en “niveles” o “capas”. El propósito de cada capa es ofrecerle servicios a su capa
inmediatamente superior. Cada capa se comunica con su similar en otra máquina,
mediante reglas bien establecidas, llamadas “protocolos”. Esta comunicación se
realiza a través de las capas inferiores, como se observa en la figura.
Redes de Datos
Página 5
Redes Corporativas
Capa n+1
Comunicación
Capa n
Entidades
Lógica
Entidades
pares
(Protocolo)
pares
Capa n-1
servicio
Primitivas de
servicio
Cada capa tiene sus propias interfases, hacia las capas superiores e inferiores.
Estas deben ser bien definidas para poder intercambiar información de un nivel a
otro.
Un conjunto de capas y protocolos se denomina “arquitectura de red”. Actualmente
existen muchas arquitecturas de red, entre las que figuran OSI, TCP/IP, SNA, etc.
La mayoría de los protocolos y funciones de las capas de una arquitectura están
desarrolladas en software (programas) pero últimamente se están desarrollando
muchos protocolos, interfases y funciones, en hardware (equipos) y/o firmware
(equipos programables).
Las capas de una arquitectura pueden ofrecer dos tipos de servicios: orientados a
conexión y no orientados a conexión.
•
Servicios orientados a la conexión: Son muy similares a los servicios de
telefonía, donde se establece una conexión marcando un número
determinado. Una vez establecida la conexión, se puede intercambiar
información en forma segura y ordenada. Luego de terminado el
intercambio de información, puede liberarse la conexión.
•
Servicios no orientados a la conexión: Toman su modelo del servicio de
correos, donde el mensaje es enviado sin establecer previamente una
conexión entre origen y destino. Cada mensaje debe contener la dirección
completa de su destino. Dos mensajes enviados al mismo destino (dos
cartas, en el ejemplo), pueden viajar por caminos completamente diferentes
antes de llegar al destino, e incluso puede suceder que el mensaje enviado
en segundo lugar llegue a destino antes que el enviado en primer lugar.
Una discusión más detallada acerca de los tipos de redes y los modelos de capas
puede leerse en “Redes de Computadoras” de A. S. Tanenbaum [1]
Redes de Datos
Página 6
Redes Corporativas
2 Modelos de referencia OSI y TCP/IP
Como se vio en la introducción, la estructura de red se basa en modelos de capas,
interfaces y protocolos.
Muchas arquitecturas basadas en capas partieron del modelo de referencia OSI y
a partir de éste se generaron muchas otras arquitecturas como TCP/ IP y B-ISDN.
El modelo de referencia OSI (Open Systems Interconnection, Interconexión de
Sistemas Abiertos) es un modelo de siete capas desarrollado por la Organización
Internacional de Normas (ISO). En la figura se describe el modelo de capas de
OSI.
Comunicación
entre
Capas Adyacentes
Aplicación
Aplicación
Presentación
Comunicación entre
Presentación
Capas Paralelas
Sesión
Sesión
Transporte
Transporte
Red
Red
Enlace
Enlace
Física
Física
Medio Físico (Transmisión de la Información)
Sobre la base del modelo de referencia OSI se desarrollaron otros modelos de red
y arquitecturas completas para las redes de comunicación. Este modelo se
desarrolló a partir de un proyecto de investigación patrocinado por el
departamento de defensa de los Estados Unidos denominado ARPANET. Esta
red debería permanecer funcionando en caso de que algunos de los nodos de la
red o incluso sus conexiones fueran dañados por algún motivo. La red ARPANET
empezó conectando centros de investigación del gobierno y luego universidades
hasta convertirse en la red más popular de uso público hasta el momento: Internet.
Un modelo que surge de ARPANET y de los desarrollos posteriores fue el modelo
de TCP/ IP. Difiere del modelo de referencia OSI en que no maneja siete capas
Redes de Datos
Página 7
Redes Corporativas
sino cinco (en el modelo de TCP/ IP no hay capas para sesión y presentación),
según muestra la siguiente figura :
Modelo ISO-OSI
Modelo TCP/IP
Aplicación
Aplicación
Presentación
No están
presentes
Sesión
Transporte
Transporte
Red
Red
Enlace
Enlace
Física
Física
2.1 Capa Física
La capa física se encarga del transporte de los bits de un extremo al otro del
medio de transmisión. Debe asegurarse de que cuando un extremo envía un “0” el
extremo distante reciba efectivamente un “0”.
A nivel de la capa física las recomendaciones y estándares establecen interfaces
mecánicas, eléctricas y de procedimiento, teniendo en cuenta las características
del medio de transmisión (ancho de banda, ruido o interferencia, características de
propagación).
En las redes LAN, el medio de transmisión históricamente utilizado fue el cable
coaxial, y ha sido sustituido actualmente por los cables UTP (par trenzado no
blindado) y STP (par trenzado blindando), o por fibras ópticas. Las redes
inalámbricas están teniendo también amplia difusión, y utilizan el “ether” (el vacío),
como medio de transporte.
En las redes WAN, los medios de transmisión varían, desde los pares de cobre
hasta las fibras ópticas o las redes inalámbricas.
Redes de Datos
Página 8
Redes Corporativas
2.2 Capa de Enlace
La función principal de la capa de enlace es lograr una comunicación eficiente y
confiable entre dos extremos de un canal de transmisión. Para ello, la capa de
enlace realiza las siguientes funciones:
•
Armado y separación de tramas: Dado que la capa física solamente
acepta y transmite bits, sin preocuparse de su significado o estructura,
corresponde a la capa de enlace crear y reconocer los límites de las tramas
de datos.
•
Detección de errores: Corresponde a la capa de enlace resolver los
problemas de tramas dañadas, repetidas o perdidas. Por ejemplo, si no se
recibe el acuse de recibo de una trama determinada, puede ser por que la
trama original se perdió, o porque llegó correctamente pero se perdió el
acuse de recibo. La capa de enlace debe ser capaz de resolver éste tipo de
casos.
•
Control de flujo: La capa de enlace debe resolver los problemas que
surgen debido a las diferentes velocidades de procesamiento del receptor y
emisor. Debe tener algún tipo de regulación de tráfico, para que no existan
saturaciones o desbordes de memorias (buffers)
•
Adecuación para acceso al medio: En TCP/IP la capa de enlace dispone
de una “sub-capa” de acceso al medio (MAC Médium Access Control). Esta
sub-capa de acceso al medio implementa los protocolos necesarios para
utilizar un medio compartido en las redes de difusión. Esta sub-capa debe
resolver las “colisiones” (resultantes de que varias máquinas intenten enviar
tramas a la vez sobre un mismo medio compartido)
2.3 Capa de Red
La capa de red es la encargada de hacer llegar la información desde el origen
hasta el destino. Para esto puede ser necesario pasar por varias máquinas
intermedias. Es de hacer notar la diferencia con la capa de enlace, cuya función se
limita a transportar en forma segura tramas de un punto a otro de un canal de
transmisión.
La capa de red puede brindar servicios “orientados a la conexión” o “no orientados
a la conexión”. En los servicios “orientados a la conexión”, la complejidad se
encuentra en la propia capa de red. En los servicios “no orientados a la conexión”,
la complejidad es pasada una capa más arriba, es decir, a la capa de transporte.
En el funcionamiento “orientados a la conexión”, la capa de red establece
“circuitos virtuales” en el proceso de conexión. En el funcionamiento “no orientado
a la conexión”, los paquetes enviados se llaman normalmente “datagramas”
Redes de Datos
Página 9
Redes Corporativas
2.4 Capa de Transporte
La tarea de esta capa es proporcionar un transporte de datos confiable y
económico de la máquina de origen a la máquina de destino, independientemente
de la red o redes físicas en uso. Es la primera capa en la que los corresponsales
son directamente los extremos. Para lograrlo, la capa de transporte hace uso de
los servicios brindados por la capa de red.
De la misma manera que hay dos tipos de servicios de red, orientados y no
orientados a la conexión, hay dos tipos de servicios de transporte, orientados y no
orientados a la conexión.
La Internet tiene dos protocolos principales a nivel de la capa de transporte:
•
TCP (Transmission Control Protocol): Es un protocolo orientado a la
conexión, que proporciona flujos de información seguros y confiables.
•
UDP (User Datagram Protocol): Es un protocolo no orientado a la
conexión, muy sencillo (básicamente el paquete IP más un encabezado), y
no seguro.
2.5 Capa de Aplicación
En la capa de aplicación residen las aplicaciones de los usuarios. Las capas por
debajo de la de aplicación existen únicamente para brindar un transporte confiable
a las aplicaciones residentes en la capa de aplicación.
En la capa de aplicación se implementan los temas de seguridad, presentación de
la información, y cualquier aplicación útil para los usuarios (correo electrónico,
world wide web, etc.).
Redes de Datos
Página 10
Redes Corporativas
3 Redes LAN
Las redes de área local (LAN: Local Area Network) son aquellas que conectan una
red de ordenadores normalmente confinadas en un área geográfica, como un solo
edificio o un campus. Las LAN, sin embargo, no son necesariamente simples de
planificar, ya que pueden unir muchos centenares de ordenadores y pueden ser
usadas por muchos miles de usuarios. El desarrollo de varias normas de
protocolos de red y medios físicos, junto con la baja de precio de las
computadoras han hecho posible la proliferación de LAN's en todo tipo de
organizaciones.
Las LAN generalmente utilizan transmisión por difusión, a velocidades de 10, 100
o 1000 Mb/s. Las topologías más utilizadas son en bus (IEEE 802.3 Ethernet) o en
anillo (IEEE 802.5 Token Ring)
3.1 Ethernet
Ethernet fue desarrollada originalmente por Bob Metcalfe, trabajando para Xerox
[2]. Le había sido asignada la tarea de desarrollar un mecanismo para
interconectar los computadores que en ese momento se estaban desarrollando en
la Compañía. Inspirado en los trabajos publicados por la Universidad de Hawaii,
respecto a la red “Alohanet” [3], en 1973 Bob Metcalfe desarrolló una nueva
tecnología de comunicación entre computadores, a la que llamó “Ethernet”.
Ethernet fue tan exitosa, que en 1980 varias compañías la adoptaron. Digital, Intel
y Xerox comenzaron a usarla, a velocidades de 10 Mb/s, convirtiéndola en un
“estándar de hecho”.
En febrero de 1980 la Sociedad de Computación del IEEE realizó la primer reunión
del “comité de estandarización de redes de área local” (“Local Network Standards
Committee”), al que fue asignado el número 802 (simplemente el siguiente número
secuencial de los proyectos que estaban en curso en la IEEE). En 1983 Ethernet
es estandarizada como IEEE 802.3 (10 Base 5). Desde entonces, varias
recomendaciones se han incorporado a la original 802.3. Las principales se
detallan a continuación [4].
Recomendación
802.3a
802.3c
802.3d
802.3i
802.3j
802.3u
802.3x
802.3z
802.3ab
802.3ac
Redes de Datos
Año
1985
1986
1987
1990
1993
1995
1997
1998
1999
1998
Descripción
10Base2 (thin Ethernet)
10 Mb/s repeater specifications (clause 9)
FOIRL (fiber link)
10Base-T (twisted pair)
10Base-F (fiber optic)
100Base-T (Fast Ethernet and autonegotiation)
Full-duplex
1000Base-X (Gigabit Ethernet sobre fibra óptica)
1000Base-T (Gigabit Ethernet sobre par trenzado)
VLAN tag (frame size extension to 1522 bytes)
Página 11
Redes Corporativas
Recomendación
802.3ad
802.3ae
802.3af
802.3ak
802.3an
Año
2000
2002
2003
2004
2006
Descripción
Parallel links (link aggregation)
10 Gigabit Ethernet
PoE (Power over Ethernet)
10GBase-CX4 (Ethernet a 10 Gbit/s sobre cable bi-axial)
10GBase-T (10 Gigabit Ethernet sobre par trenzado)
Ethernet es la tecnología de LAN más popularmente utilizada actualmente.
Ethernet es popular porque permite un buen equilibrio entre velocidad, costo y
facilidad de instalación. Estos puntos fuertes, combinados con la amplia
aceptación en el mercado y la habilidad de soportar virtualmente todos los
protocolos de red populares, hacen a Ethernet la tecnología ideal para la red de la
mayoría los usuarios de la informática actual. Adhiriéndose a las normas de IEEE,
los equipos y protocolos de red pueden interoperar eficazmente.
Un “sistema Ethernet” dispone básicamente de tres elementos:
•
El medio físico, que transporta las señales entre las máquinas.
•
Un conjunto de reglas de acceso al medio físico, incluidas en las
“Interfaces Ethernet”, que permiten que varias máquinas puedan acceder al
mismo medio sin necesidad de arbitrajes externos.
•
Una “trama Ethernet”
estandarizada.
que
consiste
en
una
secuencia
de
bits
3.1.1 El medio físico en Ethernet
Ethernet admite cuatro tipos de medios físicos cableados:
•
Cable Coaxial Grueso ("Thick wire" o "Thick Ethernet") (10BASE5)
•
Cable Coaxial Fino ("Thin wire" o "Thin Ethernet") (10BASE2)
•
Par Trenzado Sin Malla ("Unshielded Twisted Pair" o "UTP") para redes
10Base-T, 100Base-T, 1000Base-T y 10 GBase-T
•
Fibra Optica ("Fiber optic") para redes 10Base-FL, 1000Base-X o para
redes de Vínculos Inter-repetidores de Fibra Optica ("Fiber-Optic Interrepeater Link" o "FOIRL").
Esta amplia variedad de medios refleja la evolución de Ethernet y también
demuestra la flexibilidad de la tecnología.
Las primeras redes Ethernet funcionaban sobre cables coaxiales que recorrían,
formando un “bus”, cada una de las máquinas de la red.
Redes de Datos
Página 12
Redes Corporativas
Thickwire fue uno de los primeros sistemas de cableado coaxial utilizados en
Ethernet pero era difícil de trabajar y caro. Este evolucionó al cable coaxial fino, el
cual es más fácil de trabajar y más barato. Sin embargo, una debilidad de las
redes basadas en cables coaxiales fue la poca fiabilidad. Un problema en
cualquier punto del cable afectaba a toda la red. Más recientemente, se comenzó
a utilizar cable de cobre trenzado sin malla (UTP) y concentradores (“hubs” Ver
3.2).
Hoy, los más populares esquemas de cableado son realizados con cables UTP
(pares trenzados sin malla), sobre los que se pueden soportar aplicaciones de
hasta 10 Gb/s. Estos cables se clasifican en “Categorías”, de acuerdo al ancho de
banda de los mismos. Un estudio detallado de estas Categorías y sus
características puede verse en “Cableado Estructurado” [5]
Para aplicaciones especializadas pueden utilizarse fibras ópticas. El cable de fibra
óptica es más costoso, pero es insustituible para situaciones donde las emisiones
electrónicas y los riesgos ambientales son un problema a tener en cuenta.
El cable de fibra óptica es a menudo utilizado para aplicaciones inter-edificio para
aislar equipamientos de red de daños eléctricos ocasionados por descargas de
rayos debido a que este no conduce electricidad.
El cable de fibra óptica puede también ser útil en áreas donde hay gran
interferencia electromagnética, como por ejemplo el piso de una fábrica.
El estándar Ethernet permite segmentos de cable de fibra óptica de hasta 2
kilómetros de longitud, convirtiendo a la Ethernet por fibra óptica en la elección
perfecta para conexión de nodos y edificios que de otro modo no serían
alcanzables por medios de conductores de cobre.
Ethernet también admite medios físicos inalámbricos, como se verá en el capítulo
3.5.
3.1.2 Reglas de acceso al medio físico en Ethernet
Cada máquina Ethernet opera en forma independiente del resto de las máquinas
de la red. Ethernet no dispone de controladores centrales. Cada máquina en la red
Redes de Datos
Página 13
Redes Corporativas
está conectada al mismo medio de transmisión compartido. Las señales Ethernet
que genera cada máquina son transmitidas en forma serial, un bit a continuación
de otro, sobre el medio físico compartido. Para enviar datos, las máquinas tratan
de asegurarse que el medio físico esté “libre” (es decir, que ninguna otra máquina
está transmitiendo bits). Para ello “escuchan” el medio físico, y cuando entienden
que está libre, transmiten los datos en la forma de una “trama Ethernet”. Luego de
la transmisión de cada trama, todas las máquinas de la red compiten nuevamente
por el medio para el envío de nuevas tramas. Esto asegura que el acceso al medio
físico es equitativo, y que ninguna máquina puede bloquear el acceso de las otras.
Las reglas de acceso al medio físico están determinadas por una sub-capa de
control de acceso al medio, llamada MAC (Medium access control). Las funciones
de esta sub-capa están generalmente incorporadas en las interfaces Ethernet de
cada máquina. El mecanismo de control de acceso al medio está basado en un
sistema denominado CSMA/CD (Carrier Sense Multiple Access with Collition
Detection).
Como se mencionó, las máquinas de una red Ethernet envían paquetes cuando
determinan que la red no está en uso. Esta determinación se hace esperando un
tiempo (cuya duración es aleatoria) después del último paquete que se está
transmitiendo en la red en ese momento. Transcurrido este tiempo, sin detectar
actividad en el medio físico, se determina que la red esta disponible para efectuar
una transmisión. Sin embargo, es posible que dos máquinas en localizaciones
físicas distantes traten de enviar datos al mismo tiempo. Cuando ambas máquinas
intentan transmitir un paquete a la red al mismo tiempo se produce una colisión.
Este mecanismo puede asimilarse al que utilizamos los humanos al conversar:
cada uno espera un tiempo (aleatorio) desde que el otro emitió la última palabra
antes de determinar que terminó de decir lo que quería y proceder entonces a
contestar. Si por algún motivo erramos en la determinación, hablaremos dos o
más al mismo tiempo, generando una “colisión” y deberemos detenernos y recomenzar.
Minimizar las colisiones es un elemento crucial en el diseño y operación de redes.
El incremento de las colisiones es a menudo el resultado de demasiados usuarios
en una red, lo que produce una notable disminución en el ancho de banda efectivo
de la red. Esto puede enlentecer la performance de la red desde el punto de vista
de los usuarios. Segmentar la red en varios “dominios de colisión”, con un "bridge"
o un "switch", es una manera de reducir una red superpoblada (Ver 3.3).
El tamaño máximo de una red Ethernet está determinada por el largo mínimo de
una trama y la velocidad de la misma, debido a la necesidad de detectar
colisiones. Se debe evitar que una máquina complete la transmisión de una trama
antes de que el primer bit de dicha trama llegue hasta la máquina más alejada de
la red y eventualmente vuelva a la máquina de origen.
Supongamos que la máquina A comienza a transmitir el primer bit de una trama en
el tiempo 0, y que este bit tarda un tiempo ζ en llegar a la máquina más lejana B.
Supongamos que casualmente la máquina B decide comenzar el envío de una
trama justo antes de ζ, digamos a un tiempo ζ – ε. Inmediatamente se producirá
una colisión, que será detectada sin problemas por la máquina B, pero esta
Redes de Datos
Página 14
Redes Corporativas
colisión tardará otro tiempo ζ en llegar hasta la máquina A. Es decir, la máquina A
recibirá la información de la colisión a un tiempo 2 ζ desde el comienzo del envío
del primer bit de su trama. Si la máquina A hubiera terminado el envío de su trama
antes de 2 ζ, no hubiera detectado esta colisión, y por lo tanto, hubiera asumido
que la trama fue enviada correctamente.
Dado que las tramas tienen un largo mínimo de 64 bytes, conociendo el tiempo de
propagación (teniendo en cuenta los posibles repetidores y sus retardos), puede
calcularse la distancia máxima de una red Ethernet, según la velocidad de
transmisión de bits (en bits/s). Para 10 Mb/s, la distancia máxima es de 2.500 m
(previendo 4 repetidores).
3.1.3 Trama Ethernet
SFD
Preámbulo
7
S Dir Origen
F
D
1
6
Dir
Destino
L
6
2
Datos / Relleno
46 – 1500
FCS
4
La estructura de la trama Ethernet se muestra en la figura. Comienza con 7 bytes
de “preámbulo”, que contienen los bits “10101010” como un patrón fijo. Dado que
Ethernet utiliza codificación Manchester, este patrón genera una onda cuadrada
de 10 Mhz durante 5.6 µs, lo que permite sincronizar los relojes de las máquinas
receptoras con el reloj de la máquina que origina la trama.
Luego del preámbulo se transmite el byte “10101011”, indicando el comienzo
efectivo de la trama.
La trama misma contiene la información de origen y destino. Las direcciones
Ethernet consisten en 6 bytes, los primeros 3 correspondientes al fabricante del
Redes de Datos
Página 15
Redes Corporativas
controlador Ethernet (excluyendo los 2 primeros bits, que están reservados), y los
últimos 3 al número de dispositivo fabricado.
Con 46 bits, hay aproximadamente 7 x1013 direcciones Ethernet posibles.
La dirección consistente en todos los bits en 1 es reservada para “difusión”
(broadcast). Una trama que contiene todos los bits en 1 en la dirección de destino
es recibida y procesada por todas las máquinas de la red.
El campo “L” indica la longitud del campo de datos, desde 0 a 1500. Dado que las
tramas Ethernet deben tener como mínimo 64 bytes, desde el campo “Dirección
origen”, si los datos a transmitir son menos de 46 bytes, se completan con
“relleno”.
El campo final FCS (Frame Check Sequence) es la “suma de comprobación”,
utilizada por el receptor para validar la ausencia de errores en la trama recibida.
3.2 Hubs
Como se indicó en 3.1.1, las primeras redes Ethernet utilizaron cables coaxiales
como medios físicos, y luego evolucionaron a cables UTP (pares de cobre
trenzados sin malla).
Debido a los retardos y la atenuación de las señales, fue necesario determinar
longitudes máximas y cantidades máximas de máquinas en las redes coaxiales.
Para que la red funcione correctamente, un segmento de cable coaxial fino puede
tener hasta 185 metros de longitud y hasta 30 nodos o máquinas. Un segmento de
cable coaxial grueso puede tener hasta 500 metros, y hasta 100 nodos o
máquinas.
Las redes coaxiales grandes requerían ampliar estas restricciones, para lo que se
desarrollaron “repetidores”, capaces de conectar varios segmentos de la red. Los
repetidores proporcionan la amplificación y resincronización de las señales
necesarias para conectar los segmentos entre sí. Al poder conectar varios
segmentos, permitimos a la red continuar creciendo, sin violar las restricciones de
correcto funcionamiento.
Redes de Datos
Página 16
Redes Corporativas
Repetidor
Segmento 1
Segmento 2
Al utilizar cable UTP, cambió la topología del cableado. Las redes coaxiales
utilizaban una topología de bus, dónde el cable coaxial recorría todas las
máquinas de su segmento. Las redes UTP son siempre en estrella, por lo que es
siempre necesario un concentrador que a su vez realice las funciones de
repetidor. Este equipo se conoce habitualmente como “Hub”
Hub
UTP
En las redes Ethernet sobre UTP se disponen siempre de un enlace “punto a
punto”, desde la máquina o PC hasta un Hub, formando por lo tanto una topología
en estrella, con el Hub en el centro de la misma.
La función principal del Hub es la de repetir la señal que ingresa por cada una de
sus “puertas” hacia todas las otras “puertas”, realizando por tanto la “difusión” que
requiere Ethernet (y que se daba naturalmente en las topologías de bus sobre
cables coaxiales).
Adicionalmente, los Hubs también monitorizan el estado de los enlaces de las
conexiones a sus puertas, para verificar que la red funciona correctamente (una
Redes de Datos
Página 17
Redes Corporativas
puerta de un Hub puede tener conectada una máquina o un segmento proveniente
de otro Hub). En las redes coaxiales, cuando algo falla en un determinado
segmento (por ejemplo se produce una rotura en un cable o en un conector), todas
las máquinas conectadas a ese segmento pueden quedar inoperantes. Los Hubs
limitan el efecto de estos problemas, desconectando el puerto problemático y
permitiendo al resto seguir funcionando correctamente. La avería de un cable o
conector en una red punto a punto, habitualmente, sólo desactivará una máquina,
lo que en una topología de bus ocasionaría la desactivación de todos los nodos
del segmento.
Las recomendaciones IEEE 802.3 describen las reglas para el número máximo de
repetidores (Hubs) que pueden ser usados en una configuración. El número
máximo de repetidores (Hubs) que pueden encontrarse en el camino de
transmisión entre dos máquinas es de cuatro; el máximo número de segmentos de
red entre dos máquinas es cinco, con la restricción adicional de que no más de
tres de esos cinco segmentos pueden tener otras estaciones de red conectadas a
ellos (los otros segmentos deben de ser enlaces entre repetidores, que
simplemente conectan repetidores). Estas reglas son determinadas por cálculos
de las máximas longitudes de cables y retardos de repetidores. Las redes que las
incumplen puede que aún funcionen, pero están sujetas a fallos esporádicos o
problemas frecuentes de naturaleza indeterminada. Además, usando repetidores,
simplemente extendemos la red a un tamaño mayor. Cuando esto ocurre, el ancho
de banda de la red puede resultar un problema; en este caso, los “switches”
(conmutadores) pueden usarse para particionar una gran red en segmentos más
pequeños que operan más eficazmente (Ver 3.3).
Lo más importante a resaltar sobre los Hubs es que sólo permiten a los usuarios
compartir Ethernet, es decir, implementar un medio físico. Una red que utiliza
Hubs es denominada "Ethernet compartida", lo que implica que todos los
miembros de la red compiten por el uso del medio, formando por lo tanto un único
“dominio de colisión”. Cuando una máquina debe enviar una trama de datos a otra,
1
1
HUB
1
1
HUB
1
1
1
la misma es recibida por el Hub en una de sus puertas, y retransmitida a todas las
otras puertas. Los Hubs no interpretan el contenido de las tramas. Trabajan a nivel
eléctrico (físico), regenerando las señales y retransmitiéndolas.
Redes de Datos
Página 18
Redes Corporativas
3.3 Bridges
La función de los “Bridges” (“puentes”) es interconectar redes de distintas
tecnologías. Los bridges pueden conectar entre si tipos de redes diferentes (como
por ejemplo Ethernet con Fast Ethernet, Ethernet con Token Ring, etc.). Para ello,
deben interpretar la trama que reciben por una de sus “puertas” y “traducirla” al
formato adecuado de la puerta de salida. Por lo tanto, los Bridges debe trabajar a
nivel de la “Capa 2” o Capa de Enlace.
3.4 Switches
3.4.1 Introducción a los Switches
Como se mencionó en 3.2, los Hubs son concentradores y repetidores, que
trabajan a nivel de la capa física, regenerando la señal que reciben por una de sus
puertas y retransmitiéndola por todas las otras puertas.
Sin embargo, cuando las redes comienzan a crecer, la probabilidad de colisiones
también crece, generando más retransmisiones, y por lo tanto degradando la
performance general de la red. Para solucionar, o por lo menos disminuir este
problema, pueden utilizarse “Switches” o “Conmutadores”.
Los “Switches” son dispositivos que analizan las tramas Ethernet, y la envían a la
puerta adecuada de acuerdo a la dirección de destino. A diferencia de los Hubs,
que trabajan a nivel de la “Capa 1” (capa física), los switches trabajan a nivel de la
“Capa 2” (capa de enlace).
2
SWITCH
2
3
SWITCH
3
Esto permite que varias máquinas puedan estar enviando tramas a la vez, y no
existan colisiones.
Para que esto sea posible, los switches deben conocer las direcciones de enlace
(conocidas como “direcciones MAC” en Ethernet) conectadas a cada uno de sus
puertos. La mayoría de los switches “aprenden” de manera automática las
direcciones MAC conectadas a cada puerto en forma automática. Simplemente,
Redes de Datos
Página 19
Redes Corporativas
cuando reciben una trama por una puerta, obtienen la dirección de origen y la
asocian a la puerta por la que se recibió la trama. Si por una puerta reciben una
trama dirigida a una dirección MAC destino desconocida, envían la trama por
todos los puertos (como lo haría un Hub). Cuando la máquina de destino
responda, el switch “aprenderá” en que puerta se encuentra su dirección y las
próximas tramas serán enviadas únicamente a esa puerta.
Dado que una puerta de un switch puede estar conectado a otro switch o hub, es
posible que una misma puerta esté asociada a un conjunto de direcciones MAC.
Los switches habitualmente pueden almacenar varios cientos o miles de
direcciones MAC por puerta.
Los paquetes del tipo “Broadcast” son enviados a todas las puertas del switch.
Los switches tienen básicamente dos mecanismos de funcionamiento: "store and
forward" (almacenar y remitir) y "cut through" (cortar y atravesar):
•
“Store and Forward”: Esta mecanismo de trabajo consiste en recibir por
una puerta una trama completa, para luego analizarla y retransmitirla.
•
“Cut through”: Dado que la dirección de destino se encuentra al comienzo
de la trama (ver 3.1.3), este modo de trabajo consiste en analizar
únicamente los primeros bytes de la trama, hasta obtener la dirección de
destino, e inmediatamente comenzar a retransmitir la trama.
El método “Cut through” parece a priori más rápido, ya que no espera la recepción
completa de la trama para luego retransmitirla. Sin embargo, este método no
puede validar que la trama recibida sea correcta (ya que comienza a enviarla
antes de recibirla en su totalidad). Si la trama recibida tuviera errores (o existieran
colisiones en el segmento de red conectado a la puerta del switch por el que
ingresa la trama), éstos errores se propagarán a la puerta de salida del switch. Por
el contrario, el método “Store and Forward” puede detectar los errores o colisiones
en las tramas de entrada, y descartarlas antes de enviarlas a la puerta de salida.
Muchos switches pueden trabajar con ambos métodos, y el administrador de red
puede decidir cual es el mejor en cada caso.
Muchos de los “switches” disponibles en el mercado tienen, en el mismo equipo,
puertas Ethernet, Fast Ethernet y/o Gigabit Ethernet, sobre UTP o sobre Fibra
óptica, por lo que realizan implícitamente funciones de Bridges (o puentes).
3.4.2 Spanning Tree
Un potencial problema que se presenta al implementar una red con Hubs y
Switches es la posibilidad de crear bucles o “loops” entre ellos. Pongamos por
ejemplo una red como la que se muestra en la figura y veamos como se comporta:
1. Supongamos que luego del encendido inicial de los swtiches A, B y C, la
Máquina 1 envía una trama dirigida a la máquina 2
2. El Switch A recibe la trama y registra la dirección de origen (dirección MAC
de la Máquina 1) en su tabla de direcciones, asociándola al puerto
Redes de Datos
Página 20
Redes Corporativas
correspondiente (el superior en la figura). Luego analiza la dirección MAC
de destino, y al no encontrarla en sus tablas (se supone que el switch
acaba de ser inicializado) difunde las tramas por todas sus puertas, y en
particular, hacia la LAN 2
Máquina 1
LAN 1
Switch A
LAN 2
Switch B
Switch C
LAN 3
Máquina 2
3. En la LAN 2, la trama es recibida por el Switch B y por el Switch C. Ambos
switches registran la dirección MAC de la máquina 1 en sus puertas
superiores, comparan la dirección de destino con sus tablas, y al no
encontrarla, difunden la trama por todas sus puertas, y en particular por las
puertas conectadas a la LAN 3. Esto resulta en que dos tramas idénticas
son enviadas a la LAN 3.
4. La trama enviada a la LAN 3 por el switch B es recibida por la Máquina 2,
pero también por el Switch C. El Switch C al recibir la trama, inspecciona la
dirección de origen, y encuentra que la tenía asignada a la puerta superior.
Entiende que la Máquina 1 cambió de lugar, y actualiza sus tablas,
asociando la dirección de la Máquina 1 al puerto inferior (LAN 3). Por otra
parte, la dirección de destino de la trama, correspondiente a la Máquina 2
aún es desconocida por el Switch C, por lo que envía la trama nuevamente
a la LAN 2.
5. Si el Switch B es más lento que el Switch C, puede recibir la trama
nuevamente por su puerta superior (LAN 2) y reenviarla nuevamente a la
LAN 3, quedando por tanto la trama en “bucle”.
Redes de Datos
Página 21
Redes Corporativas
6. Si el Switch B realizó el mismo proceso que el Switch C antes de recibir la
trama por la LAN 2, habrá asociado, al igual que el Switch B, la dirección de
la Máquina 1 como perteneciente a la LAN 3. Cuando la Máquina 2
responda, ambos switches entenderán que la dirección de la Máquina 1
corresponde a la LAN 3 y descartarán la trama.
Como se explicó, si existen bucles en la interconexión de switches, una trama
puede quedar “atrapada” eternamente en un bucle, degradando completamente la
performance de la red, o pueden descartarse tramas, imposibilitando la
comunicación. Para evitar esta situación, se ha desarrollado un algoritmo conocido
como “Spanning Tree”, que se ha estandarizado en la Recomendación IEEE
802.1d [6]. La idea de este algoritmo es bloquear los enlaces que cierran los
bucles, dejando a la red siempre con una topología del tipo “árbol”, y asegurar de
esta manera que no existan bucles.
El algoritmo reevalúa periódicamente que enlaces hay que bloquear o rehabilitar
para tener acceso a todos los equipos sin crear bucles. Por ello, utilizando
adecuadamente el algoritmo “Spanning Tree” es posible armar explícitamente
configuraciones en bucle que permitan tener enlaces de respaldo en caso de falla
en los enlaces principales. Dado que el algoritmo permite valorar los enlaces con
“pesos”, cuando existen bucles es posible configurar a priori que enlaces serán los
principales y que enlaces quedarán bloqueados.
3.4.3 VLANs
Como se mencionó en 3.4, los switches mejoran la performance de las redes
enviando las tramas únicamente a las puertas dónde se encuentra el destino de la
misma. Sin embargo, los mensajes de difusión (broadcast) son enviadas a todas
las puertas, ya que deben ser recibidos por todas las máquinas de la misma red. A
veces es deseable limitar el alcance de los mensajes de difusión (broadcast), y por
lo tanto, “la red”.
Las “VLANs” (Virtual LANs, o redes LAN virtuales) permiten utilizar los mismos
medios físicos para formar varias redes independientes, a nivel de la capa 2. Un
mismo conjunto de switches pueden implementar, utilizando VLANs, varias redes
LAN independientes.
Los criterios para formar las VLAN pueden ser varios. Entre los más comunes se
encuentran:
•
VLAN por puertos: Los puertos de los switches se agrupan en VLANs. De
esta manera, las máquinas conectadas a un puerto únicamente “ven” a las
máquinas que están conectadas a puertos de la misma VLAN
•
VLAN por direcciones MAC: Las direcciones MAC se agrupan en VLAN.
De esta manera, se pude restringir la red únicamente a ciertas direcciones
MAC, independientemente de en que puerto de los switches se conecten.
•
VLAN por protocolo: Algunos switches que soportan VLAN pueden
inspeccionar datos de la capa 3, como el protocolo utilizado, y formar redes
independientes según estos protocolos
Redes de Datos
Página 22
Redes Corporativas
VLAN por direcciones IP: Las direcciones IP (de capa 3) pueden ser
leídas por los switches, y pueden formarse redes independientes con
ciertos conjuntos de direcciones IP
•
Cuando se dispone de un único switch, la implementación de las VLANs es
sencilla, ya que todas las reglas se manejan dentro del mismo switch. Sin
embargo, ¿qué sucede si una máquina de una VLAN debe comunicarse con otra
máquina de la misma VLAN, pero conectada a otro switch? La información de la
VLAN de origen, debe “viajar” , junto con la trama, hasta el otro switch. Para esto,
se ha estandarizado la recomendación IEEE 802.1q [7], que permite transmitir en
las tramas Ethernet la información de VLAN. Conceptualmente es simple: se
agregan a la trama Ethernet 4 bytes. La figura muestra una trama Ethernet
“normal” y una trama Ethernet 802.1q:
SFD
Preámbulo
S Dir Origen
F
D
7
1
Dir
Destino
L
6
2
6
Datos / Relleno
46 – 1500
FCS
4
SFD
Preámbulo
7
S Dir Origen
F
D
1
6
Dir
Destino
L
6
2
T
P
I
2
Datos / Relleno
T
A
G
2
46 – 1500
FCS
4
Como puede observarse, se agregan 4 bytes: los primeros 2, llamados “TPI”, son
fijos e identifican a la trama como una trama 802.1q. Los segundos 2 bytes,
llamados “TAG” se interpretan como 3 conjuntos de bits, de longitud 3 bits, 1 bit y
12 bits respectivamente:
Redes de Datos
Página 23
Redes Corporativas
TAG
CFI
P
R
3
VLAN ID
1
12
Los primeros 3 bits del “TAG” indican la “prioridad” de la trama, de acuerdo a la
recomendación IEEE 802.1p [8] (es de hacer notar que el cabezal de 802.1q
contiene la marca de priorización 802.1p, por lo que es necesario disponer de
802.1q para interpretar 802.1p).
El cuarto bit, llamado CFI (Canonical Format Indicator), indica el orden de los bits
(en formato canónico o no canónico).
Los últimos 12 bits indican la VLAN a la cual pertenece la trama. Estos 12 bits
permiten tener, por lo tanto hasta 4096 VLANs
De esta manera, las tramas intercambiadas entre switches pueden contener
información de VLAN.
3.4.4 Routing Switches (Switches de capa 3)
Los switches, como se vio anteriormente, son esencialmente bridges multipuerto
que aprenden automáticamente que direcciones MAC tienen conectadas a cada
puerta. Las tramas que ingresan a un switch, en vez de ser propagadas a todas
sus puertas, son enviadas únicamente a la puerta dónde se encuentra la dirección
de destino de la trama de entrada.
Los switches mejoran la eficiencia de la red, ya que pueden soportar
transmisiones simultáneas, siempre que no involucren las mismas puertas. Sin
embargo, los mensajes de difusión (broadcast) son enviados por los switches a
todas sus puertas, de la misma manera que las tramas que tienen dirección MAC
de destino desconocida. En la mayoría de los casos, el número de máquinas
conectadas a una red switcheada puede ser mayor al número de máquinas
conectadas a una red “no switcheada” (consistente en hubs), pero los “dominios
de broadcast”, aún con switches, continúan siendo una restricción a la cantidad de
máquinas de una LAN. Para solucionar este problema, se desarrollaron las
VLANs, que separan totalmente los “dominios de broadcast”. Las máquinas
pueden ser asignadas a una VLAN de acuerdo al puerto físico del switch a la que
está conectada, de acuerdo al protocolo de capa 3, de acuerdo a su dirección
MAC o dirección IP, etc. Las VLAN por direcciones MAC facilitan los problemas de
“mudanzas”, mientras que las VLAN por protocolo limitan el impacto de los
broadcast generados por ciertos protocolos.
Redes de Datos
Página 24
Redes Corporativas
Sin embargo, las VLAN limitan los dominios de broadcast separando
completamente las redes. En muchos casos, si bien es deseable limitar los
broadcast, también es deseable poder mantener comunicaciones entre máquinas
de distintas VLANs. La solución a este problema es utilizar equipos “ruteadores”,
que analicen más allá de la capa 2 (llegando a la capa 3 o capa de red), y en base
a tablas de “ruteo”, puedan enviar tráfico entre diferentes VLANs.
Realizar esta tarea con ruteadores “clásicos” (Ver 5.3) es lento a nivel de
desempeño y costoso económicamente. Por esta razón se han desarrollado los
equipos llamados “Routing Switches”, o “Switches de capa 3”.
Tradicionalmente, el proceso de “ruteo” (a nivel de las direcciones de capa 3, por
ejemplo, direcciones IP), es realizado por software, corriendo en uno o varios
procesadores relativamente lentos, incluidos en los ruteadores (routers)
tradicionales. En contraste, los routing switches pueden realizar ruteo IP (o IPX en
algunos casos) en hardware especializado, y a la “velocidad del cable”, es decir, a
la misma velocidad entrada de los datos (10, 100, 1000 Mb/s).
En suma, los routing switches son equipos que permiten “switchear” (analizar a
nivel de capa 2) o rutear (analizar a nivel de capa 3) las tramas y paquetes que
reciben. Permiten por tanto, separar dominios de broadcast y a su vez permitir
comunicaciones entre máquinas de distintos dominios. Su administración se
asemeja a la de un router tradicional (Ver 5.3), pero con la ventaja de ser
sumamente rápido (a la “velocidad del cable”).
Redes de Datos
Página 25
Redes Corporativas
3.5 Redes inalámbricas (Wireless LAN)
3.5.1 Introducción e historia
Cuando es necesario disponer de movilidad en las comunicaciones, depender de
un enlace físico como es un cable (en cualquiera de sus modalidades) supone una
seria restricción. Para evitar esto, las conexiones inalámbricas se convierten en
una buena alternativa.
Desde hace algunos años, el potencial de esta clase de redes hizo que
aparecieran los primeros sistemas que utilizaban ondas de radio para
interconectar ordenadores. Estos primeros sistemas inalámbricos eran
dependientes de su fabricante en cuanto a implantación y conectividad, lentos
(con velocidades de 1,5 Mb/s) y concebidos para cubrir un reducido grupo de
aplicaciones. Pero con el desarrollo tecnológico alcanzado en el transcurso de
estos últimos años, han ido apareciendo nuevas soluciones ampliamente
estandarizadas y funcionales, en la que se pueden comunicar sistemas
informáticos y dispositivos de diversa naturaleza y capacidades mediante la
tecnología inalámbrica basados en la emisión de ondas de radio o de luz infrarroja.
Los primeros avances en redes de datos inalámbricas datan de fines de 1970,
cuando en los laboratorios de IBM de Suiza se publican las primeras ideas de una
red de datos inalámbrica basada en luz infrarroja, pensada para plantas
industriales. Sobre la misma fecha, en los laboratorios de investigación de HP en
Palo Alto, California, se desarrolló una red inalámbrica de 100 kb/s, que operaba
en la banda de los 900 MHz. Este proyecto se desarrolló bajo un acuerdo con la
FCC para poder utilizar estas frecuencias de manera experimental.
Sobre mitad de la década de 1980, quedaba claro que las redes inalámbricas
necesitarían un ancho de banda de varias decenas de MHz. Todas las bandas, en
esa época, eran licenciadas y el mercado potencial de las redes WLAN no
prometía grandes retornos inmediatos en las inversiones, lo que desestimulaba la
inversión en estas tecnologías al tener que pagar costosas licencias reguladas por
la FCC en Estados Unidos. Finalmente, en mayo de 1985, la FCC decidió liberar
algunas bandas de frecuencias no licenciadas, las que dio a conocer como
Bandas ISM (“Industrial, Scientific and Medical band”). Estas fueron las primeras
bandas de frecuencia no licenciadas para desarrollos de productos comerciales, y
jugaron un papel fundamental en el desarrollo de las WLANs.
Se definieron 3 bandas ISM no licenciadas: 902 a 928 MHz, 2.4 a 2.4835 GHz y
5.725 a 5.850 GHz. Las técnicas de modulación deben ser del tipo “spread
spectrum”, para minimizar la interferencia entre sistemas cercanos que utilicen las
mismas bandas. Las potencias máximas están también reguladas.
Mas adelante, en 1997, la FCC liberó nuevas bandas no licenciadas, conocidas
como U-NII (Unilcensed Nacional Information Infrastructure), con las siguientes
frecuencias: 5.15 a 5.25 GHz, restringida a aplicaciones internas, 5.25 a 5.35 GHz
para utilización en Campus y 5.725 a 5.825 GHz para redes comunitarias.
Redes de Datos
Página 26
Redes Corporativas
Los primeros esfuerzos en estandarización de las redes WLAN datan de 1987,
cuando la IEEE designa el grupo 802.4L para estudiar el tema. Este grupo
pertenecía al IEEE 802.4 de “token bus”. En 1990 el grupo 802.4L fue renombrado
como IEEE 802.11, pasando a tener la categoría de un estándar independiente.
En 1999 la IEEE publicó el primer estándar para redes de datos inalámbricas, la
Recomendación IEEE 802.11 [9]. Esta recomendación define la sub-capa MAC y
la capa física (PHY) para las redes inalámbricas. Desde su publicación inicial,
varios grupos de trabajo la han ampliado, en las recomendaciones 802.11a,
802.11b, etc. Las principales se detallan a continuación [10].
Recomendación
802.11
Año
1999
802.11a
802.11b
1999
1999
802.11b Cor1
2001
802.11d
802.11f
2001
2003
802.11g
2003
802.11h
2003
802.11i
802.11j
802.11e
2004
2004
2005
Descripción
Wireless LAN Medium Access Control (MAC) and Physical
Layer (PHY) Specifications
Amendment 1: High-speed Physical Layer in the 5 GHz band
Higher speed Physical Layer (PHY) extension in the 2.4 GHz
band
Higher-speed Physical Layer (PHY) extension in the 2.4 GHz
band—Corrigendum1
Specification for Operation in Additional Regulartory Domains
Recommended Practice for Multi-Vendor Access Point
Interoperability via an Inter-Access Point Protocol Across
Distribution Systems Supporting IEEE 802.11 Operation
Further Higher-Speed Physical Layer Extension in the 2.4
GHz Band
Spectrum and Transmit Power Management Extensions in the
5GHz band in Europe
Medium Access Control (MAC) Security Enhancements
4.9 GHz–5 GHz Operation in Japan
Medium Access Control (MAC) Quality of Service
Enhancements
Las redes WLAN se diferencian de las convencionales principalmente en la capa
física y en la capa de enlace de datos, según el modelo de referencia OSI. La
capa Física (PHY) indica cómo son enviados los bits de una estación a otra. La
capa de Enlace de Datos y de control de acceso al medio (MAC) se encarga de
describir cómo se empaquetan y verifican los bits de manera que no tengan
errores.
La recomendación 802.11a [11] estandariza la operación de las WLAN en la
banda de los 5 GHz, con velocidades de datos de hasta 54 Mb/s.
La recomendación 802.11b [12], también conocida con “WiFi”, estandariza la
operación de las WLAN en la bada de los 2.4 GHz, con velocidades de datos de
hasta 11 Mb/s. Esta recomendación ha sido particularmente exitosa, y existen en
el mercado diversos productos que la cumplen.
La recomendación 802.11g [13], estandariza la operación de las WLAN con
velocidades de datos de hasta 54 Mb/s. Utiliza la misma banda de 2.4 GHz que la
Redes de Datos
Página 27
Redes Corporativas
802.11b, lo que permite que los dispositivos puedan operar en ambas normas.
802.11g utiliza OFDM (orthogonal frequency division multiplexing)
3.5.2 Arquitectura de 802.11
Las redes 802.11 (WLAN) están basadas en una arquitectura del tipo celular,
dónde el sistema se subdivide en celdas o células. Cada celda (llamada BSA =
Basic Service Area) se corresponde con el área de cobertura de una estación
base o punto de acceso (AP = Access Point). El conjunto de terminales o
dispositivos controlados por un AP se conoce como BSS = Basic Service Set.
Una WLAN puede estar formada por una única celda, conteniendo un único punto
de acceso AP (y como veremos más adelante podría funcionar incluso sin ningún
AP), o por un conjunto de celdas cada una con su punto de acceso, los que a su
vez se interconectan entre sí a través de un “backbone”, llamado “sistema de
distribución (DS = Distribution System). Este backbone es típicamente Ethernet,
generalmente cableado, pero en algunos casos puede ser también inalámbrico. El
conjunto de terminales inalámbricos contenido dentro de varias DSA se conoce
como ESS = Extended Service Set.
La WLAN completa (incluyendo las diferentes celdas, sus respectivos AP y el DS)
es vista como una única red 802 hacia las capas superiores del modelo OSI.
La siguiente figura ilustra una red 802.11 típica, incluyendo los elementos
descritos anteriormente.
Redes de Datos
Página 28
Redes Corporativas
DS
BSA
AP
AP
El Access Point (AP) actúa como bridge, convirtiendo las capas MAC y PHY de
802.11 a las MAC y PHY del DS, típicamente Ethernet 802.3, como se muestra en
la siguiente figura
AP
LLC Relay
802.11 MAC
802.11 MAC
802.3 MAC
802.11 PHY
802.11 PHY
802.3 PHY
Wireless
Redes de Datos
Ethernet
LAN
Página 29
Redes Corporativas
La recomendación 802.11 admite dos modos de operación
•
“Infraestructure Mode”: Consiste en disponer por lo menos de un AP
(punto de acceso) conectado al DS (Sistema de Distribución)
•
“Ad Hoc Mode”: Las máquinas se comunican directamente entre sí, sin
disponer de AP (puntos de acceso) en la red. Dado que no hay AP, todas
las máquinas de una red en este modo de operación deben estar dentro del
rango de alcance de todas las otras.
3.5.3 Modelo de capas en IEEE 802.11
En IEEE 802.11 fue necesario subdividir el modelo de capas de los otros
estándares IEEE 802, a los efectos de simplificar el proceso de especificación. La
siguiente figura representa el modelo de capas de IEEE 802.11 [14]:
Capa
de
LLC (Logical Link
Control)
Enlace
Subcapa
MAC
Capa
Física
MAC (Medium Access
Control)
MAC
Management
PLCP (PHY Layer
Convergence Protocol)
Dependent)
PMD (PHY Medium
Dependent)
PHY
Management
Station Management
La subcapa MAC es dividide, a su vez, en otras dos subcapas
•
La subcapa MAC es responsable del mecanismo de acceso y la
fragmentación de los paquetes.
•
La subcapa de gerenciamineto de MAC (MAC Management) se encarga de
administrar las actividades de Roaming dentro del ESS, la energía, y los
procesos de asociación y disociación durante la registración.
La capa física se divide en tres subcapas:
Redes de Datos
Página 30
Redes Corporativas
•
La subcapa PLCP (PHY Layer Convergence Protocol) se encarga de
evaluar la detección de portadora y de formar los paquetes para los
diversos tipos de capas físicas
•
La subcapa PMD (PHY Medium dependent) especifica las técnicas de
modulación y codificación
•
La subcapa PHY Management determina ajustes de diferentes opciones de
cada capa PHY.
Adicionalmente se especifica una capa de administración de terminal (Station
Management) responsable de coordinar las interacciones entre las capas MAC y
PHY.
3.5.3.1 Capa física de 802.11
Cuando un paquete arriba a la subcapa PLCP desde la capa superior, se le
adiciona un encabezado, el que depende del tipo de transmisión a utilizar en la
capa PMD. Luego el paquete es transmitido por la capa PMD, de acuerdo a lo
especificado en las técnicas de señalización. La recomendación 802.11 original
fue especificada para trabajar a 1 y 2 Mb/s, en la banda de los 2.4 GHz, utilizando
técnicas FHSS (Frequency Hopping Spread Spectrum), DSSS (Direct Sequence
Spread Spectrum) o DFIR (Diffused Infrared)
3.5.3.1.1 FHSS
La técnica FHSS (Frequency Hopping Spread Spectrum) consiste en modular la
señal a transmitir con una portadora que “salta” de frecuencia en frecuencia,
dentro del ancho de la banda asignada, en función del tiempo. El cambio periódico
de frecuencia de la portadora reduce la interferencia producida por otra señal
originada por un sistema de banda estrecha, afectando solo si ambas señales se
transmiten en la misma frecuencia en el mismo momento.
Un patrón de saltos determina las frecuencias de la portadora en cada momento.
Para recibir correctamente la señal, el receptor debe conocer el patrón de saltos
del emisor, y sincronizarse con éste, de manera de sintonizar la frecuencia
correcta en el momento correcto.
La recomendación IEEE 802.11 especifica 79 frecuencias, separadas por 1 MHz
para Norteamérica y Europa (excluyendo Francia y España), 23 para Japón, 35
para Francia y 27 para España. Estas frecuencias están divididas en tres patrones
de saltos no superpuestos. Por ejemplo, para Norteamérica y la mayor parte de
Europa, estos patrones corresponden a las frecuencias 2.402 MHz + (0,3,6,9,... 75
MHz), (1,4,7,10,... 76 MHz) y (2,5,8,1,... 77 MHz) respectivamente. Esto permite
que hasta tres sistemas puedan coexistir en la misma zona sin interferencias
mutuas.
La técnica de modulación utilizada es GFSK (Gaussian Frequency Shift Keying).
La modulación digital FSK (Frequency Shift Keying) consiste en modular en FM la
Redes de Datos
Página 31
Redes Corporativas
“banda base” digital, lo que se traduce en una señal modulada de dos frecuencias
(una correspondiente al bit “0” y otra correspondiente al bit “1”). Esta técnica de
modulación genera saltos instantáneos de frecuencia en la señal modulada, lo que
se traduce en un espectro más amplio, y puede producir problemas debido a las
no linealidades de los componentes utilizados. Para evitar estos problemas, se
desarrolló la modulación GFSK, haciendo pasar la señal digital de “banda base”
por un filtro gausiano antes de ingresar al modulador de FM. Este filtro “suaviza”
las transiciones entre ceros y unos, generando una señal modulada sin saltos
abruptos de frecuencias.
Para 1 Mb/s se utilizan dos niveles en la modulación GFSK y para 2 Mb/s se
utilizan 4 niveles, codificando 2 bits en cada símbolo.
Una trama IEEE 802.11 modulada con FHSS tiene la siguiente estructura:
PLCP (siempre a 1 Mb/s)
SYNC
80
SFD
16
Datos (1 o 2 Mb/s)
PLW
12
PSF
4
CRC
16
Datos (MPDU, “scrambleados”)
< 4.096 bytes
La trama comienza con un preámbulo, consistente en una secuencia de
sincronismo (SYNC) de 80 bits de 1s y 0s alternados. Esta secuencia es utilizada
por el receptor para sincronizarse con el transmisor. Continúa con un patrón fijo de
bits (SFD = Start Frame Delimter = 0000110010111101) que indica el comienzo
efectivo de la trama. El largo de la trama se codifica con 12 bits (PLW = Packet
Lenght Width), admitiendo por tanto hasta 212= 4.096 bytes. La velocidad de
transmisión se codifica en el campo PSF = Packet Signalling Field. Finalmente, el
cabezal PLCP tiene 16 bits de corrección de errores (CRC). La sobrecarga total
del cabezal es menos del 0.4% del largo máximo de datos permitidos.
3.5.3.1.2 DSSS
La técnica DSSS (Direct Sequence Spread Spectrum) codifica cada bit con una
secuencia predeterminada de bits de mayor velocidad, generando una nueva
señal “banda base”, pero de mucha mayor velocidad que la señal original. Esta
nueva señal banda base es modulada con técnicas tradicionales. Los “bits” o
pulsos de la nueva señal banda base se conocen como “chips” o trozos. La
siguiente figura esquematiza el proceso de generación de la nueva señal banda
base.
Redes de Datos
Página 32
Redes Corporativas
Bit de datos
t
Bit “expandido” (Spread”)
t
Chip
En el receptor, los chips recibidos son de-modulados, con técnicas tradicionales, y
luego pasados por un “decodificador”, el que implementa una correlación entre la
secuencia conocida de los “chips” y la señal recibida. Si la correlación es alta, se
asume que se ha recibido el bit codificado.
La recomendación IEEE 802.11 utiliza un código Barker, de largo 11, con la
siguiente secuencia: (1,1,1,-1,-1,-1,1,-1,-1,1,-1). Esta modulación ocupa
aproximadamente 26 MHz.
La técnica de modulación utilizada es DBPSK (Differential Binary Phase Shift
Keying) para 1 Mb/s y DQPSK (Differential Quadratue Phase Shift Keying) para 2
Mb/s, las que envían uno o dos bits por símbolo respectivamente.
Las técnicas DPSK son una variante de las técnicas PSK (modulación por cambio
de fase), en las que el receptor no necesita sincronizarse en fase con el
transmisor. La idea detrás de esta modulación se centra en utilizar la señal
portador de un bit recibido como referencia para detectar el bit siguiente. Para que
esto sea posible, los bits son codificados de manera diferencial, enviando siempre
el XOR del bit a transmitir con el anterior. De esta manera, la diferencia de fases
recibida representa el resultado del XOR con el bit anterior.
La técnica DSSS es más difícil de implementar que la FHSS, ya que requiere
velocidades de muestro 11 veces mayores que la de transmisión de bits. Como
contrapartida, tiene mejor alcance que FHSS.
La estructura de una trama IEEE 802.11 modulada con DSSS difiere de la FHSS:
PLCP (siempre a 1 Mb/s)
Datos (1 o 2 Mb/s)
SYNC
SFD
Signal
Service
128
16
8
8
Redes de Datos
Length
16
FCS
Datos (MPDU, sin
“scramblear”)
8
Página 33
Redes Corporativas
La trama comienza con un preámbulo, consistente en una secuencia de
sincronismo (SYNC) de 128 bits de 1s y 0s alternados. Esta secuencia es utilizada
por el receptor para sincronizarse con el transmisor. Continúa con un patrón fijo de
bits (SFD = Start Frame Delimter =1111001110100000) que indica el comienzo
efectivo de la trama. La velocidad de transmisión se codifica en el campo Signal.
El campo Service está reservado para usos futuros (y no existe en FHSS). El largo
de la trama se codifica con 16 bits (Length), e indica la duración de los datos en
microsegundos. Finalmente, el cabezal PLCP tiene 8 bits de corrección de errores
(FCS).
En la recomendación IEEE 802.11, la banda ISM de 2.4 GHz es dividida en 14
canales solapados, espaciados 5 MHz, para permitir la coexistencia de varios
sistemas en el mismo área. Cada canal ocupa, aproximadamente, un ancho de
bada de 22 MHz (a +/- 11 MHz de la frecuencia central, la señal debe tener una
atenuación de 30 dB). Los canales que se encuentran efectivamente disponibles
pueden variar según las recomendaciones locales de cada país. En Estados
Unidos, la FCC permite únicamente los canales 1 a 11. En Europa están admitidos
los canales 1 a 13. Japón admite el canal 14.
La siguiente tabla resume los canales y frecuencias utilizados tal como se definen
en IEEE 802.11:
Canal
Frecuencia
central
(GHz)
Estados
Unidos
Europa
(ETSI)
España
Francia
Japón
Resto del
Mundo
1
2.412
X
X
-
-
-
X
2
2.417
X
X
-
-
-
X
3
2.422
X
X
-
-
-
X
4
2.427
X
X
-
-
-
X
5
2.432
X
X
-
-
-
X
6
2.437
X
X
-
-
-
X
7
2.442
X
X
-
-
-
X
8
2.447
X
X
-
-
-
X
9
2.452
X
X
-
-
-
X
10
2.457
X
X
X
X
-
X
11
2.462
X
X
X
X
-
X
12
2.467
-
X
-
X
-
X
13
2.472
-
X
-
X
-
X
14
2.484
-
-
-
-
X
-
La siguiente figura ilustra la tabla anterior [15]:
Redes de Datos
Página 34
Redes Corporativas
3.5.3.1.3 IEEE 802.11b
La recomendación 802.11b es una extensión de la recomendación original y
trabaja, además de a 1 y 2 Mb/s, también a 5.5 y 11 Mb/s. Se diseñó de tal
manera que ocupe básicamente la misma porción de espectro que en la 802.11,
basándose en que en la modulación DSSS de la recomendación 802.11 de 1 Mb/s
se utiliza un código Barker, de largo 11, obteniendo de hecho una señal de 11
Mb/s de velocidad.
La modulación en 802.11b utiliza una tecnología conocida como CCK
(Complementary Code Keying) con modulación QPSK (Quadrature Phase Shift
Keying) y tecnología DSSS (Direct-Sequence Spread Spectrum).
CCK provee un mecanismo para incrementar la eficiencia del ancho de banda en
un sistema de espectro extendido (spread spectrum). Esta técnica agrupa los bits
de entrada en bytes (8 bits), equivalentes a 256 posibles símbolos. Si la velocidad
de los datos de entrada es 11 Mb/s, se obtiene una velocidad de símbolos de 11/8
= 1.375 Msimbolos/s. Cada uno de estos símbolos es codificado a su vez con una
secuencia de 8 nuevos símbolos, cada uno de los cuales puede tener 4 valores.
Estos últimos son modulados con QPSK (4 posibles fases). Como hay 4 posibles
valores para cada uno de los 8 símbolos a modular, existen por lo tanto 48= 65.536
posibles símbolos para codificar 256 valores. Esto permite elegir 256 símbolos que
sean ortogonales entre sí, de manera que el receptor pueda tomar los 8 símbolos
y fácilmente determinar a que conjunto válido corresponden (por ejemplo,
calculando la correlación con las 256 símbolos posibles).
Las fases de cada uno de los 8 símbolos a modular se obtienen mediante un
algoritmo que utiliza parejas de bits de entrada y los mapea en 4 fases (Φ1, Φ2, Φ3,
Redes de Datos
Página 35
Redes Corporativas
Φ4), que puedan tomar los valores (0, π, π/2, -π/2). De esta manera, si los bits de
entrada se definen como (d7, d6, d5, d4, d3, d2, d1, d0), los bits (d1, d0), determinan
la fase Φ1:
d1d0
00
01
11
10
Φ1
0
Π
π/2
-π/2
De manera similar, los bits (d3, d2) determinan la fase Φ2 , y así sucesivamente.
Con estos valores se calculan las fases de cada uno de los 8 símbolos, según la
siguiente ecuación:
donde cn corresponde a la fase del símbolo n
Por ejemplo, si se tiene en la entrada la secuencia de bits (1,0,1,1,0,1,0,1), se
obtendrá una secuencia de símbolos con las siguientes fases: (1,-1, j, j, -j, j,-1,-1)
[16].
IEEE 802.11b utiliza los mismos canales que la recomendación IEEE 802.11
original. En “Ammendant 2” [17] se agregan, para Japón, los canales 1 a 13,
completando para este país los 14 canales disponibles.
.
La recomendación 802.11b soporta cambios de velocidad dinámicos, para poder
ajustarse automáticamente a condiciones ruidosas. Esto significa que los
dispositivos de una WLAN 802.11b ajustarán automáticamente sus velocidades a
11, 5.5, 2 o 1 Mb/s de acuerdo a las condiciones de ruido. Las velocidades y
modulaciones utilizadas se resumen en la siguiente tabla:
Velocidad (Mb/s)
Modulación
Comentario
1
DSSS
Mandatorio
2
DSSS
Mandatorio
5.5
CCK
Mandatorio
11
CCK
Mandatorio
3.5.3.1.4 IEEE 802.11a
La recomendación 802.11a es una extensión de la 802.11, y trabaja hasta 54 Mb/s
en las bandas U-NII de 5.15 a 5.25, de 5.25 a 5.35 y de 5.725 a 5.825 GHz. Utiliza
Redes de Datos
Página 36
Redes Corporativas
técnicas de modulación OFDM (Orthogonal Frequency División Multiplexing), en
vez de FHSS o DSSS.
En la técnica OFDM, el emisor utiliza a la vez varias frecuencias portadoras,
dividiendo la transmisión entre cada una de ellas. En IEEE 802.11a, se utilizan 64
portadoras. 48 de las portadoras se utilizan para enviar la información, 4 para
sincronización y 12 está reservados para otros usos. Cada portadora está
separada 0.3125 MHz de la siguiente, ocupando un ancho de banda total de
0.3125 x 64 = 20 MHz. Cada una de los canales puede ser modulado con BPSK,
QPSK, 16-QAM o 64-QAM. Al dividir el flujo de datos a transmitir entre varios
canales (portadoras), el tiempo en el aire de cada símbolo en cada canal es
mayor, y por lo tanto, es menor el efecto de la interferencia producida por caminos
múltiples, lo que redunda en una mejora en la recepción de la señal, evitando el
uso de complejos sistemas DSP.
En Estados Unidos hay previstos 12 canales, de 20 MHz de ancho cada uno.
Ocho de ellos son dedicados a aplicaciones de uso internas y cuatro a externas.
En Europa se admiten 19 canales. Las potencias máximas admitidas dependen
del canal utilizado. A diferencia de DSSS, los canales OFDM en 802.11a no se
superponen.
Los canales en U-NII se definen entre las frecuencias de 5 y 6 GHz, a razón de un
canal cada 5 MHz, según la fórmula
Fcentral (MHz) = 5.000 + 5 x n
siendo n el número del canal
La siguiente tabla resume los canales y frecuencias utilizados en 802.11a:
Canal
Frecuencia
central (GHz)
Estados
Unidos
Europa
Japón
Resto del
Mundo
34
5.170
-
-
X
-
36
5.180
X
X
-
X
38
5.190
-
-
X
-
40
5.200
X
X
-
X
42
5.210
-
-
X
-
44
5.220
X
X
-
X
46
5.230
-
-
X
-
48
5.240
X
X
-
X
52
5.260
X
X
-
X
56
5.280
X
X
-
X
60
5.300
X
X
-
X
64
5.320
X
X
-
X
Redes de Datos
Página 37
Redes Corporativas
Canal
Frecuencia
central (GHz)
Estados
Unidos
Europa
Japón
Resto del
Mundo
100
5.500
-
X
-
X
104
5.520
-
X
-
X
108
5.540
-
X
-
X
112
5.560
-
X
-
X
116
5.580
-
X
-
X
120
5.600
-
X
-
X
124
5.620
-
X
-
X
128
5.640
-
X
-
X
132
5.660
-
X
-
X
136
5.680
-
X
-
X
140
5.700
-
X
-
X
149
5.745
X
-
-
X
153
5.765
X
-
-
X
157
5.785
X
-
-
X
161
5.805
X
-
-
X
La siguiente figura ilustra la tabla anterior [18]:
Redes de Datos
Página 38
Redes Corporativas
Las velocidades y modulaciones utilizadas en 802.11a se resumen en la siguiente
tabla:
Velocidad (Mb/s)
Modulación
Comentario
6
OFDM
Mandatorio
9
OFDM
Opcional
12
OFDM
Mandatorio
18
OFDM
Opcional
24
OFDM
Mandatorio
36
OFDM
Opcional
48
OFDM
Opcional
54
OFDM
Opcional
3.5.3.1.5 IEEE 802.11g
La recomendación 802.11g [19], estandariza la operación de las WLAN con
velocidades de datos de hasta 54 Mb/s. Utiliza la misma banda de 2.4 GHz que la
Redes de Datos
Página 39
Redes Corporativas
802.11b, lo que permite que los dispositivos puedan operar en ambas normas.
802.11g utiliza OFDM (orthogonal frequency division multiplexing).
IEEE 802.11g utiliza los mismos canales que la recomendación IEEE 802.11b.
Las velocidades y modulaciones utilizadas en 802.11g se resumen en la siguiente
tabla:
Velocidad (Mb/s)
Modulación
Comentario
1
DSSS
Mandatorio
2
DSSS
Mandatorio
5.5
CCK
Mandatorio
5.5
PBCC
Opcional
11
CCK
Mandatorio
6
OFDM
Mandatorio
9
OFDM
Opcional
11
CCK
Opcional
11
PBCC
Opcional
12
OFDM
Mandatorio
18
OFDM
Opcional
22
PBCC
Opcional
24
OFDM
Mandatorio
33
PBCC
Opcional
36
OFDM
Opcional
48
OFDM
Opcional
54
OFDM
Opcional
3.5.3.1.6 IEEE 802.11n
En enero de 2004, el IEEE anunció la formación de un grupo de trabajo para
desarrollar una nueva revisión del estándar 802.11. La velocidad real de
transmisión podría llegar a los 600 Mbps (lo que significa que las velocidades
teóricas de transmisión serían aún mayores), y debería ser hasta 10 veces más
rápida que una red 802.11a y 802.11g, y cerca de 40 veces más rápida que una
red 802.11b. También se espera que el alcance de operación de las redes sea
mayor con este nuevo estándar gracias a la tecnología MIMO (Multiple Input –
Multiple Output), que permite utilizar varios canales a la vez para enviar y recibir
datos gracias a la incorporación de varias antenas. Se espera que el estándar esté
completado en 2008. Al momento de publicar estas notas, el estándar se
encuentra en estado de “Draft”, siendo la versión 2.05 del mismo aprobada en julio
de 2007 (TGn Draft 2.05) [20].
Redes de Datos
Página 40
Redes Corporativas
La tecnología MIMO permite tener diversidad de caminos, ya que hay varias
antenas en el emisor y en el receptor, como se esquematiza en la siguiente figura,
lo que permitirá mejorar notoriamente las velocidades de transmisión y el alcance
de estas redes.
3.5.3.2 Capa MAC de 802.11
El mecanismo de control de acceso al medio está basado en un sistema
denominado CSMA/CA (Carrier Sense Multiple Access with Collition Avoidance).
Los protocolos CSMA son los mismos utilizados en Ethernet cableado (Ver 3.1.2).
Sin embargo, en Ethernet cableado, se utilizaba el mecanismo de control de
acceso CSMA/CD (CSMA con detección de colisiones). En las redes inalámbricas
es muy dificultoso utilizar mecanismos de detección de colisiones, ya que
requeriría la implementación de equipos de radio “full-duplex” (los que serían muy
costosos) y adicionalmente, en las redes inalámbricas no es posible asumir que
todas las estaciones puedan efectivamente escuchar a todas las otras (lo que está
básicamente asumido en los mecanismos del tipo “detección de colisiones”).
En las redes inalámbricas, el hecho de “escuchar” el medio y verlo “libre” no
asegura que realmente lo esté en puntos cercanos. Es por ello que el mecanismo
utilizado en las WLAN se basa en evitar las colisiones, y no en detectarlas.
Esto se logra de la siguiente manera:
1. Si una máquina desea transmitir, antes de hacerlo “escucha” el medio. Si lo
encuentra ocupado, lo intenta más tarde. Si lo encuentra libre durante un
tiempo (denominado IFS = Distributed Inter Frame Space), la máquina
puede comenzar a transmitir.
2. La máquina destino recibe la trama, realiza el chequeo de CRC y envía una
trama de reconocimiento (ACK)
3. La recepción de la trama ACK indica a la máquina original que no existieron
colisiones. Si no se recibe el ACK, se retransmite la trama hasta que se
reciba el ACK, o se supere el máximo número de retransmisiones.
Redes de Datos
Página 41
Redes Corporativas
Para poder implementar un sistema de prioridades en la transmisión, se definen
tres tiempos de espera diferentes (IFS), cada uno con una duración
preestablecida:
•
DIFS: Distributed-coordinated-function (DCF) Inter Frame Space. Se utiliza
cuando se desea enviar datos largos y de baja prioridad.
•
SIFS: Short Inter Frame Space: Se utiliza cuando se desea enviar datos
cortos y de alta prioridad (por ejemplo, paquetes ACK)
•
PIFS: Point-Coordination-Function (PCF) Inter Frame Space: Se utiliza solo
cuando el AP coordina las transmisiones. Tiene una duración intermedia
entre DIFS y SIFS.
A los efectos de reducir la probabilidad de que dos máquinas transmitan al mismo
tiempo debido a que no se escuchan entre sí, la recomendación define un
mecanismo de “detección virtual de portadora” (Virtual Carrier Sense), que
funciona de la siguiente forma:
Una máquina que desea transmitir una trama, envía primero una pequeña trama
de control llamada “RTS” (Request To Send, o “Solicitud para poder Enviar”), que
incluye la dirección de origen y destino, y la duración de la siguiente trama
(incluyendo la trama a enviar y su correspondiente respuesta ACK). La máquina
de destino responde (si el medio está libre) con una trama de control llamada
“CTS” (Clear To Send, o “Todo está libre para que envíes”), que incluye la misma
información de duración.
Todas las máquinas reciben el RTS y/o el CTS, y por lo tanto, reciben la
información de por cuanto tiempo estará ocupado el medio. De esta manera,
tienen un “indicador virtual” de ocupación del medio, que les informa cuánto
tiempo deben esperar para poder intentar transmitir.
Este mecanismo reduce la probabilidad de colisiones en el área del receptor. Si
existen máquinas que están fuera del alcance del emisor, pero dentro del alcance
del receptor, recibirán la trama CTS (enviada por el receptor) y aunque no puedan
escuchar la trama del emisor, no ocuparán el medio mientras ésta dure.
Las tramas IEEE 802.11 difieren de las tramas IEEE 802.3 que se detallaron en
3.1.3. A diferencia de las sencillas tramas 802.3, una red inalámbrica necesita
intercambiar entre sus nodos información de control, implementar procesos de
registración, administración de movilidad y de energía, y mecanismos de
seguridad. Por ello, fue necesario agregar campos adicionales a las tramas MAC
de IEEE 802.11, así como definir, además de tramas de datos, tramas de control y
administración.
Como se vio anteriormente, la capa física (PHY) incluye el preámbulo, SFD (Start
of frame) y el largo de la trama. La trama generada en la capa MAC en IEEE
802.11 se detalla a continuación:
Frame
control
2
Dur/ID
Dirección
1
1
6
Redes de Datos
Dirección
2
6
Dirección
3
Control
de
secuenc
ia
6
2
Dirección
4
6
Dato
s /
Relle
no
CR
C
0-2312
4
Página 42
Redes Corporativas
El primer campo, Frame Control, indica el tipo de trama (codificado con 2 bits,
permite diferencia entre tramas de datos, tramas de control o tramas
administrativas), y el subtipo (codificado con 4 bits, permite hasta 16 subtipos de
trama para cada tipo). Indica también si los datos se encuentran o no encriptados.
Dentro de éste campo se reservan 2 bits para el tipo de trama (permitiendo hasta
4 tipos diferentes. El campo Duración / ID se utiliza para identificar el largo de los
datos fragmentados que siguen. A diferencia de la trama IEEE 802.3, esta trama
tiene 4 campos de direcciones, correspondientes al origen, al destino, y a las
direcciones de los AP a los que fuente y destino están conectados. El campo
Control de secuencia es utilizado para numerar los datos fragmentados. Los datos
puede tener un largo máximo de 2.312 bytes (superior a los 1.500 bytes
soportados por 802.3). Finalmente, se utilizan 4 bytes para control de errores,
CRC.
Como se mencionó anteriormente, la subcapa MAC cotiene, adicionalmente, una
subcapa de gerenciamiento (MAC Management). Esta subcapa se encarga de la
administración del establecimiento de las comunicaciones entre las estaciones y el
AP. Esta subcapa implementa los mecanismos necesarios para soportar la
movilidad.
Uno de las tareas de la subcapa de gerenciamiento es el proceso de registración,
el que se lleva a cabo mediante el intercambio de tramas del tipo “Association
Request”, enviadas por el terminal al AP y “Association response”, enviadas del
AP al terminal.
Adicionalmente, el AP envía en forma cuasi-periódica, cada aproximadamente 100
ms, tramas administrativas del subtipo “beacon” (“baliza”). Estas tramas permiten
la sincronización y el control de la potencia recibida por parte de los terminales.
Otra de las tareas de la subcapa de gerenciamiento es la controlar los “handoffs”,
es decir, la movilidad de un terminal desde un AP a otro. Cuando la potencia de la
señal recibida en la tramas “beacon” disminuye por debajo de un determinada
umbral, el terminal puede comenzar un proceso de reasociación, hacia otro AP
cuya potencia de señal sea mayor. Para este proceso se intercambian tramas
administrativas del tipo “Reassociation Request” y “Reassociation Response) entre
el terminal y el nuevo AP.
3.5.4 Alcance de IEEE 802.11
El alcance de las redes WLAN depende de diversos factores, como ser, velocidad
de transmisión, modulación utilizada, tipo de ambiente de trabajo (abiertos o
cerrados), tipo y materiales de las construcciones cercanas, interferencias
externas, etc.
Algunas reglas generales pueden tenerse en cuenta: Existe una relación entre la
longitud de onda y el alcance. Señales con mayores longitudes de onda (menores
frecuencias) llegarán más lejos que señales con menores longitudes de onda
(mayores frecuencias). Adicionalmente, las mayores longitudes de onda tienen
Redes de Datos
Página 43
Redes Corporativas
mejor propagación a través de sólidos (como paredes, por ejemplo). Otra relación
genérica es que, a medida que la velocidad aumenta, el alcance disminuye.
Finalmente, la modulación utilizada tiene su efecto en el alcance. OFDM es una
técnica más eficiente que DSSS, permitiendo, a iguales distancias mayores
velocidades de información, o a iguales velocidades, mayor alcance.
La siguiente tabla ilustra una aproximación de los alcances en las diversas
tecnologías y velocidades [21]
802.11a (40 mW with 6
dBi gain diversity patch
antenna) Range
802.11g (30 mW with 2.2
dBi gain diversity dipole
antenna)
54
13 m
27 m
-
48
15 m
29 m
-
36
19 m
30 m
-
24
26 m
42 m
-
18
33 m
54 m
-
12
39 m
64 m
-
11
-
48 m
48 m
9
45 m
76 m
-
6
50 m
91 m
-
5.5
-
67 m
67 m
2
-
82 m
82 m
1
-
124 m
124 m
Data Rate (Mbps)
802.11b (100 mW with
2.2 dBi gain diversity
dipole antenna)
Puede verse como 802.11a tiene, en similares condiciones, menor alcance que
802.11g (para las mismas velocidades). Asimismo puede verse como las técnicas
OFDM utilizadas en 802.11g permiten tener mayor alcance que las DSSS (por
ejemplo, notar que hay mayor alcance en 802.11g a 18 Mb/s (OFDM) que a 11
Mb/s (DSSS, por compatibilidad con 802.11b)
Los métodos habituales para lograr mayores alcances consisten en:
•
•
•
Repetidores: Son equipos que “escuchan” las señalas de los AP y los
retransmiten, logrando servir a áreas a los que el AP no llegaría
Amplificadores: Son equipos que aumentan la potencia de salida, y se
conectan entre la salida de RF y la antena [22].
Antenas direccionales: Concentran la potencia radiada, aumentando el
alcance en una zona, y disminuyéndola en otras.
3.5.5 Seguridad en redes inalámbricas
Los aspectos de seguridad son especialmente importantes en redes inalámbricas.
En la recomendación IEEE 802.11 original, era recomendado el uso del
mecanismo de seguridad conocido como “WEP” (Wired Equivalent Privacy). Este
mecanismo fue diseñado de manera de ofrecer una seguridad equivalente a la que
existe en las redes cableadas.
Redes de Datos
Página 44
Redes Corporativas
WEP es un algoritmo que encripta las tramas 802.11 antes de ser transmitidas,
utilizando el algoritmo de cifrado de flujo RC4. Los receptores desencriptan las
tramas al recibirlas, utilizando el mismo algoritmo. Como parte del proceso de
encriptación, WEP requiere de una clave compartida entre todas las máquinas de
la WLAN, la que es concatenada con una “vector de inicialización” que se genera
en forma aleatoria con el envío de cada trama. WEP utiliza claves de 64 bits para
encriptar y desencriptar.
Este mecanismo ha resultado poco seguro, y la Wi-Fi propuso en 2003, como
mejora, el algoritmo conocido como WPA (Wi-Fi Protected Access). WPA estuvo
basado en los borradores de la (en ese entonces) futura recomendación IEEE
802.11i y fue diseñado para utilizar un servidor de autenticación (normalmente un
servidor RADIUS), que distribuye claves diferentes a cada usuario (utilizando el
protocolo 802.1x [23]). Sin embargo, también se puede utilizar en un modo menos
seguro de clave pre-compartida (PSK - Pre-Shared Key). Al igual que WEP, la
información es cifrada utilizando el algoritmo RC4, pero con una clave de 128 bits
y un vector de inicialización de 48 bits. Una de las mejoras de WPA sobre WEP,
es la implementación del Protocolo de Integridad de Clave Temporal (TKIP Temporal Key Integrity Protocol), que cambia las claves dinámicamente a medida
que el sistema es utilizado. Esto junto con el uso de un vector de inicialización más
grande, mejora sustancialmente la seguridad de WPA frente a WEP. La Wi-Fi ha
denominado WPA-Personal cuando se utiliza una calve pre-compartida y WPAEnterprise cuando se utiliza un servidor de autenticación.
En 2004 la IEEE completó la recomendación IEEE 802.11i [24], la que provee
mejoras en los mecanismos de seguridad originalmente propuestos en WEP. En
este nuevo estándar, se proveen tres posibles algoritmos criptográficos: WEP,
TKIP y CCMP (Counter-Mode / Cipher Block Chaining / Message Authentication
Code Protocol). WEP y TKIP se basan en el algoritmo de cifrado RC4, mientras
que CCMP se basa en el algoritmo AES (Advanced Encryption Standard),
desarrollado originalmente por el NIS. AES es un algoritmo de cifrado de bloque
con claves de 128 bits (mientras que RC4 es un algoritmo de cifrado de flujo).
La Wi-Fi adoptó la recomendación 802.11i con el nombre WPA2. Está basado en
el mecanismo RSN (Robust Security Network), y mantiene todos los mecanismos
previamente introducidos en WPA. En marzo de 2006, la Wi-Fi impuso como
obligatorio cumplir con WPA2 para obtener el certificado de compatibilidad.
Redes de Datos
Página 45
Redes Corporativas
4 Redes PAN
Las redes “PAN”, o “Personal Area Network” están diseñadas para el intercambio
de datos entre dispositivos cercanos (Laptops, teléfonos celulares, PCs, PDA,
etc.). Se trata de redes inalámbricas de corto alcance, y velocidad media (algunos
Mb/s), aunque estándares de alta velocidad (más de 50 Mb/s) están siendo
desarrollados.
Estas redes son generalmente del tipo “Ad-Hoc”, ya que no existe infraestructura
previa para que la red pueda formarse. Se denominan en forma genérica MANET
(Mobile Ad-hoc Networks) y consisten en una colección de terminales inalámbricos
que dinámicamente pueden conectarse entre sí, en cualquier lugar e instante de
tiempo, sin necesidad de utilizar infraestructuras de red preexistente. Los
terminales pueden ser disímiles en sus características y prestaciones (Laptops,
PDAs, Pocket PCs, teléfonos celulares, sensores inalámbricos, etc.) Se trata de
un sistema autónomo, auto organizado y adaptativo, en el que los equipos móviles
pueden moverse libremente y actuar simultáneamente como terminales y
enrutadores (o routers).
Dado que no todos los terminales son capaces de tener alcance directo a todos
los otros, sus nodos deben cooperar, en la medida de sus posibilidades, reenrutando paquetes (recodar que no hay elementos “centrales”). Asimismo,
deberán intercambiar información acerca de la topología de la red y sus
dispositivos, generando dinámicamente tablas de ruteo.
Varios aspectos deben ser resueltos para que este tipo de redes funcionen, entre
los que se destacan [25]:
•
Uso y licenciamiento del espectro utilizado
Las bandas del espectro están reguladas en cada país. Hay bandas de uso
“libre” (como la ISM), pero dicha banda está comenzando a ser
“superpoblada” (Redes WLAN, microondas, teléfonos inalámbricos, etc.
está utilizando esta banda). Por otro lado, de elegir alguna banda
licenciada, no está claro quien debería obtener los derechos de la misma
para utilizara en redes MANET.
•
Mecanismos de acceso al medio
Dado que no hay puntos centrales, los protocolos de acceso al medio
deben ser especialmente diseñados, y estar adaptados a la gran movilidad
de éste tipo de redes
•
Protocolos de ruteo
La gran movilidad de estas redes hacen que los enlaces se creen y
desaparezcan rápidamente. Por esta razón los protocolos clásicos de ruteo,
utilizados en redes fijas o con baja movilidad, no son directamente
aplicables a este tipo de redes. Nuevos protocolos de ruteo están siendo
estudiados para este tipo de redes.
•
Multicasting
Al igual que con el ruteo, la movilidad en los nodos enrutadores no está
prevista en los protocolos clásicos de Multicast. Nuevas técnicas, que
Redes de Datos
Página 46
Redes Corporativas
minimicen en ancho de banda y la difusión de paquetes deben ser
diseñadas para estas redes.
•
Uso eficiente de la energía
La mayoría de los protocolos de red no consideran los factores referentes al
consumo de energía, ya que asume equipos fijos, conectados a fuentes
externas. Sin embargo, las redes MANET están pensadas para dispositivos
pequeños y móviles, operados con baterías. Las técnicas existentes de
baterías aún están poco avanzadas, comparado con la microelectrónica.
Esto hace que la vida útil de las baterías de los equipos móviles sea muy
limitada, y por lo tanto, la preservación de la energía es un factor clave en
las redes MANET, especialmente si se piensa que parte de esa energía
deberá ser usada para enrutar paquetes de terceros.
•
Performance del protocolo TCP
El protocolo TCP esta designado para establecer conexiones “confiables”
sobre redes no orientadas a la conexión (como es el caso de Internet o IP).
TCP asume que los nodos en las rutas son estáticos (es decir, no tienen
movilidad), y por lo tanto, miden el RTT (Round-trip time) y la pérdida de
paquetes para detectar congestiones en la red. Sin embargo, TCP no puede
distinguir si un nodo intermedio está congestionado, o se ha movido. Será
necesario introducir mejoras a este protocolo, para que pueda funcionar
correctamente en redes MANET.
•
Seguridad y privacidad
Los aspectos de seguridad siempre deben ser tenidos en cuenta, en
especial en redes inalámbricas. Dado que este tipo de redes no tiene
controladores centrales, las funciones de seguridad y privacidad deberán
estar omnipresentes en todos los nodos, estableciendo reglas acerca de
que paquetes pueden o no ser enrutados, por ejemplo, basado en la
autenticidad del emisor.
Las redes MANET tienen utilidad en aquellos entornos donde la infraestructura de
comunicaciones es escasa, no existe, resulta costosa o es impracticable. Sus
aplicaciones varían desde la domótica hasta el campo de batalla. Quizás el uso
más directo es el relacionado con la comunicación en pequeñas distancias de
dispositivos heterogéneos, eliminando la necesidad de cables de interconexión.
Ejemplos de redes PAN son Bloutooth y IEEE 802.15, que se presentarán
brevemente a continuación.
Redes de Datos
Página 47
Redes Corporativas
4.1 Bluetooth
4.1.1 Origen e historia
El nombre Bluetooth tiene sus orígenes en Harald Blåtand (en Inglés Harald I
Bluetooth), quien fue Rey de Dinamarca, entre los años 940 y el 985. El nombre
“Blåtand” fue probablemente tomado de dos viejas palabras danesas: 'blå', que
significa “piel oscura” y 'tan' que significa “gran hombre”. Como buen Vikingo,
Harald consideraba honorable pelear por tesoros en tierras extranjeras. En 1960
llegó a la cima de su poder, gobernando sobre Dinamarca y Noruega.
Harald fue bautizado por un sacerdote enviado por el emperador de Alemania, y
fue quien introdujo el Cristianismo en su reino. Como recordatorio perpetuo de su
reinado, erigió un monumento con lo siguiente inscripción: “El Rey Harald leventa
este monumento en memoria de Grom, su padre y Thyre, su madre. Harald
conquistó Dinamarca y Noruega y convirtó a los daneses al cristianismo”. Estas
palabras fueron talladas en runa1, sobre una Gran Piedra que mide 2,43 metros y
pesa 10 toneladas. Tiene tres caras. Una de ellas contiene las runas con el
mensaje anteriormente citado. En la otra aparece la que está considerada la
imagen nórdica más antigua de Cristo, prueba de que el Cristianismo había
penetrado en Dinamarca. Curiosamente, la tercera cara de la Gran Piedra
representa un gran animal y una serpiente, símbolos paganos legado de las
creencias tradicionales danesas.
Harald fue asesinado en 985. Durante su reinado, completó la unificación de su
reino, comenzada por su padre, convirtió a los daneses al cristianismo y conquistó
Noruega. Su hijo, Sweyn I, culminó la expansión, conquistando también Inglaterra
en 1013.
Así como el antiguo Harlad unificó Dinamarca y Noruega, los creadores de
Bluetooth esperan que ésta tecnología unifique los mundos de los dispositivos
informáticos y de telecomunicaciones. Es así que en 1998 las compañías
Ericsson, Nokia, IBM, Toshiba e Intel formaron un “Grupo de Interés Especial”
(SIG = Special Interest Group) para desarrollar una tecnología de conectividad
inalámbrica entre dispositivos móviles de uso personal, que utilizara la banda no
licenciada de frecuencias (ISM). Actualmente, más de 2.500 compañías se han
afiliado al grupo Bluetooth.
La siguiente figura ilustra la runa original de Harald [26] y el símbolo de Bluetooth
[27]
1
Los caracteres que se empleaban en la escritura de los antiguos escandinavos se denominan
“Runa”
Redes de Datos
Página 48
Redes Corporativas
4.1.2 Tecnología Bluetooth
Bluetooth [28] es un sistema de comunicación de corto alcance, diseñado para
reemplazar los cables que conectan equipos portables entre sí o con equipos fijos.
Las principales características de éste tecnología inalámbrica se centra en su
robustez y su bajo consumo de potencia.
Un sistema Bluetooth consiste en un receptor y emisor de RF, un sistema de
“banda base” y un conjunto de protocolos.
La capa física de Bluetooth, es un sistema de Radio Frecuencia que opera en la
banda ISM de 2.4 GHz. Utiliza técnicas de modulación basadas en FHSS
(Frequency Hopping Spread Spectrum), de manera similar a IEEE 802.11.
La técnica FHSS (Frequency Hopping Spread Spectrum) consiste en modular la
señal a transmitir con una portadora que “salta” de frecuencia en frecuencia,
dentro del ancho de la banda asignada, en función del tiempo. El cambio periódico
de frecuencia de la portadora reduce la interferencia producida por otra señal
originada por un sistema de banda estrecha, afectando solo si ambas señales se
transmiten en la misma frecuencia en el mismo momento.
Se transmite 1 Mega símbolo por segundo (1 Ms/s), soportando velocidades
binarias de 1 Mb/s (“Basic Rate”), o con EDR (“Enhanced Data Rate”), 2 o 3 Mb/s.
Los dispositivos Bluetooth cercanos, forman una “piconet”, dentro de la cual, uno
de los dispositivos cumple el rol de “Maestro”, mientras que los demás asumen el
rol de “Esclavos”. Durante una operación típica, un mismo canal de radio es
compartido por el grupo de la piconet, sincronizándose todos los esclavos al
patrón de saltos de frecuencias impuesto por el maestro. Este patrón de saltos
está determinado algorítmicamente por la dirección y el reloj del “maestro”, y utiliza
las 79 posibles frecuencias de la banda ISM de 2.4 GHz. Se dispone de técnicas
adaptivas, que excluyen las frecuencias en las que se detecta interferencias, a los
efectos de poder coexistir con otros sistemas que utilicen frecuencias fijas dentro
de la banda.
Redes de Datos
Página 49
Redes Corporativas
El canal físico es subdividido en unidades de tiempo (“time slots”). Los datos son
transmitidos entre los dispositivos en paquetes dentro de estos time slots. Se logra
un efecto “full duplex” mediante técnicas del tipo TDD (Time-Division Duplex)
Dentro de un canal físico, se pueden establecer canales lógicos de comunicación,
entre los dispositivos de una piconet. Sin embargo, éstos canales lógicos
solamente pueden establecerse entre un maestro y hasta 7 esclavos. Los
esclavos no pueden establecer canales lógicos entre sí. Deben necesariamente
pasar por un maestro.
Solo hasta 8 dispositivos activos pueden formar una piconet. Más de 8 dispositivos
pueden estar dentro de la piconet, pero no en estado activo, sino “estacionados”
(“parked”) o en stand-by.
Un mismo dispositivos puede formar parte de más de una piconet, pero no puede
ser Maestro en más de una a la vez. En este caso, el dispositivo que pertenece a
más de una piconet podrá eventualmente, enrutar paquetes entre ambas piconets.
La unión de varas piconets interconectadas se denomina “scatternet”.
La siguiente figura ilustra una posible distribución de 20 dispositivos en una
scatternet, formada por 3 piconets, dónde dos de las dispositivos son maestros de
una piconet y esclavos de otra.
Esclavo P3
Esclavo de
P1 y Master
de P2
P2
P3
P1
A
Esclavo de
P1 y Master
de P3
Nodo
Master
P1
A:
de
P1: Piconet 1
P2: Piconet 2
P3: Piconet 3
En este ejemplo, se forman 3 piconets P1, P2 y P3. El nodo designado como A es
Maestro de la piconet P1. A esta piconet se le asignan otros 7 nodos Esclavos. 2
de estos nodos esclavos, se designan, a su vez, como Maestros de los piconets
Redes de Datos
Página 50
Redes Corporativas
P2 y P3 respectivamente, dónde se distribuyen como Esclavos los 12 nodos
restantes (6 a la piconet P2 y 6 a la piconet P3).
Esta configuración permite tener un máximo de 2 saltos desde cualquier nodo al
nodo A. Por otra parte, se requiere un máximo de 4 saltos para llegar de cualquier
nodo a cualquier otro (dándose este máximo cuando se quiere llegar de nodos
Esclavos de P2 a nodos Esclavos de P3)
4.1.3 Consumo y Alcance en Bluetooth
El consumo de potencia es uno de los temas especialmente considerado en la
tecnología Bluetooth. Dado que los dispositivos que utilizan esta tecnología
(PDAs, hand helds, teléfonos celulares, etc) son generalmente alimentados con
baterías de corta autonomía, las aspectos relacionados al consumo deben tenerse
muy en cuenta.
Es generalmente admitido que los módems Bluetooth consumen menos potencia
que los de IEEE 802.11. En las páginas del sitio de Bluetooth se menciona que
ésta tecnología utiliza la quinta parte de la potencia que la tecnología Wi-Fi [29].
Sin embargo, algunos estudios muestran que diferentes productos del mercado
802.11 pueden tener grandes diferencias de consumo entre sí, llegando a medir
un factor de 15 entre el de menor y el de mayor consumo [30]. Los de menor
consumo, podrían entran en la franja de consumos de los productos Bluetooth
En Bluetooth las clases de los dispositivos definen la potencia de emisión, y por lo
tanto, el alcance típico, según la siguiente tabla [31]:
Clase
Potencia máxima
(Pmax)
Potencia
nominal
Potencia Mínima
Alcance
1
100 mW (20 dBm)
N/A
1 mW (0 dBm)
100 m
2
2.5 mW (4 dBm)
1 mW (0 dBm)
0.25 mW (-6 dBm)
10 m
3
1 mW (0 dBm)
N/A
N/A
1m
4.1.4 Arquitectura y modelo de capas en Bluetooth
Una de las características de Bluetooth es que provee un conjunto completo de
protocolos que permite la intercomunicación de aplicaciones entre dispositivos, a
diferencia de IEEE 802.11 que especifica únicamente las tres capas más bajas del
modelo.
El modelo de capas de Bluetooth se esquematiza en la siguiente figura:
Redes de Datos
Página 51
Redes Corporativas
Applications
Other
TC
S
RFCOMM
SDP
Application Framework and
Support
Data
Con
trol
HCI: Host Controller
Interface
Audio
L2CAP
Link Manager and L2CAP
LMP
Baseband
Radio & Baseband
RF
La capa RF contiene el MODEM de radio utilizado para la transmisión y recepción
de información, en la banda ISM de 2.4 GHz, mediante modulación FHSS, como
se mencionó anteriormente.
La capa de banda base (“Baseband”) se encarga del control del enlace a nivel de
bits y paquetes. En particular esta capa establece la codificación y encripción, así
como las reglas de saltos de frecuencias.
La capa LMP (“Link Management Protocol”) establece los enlaces con los otros
dispositivos. Es responsable de conectar maestros con esclavos dentro de una
piconet, y administrar sus modos de operación (activos, estacionados) y sus
potencias.
Estas tres capas más bajas del protocolo se implementan generalmente dentro del
chip Bluetooth, e interactúan con las capas superiores a través de una interfaz
denominada HCI (“Host Controller Interface”).
La capa L2CAP (“Logical Link Control and Adaptation Protocol”) proporciona
servicios de datos tanto orientados a conexión como no orientados a conexión a
Redes de Datos
Página 52
Redes Corporativas
los protocolos de las capas superiores, junto con facilidades de multiplexación y de
segmentacion y reensamblaje. L2CAP permite que los protocolos de capas
superiores puedan transmitir y recibir paquetes de datos L2CAP de hasta 64
kilobytes de longitud.
L2CAP se basa en el concepto de canales. Un canal es una conexión lógica que
se sitúa sobre la conexión de banda base. Cada canal se asocia a un único
protocolo. Cada paquete L2CAP que se recibe a un canal se redirige al protocolo
superior correspondiente. Varios canales pueden operar sobre la misma conexión
de banda base, pero un canal no puede tener asociados más de un protocolo de
alto nivel.
Por sobre L2CAP se ubican las capas RFCOMM, SDP y TCS. El protocolo
RFCOMM proporciona emulación de puertos RS-232 serie a través del protocolo
L2CAP. Este protocolo se basa en el estándar de la ETSI denominado TS 07.10.
RFCOMM es utilizado para establecer comunicaciones seriales punto a punto,
emulando el protocolo RS-232 a través de RF. Sobre este protocolo pueden
implementarse diferentes aplicaciones, como por ejemplo:
•
•
•
OBEX: Es un protocolo muy utilizado para transferencias de archivos entre
dispositivos móviles, por ejemplo, tarjetas de visita o entradas de agenda
(por ejemplo, entre teléfonos celulares y PDAs).
PPP: El protocolo Point to Point puede ser implementado sobre RFCOMM,
permitiendo, a su vez, implementar sobre él protocolos UDP y TCP
Comando AT: Pueden emularse comandos de modems a través de
RFCOMM
El protocolo SDP (“Service Discovery Protocol”) permite a las aplicaciones
“cliente” descubrir la existencia de diversos servicios proporcionados por uno o
varios “servidores de aplicaciones”, junto con los atributos y propiedades de los
servicios que se ofrecen. Estos atributos de servicio incluyen el tipo o clase de
servicio ofrecido y el mecanismo o la información necesaria para utilizar dichos
servicios. Los dispositivos que actúan como servidores de aplicaciones mantienen
una lista de registros de servicios, los cuales describen las características de los
servicios ofrecidos. Cada registro contiene información sobre un determinado
servicio. Un cliente puede recuperar la información de un registro de servicio
almacenado en un servidor SDP lanzando una petición SDP. Si el cliente o la
aplicación asociada con el cliente decide utilizar un determinado servicio, debe
establecer una conexión independiente con el servicio en cuestión. SDP
proporciona un mecanismo para el descubrimiento de servicios y sus atributos
asociados, pero no proporciona ningún mecanismo ni protocolo para utilizar dichos
servicios.
Redes de Datos
Página 53
Redes Corporativas
El protocolo TCP (“Telephony Control Protocol”) define la señalización para el
control de llamadas de voz para aplicaciones de telefonía inalámbrica. Está
basado en el protocolo ITU-T Q.931.
El Audio es directamente transferido de la aplicación a la banda base. Bluetooth
soporta hasta 3 canales de audio full duplex simultáneamente. Puede utilizar
codecs con técnicas CVSD (Continuous Variable Slope Delta Modulation) a 64
kb/s, o PCM (ley A o ley Mu)
4.2 IEEE 802.15
El grupo de trabajo IEEE 802.15 ha desarrollado un estándar de WPAN basado en
las especificaciones existentes de Bluetooth. El estándar IEEE 802.15.1 fue
publicado en junio de 2002 y revisado en mayo de 2005 [32]
Este estándar es una adaptación de la versión 1.1 de Bluetooth en lo referente a la
capa física (PHY) y a la capa de enlace (MAC), incluyendo L2CAP y LMP.
La siguiente figura, tomada de la recomendación IEEE 802.15, ilustra la
correspondencia entre las capas del modelo ISO – OSI, frente a las de IEEE 802 y
IEEE 802.15.1
Redes de Datos
Página 54
Redes Corporativas
4.3 Coexistencia IEEE 802.15/Bluetooth y IEEE 802.11
Una de las principales preocupaciones de la IEEE es la coexistencia de Bluetooth
con IEEE 802.11b, ya que ambos utilizan la misma porción del espectro, y tienen
mecanismos de transmisión similares. Para abordar este problemática, se designó
al “Task group 2” (grupo de trabajo 2), que desarrolló la recomendación IEEE
802.15.2 [33]
Bluetooth utiliza técnicas FHSS de 1.600 saltos por segundo a 1 Mb/s, ocupando
todo el ancho de banda disponible en la banda ISM de 2.4 GHz. IEEE 802.11b
utiliza FHSS de 2.5 saltos por segundo para velocidades bajas y DSSS y CCK
para velocidades mayores, lo que lleva a que los problemas de interferencia y
coexistencia deban ser analizados en detalle. Puede leerse el capítulo 13.5 de la
referencia [34] para profundizar en los problemas de interferencia.
La recomendación IEEE 802.15.2 estable prácticas para facilitar la coexistencia de
estas dos tecnologías. Estas prácticas se dividen en dos categorías de
mecanismos de coexistencia:
•
Colaborativos: Cuando puede existir intercambio de información entre las
dos redes inalámbricas (por ejemplo, cuando el mismo equipo es 802.15.1 y
802.11b). Dentro de esta categoría se establecen los siguientes
mecanismos de coexistencia:
o Acceso al medio inalámbrico alternado (Alternating wireless medium
access)
o Arbitraje de tráfico de paquetes (Packet traffic arbitration)
o Supresión de interferencia determinística (Deterministic interference
supression)
•
No colaborativos: Cuando no es posible intercambiar información entre las
redes inalámbricas
o Supresión de
supression)
interferencia
adaptativa
(Adaptive
interference
o Selección de paquete adaptativo (Adaptive packet selection)
o Agendamiento de paquetes para enlaces ACL (Packet scheduling for
ACL links)
o Agendamiento de paquetes para enlaces SCO (Packet scheduling
for SCO links)
o Saltos de frecuencia adaptativos (Adaptive frequency-hopping)
Las técnicas colaborativas son las más efectivas, pero solo pueden realizarse
dentro de un mismo dispositivo que tenga ambas tecnologías. En este caso, se
pueden combinar las técnicas AWMA (Alternating wireless medium access) y PTA
(Packet traffic arbitration), como se muestra en la siguiente figura:
Redes de Datos
Página 55
Redes Corporativas
Redes de Datos
Página 56
Redes Corporativas
5 Redes WAN
Las redes de área extendida (WAN: Wide Area Network) son aquellas que
conectan dos o más redes LAN ubicadas en sitios geográficos distantes.
Las WAN generalmente utilizan protocolos punto a punto, de velocidades bajas a
medias (usualmente menores a 2 Mb/s), y se basan en servicios públicos o en
líneas punto a punto.
Dadas las características propias de las redes WAN, los protocolos y equipos
utilizados difieren de los de las redes LAN.
5.1 Frame Relay
Frame Relay es una tecnología de comunicación utilizada a nivel mundial para
interconectar redes LAN, redes SNA, redes de voz, etc. Típicamente se basa en la
utilización de la infraestructura de red disponible por los prestadores de servicio
público, aunque puede ser también implementada sobre líneas dedicadas.
Frame Relay surgió como es el sucesor de la tecnología X.25, y está pensada
para capas físicas con bajas tasas de errores y velocidades relativamente altas
(de hasta 2 Mb/s, aunque podría funcionar sin problemas a velocidades mayores).
La tecnología Frame Relay se basa en la utilización de circuitos virtuales (VC =
Virtual Circuits) entre las dos redes que se desean conectar. Los circuitos virtuales
son caminos bidireccionales, establecidos entre dos puntos extremos de la red
Frame Relay. Existen dos tipos de circuitos virtuales:
•
PVC (Circuitos virtuales permanentes): Los PVC son circuitos virtuales
permanentes, establecidos por el operador de red (típicamente un prestador
de servicios públicos), a través de su sistema de gestión de la red Frame
Relay. Los PVC son definidos en forma estática, y se requiere la
intervención de un operador para establecerlos y liberarlos. Son “virtuales”
ya que puede no existir una conexión física directa entre ambos extremos,
sino que por software se pueden configurar todos los equipos intermedios
para establecer un “circuito virtual”. Son “permanentes” ya que una vez
establecido el circuito, el mismo permanece en el tiempo, en forma
independiente del tráfico.
Los PVC son los más comúnmente utilizados en Frame Relay.
•
SVC (Circuitos virtuales conmutados): Son circuitos que se establecen
en forma dinámica, “llamada a llamada” (en forma similar a una llamada
telefónica). La implementación de circuitos virtuales es más compleja que la
de circuitos permanentes, pero permite, en principio, conectar cualquier
nodo de la red Frame Relay con cualquier otro.
En la siguiente figura se muestra una red Frame Relay típica, dónde 4 nodos
(redes LAN) están conectados a una red Frame Relay. Cada nodo dispone de un
equipo ruteador (Router), que interconecta la LAN a la red Frame Relay.
Redes de Datos
Página 57
Redes Corporativas
En esta figura, se muestras 3 PVCs establecidos, en forma de estrella. Un extremo
de todos los PVC es uno de los nodos de la red, y los otros extremos se
encuentran en cada uno de los nodos restantes.
Es de hacer notar que el nodo que recibe los 3 PVCs dispone de un único enlace
físico con la red Frame Relay, y no de tres enlaces, como hubiera sido requerido si
se utilizara X.25 u otros protocolos punto a punto. Por otro lado, puede verse en la
figura, dentro de la red Frame Relay, 3 equipos (A, B, C), administrados por el
proveedor del servicio, y configurados para mantener en forma permanente los
PVCs.
Desde el punto de vista del modelo OSI, Frame Relay trabaja a nivel de la capa 2,
implementado únicamente los aspectos esenciales de la recomendación, como ser
chequear que las tramas sean válidas y no contengan errores, pero no solicitando
retransmisiones en caso de detectar errores. Frame Relay se basa en la alta
confiabilidad de la capa física sobre la que trabaja, y deja a los protocolos de
mayor nivel el chequeo de paquetes faltantes, y otros controles de errores.
Redes de Datos
Página 58
Redes Corporativas
5.1.1 Trama Frame Relay
FL
AG
HE
AD
ER
INFORMATION
F
C
S
FL
AG
FECN
BECN
C/R
DE
EA
DLCI
6
S
F
D
1
1
DLCI
4
DA
S S S S
F F F F
DDDD
1 1 1 1
La estructura de la trama Frame Relay se indica en la figura. Comienza con un
indicador de comienzo de trama (Flag) y una cabecera (“Header”) de 2 bytes. Los
datos a transmitir (provenientes de capas superiores, como ser paquetes IP, SNA,
etc.) se “encapsulan” en la trama Frame Relay, en el campo “Information”, luego
de la cabecera.
Dentro de la cabecera de la trama se encuentran los siguientes campos:
•
DLCI (Data Link Connection Identifier): Es un identificador de 10 bits, que
indica la dirección de destino de la trama.
•
C/R (Command/Response Field)
•
FECN (Forward Explicit Congestion Notification): Cuando la red Frame
Relay está congestionada, algunos paquetes pueden ser descartados. Si un
nodo dentro de la red Frame Relay detecta una situación de congestión,
ésta situación es alertada a los nodos siguientes mediante este bit.
•
BECN (Backward Explicit Congestion Notification): De la misma manera
que son alertados los nodos siguientes, el nodo congestionado alerta a los
nodos anteriores acerca de la situación, cambiando este bits, en las tramas
“hacia atrás”. De esta manera el nodo que origina el tráfico puede bajar su
velocidad de transmisión, ayudando a descongestionar la red.
•
DE (Discard Eligibility Indicator): Cuando la red Frame Relay está
congestionada, es necesario descartar tramas. Las primeras tramas a
descartar serán las que tengan encendido el bit “DE”. Este bit es
“encendido” por los nodos de entrada de la red Frame Relay en función del
“CIR” (Ver 5.1.3) contratado por el cliente. Todas las tramas que excedan el
CIR contratado, son marcadas como “DE”.
Redes de Datos
Página 59
Redes Corporativas
•
EA (Extension Bit): Indica si el cabezal es de 2 o 4 bytes.
5.1.2 LMI (Local Management Interface)
A los efectos del intercambio de información entre los equipos del prestador de
servicio y del cliente final, se ha desarrollado el protocolo “LMI”. Este intercambio
de información se utiliza para conocer el estado del enlace y los PVC configurados
en el mismo. Este protocolo es opcional dentro de las recomendaciones de Frame
Relay, pero es habitual que esté implementado en las casi todas las
implementaciones.
El intercambio de información entre equipos se implementa mediante el uso de
tramas especiales de administración, que disponen de números de DLCI
reservados para estos fines. Estas tramas chequean el status de la conexión y
proveen la siguiente información:
•
Indicación de que la interfaz está activa (“keep alive”)
•
Los DLCIs definidos en la interfaz
•
El status de cada circuito virtual, por ejemplo, si está congestionado o no.
Existen tres versions de LMI:
•
LMI: Frame Relay Forum
superceded by FRF.1.1
Implementation
•
Annex D: ANSI T1.617
•
Annex A: ITU Q.933 referenced in FRF.1.1
Agreement
(IA),
FRF.1
Si bien el término LMI es usado comúnmente para referirse al FRF.1 IA, puede ser
usado como término genérico para cualquiera de los 3 protocolos. Cada uno de
los protocolos incluye pequeñas diferencias en el uso e interpretación de las
tramas de control, por lo que es importante que los equipos del proveedor de
servicio estén configurados con el mismo protocolo que los equipos locales.
5.1.3 La contratación de Frame Relay (CIR)
Los servicios públicos Frame Relay se comercializan teniendo en cuenta varios
parámetros, entre los que el “CIR” (Committed Information Rate) es el más
importante. El CIR es la velocidad media de transmisión acordada entre el cliente
y el proveedor de servicio. Es un parámetro que se establece en forma
independiente para cada PVC.
En una configuración típica, un “nodo central” puede tener un enlace con el
prestador de servicios sobre el que se configuran varios PVC, hacia los “nodos
secundarios”, o sucursales. El enlace físico puede ser, por ejemplo, de 1 Mb/s, y
cada PVC puede tener un CIR, por ejemplo, de 64 kb/s.
Redes de Datos
Página 60
Redes Corporativas
Esto significa que la velocidad media de transmisión entre el nodo central y los
nodos secundarios debe ser 64 kb/s (CIR), aunque la velocidad física de cada
trama será de 1 Mb/s.
La velocidad media, se mide sobre un tiempo prefijado, llamado generalmente tc
(generalmente 1 segundo). En el tiempo tc, el cliente se compromete a no pasar
más de Bc bits, equivalentes al CIR x tc kb para un determinado PVC.
Bc (Committed Burst Size) = CIR x tc
Se establece también un tráfico de exceso, llamado generalmente Be (Excess
Burst Size). Las tramas enviadas por el cliente dentro de un tc que excedan Bc
bits, serán marcadas por el proveedor de servicio como “descartables” (Bit “DE”
del cabezal de la trama, ver 5.1.1). Estas serán las primeras tramas a descartar en
caso de que exista congestión en la red Frame Relay.
Las tramas que dentro del mismo intervalo tc excedan Bc + Be serán directamente
descartadas en la entrada de la red Frame Relay.
Para los interesados en profundizar en Frame Relay, se recomienda la lectura de
“The Basic Guide to Frame Relay Networking” [35].
Redes de Datos
Página 61
Redes Corporativas
5.2 ATM
ATM (Asynchronous Transfer Mode) surgió como respuesta a la necesidad de
tener una red multiservicio que pudiera manejar velocidades muy dispares.
Técnicamente puede verse como una evolución de las redes de paquetes. Como
otras redes de paquetes (X.25, Frame Relay, TCP/IP, etc.) ATM integra las
funciones de multiplexación y conmutación. A su vez está diseñada para soportar
altos picos de tráfico y permite interconectar dispositivos que funcionen a distintas
velocidades. ATM está especialmente diseñada para soportar aplicaciones
multimedia (voz y video, por ejemplo).
Si bien ATM puede ser usada como soporte para servicios dentro las redes de
área locales, en usuarios finales, su principal protagonismo ha estado en las redes
de “backbone” de los proveedores de servicios públicos.
Los protocolos de ATM están estandarizados por la ITU-T, y con especial
contribución del “ATM Forum”. El “ATM Forum” es una organización voluntaria
internacional, formada por fabricantes, prestadores de servicio, organizaciones de
investigación y usuarios finales.
Algunas de las ventajas de ATM frente a otras tecnologías son:
•
Alta performance, realizando las operaciones de conmutación a nivel de
hardware
•
Ancho de banda dinámico, para permitir el manejo de picos de tráfico
•
Soporte de “clase de servicio” para aplicaciones multimedia
•
Escalabilidad en velocidades y tamaños de redes. ATM soporta velocidades
de T1/E1 (1.5 / 2 Mb/s) hasta STM-16 (2 Gb/s)
•
Arquitectura común para las redes de LAN y WAN
De forma similar al modelo OSI (Ver 2) ATM también está diseñada en un modelo
de capas. En el caso de ATM, el modelo de capas puede verse en varios “planos”,
como se esquematiza en la figura
Plano de Management
Capas superiores
Capa AAL (ATM Adaptation Layer)
Capa ATM
Capa física
Redes de Datos
Página 62
Redes Corporativas
A continuación se describen las Capas físicas, ATM y AAL. Para una mejor
comprensión, se comienza describiendo la capa ATM, luego la AAL y por último la
capa Física.
5.2.1 Capa ATM
La Capa ATM es la responsable de transportar la información a través de la red.
ATM utiliza “conexiones virtuales” para el transporte de la información. Estas
conexiones virtuales, pueden ser permanentes (PVC) o del tipo “llamada a
llamada” (SVC).
5.2.1.1 Celdas ATM
Para poder manejar los requerimientos de tiempo real, se optó por usar unidades
de tamaño fijo y pequeño. Estas unidades, llamadas celdas, contiene 48 bytes de
información y 5 bytes de “cabecera”. Este tamaño fijo y pequeño asegura que la
información de tiempo real, como el audio y el video no se vea afectada por la
duración de tramas o paquetes largos (recordar que Ethernet o Frame Relay,
permiten paquetes de más de 1.500 bytes). La siguiente figura muestra la
estructura del cabezal de las tramas ATM, que contiene los siguientes campos:
HEADER
INFORMATION
5
48
GFC
VPI
VPI
VCI
Byte 1
VCI
VCI
PTI
HEC
C
Byte 5
8 bits
•
GFC (Generic Flow Control): Es usado únicamente en conexiones que
van desde un usuario final hasta el primer nodo ATM de una red pública
(UNI = User to Network Interface ), como control de flujo entre el usuario y
la red. En conexiones entre nodos ATM de la red pública (NNI = Network to
Network Interface), no se utiliza este campo.
•
VPI (Virtual Path Identifier): Al igual que Frame Relay, ATM brinda
servicios orientados a la conexión, basados en circuitos virtuales
permanentes (PVC) o temporales (SVC). El campo VPI contiene el
identificador del camino virtual al que pertenece la trama
Redes de Datos
Página 63
Redes Corporativas
•
VCI (Virtual Channel Identifier): Dentro de un mismo camino virtual
(identificado por el VPI), pueden establecerse varios canales o circuitos
virtuales (VCC). El campo VCI identifica cada circuito o canal virtual dentro
del camino virtual.
•
PTI (Payload Type Indicator): Indica el tipo de datos o información que
transporta la celda en los 48 bytes de “Información”. Es de hacer notar que
este campo no siempre transporta “datos”, sino que algunas cedas utilizan
este campo para enviar información de señalización, mensajes
administrativos de la red, etc.
•
CLP (Cell Loss Priority): Es utilizado como marca de prioridad de la celda
o trama. En caso de congestión, la red puede descartar los paquetes de
menor prioridad (CLP = 1). Las celdas marcadas con CLP = 0 se
consideran de alta prioridad y no deberían ser descartadas.
•
HEC (Header Error Control): Es un byte de control de errores en el
cabezal. Únicamente se realiza control de errores sobre el cabezal. El
algoritmo utilizado permite corregir errores en 1 bit
5.2.2 Capa AAL (ATM Adaptation Layer)
La capa AAL realiza el “mapeo” necesario entre la capa ATM y las capas
superiores. Esto es generalmente realizado en los equipos terminales, en los
límites de las redes ATM.
La red ATM es independiente de los servicios que transporta. Por lo tanto, la
“información” de cada celda es transportada en forma transparente a través de la
red ATM. La red ATM no conoce la estructura ni procesa el contenido de la
información que transporta. Por ello es necesario, en los límites de la red ATM,
una capa que adapte los diversos servicios o protocolos a transportar, a las
características de la red ATM. Esto es realizado por la capa AAL.
A los efectos de las funciones de la capa AAL, es necesario categorizar los
servicios a transportar por ATM según los siguientes ítems:
•
Relaciones de tiempo entre fuente y destino: Indica si el reloj de destino
debe “sincronizarse” con el reloj de la fuente
•
Velocidad (bit-rate): Indica si se trata de servicios de velocidad constante
o variable
•
Modo de conexión: Orientado a la conexión o No orientado a la conexión
Como resultado, se han definido 4 “clases de servicios”, denominadas A, B, C y D,
como puede verse en la siguiente tabla:
Redes de Datos
Página 64
Redes Corporativas
Clase
Relaciones de
tiempo entre
fuente y destino
Bit-Rate
Modo de Conexión
A
B
C
Requerido
Constante
D
No Requerido
Variable
Orientado a la conexión
No orientado a
la conexión
Para cada “clase de servicio” se ha implementado una capa AAL, las que se
conocen como AAL-n, como se verá más adelante.
Las capas AAL-n, a su vez, se subdividen en dos sub-capas:
•
Convergence Sublayer (Sub-capa de convergencia): Se encarga de las
adaptaciones específicas que requiere cada clase de servicio.
•
Segmentation and Reassembly Sublayer (Sub-capa de segmentación y
reensamblado): Se encarga de dividir la información para poder
transmitirla en las pequeñas celdas de ATM y luego reensamblarla en el
destino
5.2.2.1 AAL - 1
Se utiliza para la clase de servicio A (servicios orientados a la conexión, de
velocidad constante y que requieren referencia de tiempos para sincronización del
destino con la fuente)
Se utiliza para transporte de servicios sincrónicos (por ejemplo, servicios
sincrónicos de 64 kb/s) o asincrónicos de velocidad constante (por ejemplo, líneas
E1 de 2 Mb/s).
5.2.2.2 AAL - 2
Se utiliza para la clase de servicio B (servicios orientados a la conexión, de
velocidad variable y que requieren referencia de tiempos para sincronización del
destino con la fuente).
Ha sido la más difícil de desarrollar, debido a la dificultad de recuperar en el
destino el reloj de referencia de la fuente cuando no se reciben datos por un
periodo prolongado de tiempo. En AAL-1 esto no sucede, ya que los flujos de
información son constantes.
Puede utilizarse, por ejemplo, para la transmisión de video comprimido. Esta
aplicación envía “ráfagas” de información, generando tráfico impulsivo. MPEG-2,
por ejemplo, tiene una relación de compresión de 10:1 en el peor caso. Sin
embargo, si no hay cambios en la imagen de video, pueden llegarse a relaciones
de compresión de hasta 50:1, generando largos periodos sin transmisión.
Redes de Datos
Página 65
Redes Corporativas
5.2.2.3 AAL – 3/4
Originalmente, la capa AAL-3 fue pensada para servicios orientados a la conexión
y la AAL-4 para servicios no orientados a la conexión. Actualmente se han
fusionado en la capa AAL-3/4, ya que las diferencias originales eran menores.
Se utiliza para la clase de servicio C y D (servicios de velocidad variable y que no
requieren referencia de tiempos para sincronización del destino con la fuente).
AAL-3/4 no utiliza todos los bytes de “información” de la celda ATM, lo que reduce
el ancho de banda real apreciablemente
5.2.2.4 AAL – 5
Se utiliza para la clase de servicio C y D, al igual que AAL-3/4, pero utiliza todos
los bytes de “información” de la celda ATM, optimizando por lo tanto el ancho de
banda.
AAL-5 es conocida también como SEAL (Simple and Effective Adaptation Layer),
ya que no provee secuenciamiento ni corrección de errores, sino que delega estas
tareas en las capas superiores.
5.2.3 Capa Física
La capa física es responsable de transmitir los datos sobre un medio físico, de
manera similar a la capa física del modelo de referencia OSI.
El medio de transporte puede ser eléctrico u óptico. ATM es generalmente
transportado sobre SDH (Synchronous Digital Hierarchy).
Las velocidades típicas son de 155.520 kb/s (155 Mb/s) o 622.080 kb/s (622
Mb/s), acuerdo a la recomendación I.432
5.3 Routers
Como se mencionó en al principio de éste capítulo (Ver 5), la función de las redes
WAN es interconectar redes LAN distantes entre sí, a través de enlaces públicos o
privados, generalmente de baja velocidad en comparación con la velocidad de las
redes LAN. En las secciones anteriores se estudiaron los protocolos Frame Relay
(Ver 5.1) y ATM (Ver 5.2), el primero como ejemplo de protocolo típico de WAN y
el segundo como ejemplo de protocolo de back-bone de los prestadores de
servicios.
Para poder interconectar redes LAN distantes, mediante algún protocolo de WAN,
es necesario disponer de equipos de “interconexión”, que cumplan varias
funciones, entre las que se destacan:
•
Posibilidad de rutear tráfico, para disminuir el tráfico de WAN no deseado
(Broadcast, etc.)
•
Posibilidad de manejar protocolos de LAN y de WAN.
Redes de Datos
Página 66
Redes Corporativas
Estos equipos se conocen normalmente como “Routers”. Si bien el nombre indica,
en principio, que el equipo debe poder “rutear” paquetes (es decir, trabajar a nivel
de capa 3 en el modelo OSI), también se espera de estos equipos (por lo menos
para los equipos diseñados para las corporaciones) que soporten varios
protocolos de WAN (como Frame Relay, por ejemplo).
Un Router corporativo típico debe disponer, por lo tanto, y como mínimo, de un
“puerto de LAN” y un “puerto de WAN”. Asimismo, debe poder rutear los
protocolos más comunes de LAN (típicamente IP, aunque aún varias redes LAN
utilizan IPX), enviando únicamente los paquetes que correspondan al puerto WAN
y debe implementar varios protocolos de WAN (como Frame Relay, X.25, etc.)
WAN
LAN 1
Router
LAN 2
Router
Para poder implementar las funciones de ruteo, los Routers deben disponer de
“tablas de ruteo”. Estas tablas pueden estar definidas en forma estática, por un
administrador, o pueden generarse en forma automática, ya que los routers
disponen de protocolos propios de “descubrimiento de rutas”. Estos protocolos,
que implementan el intercambio de información de rutas entre varios Routers, se
llaman habitualmente “protocolos ruteo”. Los más comunes son los llamados RIP y
OSPF (ambos están estandarizados, de manera que routers de diversas marcas
pueden coexistir en una misma red).
Redes de Datos
Página 67
Redes Corporativas
6 Tecnologías de acceso xDSL
Las redes WAN requieren conexiones digitales desde las oficinas de las empresas
hasta las oficinas de los prestadores de servicios, las que pueden estar alejadas
varios kilómetros.
La interconexión desde los prestadores de servicios a las empresas puede
realizarse mediante enlaces inalámbricos, o mediante el tendido de cables de
cobre o fibras ópticas. Gran parte de las empresas prestadoras de servicios de
datos son las mismas que las prestadoras de servicios telefónicos, y ya disponen
de cables tendidos hasta las oficinas de las empresas. Estos son generalmente
cables de cobre, pensados originalmente para brindar servicios telefónicos. A los
efectos de minimizar los costos, se han desarrollado técnicas que permiten utilizar
estos mismos cables de cobre para brindar servicios digitales. Estas tecnologías
se conocen como “Digital Subscriber Loop” o bucle digital de abonado. Entre estas
tecnologías se encuentran ADSL, HDSL, VDSL y otras [36]. En forma genérica,
todas ellas se engloban dentro de las tecnologías conocidas como xDSL.
La siguiente figura ilustra la evolución de los estándares xDSL, así como el
crecimiento en la cantidad de suscriptores a nivel mundial [37]. En 2005 se llegó a
los 100 millones de usuarios de la tecnología.
Redes de Datos
Página 68
Redes Corporativas
Todas las tecnologías xDSL permiten comunicación de datos en forma
bidireccional. Sin embargo, algunas son “asimétricas” y otras “simétricas”, en lo
que respecta a las velocidades de transmisión de datos en cada sentido.
6.1 ADSL
ADSL, o “Asymmetric Digital Subscriber Loop” [38] (DSL asimétrico), brinda una
conexión digital con velocidades de “subida” y de “bajada” diferentes. Está
pensada típicamente para servicios de acceso a Internet, en los que, por lo
general, es mucha más la información que debe viajar desde Internet hacia la
empresa que desde la empresa hacia Internet. Por ejemplo, al navegar sobre la
web, un usuario realiza un clic (envío muy pequeño de información), y “baja” una
página completa (envío importante de información).
Exchange
Customer Premises
Splitter
Splitter
Twisted Pair
DSL Modem
Computer
DSLAM
Telephone
PSTN
Los servicios ADSL pueden ser brindados a diferentes velocidades de “subida” y
“bajada”. La tecnología admite hasta 7 Mb/s de “bajada” y 928 kb/s de “subida”.
Como todas las tecnologías DSL puede ser brindada sobre los pares telefónicos
existentes. Sin embargo, ADSL permite utilizar el mismo par sobre el que funciona
un servicio telefónico. Es decir, sobre un mismo par telefónico pueden coexistir un
servicio telefónico analógico y un servicio de datos ADSL.
Para lograr esto, ADSL utiliza modulación en frecuencias supra-vocales, y
separadores o “splitters” en las oficinas donde se presta el servicio. Estos
“splitters” separan el servicio telefónico del servicio de datos. El servicio telefónico
es conectado a un teléfono analógico, y el servicio de datos a un MODEM DSL.
Generalmente este MODEM dispone de una puerta LAN (RJ45) para ser
conectado directamente a la red de datos del cliente.
Redes de Datos
Página 69
Redes Corporativas
Las distancias entre prestador y cliente a las que funciona ADSL dependen de la
velocidad contratada, y pueden llegar hasta los 5 km.
ADSL utiliza modulación DMT (Discrete Multitone Modulation). Esta modulación
consiste en dividir la banda de frecuencias disponibles en 256 sub-bandas, o
canales, separados 4 kHz. 32 de estos canales se utilizan para subida, y el resto
para bajada. Cada canal envía información en forma independiente, utilizando
modulación QAM (Quadrature Amplitude Modulation), en una “constelación” de 2n
puntos. Cada punto representa un conjunto de n bits, los que se envían en un
único símbolo modulando en amplitud y fase una portadora.
Redes de Datos
Página 70
Redes Corporativas
Una de las características de DMT es que permite que cada canal o sub-banda
utilice constelaciones más o menos densas (es decir, con más o menos puntos),
de acuerdo al ruido existente. Los modems ADSL pueden ajustar dinámicamente,
de acuerdo a las condiciones de ruido existentes, las constelaciones a utilizar en
cada canal
6.2 ADSL Light o G.Light
La tecnología ADSL Light [39] es similar a la ADSL, pero no requiere de “splitter” o
separador en las oficinas donde se presta el servicio. Es conocida también como
“splitterles DSL”. La tecnología fue pensada para brindar servicios a los hogares,
dónde la simplicidad de instalación es un factor de especial importancia.
Dado su público objetivo, la velocidad de transmisión máxima fue diseñada en 1.5
Mb/s, permitiendo equipos terminales más sencillos, y por lo tanto, más baratos.
Dado que no hay splitter, los problemas de interferencia se ven acentuados, pero
por lo general no son problema en las velocidades en que trabaja G.Light. En
algunos casos es necesario instalar “microfiltros” en teléfonos, para eliminar
posibles ruidos.
6.3 HDSL
HDSL, o “High Speed Symmetric Digital Subscriber Loop” [40] (DSL simétrico de
alta velocidad), brinda una conexión digital con iguales velocidades de “subida” y
de “bajada”. Está pensada típicamente para servicios 1.5 y 2 Mb/s, típicamente de
tipo T1 o E1.
HDSL utiliza dos pares de cobre, y fue diseñada para que la gran mayoría de los
cables tendidos originalmente para servicios telefónicos, puedan servir de soporte
para éste nuevo servicio digital. Ambos pares son bidireccionales, y funcionan a la
mitad de la velocidad de transmisión total.
Redes de Datos
Página 71
Redes Corporativas
A diferencia de ADSL, los pares deben ser dedicados. No se pueden compartir
otros servicios sobre los mismos pares por los que se brindan servicios HDSL
HDSL utiliza modulación 2B1Q, codificando 2 bits en cada símbolo.
La distancia a la que puede funcionar correctamente un servicio HDSL depende
de los diámetros de cable utilizados, la cantidad de empalmes, y otros factores
ambientales. Típicamente puede llegar a 3.7 km, con cables 24 AWG
←784 kbps →
←784 kbps →
C
RT
3,7 Km @ 24 AWG
6.4 HDSL2
HDSL2 [41] es una mejora a HDSL, que permite las mismas funciones, pero
utilizando solamente un par de cobre.
6.5 VDSL2
La tecnología VDSL2 (Very-High-Bit-Rate Digital Subscriber Line 2) [42] fue
aprobada en la recomendación G.993.2 de la ITU-T en febrero de 2006. Esta
tecnología permite la transmisión simétrica o asimétrica de datos, llegando a
velocidades superiores a 200 Mbit/s, utilizando un ancho de banda de hasta 30
MHz. Esta velocidad depende de la distancia a la central, reduciéndose a 100
Mbit/s a los 0,5 km y a 50 Mbits/s a 1 km de distancia.
La siguiente figura esquematiza el espectro utilizado en VDSL2 hasta los 12 MHz
[43]. En la gama de frecuencias entre 12 MHz y 30 MHz, la norma VDSL2
especifica como mínimo una banda adicional en sentido ascendente o
descendente. El plan detallado de las bandas de frecuencia utilizadas depende de
la región, y está especificado en la recomendación para Europa, Japón y Estados
Unidos
Redes de Datos
Página 72
Redes Corporativas
La recomendación establece 8 perfiles, denominados 8a, 8b, 8c, 8d, 12a, 12b, 17a
y 30a. Difieren en la velocidad de transmisión y otros parámetros siendo 50 Mb/s
la velocidad para los perfiles 8x, 68 Mb/s para los 12x, 100 Mb/s para el 17a y 200
Mb/s para el 30a. Por lo menos, se debe cumplir con las especificaciones para uno
de los perfiles. La siguiente tabla resume las características más destacables de
los perfiles.
Perfil
8a
8b
8c
8d
12a
12b
17a
30a
Velocidad
de datos bidireccional
neta mínima (Mb/s)
50
50
50
50
68
68
100
200
Ancho de banda (MHz)
8.5
8.5
8.5
8.5
12
12
17.6
30
Potencia de
transmisión
combinada en sentido
descendente máxima
(dBm)
+17,5
+20,5
+11,5
+14,5
+14,5
+14,5
+14,5
+14,5
Yoichi Maeda, Presidente de la Comisión de Estudio del Sector de Normalización
de las Telecomunicaciones de la ITU, responsable de este trabajo, declaró que "se
ha reunido lo mejor del ADSL, el ADSL2+ y el VDSL para alcanzar niveles de
calidad de funcionamiento extremadamente altos en la VDSL2. Esta nueva norma
va camino de convertirse en una de las más importantes en el panorama de las
telecomunicaciones y constituye un hito histórico…” [44]
El gran ancho de banda disponible hace posible la transmisión de video, lo que
abre nuevas posibilidades para los servicios ofrecidos sobre tecnologías DSL.
Redes de Datos
Página 73
Redes Corporativas
7 Administración de Redes
Junto con el crecimiento de las redes de datos, surgió la necesidad de su
administración. La administración de redes incluye las tareas de diseño,
integración y coordinación de los equipos de hardware, los programas de software
y los recursos humanos necesarios para monitorear, testear, configurar, analizar,
evaluar y controlar la red y sus recursos a los efectos de lograr la calidad de
servicio requerida.
Desde el punto de vista corporativo, las tareas de administración de redes deben
basarse en obtener en forma predecible y consistente una calidad de servicio
adecuada a las necesidades, a un costo aceptable para la corporación.
Para poder realizar las tareas de administración, es necesario poder detectar
fallas, aislarlas y corregirlas, al menor costo y en el menor tiempo posible. Es
necesario también poder realizar cambios en las configuraciones afectando lo
mínimo posible al servicio. Una buena administración de red se basa en prever, en
la medida de lo posible, posibles puntos de falla, y evitarlos antes de que sucedan.
Esto se basa en tener medidas de utilización de la red, analizarlas y tomar
acciones preventivas antes que correctivas.
Varios organismos han trabajado en intentar estandarizar las tareas relacionadas
a la administración de las redes, entre ellos la ISO, el ITU-T y el IETF. Cada uno
de ellos ha establecido normas y recomendaciones, viendo a la administración de
las redes desde su propia óptica.
La ISO ha establecido los criterios generales en la recomendación 7498-4 [45].
Dentro de la administración de redes, se distinguen 3 componentes que han sido
estandarizados: La estructura de la información (10165-x), los protocolos a utilizar
(9595 y 9596) y las funciones propias de la administración (10164-x, conocidas
generalmente como “FCAPS”)
Por su lado, la ITU-T, con su visión centrada en su historia telefónica, ha
desarrollado los estándares para lo que se ha dado a llamar “TMN”, o
“Telecommunications Management Network” (Red de gerenciamiento de
telecomunicaciones) [46] . La estructura general de esta red, se describe en las
recomendaciones M.30xx. La primer versión de esta serie de recomendaciones
fue publicada en 1989 (en ese momento por la CCITT) [47]. La versión conocida
actualmente como M.3010 fue publicada en 1992, y revisada en 1996 [48]. Al igual
que la ISO, se distinguen 3 componentes de las TMN: Estructura de la información
(M.31xx), Protocolos (Q.8xx) y las funciones propias de la administración (M.32xx,
M.3300, M.3400).
Finalmente, el IETF ha desarrollado un sistema pragmático, mucho más sencillo,
aunque también más limitado. Las recomendaciones acerca de la estructura
general se han publicado en los RFC 1052 y 1155, y se presentan 2 componentes
estandarizados: La estructura de la información (RFC1113 , MIB) y los protocolos
(RFC 1157, SNMP).
Redes de Datos
Página 74
Redes Corporativas
7.1 Funciones a considerar en la administración de redes según
ISO
Vamos a detenernos en las funciones de la administración, definidas por ISO,
llamadas comúnmente “funciones FCAPS”, debido a sus siglas en inglés.
7.1.1 Gestión de Fallas (Fault Management)
Una de las funciones de administración de redes es poder detectar y resolver
fallas. El propósito de la gestión de fallas es asegurar el correcto funcionamiento
de la red y la rápida resolución de las fallas que se presenten.
La gestión de fallas comienza por la detección de las mismas, ya sea en forma
automática o en reportadas por los usuarios. Es recomendado disponer de un
sistema de “registro y seguimiento”, que permita dejar registrado el incidente, y las
acciones realizadas para su resolución.
La resolución de fallas debe generar conocimiento, para prevenir fallas futuras.
Muchas veces es difícil realizar un análisis profundo de las causas durante el
momento en que la falla está presente, sobre todo si la falla afecta
considerablemente al servicio. Las presiones de los usuarios (y sobre todo de “sus
jefes”), llevan muchas veces a tratar de solucionar lo más rápidamente posible la
falla, sin detenernos a buscar sus causas. Si bien la búsqueda y análisis de las
causas puede generar demoras adicionales en la resolución de los problemas,
muchas veces es preferible esto a que la misma falla se repita una y otra vez sin
entender por que sucede.
Como parte de la gestión de fallas es necesario disponer de un “plan de
contingencia”, planificado y documentado, que nos permita brindar servicios
(quizás en forma reducida), mientras se resuelve la falla e investiga sus causas
También se debe disponer de un plan de gestión de alarmas, con procesos
acordes a su criticidad.
7.1.2 Gestión de Configuración (Configuration Management)
Para poder gestionar las redes, es necesario saber qué elementos se disponen,
cómo están iterconectados, cual es la configuración específica de cada uno de los
elementos, etc. La gestión de la configuración consiste en mantener esto en forma
ordenada y documentada.
Se debe partir de una descripción de la red y cada uno de sus componentes. A
quien le prestan servicio, con que características, etc. Esto puede llevarse a cabo
en varios niveles.
Por ejemplo, parte de la gestión de configuración, podría ser disponer de un
“plano” de las centrales telefónicas empresariales (PBX), con cada una de sus
componentes (placas, internos, líneas, etc.), a que está conectado cada puerto,
que facilidades tiene programado cada interno, etc.
Redes de Datos
Página 75
Redes Corporativas
Deben preverse mecanismos para los agregados, mudanzas y cambios, de
manera que se afecte mínimamente al servicio, y que los cambios queden
documentados.
El mantenimiento de la documentación debe incluir todo lo necesario como para
comprender la arquitectura de la red y cada uno de sus componentes. Esto incluye
inventarios, diagramas de conexiones, cableado, configuraciones, planes de
numeración, planes de direcciones de red, etc.
7.1.3 Gestión de Costos (Accounting)
Las redes de telecomunicaciones tienen costos asociados. Desde la amortización
de los equipos, pasando por los costos de utilización de servicios, hasta los
propios costos del gerenciamiento.
En general, podemos separar los costos en 3 categorías:
•
Costos directos de las telecomunicaciones: Corresponden a los costos
del uso de las redes. Estos costos tienen generalmente un componente fijo
y un componente variable. Por ejemplo, un prestador de servicio de acceso
a Internet puede cobrar una tarifa plana mensual, y un prestador de
telefonía de larga distancia puede cobrar una tarifa según cada llamada
realizada.
Dentro de los costos directos se deben incluir todos los costos de
telecomunicaciones:
o Servicios de datos
o Líneas directas
o Costos de llamadas telefónicas
o Costos de servicios telefónicos (Colectivos, facilidades como
CallerID, etc)
o Etc
•
Costos de equipos: Los equipos de telecomunicaciones pueden ser
propios o arrendados. En el caso de tener equipos propios, existe un costo
de amortización, generalmente prorrateado en un período estimado como
el de vida útil del equipo. Los equipos arrendados tienen un costo mensual
prefijado.
•
Costos del Gerenciamiento: Todos los aspectos de gerenciamiento
(FCAPS – Gestión de configuración, de fallas, de seguridad, de
desempeño y la propia gestión de costos) tienen costos asociados. Ya sea
que se dispone de personal propio, o que se subcontrate el servicio a
terceros, existen costos de gerenciamiento. En el primer caso, estos costos
están dados por los salarios del personal dedicado al gerenciamiento
(administradores de red, help desk, etc.) En el segundo, los costos están
dados por una cuota por servicios contratados a terceros.
Redes de Datos
Página 76
Redes Corporativas
Es usual que los costos se prorrateen entre “Centros de Costo”, generalmente
asociado a sectores dentro de una Empresa (Ventas, Administración,
Operaciones, etc.) En algunos casos, cada Centro de Costos tiene “cuotas”, de las
que no puede excederse. Algunos sistemas pueden llegar a limitar el uso de
ciertos servicios si se excede la cuota preestablecida.
7.1.4 Gestión de Desempeño (Performance Management)
La gestión del desempeño de las redes de telecomunicaciones tiene como objetivo
asegurar el funcionamiento de las redes con la calidad de servicio deseada. Por
ejemplo, que la cantidad de líneas urbanas que se dispone sea la adecuada, de
manera que no exista congestión, que el ancho de banda en los enlaces entre
sucursales sea suficiente para el tráfico cursado, etc.
Para lograr estos objetivos es necesario monitoreo ciertos parámetros de la red,
que den un indicador acerca de la performance del servicio. Por ejemplo, si el
servicio a monitorear es la disponibilidad de líneas urbanas salientes para realizar
llamadas, un posible parámetro a monitorear puede ser la cantidad de líneas
ocupadas en forma simultánea (para compararlo con la cantidad de líneas totales
disponibles). Si el servicio a monitorear es el acceso a Internet, un posible
parámetro a monitorear es el ancho de banda efectivamente utilizado (para
compararlo con el ancho de banda disponible)
Estos parámetros son generalmente “de tiempo real”. Es decir, miden en un
momento determinado el desempeño de un servicio. Si son consultados en forma
periódica y almacenados, es posible realizar un control de la performance. Esto
permite realizar reportes de gestión, ver su evolución en el tiempo, etc.
Analizando estos reportes es posible prever futuros problemas, dimensionar los
recursos adecuadamente e incluso detectar fallas que pueden no afectar a un
usuario en particular, pero si degradar la performance general del sistema (por
ejemplo, si una línea urbana está rota, se disminuye la cantidad total de líneas
disponibles y por lo tanto se degrada la performance, sin embargo, puede que
nadie reporte el problema como tal).
A los efectos de gestionar el desempeño de las redes, cada equipo debe tener
capacidad de medir los parámetros concernientes a sus servicios. Entre estos
equipos se pueden encontrar PBX, Switches, Routers, Firewalls, etc.
7.1.5
Gestión de la Seguridad (Security Management)
La gestión de seguridad es un tema complejo en sí mismo. La seguridad en las
redes de telecomunicaciones se enmarca dentro de los conceptos más generales
de “Seguridad de la información”, que serán tratados más adelante.
Como conceptos generales, la gestión de la seguridad en las redes se debe
encargar de definir permisos de acceso, controlar el fraude y prevenir los ataques.
El control de acceso debe definirse tanto para las redes de voz, como para las de
datos. En las primeras, los controles típicos tienen que ver con los permisos para
Redes de Datos
Página 77
Redes Corporativas
realizar determinado tipo de llamadas y con las facilidades a las que cada usuario
tiene acceso. Por ejemplo, si un usuario puede escuchar las llamadas de otros, si
puede desviar su teléfono a otros teléfonos, o a celulares, si se pueden realizar
llamadas a número internacionales, o a 0900, etc. En las redes de datos, los
controles típicos restringen el acceso a la información, ya sea interna o externa.
Los controles de fraude también deben realizarse en las redes de voz y datos.
Fraudes típicos en redes de voz están relacionados con accesos a número
prohibidos y llamadas “tandem”. En las redes de datos los fraudes más comunes
consisten en acceder a información restringida, ya sea desde dentro de la
empresa, o desde fuera.
7.2 Funciones a considerar en la administración de redes según
ITU-T
Las funciones se organizan en una estructura jerárquica de niveles que cubren
todos los aspectos de gestión (en realidad, pensados para los prestadores de
servicio) y clasifica las funciones que se deben realizar en cada nivel según
criterios de responsabilidad. Los niveles son: el nivel de gestión de negocio, el
nivel de gestión de servicio, el nivel de gestión de red y el nivel de gestión de
elemento de red. Los niveles se representan habitualmente en forma de pirámide
[49].
Entre cada nivel, se establecen “puntos de referencia”, con interfaces
estandarizadas. La primera versión de TMN establecía tres tipos de interfaces,
llamadas Q1, Q2 y Q3. En versiones más recientes, se decidió unificar las
interfaces Q1 y Q2 en una nueva interfaz Qx, y se mantuvo la interfaz Q3.
Redes de Datos
Página 78
Redes Corporativas
7.2.1 Gestión de Negocio (Bussines Management)
El nivel superior es el nivel de gestión de negocio que incluye los aspectos
relacionados con las estrategias de negocio; en él se definen las acciones para
conseguir el retorno de la inversión, aumentar la satisfacción de los accionistas de
la compañía y de los empleados, etc. Las decisiones tomadas en este primer nivel
definen los objetivos estratégicos de la compañía, y condicionan las funciones y
procesos de la capa de nivel de gestión de servicio. Es decir, la gestión del
servicio debe estar alineada con la estrategia de negocio definida en la
corporación.
7.2.2 Gestión de Servicio (Service Management)
En la capa de gestión del nivel de servicio se decide cómo gestionar los servicios
que se van a prestar en la red. En este nivel se incluyen todos los aspectos
relacionados con la atención a los clientes o usuarios y los de desarrollo y
operación de los servicios, y se realiza la gestión de las peticiones de servicio, la
calidad del servicio —Quality of Service (QoS)—, la gestión de problemas, la
facturación, etc.
7.2.3 Gestión de Red (Network Management)
Los servicios están soportados sobre las redes de telecomunicaciones. El nivel de
gestión de red es responsable del transporte de la información entre dos extremos
y de asegurar que ésta se realiza de forma correcta. Cualquier error o problema
que se detecte en este nivel y que afecte a los servicios que se prestan a los
clientes o usuarios debe ser notificado hacia el nivel de gestión de servicio.
7.2.4 Gestión de Elementos de Red (Network Element Management)
Por último, el nivel de gestión de elemento de red se encarga de todos los
aspectos relacionados con switches, sistemas de transmisión, etc., considerados
como elementos aislados. Cualquier error o evento que se produzca en un equipo
que pueda afectar al transporte de la información debe ser notificado hacia el nivel
de gestión de red
7.3 SNMP
Para facilitar la administración de redes, el IETF (Internet Engineering Task Force)
ha definido una recomendación llamada SNMP (Simple Network Management
Protocol), que se ha convertido en un estándar en la industria de las
comunicaciones.
Redes de Datos
Página 79
Redes Corporativas
SNMP (Simple Network Management Protocol) fue definido por el IETF (Internet
Engineering Task Force) en 1989, en el RFC-1098 [50]. Desde entonces, se ha
convertido en un estándar de la industria de las comunicaciones para controlar
dispositivos de red desde estaciones de gerenciamiento y administración
centralizadas.
SNMP
Manager
MIB
Hub (SNMP
Agent)
RED
MIB
Switch (SNMP
Agent)
MIB
Router (SNMP
Agent)
SNMP es un conjunto de protocolos y funciones especialmente diseñadas para la
administración de redes, que utilizan el protocolo IP. SNMP permite a los
administradores de red aislar fallas y monitorear el status y la performance de las
redes de comunicaciones corporativas.
SNMP define dos componentes:
•
SNMP Manager: Es una aplicación de software desde la que se realiza la
administración, en forma centralizada, de la red.
•
SNMP Agent: Residen en los diversos dispositivos de red (hubs, switches,
routers, etc.) y generan información estadística acerca de sus funciones y
recursos (por ejemplo, información estadística de tráfico). Esta información
es almacenada en una base de datos local, llamada MIB (Management
Information Base). A su vez, los “Agentes SNMP” pueden recibir y enviar
información desde y hacia el “Administrador SNMP” (SNMP Manager),
utilizando el protocolo UDP.
Cada “Agente SNMP” almacena la información que requiere en una base de datos
llamada MIB (Management Information Base), cuyo formato está estandarizado.
Redes de Datos
Página 80
Redes Corporativas
La información de la MIB está organizada en forma jerárquica. Cada elemento de
información (llamado “objeto MIB”) es una variable que almacena alguna
característica o alguna información estadística del dispositivo administrado
(Agente SNMP). Estos objetos MIB pueden ser escalares (es decir, contener un
único valor), o tabulares (es decir, contener varios valores).
La estructura jerárquica de la MIB es en forma de “árbol”, como se muestra en la
figura. Cada objeto MIB está unívocamente identificado dentro de la jerarquía de
la MIB, ya sea en una notación textual o numérica, indicando los diferentes
nombres o números por los que se debe recorrer el árbol hasta llegar al objeto en
cuestión. Por ejemplo, la variable “atInput” del ejemplo de la figura puede ser
identificada como
“iso.identified-organization.dod.internet.private.enterprise.cisco.temporary
variables.AppleTalk.atInput” o por su equivalente numérico “1.3.6.1.4.1.9.3.3.1”.
Cada fabricante tiene una “rama”, bajo el objeto “enterprise”, y es libre de armar
bajo esta rama la estructura de información que aplique mejor a sus productos.
Los agentes SNMP son controlados y monitoreados desde el administrador SNMP
(SNMP manager) usando comandos simples, entre los que se destacan:
Redes de Datos
Página 81
Redes Corporativas
•
Read: Es usado por el Manager para leer las variables del Agente (por
ejemplo, para recolectar estadísticas de uso)
•
Write: Es usado para configurar el equipo administrado. El Manager puede
escribir ciertas variables de configuración del Agente
•
Trap: Es utilizada en forma asíncrona por los agentes, para reportar
eventos (típicamente fallas)
Existen tres versiones de SNMP, conocidas como SNMPv1 (versión 1) y SNMPv2
(versión 2) y SNMPv3 (versión 3). Todos ellas tienen un gran número de
características similares, pero las versión más nuevas, ofrecen algunas mejoras
frente a las anteriores. La versión 2 implementa los comandos “GetBulk” y
“Inform”. El comando GetBulk es usado por el SNMP Manager para recuperar en
forma eficiente una gran cantidad de información de los agentes. El comando
Inform es usado para intercambiar información entre varios SNMP Managers. La
versión 3 introduce mejoras en la seguridad
Las distintas versiones SNMP son incompatibles entre sí, no solo por la
incorporación de nuevos comandos, sino porque el formato de los mensajes
intercambiados entre el Manager y los agentes es diferente en cada versión.
Redes de Datos
Página 82
Redes Corporativas
8 Seguridad de la Información
En todas las empresas, las redes de voz y datos transportan “información”. Esta
información es valiosa para las organizaciones, al punto que se considera uno de
sus “activos”. que, al igual que otros activos importantes para el negocio, tiene
valor para la organización y consecuentemente necesita ser protegido
apropiadamente.
Dentro de una corporación o empresa, la información puede existir en muchas
formas. Puede ser impresa o escrita en papel, almacenada electrónicamente,
transmitida por correo o medios digitales, mostrada en videos, o hablada en
conversaciones. En muchos de estos aspectos, las redes corporativas participan
activamente. Asegurar la información, incluye, por lo tanto, asegurar las redes por
dónde la misma es transmitida.
Muchos componentes tecnológicos son utilizados en las redes corporativas
asociados a los aspectos de seguridad. Sin embargo, todos ellos tienen como
objetivo proteger la información, y no los componentes informáticos en si mismos.
Tomando esto en cuenta, es natural ver a estos componentes tecnológicos,
enmarcados dentro de los planes más genéricos de “seguridad de la información”.
8.1 Recomendaciones y normas relacionadas con la seguridad
de la información
La “seguridad de la información” es un tema crítico para la gran mayoría de las
corporaciones. Dado que el tema es genérico y no específico de una tecnología o
tipo de negocio, varios organismos internacionales han desarrollado
recomendaciones
y estándares al respecto. La ISO ha publicado la
recomendación 17799 [51], la que incluye un conjunto de prácticas acerca del
gerenciamiento de la seguridad de la información.
La ISO 17799 es una guía de buenas prácticas de seguridad de la información que
presenta una extensa serie de controles de seguridad. La recomendación no cubre
las problemáticas tecnológicas, sino que hace una aproximación al tema
abarcando todas las funcionalidades de una organización en lo relacionado a la
seguridad de la información.
Por su parte, la British Standards Institution, ha publicado las normas BS 7799. La
parte 1 de esta norma es similar a la ISO 17799. La parte 2, conocida como BS
7799-2:2002 [52], es una norma enfocada a los procesos, y establece más que
recomendaciones genéricas, reglas y requisitos a cumplir por las organizaciones.
En su estructura es similar a las normas de calidad ISO 9001:2000, y al igual que
éstas, es una norma “certificable”. Es decir, una empresa puede “certificarse” en el
cumplimiento de la BS 7799-2:2002. Cabe destacar que la recomendación ISO
Redes de Datos
Página 83
Redes Corporativas
17799 no es una “norma certificable”, ya que incluye únicamente un “código de
buenas prácticas” relativas a la gestión de la seguridad de la información. Es una
guía que contiene consejos y recomendaciones que permite asegurar la seguridad
de la información de la empresa.
Los requisitos establecidos en la BS 7799-2 se refieren a un Plan de Seguridad
constituido por un “Sistema de Gestión de Seguridad de la Información” (SGSI), o
en inglés, “Information Security Management System” (ISMS), en el que se aplican
los controles de seguridad de la BS 7799-1 (y por lo tanto de la ISO 17799). Los
requisitos que se establecen en el SGSI de la BS 7799-2 se pueden auditar y
certificar. No hay versión ISO de la BS 7799-2.
La BS 7799-2:2002 esta basada en el enfoque de procesos, muy similar al de ISO
9001:2000.
Estos procesos tienen las siguientes etapas, las que se ejecutan en forma cíclica:
•
Planificar
Se planifica qué hacer y como hacerlos. A grandes rasgos, Esto incluye
la definición del alcance del SGSI, las políticas generales de seguridad,
la identificación y evaluación de los riesgos a los que está expuesta la
información, y la preparación de los documentos preliminares
•
Hacer
Se ejecuta el plan, implementando los controles seleccionados, con el
fin de cumplir los objetivos planteados
•
Verificar
Se verifica la ejecución del plan, implementando exámenes o controles
periódicos (por ejemplo, auditorías). Se registran las desviaciones
encontradas
Redes de Datos
Página 84
Redes Corporativas
•
Actuar
En base a las desviaciones encontradas o a las posibles mejoras al
sistema se toman acciones correctivas o preventivas, las que llevan
nuevamente a planificar, cerrando el ciclo.
En general, los objetivos de un SGSI es asegurar la continuidad del negocio y
minimizar el daño ante un incidente de seguridad. En forma genérica, se
establecen 3 objetivos de seguridad de la información:
•
Confidencialidad
Procurar que la información sea accesible sólo a las personas
autorizadas a acceder a su utilización.
•
Integridad
Asegurar la exactitud y la completitud de la información y los métodos de
su procesamiento
•
Disponibilidad
Asegurar que los usuarios autorizados tengan acceso a la información y
los recursos asociados cuando lo requieran.
8.2 Política de seguridad
La ISO/IEC indica que la información es un activo, y al igual que otros activos
importantes para el negocio, tiene valor para la organización y consecuentemente
necesita ser protegido apropiadamente.
Para proteger apropiadamente a la información, es necesario definir ciertas
“Políticas de seguridad”. El término “Política” define una declaración de alto nivel
que una organización manifiesta. La “Política de seguridad” es una declaración
formal de las reglas que deben seguir las personas que tienen acceso a los
“activos de información” de una organización. La “Política de seguridad” debe ser
la guía de la implementación de todo el sistema de gestión de seguridad de la
información.
Como marco general de la “Política de seguridad”, hay que definir una “Política
estratégica de seguridad” que sea coherente y aplicable a toda la organización. Es
recomendable que ésta sea breve y clara, y que establezca la “filosofía básica” de
la organización en lo referente a la seguridad de la información. Todos los otros
documentos (políticas, prácticas, procedimientos, instructivos) deberán estar
alineados con esta “Política estratégica de seguridad”.
Una buena “Política de seguridad” debe:
•
Ser fácil de entender
Redes de Datos
Página 85
Redes Corporativas
Los documentos de la “Política de seguridad” deben poder ser
fácilmente comprendidos por quienes deban aplicarlos. Se debe
tratar de utilizar el lenguaje habitual de acuerdo al perfil del empleado
al que esté dirigido. Debe ser clara y evitar confusiones o
ambigüedades.
•
Ser Formal
Debe estar documentada y especificar claramente los
mecanismos por los que se protegerán a los sistemas y activos de
información
•
Ser obligatoria
En la medida de lo posible, las reglas se deberán implementar
mediante herramientas tecnológicas de seguridad apropiadas. En
caso que no sea tecnológicamente posible implementar medidas
preventivas, deberán especificarse las sanciones adecuadas.
•
Ser realizable
Debe poder ser implementable mediante procedimientos
administrativos, publicaciones, guías de uso y tecnología apropiada.
•
Definir responsabilidades
Debe definir claramente las responsabilidades de los usuarios,
gerentes y administradores.
•
Ser proactiva
Tratar de “prevenir” a sancionar.
•
Ser flexible
Para que una “Política de seguridad” pueda permanecer en el
mediano plazo, debe ser flexible e independiente de plataformas de
Hardware y Software específicas, ya que éstas cambiarán con
mucha frecuencia.
•
Estar alineada con los objetivos del negocio
La “Política de seguridad” debe acompañar, facilitar y proteger a la
organización y el negocio, y no convertirse en una “traba” para los
clientes y empleados.
•
Tener el compromiso de la Dirección
La “Política de seguridad”, y todo el sistema de gestión de seguridad
de la información, deben contar con el apoyo expreso de la
Dirección. La Dirección debe proporcionar los recursos humanos y
materiales necesarios.
•
Involucrar a toda la organización
La política de seguridad debe llegar a todos los niveles de una
organización. Las personas involucradas deben conocer el origen y
motivo de la política, de manera que la perciban como necesaria y
positiva y no sólo como una serie de reglas a cumplir.
Redes de Datos
Página 86
Redes Corporativas
En base a la “Política estratégica de seguridad”, será necesario definir varios
documentos más específicos, o “Políticas específicas”. Cuando se escribe una de
estas políticas, se debe tener en cuenta:
•
•
•
•
•
•
Intención u objetivo: ¿Qué es lo que se protegerá?
Responsabilidades: ¿Quién es el responsable?
Alcance: ¿Qué áreas están afectadas?
Monitoreo: ¿Cómo se realizará el seguimiento y monitoreo?
Aplicablidad: ¿Cuándo será aplicable?
¿Por qué fue desarrollada?
Debe estar redactado en un lenguaje comúnmente usado y entendido por el
personal de la empresa
No existe una estructura de documentos preestablecida y aplicable a todos los
casos. Diferentes organismos han detallado en mayor o menor medida diversos
tipos de documentos o componentes que debe tener una buena política de
seguridad o sistema de gestión de seguridad (ISMS, tal como lo define la ISO
17799:2000)
En particular, el RFC-2196 establece una serie de componentes que deberían ser
incluidos en las políticas de seguridad. A continuación se detallan los mismos:
•
Guías de compras de tecnología de la información 2
Especifica funciones de seguridad requeridas o preferidas. Estas
políticas deben complementar cualquier otra política de compra de la
organización.
•
Política de privacidad
Establece las expectativas razonables de privacidad acerca de temas
como el monitoreo de correos electrónicos, acceso a archivos de
usuarios y registro de teclados. Podría incluir también políticas
acerca de registro, escucha y control de llamadas telefónicas, control
de accesos a sitios web, uso de herramientas de mensajería
instantánea, etc.
•
Política de acceso
2
El RFC 2196 menciona “Computer Technology Purchasing Guidelines”, o sea “Guías de compra
de tecnología informática”. Se ha cambiado en este texto “tecnología informática” por “tecnología
de la información”, término más amplio que el anterior, alineado con la filosofía de la ISO
17799:2000
Redes de Datos
Página 87
Redes Corporativas
Define derechos o privilegios de acceso a activos o recursos de
información protegidos. Especifica comportamientos aceptables para
usuarios, empleados de mantenimiento o soporte y gerentes.
Debe incluir reglas respecto a las conexiones y accesos externos, así
como reglas acerca de la comunicación de datos, conexiones de
dispositivos a las redes e inclusión de nuevas aplicaciones
informáticas en los sistemas existentes.
Debe establecer si es necesario o no incluir mensajes de advertencia
o notificación durante los accesos a las redes, sistemas, archivos,
etc.
•
Política de responsabilidad
Define las responsabilidades de usuarios, personal de mantenimiento
y gerentes. Debe especificar la capacidad de realizar auditorias y sus
características, y proveer las guías para el registro y manejo de
incidentes de seguridad (por ejemplo, que hacer y a quien contactar
en caso de detectar un incidente de seguridad)
•
Política de autenticación
Debe establecer los mecanismos de “confianza” mediante el uso
de una política de contraseñas apropiadas. Debe tener en cuenta,
si aplica, políticas de autenticación local y de acceso remoto, y el
uso de dispositivos de autenticación (por ejemplo, mecanismos de
“clave de una única vez” (“one-time password”) )
•
Declaración de disponibilidad
Establece las expectativas de disponibilidad de los recursos de los
sistemas de información. En base a la disponibilidad necesaria,
podrán
establecerse
mecanismos
de
redundancia
y
procedimientos de recuperación. Podrá establecer también las
guías para el registro y manejo de problemas de disponibilidad
(como y a quien reportar problemas de red, por ejemplo), así como
también reglas generales acerca de los horarios de operación y
periodos de indisponibilidad debidos a tareas de mantenimiento.
•
Política de mantenimiento de los sistemas relacionados a la tecnología de
la información
Describe como deberá realizarse el mantenimiento realizado tanto
por personal interno como externo a la organización. Debe
establecerse si se admite o no algún tipo de mantenimiento
remoto (por ejemplo, por Internet o por MODEM), y las reglas que
aplican al mismo, así como los mecanismos internos de control.
Deberá establecerse si se admite mantenimiento tercerizado, y
sus reglas de administración.
•
Política de informes de incidentes o violaciones de seguridad
Establece que tipo de incidentes o violaciones de seguridad deben
ser reportados y a quien deben ser reportados. Para no generar un
Redes de Datos
Página 88
Redes Corporativas
ambiente “amenazante” pueden considerarse la inclusión de reportes
anónimos, lo que seguramente devenga en una mayor probabilidad
de que los incidentes sean efectivamente reportados.
•
Información de apoyo
Para proveer a los usuarios, empleados y gerentes con información
de contacto y de referencia a ser usada ante incidentes de seguridad.
En todos los casos, los aspectos legales deben ser tenidos en cuenta. Como
mínimo es recomendable que el departamento legal de la organización (o un
consultor externo) de su aval a las políticas de seguridad.
El NIST, por su parte, indica que los componentes de una política de seguridad
deben incluir un programa estratégico de seguridad, políticas específicas,
(concernientes a temas específicos) y políticas específicas-sistema (concernientes
a sistemas particulares). Esta visión es similar a la del RFC-2196
El CERT indica que una política de seguridad debe incluir:
•
Descripción de alto nivel.
Esto sería equivalente a la “Política estratégica de seguridad”
mencionada anteriormente
•
Análisis de riesgos
Identificando los valores, las amenazas a las que están expuestos
estos valores y los eventuales costos en caso de que un valor sea
perdido o “atacado”. Es una visión similar a la de la ISO 17799
•
Líneas maestras para administradores
Define como administrar los sistemas cubiertos
•
Líneas maestras de cómo reaccionar ante un ataque
La ISO ha desarrollado un conjunto de “buenas prácticas” en la norma ISO/IEC
17799:2000. Este documento, junto con el standard BS7799-2 (norma
“certificable”) constituyen una especificación para un “Sistema de Gestión de la
Seguridad de la Información”, conocido habitualmente como ISMS (Information
Security Management System). La orientación de estos documentos apuntan al
desarrollo de “procesos” acerca de la seguridad de la información. Estos procesos
se basan en el esquema de “Planificar” – “Hacer” – “Verificar” – “Actuar”.
El proceso indicado en la ISO 17799:2000 incluye 6 etapas:
Redes de Datos
Página 89
Redes Corporativas
•
•
•
•
•
•
Definir política de seguridad
Definir ámbito del ISMS
Evaluación de riesgos
Administración de riesgos
Seleccionar controles
Declaración de aplicabilidad
8.3 Vulnerabilidades, amenazas y contramedidas
8.3.1 Vulnerabilidad
Varios actores pueden potencialmente amenazar los sistemas de seguridad de
una organización. Entre ellos podemos mencionar “insiders”, o personal interno,
competidores, o “hackers” en general. Las amenazas explotan posibles
vulnerabilidades a la infraestructura de la información.
Una lista de las vulnerabilidades consideradas más críticas puede verse en [53].
Una lista completa y detallada de las vulnerabilidades conocida se puede obtener
de CVE [54].
La vulnerabilidad de una organización depende de varios factores, entre los que
se encuentran:
8.3.1.1 Factores relacionados con la tecnología:
•
•
•
•
•
Tipo de Firewall instalado y su configuración: Diferentes arquitecturas de
Firewalls o cortafuegos pueden ser mas o menos vulnerables.
Adicionalmente, la adecuada configuración de este sistema es fundamental
para disminuir la vulnerabilidad.
Sistemas operativos utilizados: Todos los sistemas operativos tienen
vulnerabilidades conocidas, y en forma permanente se publican nuevos
“parches” tendientes a solucionar problemas de vulnerabilidad. Las
empresas que sistemáticamente instalan estos parches serán menos
vulnerables.
Aplicaciones y servicios instalados: Especialmente, las aplicaciones o
servicios publicados a Internet, ya que, por su propia función, están
expuestos al público.
Sistemas de IDS utilizados: Las empresas que puedan instalar algún tipo de
sistema de IDS (NIDS, HIDS, etc.) pueden reducir considerablemente su
vulnerabilidad.
Utilización de aplicaciones de “Antivirus”: Muchos de los ataques actuales
se propagan por virus, gusanos o troyanos. Disponer de servicios Antivirus
centralizados y actualizados reduce la vulnerabilidad.
Redes de Datos
Página 90
Redes Corporativas
8.3.1.2 Factores humanos:
•
•
Correcto uso de las aplicaciones por los usuarios: Muchos ataques son
producidos por técnicas de “ingeniería social”. Concientizar a los usuarios y
empleados en general de los riesgos causados por el mal uso de
aplicaciones, por instalar programas no autorizados, o por revelar sus
contraseñas, reduce considerablemente estas vulnerabilidades.
Capacitación: Tener personal calificado en seguridad de la información es
un factor clave para poder reducir las vulnerabilidades
8.3.1.3 Política de seguridad:
•
Finalmente, tener una buena política de seguridad de la información,
divulgada entre todos los actores, es, quizás, la mejora manera de disminuir
la vulnerabilidad de la organización.
8.3.2 Amenazas
Una amenaza es una condición del entorno del sistema de información con el
potencial de causar una violación de la seguridad (confidencialidad, integridad,
disponibilidad o uso legítimo). Las amenazas son, por tanto, el conjunto de los
peligros a los que están expuestos la información y sus recursos tecnológicos
relacionados.
Para cada amenaza, se pueden distinguir
Agentes: Quien potencialmente puede generar una violación de la
seguridad. Puede ser una persona, una máquina o fenómenos naturales
Motivos: Lo que mueve al agente a actuar. Pueden existir motivos
intencionales o accidentales.
Resultados: El resultado de la ejecución de la amenaza (divulgación,
modificación, indisponibilidad)
Una vulnerabilidad es una debilidad de un sistema, aplicación o infraestructura
que lo haga susceptible a la materialización de una amenaza.
El riesgo puede verse como la probabilidad de que una amenaza en particular
explote una vulnerabilidad
Un ataque no es más que la concreción o realización de una amenaza.
La política de seguridad y el análisis de riesgos deben identificar las
vulnerabilidades y amenazas, y evaluar los correspondientes riesgos. Los riesgos
pueden ser:
Mitigados: Mediante la implementación de los correspondientes controles
Transferidos Por ejemplo. Tomando un seguro
Eludidos: Cambiando la forma de hacer las cosas, o prescindiendo del
activo amenazado.
Redes de Datos
Página 91
Redes Corporativas
Aceptado: Luego de evaluado, decidir que no es conveniente tomar
acciones.
En general, es sumamente importante ser concientes de las vulnerabilidades y
amenazas a las que está expuesta la información, de manera de mitigar, transferir,
eludir o aceptar el riesgo. Muchas veces, la decisión de cuanto dinero vale la pena
invertir para eliminar o bajar el riesgo de una amenaza no es sencillo. En [55]
puede verse un estudio genérico de la “rentabilidad” de las medidas de seguridad.
A continuación se detallan algunas de las amenazas más relevantes:
•
•
•
•
•
Desastres naturales (Incendio, Inundación, Terremotos Tormentas
eléctricas, etc)
Fallas de infraestructura (Instalación eléctrica deficitaria, cambios bruscos
de tensión, etc.)
Robo físico
Ataques a través de Internet
Empleados actuales o ex - empleados descontentos, curiosos, hackers,
terroristas.
8.3.2.1 Tipos de ataques
Los ataques a sistemas de información pueden ser clasificados según diversos
criterios, entre los que podemos citar la clasificación por origen (Personas,
Amenazas lógicas y Catástrofes) y la clasificación por tipo (Acceso no autorizado,
revelación de información y negación del servicio) [56].
Otra clasificación para los ataques es la siguiente [57] :
•
•
•
•
Interrupción: Un recurso del sistema es destruido o se vuelve no disponible.
Este es un ataque contra la disponibilidad.
Intercepción: Una entidad no autorizada consigue acceso a un recurso. Este
es un ataque contra la confidencialidad.
Modificación: Una entidad no autorizada no sólo consigue acceder a un
recurso, sino que es capaz de manipularlo. Este es un ataque contra la
integridad
Fabricación: Una entidad no autorizada inserta objetos falsificados en el
sistema. Este es un ataque contra la autenticidad
En [58] se clasifican los ataques o incidentes de la siguiente manera:
•
•
•
•
•
•
•
Pruebas
Barridos
Comprometer cuentas de usuario.
Comprometer cuentas del administrador.
Husmeo de paquetes (“Packet Sniffer”)
Denegación de servicio.
Explotación de confianza.
Redes de Datos
Página 92
Redes Corporativas
•
•
Código malicioso.
Ataques a la infraestructura de Internet.
Se describen a continuación varios Tipos de ataques [59]:
INGENIERIA SOCIAL
La ingeniería social consiste en la manipulación de las personas para que
voluntariamente realicen actos que normalmente no harían. Uno de los motivos
mas frecuentes para que un atacante utilice la ingeniería social es intentar obtener
información sensible para la organización o acceder a un sistema o dispositivo
que, normalmente, no estaría disponible desde el exterior.
EAVESDROPPING3 Y PACKET SNIFFING4
Se entiende por Eavesdropping la pasiva intercepción (sin modificación) del
tráfico de red. En general esto es realizado por packet sniffers, que son
programas que monitorean los paquetes de red. Este método puede ser
utilizado para capturar usuarios, claves, números de tarjetas de crédito, etc.
que viajen sin encriptar.
SNOOPING5 Y DOWNLOADING
Los ataques de esta categoría tienen el mismo objetivo que el sniffing, obtener
la información sin modificarla. Sin embargo los métodos son diferentes.
Además de interceptar el tráfico de red, el atacante ingresa a los documentos,
mensajes de e-mail y otra información, guardando en la mayoría de los casos
esa información a su propia computadora.
TAMPERING6 O DATA DIDDLING7
Se refiere a la modificación desautorizada de datos, o al software de en un
sistema, incluyendo borrado de archivos. Puede ser realizado por “insiders” o
“outsiders”, generalmente con el propósito de fraude o dejar fuera de servicio
un sistema. La utilización de programas troyanos esta dentro de esta categoría,
y refiere a falsas versiones de un software con el objetivo de averiguar
información, borrar archivos y hasta tomar control remoto de una computadora
a través de Internet.
SPOOFING8
3
“Eavesdrop” se traduce como “Escuchar indiscretamente”. Un “eavesdropper” es una persona
indiscreta, o que escucha indiscretamente.
4
“Sniffer” proviene de la palabra “Sniff”, que se traduce como “olfatear” o “husmear”
5
“Snoop” se traduce como “Entrometido” o “Curioso”
6
“Tamper” se traduce como “Manosear”, o “Intentar forzar”
7
“Diddle” se traduce como “Estafar”
Redes de Datos
Página 93
Redes Corporativas
Esta técnica es utilizada para actuar en nombre de otros usuarios, usualmente
para realizar tareas de tampering. Una forma común de spoofing, es conseguir
el nombre y password de un usuario legítimo para, una vez ingresado al
sistema, tomar acciones en nombre de él.
JAMMING9 o FLOODING10
Este tipo de ataques desactivan o saturan los recursos del sistema. Por
ejemplo, un atacante puede consumir toda la memoria o espacio en disco
disponible.
CABALLOS DE TROYA
Consiste en introducir dentro de un programa aparentemente seguro, una
rutina o conjunto de instrucciones no autorizadas, para que dicho programa
actúe de una forma diferente a como estaba previsto.
BOMBAS LÓGICAS
Consiste en introducir un programa o rutina que en una fecha determinada
destruirá o modificara la información o provocara daños en el sistema.
VIRUS
Si bien es un ataque de tipo tampering, difiere de este porque puede ser
ingresado al sistema por un dispositivo externo (disquete, CD, DVD) o través
de la red (e-mails u otros protocolos) sin intervención directa del atacante.
8.3.3 Detección de ataques e intrusos
Existen varias formas de detectar intrusos que estén o hayan atacado sistemas
informáticos [60] :
Recibir mensajes de otro administrador, advirtiendo que desde alguna
máquina de su red ha detectado un ataque hacia nuestra red. Es posible
que la red de quien nos advierte ya haya sido atacada, y usada como
“trampolín” para acceder a nuestra red.
Hallar mensajes o registros inusuales durante análisis rutinarios de nuestros
sistemas.
Mediante algún reporte de un sistema IDS (Intrusion Detection System). En
este caso, el ataque podría incluso ser reportado “en línea”.
8
“Spoof” se traduce como “Engañar”
“Jamming” se traduce como “Atascamiento”
10
“Floodign” se traduce como “Inundación”
9
Redes de Datos
Página 94
Redes Corporativas
Signos de que un sistema está siendo atacado pueden ser:
Reconocer una secuencia de acciones no permitidas. La manera más
común es por reconocimiento de patrones, dónde el tráfico entrante y
saliente se compara con patrones conocidos, por ejemplo un gran número
de conexiones TCP fallidas sobre muchos puertos indica que alguien está
realizando un rastreo de puertos.
Incrementos súbito de tráfico
Utilización exagerada de recursos como ser CPU, discos o memoria.
Detección de conexiones de usuarios en días u horarios irregulares, o
desde lugares desconocidos
Registro de accesos a archivos de sistema o poco utilizados.
Detección de que se están ejecutando procesos o servicios no autorizados
Detección de usuarios “sospechosos” que se encuentren firmados
(logueados)
En el artículo [61] pueden verse varias recomendaciones prácticas para detectar
intrusiones en sistemas Linux. El artículo [62] muestra como detectar intrusiones y
registrar sucesos en Windows.
Un IDS (Intrusion Detection System) es un sistema de detección de intrusos, o
sea, una herramienta automática con cierta inteligencia que trata de detectar
signos de ataques contra un sistema o cualquier tipo de actividad no autorizada o
no deseada.
Existen varios tipos de IDS disponibles, caracterizados por diferentes métodos de
monitoreo, capacidad de análisis y respuesta. La mayoría de ellos puede ser
descrita en términos de éstos tres componentes funcionales principales [63]:
Origen de los datos: Los IDS pueden basarse en diferentes fuentes de
información de eventos, usados para determinar si existe una intrusión. Las
más comunes son la red, los servidores o las aplicaciones.
Análisis: El componente de análisis de los IDS es el que decide, de manera
“inteligente”, si los eventos recibidos desde sus “Fuentes de Información” son
indicios de una intrusión. Los tipos de análisis mas comunes son los de
“detección de mal uso” y “detección de anormalidades”
Respuesta: Este componente realiza un conjunto de acciones una vez que se
ha detectado una posible intrusión. Son típicamente agrupadas en respuestas
pasivas o activas. Las respuestas pasivas, alertan al personal de seguridad de
la detección, pero no toman acciones automáticas, como sí lo hacen los
sistemas que disponen de respuestas activas.
Según el origen de los datos que se analizan, los IDS se pueden clasificar como
[60]:
NIDS (Sistema de detección de intrusiones basados en red): El sistema trata
de detectar un comportamiento no autorizado mediante la utilización de un
dispositivo de red
Redes de Datos
Página 95
Redes Corporativas
HIDS (Sistemas de detección de intrusiones basados en equipos): Estos
sistemas buscan patrones de comportamiento ilegal en los registros o en el
tráfico de red de una máquina.
Stack-based IDS (Sistemas de detección de intrusos basados en pilas): Es
una combinación de los dos sistemas anteriores.
En particular, los sistemas NIDS funcionan como “sniffers”, utilizando una interfaz
de red en “modo promiscuo”, leyendo todos los paquetes que circulen por su
segmento de red, y analizándolos. Las técnicas aplicadas por los NIDS son las
siguientes:
Verificación de protocolos, evitando los ataques por violación de protocolos IP,
TCP, UDP y ICMP. También pueden ser incluidas conductas válidas pero
sospechosas, por ejemplo, el envío de varios paquetes IP fragmentados.
Verificación de protocolos de aplicación, evitando los ataques de conducta de
protocolo inválida, o conductas de protocolo válidas pero inusuales.
Creación de nuevos eventos a registrar, extendiendo las capacidades de
auditoría del software de administrador de red.
8.3.4 Contramedidas
Las contramedidas a tomar dependen de las vulnerabilidades y amenazas
detectadas. En forma genérica, se pueden dividir en tres grandes grupos [56]:
Medidas de Prevención
o Servicios de autenticación e identificación (Firmas y Certificados
digitales)
o Servicios de control de acceso (Acceso de control discrecional “DAC” Discretionary Access Control, controles de acceso obligatorio MAC Mandatory Access Control)
o Servicios de separación (Firewalls, routers de selección u otros
mecanismos de filtros de paquetes)
o Servicios de seguridad en las comunicaciones (Usos de tecnologías
criptográficas)
Medidas para la Detección
o Detección de anomalías (Mediante análisis estadísticos se buscan
comportamientos que no son usuales o normales en el sistema. Puede
implementarse con IDS)
o Detección de acciones ilegales (Analizando una serie de acciones no
permitidas trata de encontrar un patrón que pueda seguir el atacante.
Puede implementarse con IDS)
Medidas para la Recuperación
o Procedimientos de registro, auditoria y monitorización (Caso de que se
quiera seguir una investigación legal, para grabar evidencias que
ayuden a clarificar cómo sucedió el ataque y, si es posible, por quién.
Puede utilizarse los logs generados por un IDS).
Redes de Datos
Página 96
Redes Corporativas
o Copias de seguridad (Son fundamentales para poder restablecer el
servicio, en caso que el ataque sea destructivo)
Gran parte de los ataques se basan en fallos de diseño en protocolos y en los
sistemas operativos utilizados. Lo recomendable es mantenerse informado sobre
todos los tipos de ataques existentes y las actualizaciones que permanentemente
se lanzan, principalmente de sistemas operativos.
Las siguientes son medidas preventivas:
Mantener las máquinas actualizadas y seguras físicamente.
Mantener personal especializado en cuestiones de seguridad (o
subcontratarlo).
Aunque una máquina no contenga información valiosa, hay que tener en
cuenta que puede resultar útil para un atacante, a la hora de ser empleada
en un DoS coordinado o para ocultar su verdadera dirección.
No permitir el tráfico "broadcast" desde fuera de nuestra red. De esta forma
evitamos ser empleados como "multiplicadores" durante un ataque.
Establecer auditorias de seguridad y sistemas de detección.
Mantenerse informado constantemente sobre cada unas de las
vulnerabilidades encontradas y parches lanzados. Para esto es
recomendable estar suscrito a listas que brinden este servicio de
información.
Por último, pero quizás lo más importante, la capacitación continua del
usuario.
8.4 Tecnologías asociadas a la seguridad de la información
Hay un gran número de tecnologías asociadas a la seguridad de la información. El
área de aplicabilidad de la seguridad es sumamente grande, al igual que las
tecnologías y productos existentes. Dentro del tema “seguridad de la información”
se enmarcan desde la criptografía, hasta los controles de acceso biométricos. En
este capítulo nos concentraremos en solo algunas de las tecnologías existentes
relacionadas con las redes de telecomunicaciones.
8.4.1 Criptografía
8.4.1.1 Criptografía de clave secreta
La criptografía de clave secreta, o de claves simétricas, consiste en el uso de un
secreto compartido entre las partes que desean compartir una información. Este
secreto es el que se utiliza tanto para cifrar como para descifrar una información, y
de allí el nombre de clave simétrica. Este método plantea un problema (a veces de
difícil solución), y es el de hacer llegar a todos las partes involucradas el secreto
Redes de Datos
Página 97
Redes Corporativas
que han de compartir, por un canal que se considere seguro, así como de
conseguir que estos mantengan las claves a buen recaudo.
Las técnicas más comunes en la criptografía de clave secreta son el cifrado de
bloque (block cipher) y el cifrado de flujo (stream cipher).
Dentro del cifrado de bloque, los cuatro modos de operación más comunes son
ECB, CBC, CFB y OFB. Ejemplos de algoritmos de cifrado de bloque de calve
secreta son DES, 3DES, Blowfish, IDEA
Los cifrados en flujo se clasifican en dos tipos; cifrados en flujo síncronos y
cifrados en flujo asíncronos. Ejemplos de algoritmos de cifrado de flujo de clave
secreta son SEAL y el RC4. Este último, es ampliamente usado actualmente.
Las aplicaciones de ejemplos que se pueden mencionar son:
• Encriptación de archivos en discos duros
• Encriptación de claves de usuarios, ya sea en archivos o en bases de datos
• Seguridad en redes inalámbricas (por ejemplo, WLAN usa WEP, basado en
RC4)
• Utilización de tarjetas inteligentes (smart cards), en las que puede
distribuirse una clave compartida entre los usuarios de algún sistema
• Seguridad en las comunicaciones. Por ejemplo, SSL es un protocolo de
comunicación que proporciona principalmente tres servicios básicos de
seguridad: confidencialidad, autenticación e integridad. SSL hace uso tanto
de claves asimétricas (basada en la existencia de un par de claves, la
pública y la privada) como de claves simétricas (basada en la utilización de
una única clave secreta). La justificación de dicha combinación viene dada
por cuestiones de eficiencia, puesto que las transformaciones criptográficas
realizadas mediante técnicas de criptografía asimétrica son mucho más
lentas que las realizadas con criptografía simétrica. SSL negocia en una
primera fase utilizando criptografía asimétrica (p.e. RSA), y cifra
posteriormente la comunicación utilizando criptografía simétrica (RC4, RC5,
IDEA...).
8.4.1.2 Criptografía de clave pública
A diferencia de las de clave simétrica, las técnicas criptográficas que hacen uso de
las claves asimétricas (o claves publicas) no exigen que se comparta ningún tipo
de secreto. Cada participante en la comunicación tiene un par de claves, que
tienen la particularidad de que lo que una de ellas cifra es descifrado por la otra y
viceversa. En este esquema cada una de las partes hace pública una de las
claves y mantiene secreta la otra. Así, cuando uno de los participantes en la
comunicación desee enviar un mensaje a otro lo cifrará con la clave pública del
destinatario, garantizando de esta forma que sólo el destinatario será capaz de
leerlo.
Redes de Datos
Página 98
Redes Corporativas
Ejemplos de esquemas de encriptación de calve pública son RSA, Rabin, DSA,
Diffie-Hellman, ElGamal, Merkle-Hellman
Este tipo de mecanismos es ideal para los casos en los que no es posible
compartir una clave secreta entre las partes que deban compartir alguna
información. Se pueden mencionar los siguientes ejemplos:
•
•
•
•
•
•
Acceso a información confidencial a través de Internet (consulta de estados
de cuentas bancarios, por ejemplo)
Pagos de servicios por Internet
Aplicaciones del tipo B2B y B2C (Business to Business y Business to
Consumers), como por ejemplo, envío de formularios completados en
Internet, transferencia de archivos, e-banking y e-commerce en general
Seguridad en las comunicaciones. Por ejemplo, SSL, como se mencionó
anteriormente, utiliza tanto claves asimétricas como claves simétricas
Identificación y autentificación. Gracias al uso de firmas digitales y otras
técnicas criptográficas es posible identificar a un individuo o validar el
acceso a un recurso en un entorno de red con más garantías que con los
sistemas de usuario y clave tradicionales.
Certificación. La certificación es un esquema mediante el cual agentes
fiables (como una entidad certificadora) validan la identidad de agentes
desconocidos (como usuarios comunes).
8.4.1.3 Firmas digitales
En Uruguay, la legalidad de las “firmas digitales” fue legislada el 17 de septiembre
de 2003, en el DECRETO REGLAMENTARIO DEL USO DE LA FIRMA DIGITAL
[64].
Dicha reglamentación establece las definiciones legales de varios términos, entre
los que podemos destacar:
a) Firma Digital es el resultado de aplicar a un documento un procedimiento
matemático que requiere información de exclusivo conocimiento del
firmante, encontrándose ésta bajo su absoluto control. La firma digital debe
ser susceptible de verificación por terceras partes, de manera tal que dicha
verificación permita, simultáneamente, identificar al firmante y detectar
cualquier alteración del documento digital posterior a su firma.
b) Prestador de servicios de certificación es una tercera parte que expide
certificados digitales, pudiendo prestar además, otros servicios relacionados
con la firma digital.
c) Certificado Digital es un documento digital firmado digitalmente por un
Prestador de servicios de certificación, que vincula la identidad del titular del
mismo con una clave pública y su correspondiente clave privada.
Redes de Datos
Página 99
Redes Corporativas
Se establece además que “La firma digital tendrá idéntica validez y eficacia a la
firma autógrafa, siempre que esté debidamente autenticada por claves u otros
procedimientos seguros de acuerdo a la tecnología informática...”
8.4.2 Firewall
Un “Firewall” o “Cortafuego” es un dispositivo o conjunto de dispositivos que
restringe la comunicación entre dos o más redes. Sus funciones básicas consisten
en bloquear tráficos indeseados y ocultar hacia el exterior la información interna
[65]. Su utilización típica es separar a las redes internas (LAN, asumidas como
“confiables” o “seguras”) de las redes públicas no seguras, como es el caso de
Internet.
Existen varias definiciones formales de Firewalls, o Cortafuegos, más o menos
detalladas, pero todas basadas en los mismos principios básicos. Se presentan a
continuación algunas de ellas:
Un cortafuegos (o firewall en inglés), es un elemento de hardware o
software utilizado en una red de computadoras para prevenir algunos tipos
de comunicaciones prohibidas por las políticas de red, las cuales se
fundamentan en las necesidades del usuario. [66]
Un Firewall es un conjunto de programas relacionados, ubicados en un
Servidor de “Gateway” de red (“network gateway server”), que protege los
recursos de una red privada de usuarios de otras redes. (El término también
implica la política de seguridad que es usada en los mencionados
programas). Una corporación con una red interna (“Intranet”) que permite a
sus empleados acceder a Internet, instala un Firewall para prevenir los
accesos externos a su propia red y para controlar que recursos externos
pueden ser accedidos por sus propios empleados. [67]
Otras definiciones pueden encontrarse en [68], [69] y [70]
Algunos textos contienen definiciones que pueden ser más coloquiales, como la
siguiente
Redes de Datos
Página 100
Redes Corporativas
Los “muros de seguridad” son simplemente una adaptación moderna del
viejo sistema de seguridad medieval: un foso profundo alrededor del
castillo. Este diseño obligaba a cualquiera que entrara o saliera del castillo a
pasar por un solo puente levadizo, donde podía ser inspeccionado por la
Policía de Entrada y Salida. En las redes, es posible el mismo truco: una
compañía puede tener muchas LAN conectadas de manera arbitraria, pero
todo el tráfico de o a la compañía es obligado a pasar a través de un puente
levadizo electrónico (“Muro de seguridad”, o “Firewall”) [1]
Todas las definiciones anteriores pueden ser validas. Un Firewall o Cortafuego es
un sistema que cumple la función de control de tráfico entre dos redes, una
generalmente considera “segura” (red interna) y otra considerada “no segura” (red
externa). El control realizado por el Firewall debe adecuarse a las políticas de
seguridad establecidas en la Empresa, a los efectos de garantizar la seguridad de
la información en la red “segura” o interna. Cabe aclarar que el control no se limita
a protegerse contra accesos externos, sino también a limitar el tipo de acceso que
existe desde la red “segura” o interna a la “no segura” o externa.
Puede decirse que el cometido principal de un Firewall o cortafuego es
implementar las políticas de seguridad definidas por la Empresa, en lo referente al
acceso a la información “entre redes”.
Para lograr este objetivo, se pueden detallar las siguientes funciones:
•
•
•
•
Bloqueo de tráfico no deseado (entrante y/o saliente)
o Filtrado de paquetes
o Bloqueo de servicios
o Bloqueo de acceso a determinados sitios Web
Monitorizar y detectar actividad sospechosa
o Registro de “incidentes”
“Esconder” la red interna
o Traducir direcciones públicas en privadas y viceversa (NAT)
o Tener acceso a Internet desde varias maquinas con una sola IP
publica
Direccionar tráfico entrante a sistemas internos que lo requieran
o Servidores Web, Correo, etc.
Otras funciones que pueden obtenerse en Firewalls o cortafuegos son:
•
•
•
•
•
•
•
Gerenciamiento de ancho de banda
Autenticación de usuarios
Implementación de VPN (Virtual Private Networks)
Implementación de DMZ (Zona “de militarizada”)
Administración remota
Web caching
Anti virus
Redes de Datos
Página 101
Redes Corporativas
•
•
•
Bloquear correos electrónicos entrantes no deseados, o con adjuntos
“sospechosos”
Filtros de contenidos
Registrar el tráfico entre las redes
NAT
Las direcciones IP públicas son limitadas, y están controladas por organismos
internacionales. Cuando una empresa desea conectarse a Internet, típicamente
recibe un conjunto reducido de direcciones IP públicas (generalmente una sola).
Dado que por lo general se desea que todas (o un gran número) de las
computadoras de la empresa tengan acceso a Internet, se debe compartir la IP
pública entre un gran número de máquinas. Para resolver este problema se ha
diseñado una solución conocida como NAT (Network Address Translation).
La implementación de NAT consiste en instalar un “gateway”, o “pasarela”, entre
Internet y la LAN. Este “gateway” dispone de dos interfaces de red. Una de ellas
conectada a la red pública (quien tiene asignada la IP pública) y la otra conectada
a la LAN (con una dirección IP privada). Todos los paquetes que entran o salen
desde la LAN a Internet, pasan por este “gateway”. Cuando, por ejemplo, una
computadora de la LAN (interna) envía un paquete a Internet, el “gateway NAT”
reemplaza la dirección IP privada del PC de origen, por su propia dirección IP
pública. Asimismo, registra en su memoria la dirección IP interna (origen) y la
dirección IP externa y el número de puerto (destino).
El servidor remoto, recibe un paquete que contiene como origen la dirección IP
pública del “gateway NAT” (es decir, la única dirección IP pública de la Empresa),
y dirige su respuesta a esta IP. Cuando esta respuesta es recibida por el “gateway
NAT”, éste revisa en sus tablas almacenadas en memoria cual es la dirección IP
interna a la que debe enviar esta respuesta (en base a la IP y puerto desde donde
recibe el paquete de respuesta). Una vez obtenida la IP interna, sustituye la IP de
destino del paquete, y envía el mismo hacia la LAN
Redes de Datos
Página 102
Redes Corporativas
La mayoría de los Firewalls implementan NAT, como tecnología de acceso a
Internet, y como primer medida de seguridad. NAT deja las direcciones internas
(privadas) ocultas hacia Internet. Sin embargo, hay que hacer notar que NAT
funciona únicamente cuando el origen de la comunicación es interno.
Por lo general, las empresas deben recibir también tráfico originado en Internet.
Por ejemplo, si se dispone de un servidor de correo electrónico, los correos
entrantes llegan desde Internet hacia la Empresa. Lo mismo sucede con las
páginas web, servidores FTP, etc.
Es decir, por lo general no es posible bloquear totalmente el tráfico desde Internet
hacia las Empresas, ya que esto impediría el funcionamiento de varios servicios
esenciales.
Arquitecturas de Firewalls
Existen varias arquitecturas de cortafuegos. Las arquitecturas más sencillas se
corresponden al esquema de “un router con filtros”. En este caso, los paquetes
entrantes deben pasar por un único equipo para pasar de Internet a la Red interna
(LAN).
En esta arquitectura, los equipos que deben quedar expuestos a Internet (por
ejemplo, servidores de correo, servidores HTTP, servidores FTP, etc) están en la
LAN interna. Un atacante que tenga acceso a estos equipos, tendrá por tanto
acceso a un equipo dentro de la LAN de la Empresa, y esto puede comprometer a
la seguridad. Por otro lado, el acceso a servicios externos es realizado desde los
PCs internos, directamente a través del Router Esta arquitectura es fácil de
implementar y es utilizada por organizaciones que no precisen grandes niveles de
seguridad. La siguiente figura esquematiza esta arquitectura.
Redes de Datos
Página 103
Redes Corporativas
Red externa
Firewall
LAN
Host
PC
PC
Una arquitectura alternativa es la conocida como “Dual-Homed Host”. Consiste
en poner entre la red externa y la interna un equipo (“Host”), con dos tarjetas de
red. En este Host deben existir “proxies” para cada uno de los servicios que se
deseen proveer hacia el exterior. El servicio de “IP Forwarding” debe estar
deshabilitado, de manera que no sea posible acceder desde el exterior
directamente a hosts o equipos internos, sino que todo el tráfico debe ser
realizado a través de los “proxies”. La arquitectura “Dual-Homed Host” se
representa a continuación:
Redes de Datos
Página 104
Redes Corporativas
Red
externa
Dual-Homed Host (con Proxies)
LAN
Host
PC
PC
PC
La arquitectura denominada “Screened Host” combina, en cierta forma, las dos
anteriores. En este caso, se dispone de un Router con filtrado de paquetes entre la
LAN y la red externa, y de un Host con servicios proxies, pero ubicado dentro de la
LAN. El Router es configurado, a diferencia del primer caso, para que desde fuera
solo se pueda acceder al Host con proxies. Alternativamente podría ubicarse el
Host directamente conectado a la red externa, y el router entre el Host y la LAN,
pero esta no es la arquitectura más recomendada.
Red
externa
Router (Con filtro de paquetes)
LAN
Host
Redes de Datos
PC
PC
PC
Página 105
Redes Corporativas
Una arquitectura más segura consiste en implementar, mediante dos “routers con
filtros”, una zona de seguridad intermedia, en la que se ubican todos los equipos
que deben quedar expuestos en la red externa (“Bastiones”). Esta “zona
intermedia” es conocida generalmente como “zona desmilitarizada”, o DMZ
(DeMilitarized Zone), la arquitectura es conocida como Screened Subnet. Aunque
un atacante tenga acceso a estos equipos, no tendrá acceso directo a la LAN de la
Red externa
DMZ
Bastión
Bastión
Router c/filtro
Firewall
Router c/filtro
LAN
PC
PC
PC
PC
Empresa. Todavía tendrá que pasar por otro router con sus filtros, lo que brinda un
nivel de seguridad adicional a la arquitectura anterior. Muchos equipos “Firewall”
implementan esta arquitectura, disponiendo de 3 puertas de red: una para la
conexión a la red pública (Internet), otra para la DMZ y la última para la conexión a
la LAN. Esto se esquematiza en la figura anterior.
Para elegir, en cada caso, la arquitectura de cortafuegos a implementar, se deben
tener en cuenta varios aspectos:
•
Política de seguridad: Principalmente debe tenerse en claro la Política de
Seguridad de la organización, y en base a ella, definir una arquitectura que
permita su implementación. También como parte de la política de
seguridad, se debe tener claro cuales son los “activos de información” que
se desean proteger, y las amenazas a las que están expuestos, de manera
de seleccionar la arquitectura que mejor se adapte a la protección de dichos
activos.
Redes de Datos
Página 106
Redes Corporativas
•
•
•
•
•
Tipos de servicio que se deben acceder: Debe tenerse en cuenta que
tipos de servicios del exterior requieren ser accedidos por los usuarios, y
que tipos de servicios se deben permitir acceder desde la red interna. En
particular, debe considerarse si los servicios a acceder desde la red interna
son generales, o dependen de cada usuario, o si se desea tener algún tipo
de funcionalidad avanzada, como filtros de contenido.
Registro de actividad: Debe considerarse si es necesario o no el registro
de los accesos
Carga o Performance: Es necesario considerar la carga que soportará el
Firewall (accesos por segundo, por ejemplo), de manera de seleccionar los
equipos adecuados a dicha carga
Costos: Los aspectos de costos no pueden dejar de evaluarse. En
especial, deberá tenerse en cuenta el balance entre la protección obtenida
y la inversión a realizar, teniendo en cuenta no solo los costos iniciales, sino
también los repetitivos (soporte, mantenimiento, suscripción a servicios de
actualización de filtros, de antivirus, etc.)
Administración: La facilidad de administración puede ser también un tema
a evaluar, si es que dicha tarea será realizada por personal propio. En caso
de tercerizarlo, los costos deberán ser evaluados, como se mencionó en el
párrafo anterior.
Filtrado de paquetes
A los efectos de aumentar la seguridad, tanto en el tráfico entrante como en el
tráfico saliente, los Firewall implementan varios tipos de “inspecciones” en los
paquetes que pasan (o intentan pasar) de Internet a la LAN y viceversa.
Packet Filter
Un Firewall que implementa “filtrado de paquetes”, inspecciona cada paquete IP, y
lo evalúa a los efectos de determinar si puede o no pasar. En este caso, la
decisión es hecha paquete a paquete, sin importar los paquetes recibidos
anteriormente. Los bloqueos se pueden definir en base a direcciones de origen y
destino, tipo de paquete, etc.
Este tipo de filtrado es sencillo de implementar, pero es relativamente pobre en
sus características, ya que permite bloquear completamente o permitir el paso
abiertamente.
Los Firewall que implementan filtrado de paquetes, trabajan a nivel de la capa 3
Redes de Datos
Página 107
Redes Corporativas
Stateful Inspection
Una manera mas sofisticada de filtrar paquetes consiste en tener en cuenta no
solo el paquete actual, sino la “historia”, de manera que el paquete se considere
en el contexto de los paquetes anteriores. Esto permite distinguir entre
conversaciones establecidas y nuevas conversaciones, y tomar decisiones
acordes.
Circuit Level
Si se inspecciona hasta la capa 4, es posible identificar sesiones, y por lo tanto,
permitir solo sesiones iniciadas por computadores conocidos.
Application Level
Llegando hasta la capa 5, se pueden implementar filtros por aplicación. Por
ejemplo, se pueden distinguir paquete http:post, http:get, etc.
Redes de Datos
Página 108
Redes Corporativas
Los Firewall que implementan filtros en la capa de aplicación requieren por lo
general de un alto nivel de mantenimiento y actualización, ya que los fabricantes
deben mantener al día el filtrado de nuevas aplicaciones o protocolos. Como
contrapartida, son mas seguros que el resto de los tipos de Firewall
8.4.3 VPN
Una “Red Privada Virtual” o “Virtual Private Network” (VPN) [71] es un sistema
para simular una red privada sobre una red pública, por ejemplo, Internet. Las
VPN permiten interconectar redes LAN a través de Internet, o computadores
aislados a las redes LAN a través de Internet. Las VPN posibilitan la conexión de
usuarios móviles a la red privada, tal como si estuvieran en una LAN dentro de
una oficina de la empresa donde se implementa la VPN. Esto resulta muy
conveniente para personal que no tiene lugar fijo de trabajo dentro de la empresa,
como podrían ser vendedores, ejecutivos que viajan, personal que realiza trabajo
desde el hogar, etc.
La forma de comunicación entre las partes de la red privada a través de la red
pública se hace estableciendo túneles virtuales entre dos puntos para los cuales
se negocian esquemas de encriptación y autentificación que aseguran la
confidencialidad e integridad de los datos transmitidos utilizando la red pública.
La tecnología de túneles ("Tunneling") es un modo de transferir datos en la que se
encapsula un tipo de paquetes de datos dentro del paquete de datos de algún
protocolo, no necesariamente diferente al del paquete original. Al llegar al destino,
el paquete original es desencapsulado volviendo así a su estado original. En el
traslado a través de Internet, generalmente los paquetes viajan encriptados, por
razones obvias de seguridad.
En la LAN se debe ubicar un equipo “Terminador de túneles”, y los “clientes
remotos” (PCs conectados a Internet que desean establecer un túnel con la LAN)
deben tener el software adecuado para establecer túneles.
Redes de Datos
Página 109
Redes Corporativas
LAN
Tunel sobre
Internet
Internet
Paquetes
encapsulados
dentro del tunel
Una vez establecido el “túnel”, a nivel lógico, el PC remoto es como si estuviera en
la LAN. Se le asigna una IP de LAN (generalmente con DHCP), y todos los
servicios accesibles en la LAN están a disposición del PC remoto. Los paquetes IP
que envía el PC remoto hacia la LAN son encapsulados, y generalmente
encriptados, dentro del cuerpo del paquete IP que es enviado a Internet. El
“Terminador de túneles”, ubicado en la empresa, recibe el paquete público,
desencapsula y desencripta su contenido, y lo envía como un paquete IP normal
de LAN
Hay varios sistemas de encriptación, pero el que está siendo más utilizado es el
conocido como IPSec.
IPSec provee confidencialidad, integridad, autenticidad y protección a repeticiones
mediante dos protocolos, que son Authentication Protocol (AH) y Encapsulated
Security Payload (ESP).
Se entiende por “confidencialidad” que los datos transferidos sean sólo entendidos
por los participantes de la sesión. Por “integridad” se entiende que los datos no
sean modificados en el trayecto de la comunicación. “Autenticidad” indica sea
confiable el remitente de los datos, y por “protección a repeticiones” se entiende
que una sesión no pueda ser grabada y repetida salvo que se tenga autorización
para hacerlo.
El protocolo AH [72] provee autenticación, integridad y protección a repeticiones
pero no confidencialidad.
Redes de Datos
Página 110
Redes Corporativas
El protocolo ESP [73] provee autenticación, integridad, protección a repeticiones y
confidencialidad de los datos, protegiendo el paquete entero que sigue al header.
La siguiente figura muestra un paquete AH y un paquete ESP [74]. En el primero
(AH), el cabezal AH (AH Header) incluye la autenticación de todo el paquete,
incluyendo la dirección IP del comienzo del paquete. Es decir, el cabezal AH
incluye un campo ICV (Integrity Checksum Value). En el segundo (ESP), la
dirección IP del comienzo del paquete no tiene validación, pero el resto del
paquete está encriptado y autenticado. EL ICV en este caso se encuentra al final
del paquete
Redes de Datos
Página 111
Redes Corporativas
9 Referencias
[1]
Redes de Computadoras (Tercera edición, ISBN 968-880-958-6)
Andrew S. Tanenbaum Andrew S. Tanenbaum, Prentince Hall Hispanoamericana, 1997
[2]
“Breve Historia de las Telecomunicaciones”
José Joskowicz, Agosto 2007
[3]
“The Aloha System - Another Alternative for Computer Communications “
N. Abramson, Proceedings of Fall Joint Computer Conference, AFIPS Conference
Proceedings, Vol. 37, pp. 281-285, 1970
[4]
IEEE 802.3-2005
IEEE Standard for Information technology--Telecommunications and information exchange
between systems--Local and metropolitan area networks--Specific requirements--Part 3:
Carrier Sense Multiple Access with Collision Detection (CSMA/CD) Access Method and
Physical Layer Specifications
http://standards.ieee.org/getieee802/802.3.html
[5]
“Cableado Estructurado”
José Joskowicz, Agosto 2007
[6]
IEEE 802.1d – Spannig Tree
IEEE Standard for Information technology--Telecommunications and information exchange
between systems--IEEE standard for local and metropolitan area networks--Common
specifications--Media access control (MAC) Bridges (includes IEEE 802.1k-1993), 1998
Edition or 2003 Edition
http://standards.ieee.org/getieee802/802.1.html
[7]
IEEE 802.1q – VLAN
IEEE Standards for Local and metropolitan area networks—Virtual Bridged Local Area
Networks, 2003 Edition
http://standards.ieee.org/getieee802/802.1.html
[8]
IEEE 802.1p - Priorización
Traffic Class Expediting and Dynamic Multicast Filtering (published in 802.1D-1998)
[9]
IEEE 802.11 – Inalámbricos.
IEEE Standards for Information Technology -- Telecommunications and Information
Exchange between Systems -- Local and Metropolitan Area Network -- Specific
Requirements -- Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer
(PHY) Specifications, 1999 Edition
Redes de Datos
Página 112
Redes Corporativas
http://standards.ieee.org/getieee802/802.11.html
[10]
IEEE 802.11TM WIRELESS LOCAL AREA NETWORKS
http://www.ieee802.org/11/
[11]
IEEE 802.11a :
Telecommunications and information exchange between systems—Local and metropolitan
area networks—Specific requirements—Part 11: Wireless LAN Medium Access Control
(MAC) and Physical Layer (PHY) specifications—Amendment 1: High-speed Physical Layer
in the 5 GHz band
(IEEE Standard for Information technology, 1999)
[12]
IEEE 802.11b :
Wireless LAN MAC and PHY specifications: Higher speed Physical Layer (PHY) extension
in the 2.4 GHz band
(IEEE Standard for Information technology, 1999)
[13]
IEEE 802.11g :
Telecommunications and information exchange between systems—Local and metropolitan
area networks—Specific requirements—Part 11: Wireless LAN Medium Access Control
(MAC) and Physical Layer (PHY) specifications—Amendment 4: Further Higher-Speed
Physical Layer Extension in the 2.4 GHz Band
(IEEE Standard for Information technology, 2003)
[14]
Principles of Wireless Networks
Kaveh Pahlavan, Prashant Krishnamurthy
Prentice Hall PTR, 2002
ISBN: 0-13-093003-2
[15]
2.4 GHz 802.11 Channel-to-Frequency Mappings
http://www.hyperlinktech.com/web/band_pass_filters.php
[16]
Complementary Code Keying Made Simple
Intersil Application Note AN9850.2
Bob Pearson
Novembre 2001
[17]
IEEE Standard for Information technology— Telecommunications and information
exchange between systems— Local and metropolitan area networks— Specific
requirements
Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY)
specifications
Amendment 2: Higher-speed Physical Layer (PHY) extension in the 2.4 GHz band—
Corrigendum 1
IEEE Std 802.11b-1999/Cor 1-2001
7 November 2001
[18]
Wireless Market Update
Alex Myrman
Cisco Systems, April 2004
http://www.socalwug.org/cisco-ppt0504/img7.html
Redes de Datos
Página 113
Redes Corporativas
[19]
802.11g: IEEE Standard for Information technology— Telecommunications and information
exchange between systems— Local and metropolitan area networks— Specific
requirements
Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY)
specifications
Amendment 4: Further Higher Data Rate Extension in the 2.4 GHz Band
[20]
IEEE P802.11 - TASK GROUP N - MEETING UPDATE
Status of Project IEEE 802.11n
http://grouper.ieee.org/groups/802/11/Reports/tgn_update.htm
[21]
Capacity Coverage & Deployment Considerations for IEEE 802.11g
Cisco Systems, White Paper
http://www.cisco.com/en/US/products/hw/wireless/ps4570/products_white_paper09186a00
801d61a3.shtml
[22]
Application Note: Wi-Fi /802.11 WLANs Bi-directional amplifier
Fidelity Comtech
September 2002
www.fidelity-comtech.com/PDFs/ApplicationNote.pdf
[23]
802.1X: IEEE Standard for Local and Metropolitan Area Networks— Port Based Network
Access Control
December 13, 2004
[24]
IEEE Standard for Information technology— Telecommunications and information
exchange between systems— Local and metropolitan area networks— Specific
requirements.
Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY)
specifications Amendment 6: Medium Access Control (MAC) Security Enhancements
July 23, 2004
[25]
Ad Hoc Mobile Wireless Networks: Protocols and Systems
C.-K. Toh
2002, Prentince Hall
[26]
Harald Blåtand
e-Robotiker
http://revista.robotiker.com/bluetooth/historia.jsp
[27]
Bluetooth Protocol and Security Architecture Review
http://www.cs.utk.edu/~dasgupta/bluetooth/
[28]
Specification of the Bluetooth System
Covered Core Package version: 2.0 + EDR
4 November 2004
[29]
Bluetooth Compare with Other Technologies
Redes de Datos
Página 114
Redes Corporativas
http://www.bluetooth.com/Bluetooth/Learn/Technology/Compare/:
[30]
Power Consumption and Energy Efficiency Comparisons of WLAN Products
Atheros White Paper
www.super-g.com/atheros_power_whitepaper.pdf
[31]
Bluetooth Basics
http://www.bluetooth.com/Bluetooth/Learn/Basics/
[32]
802.15.1 IEEE Standard for Information technology— Telecommunications and information
exchange between systems— Local and metropolitan area networks—Specific
requirements
Part 15.1: Wireless medium access control (MAC) and physical layer (PHY) specifications
for wireless personal area networks (WPANs)
Approved 31 May 2005
[33]
802.15.1 IEEE Standard for Information technology— Telecommunications and information
exchange between systems— Local and metropolitan area networks—Specific
requirements
Part 15.2: Coexistence of Wireless Personal Area Networks with Other Wireless Devices
Operating in Unlicensed Frequency Band
Approved June 12, 2003
[34]
Principles of Wireless Networks
Kaveh Pahlavan, Prashant Krishnamurthy
Prentice Hall PTR, 2002
ISBN: 0-13-093003-2
[35]
“The Basic Guide to Frame Relay Networking”
Frame Relay Forum, 1998
[36]
xDSL Tutorial
Brandon Provolt
Engineering Intern Marketing and Product Development Group
Schott Corporation
Version 0.53 (beta), August 2000
[37]
VDSL2: The Ideal Access Technology for Delivering Video Services, Revision 2
White Paper, Aware
[38]
ADSL
ITU-T Recomendación G992.1
(ITU-T, Jun 1999)
[39]
ADSL Light
ITU-T Recommendation G992.2
(ITU-T, Jun 1999)
Redes de Datos
Página 115
Redes Corporativas
[40]
HDSL
ITU-T Recommendation G991.1
(ITU-T, Oct 1998)
[41]
ANSI T1E1.4
High Bit Rate Digital Subscriber Line 2nd Generation (HDSL2)
[42]
VDSL2: Very high speed digital subscriber line transceivers 2 (VDSL2)
ITU-T Recommendation G.993.2
(ITU-T, February 2006)
[43]
Espectro de asignación VDSL2
Wikipedia
http://es.wikipedia.org/wiki/Imagen:Espectro_de_asignaci%C3%B3n_VDSL2.png
[44]
“New ITU Standard Delivers 10x ADSL Speeds”
ITU Press Release
27 de mayo de 2005
http://www.itu.int/newsarchive/press_releases/2005/06.html
[45]
ISO/IEC 7498-4 Information Processing Systems – Open Systems Interconnection – Basic
Reference Model Part 4: Management Framework”, 1989
[46]
Introduction to TMN
http://www.simpleweb.org/tutorials/tmn/index.html
Aiko Pras, Enschede, the Netherlands
Abril 1999
[47]
CCITT Blue Book “Recommendation M.30, Principles for
Management Network”, Volume IV, Fascicle IV.1, Geneva, 1989
[48]
CCITT “Recommendation M.3010, Principles for a Telecommunication Management
Network”, Geneva, 1996
[49]
Nueva visión en la gestión de redes y servicios
a
Telecommunication
José Antonio Lozano López, Carmen de Hita Álvarez
Telefónica I+D, Número 18, Setiembre 2000,
http://www.tid.es/presencia/publicaciones/comsid/esp/articulos/home.html
[50]
RFC-1098 SMNP, J. Case et al, MIT Laboratory for Computer Science, 1989
[51]
ISO/IEC 17799:2000: Information technology -- Code of practice for information security
management
Redes de Datos
Página 116
Redes Corporativas
[52]
British Standards Institution. BS 7799-2:2002: Information security management systems specification with guidance for use.
Londres, 2002
[53]
The twenty most critical Internet security vulnerability – The experts consensus
Version 6.01 November 28, 2005 Copyright (C) 2005, SANS Institute
http://www.sans.org/top20/
[54]
Common Vulnerabilities and Exposures
CVE, the standard for information security vulnerability names
http://www.cve.mitre.org/cve/
[55]
La rentabilidad de las medidas de seguridad de la información
Vicente Aceituno Canal, e.Security, septiembre 2004 – No 1, pp 36-37.
(Reproducido parcialmente en http://www.seguridaddelainformacion.com/seg_10.htm)
[56]
Amenazas, vulnerabilidades y contramedidas
Francisco F. Pardo Barro, Curso: Seguridad en Redes, 2002, Programa de Doctorado en
Tecnologías de la Información, DET, Universidad de Vigo
[57]
Clasificación y tipos de ataques contra sistemas de información
Delitosinformaticos.com, 25 de marzo de 2001
http://www.delitosinformaticos.com/seguridad/clasificacion.shtml
[58]
Security of the Internet
Marcel Dekker, New York, 1997
The Froehlich/Kent Encyclopedia of Telecommunications vol. 15., pp. 231-255.
[59]
Tipos de ataques
Ingeniería Dric
http://www.dric.com.mx/seguridad/di/di4.php
[60]
Sistemas de detección de intrusiones
Mª Aurora Garcés Navarro, Carlos Ruiz García, Abril 2002, Curso de Seguridad en Internet
Programa de Doctorado en Tecnologías de la Información, DET, Universidad de Vigo
[61]
Seguridad en sistemas de información - Detección de intrusos
http://redes-linux.all-inone.net/manuales/ seguridad/DeteccionDeIntrusos.pdf
[62]
Forma rápida de detectar intrusiones y registrar sucesos
Microsoft TechNet, 11 de agosto de 2004
http://www.microsoft.com/spain/technet/recursos/articulos/14110305.aspx
[63]
Intrusion Detection Systems
Rebecca Bace and Peter Mell, NIST Special Publications 800-31, Noviembre, 2001
http://csrc.nist.gov/publications/nistpubs/
[64]
DECRETO REGLAMENTARIO DEL USO DE LA FIRMA DIGITAL
http://www.onpi.org.ar/verlegdocjur.php4?id=128
[65]
Internet Firewall Tutorial – A white paper
Rob Pickering
RPA Network, July 2002
Redes de Datos
Página 117
Redes Corporativas
[66]
Wikipedia
http://es.wikipedia.org/wiki/Firewall
[67]
Whatis.com
http://whatis.techtarget.com/definition/0,289893,sid9_gci212125,00.html
[68]
ESIDE. Facultad de Ingeniería. Universidad de Deusto
Dr. Javier Areitio Bertolin.
[69]
Firewalls Frequently Asked Questions, 2004/07/26
Paul D. Robertson, Matt Curtin, Marcus J. Ranum.
[70]
Keeping your site comfortable secure: An introduction to Internet Firewalls
US Department of Commerce, NIST (National Institute of Standars and Technology)
John P. Wack, Lisa J. Carnahan
[71]
Virtual Private Networks
http://www.monografias.com/trabajos12/monvpn/monvpn.shtml
Mariano Hevia
[72]
RFC 2402 - IP Authentication Header
S.Kent BBN Corp, R. Atkinson @Home Network
November 1998
[73]
RFC 2406 - IP Encapsulating Security Payload (ESP)
S.Kent BBN Corp, R. Atkinson @Home Network
November 1998
[74]
IPSec VPN Fundamentals
Pradosh Kumar Mohapatra and Mohan Dattatreya
Tasman Networks, TechOnLine, Sep. 19, 2002
Redes de Datos
Página 118
Descargar