Documentos de Académico
Documentos de Profesional
Documentos de Cultura
4
), que puedan tomar los valores (0, , /2, -/2). De esta manera, si los bits de
entrada se definen como (d
7
, d
6
, d
5
, d
4
, d
3
, d
2
, d
1
, d
0
), los bits (d
1
, d
0
), determinan
la fase
1
:
d1d0
1
00 0
01
11 /2
10 -/2
De manera similar, los bits (d
3
, d
2
) determinan la fase
2
, y as sucesivamente.
Con estos valores se calculan las fases de cada uno de los 8 smbolos, segn la
siguiente ecuacin:
donde c
n
corresponde a la fase del smbolo n
Por ejemplo, si se tiene en la entrada la secuencia de bits (1,0,1,1,0,1,0,1), se
obtendr una secuencia de smbolos con las siguientes fases: (1,-1, j, j, -j, j,-1,-1)
[16].
IEEE 802.11b utiliza los mismos canales que la recomendacin IEEE 802.11
original. En Ammendant 2 [17] se agregan, para Japn, los canales 1 a 13,
completando para este pas los 14 canales disponibles.
.
La recomendacin 802.11b soporta cambios de velocidad dinmicos, para poder
ajustarse automticamente a condiciones ruidosas. Esto significa que los
dispositivos de una WLAN 802.11b ajustarn automticamente sus velocidades a
11, 5.5, 2 o 1 Mb/s de acuerdo a las condiciones de ruido. Las velocidades y
modulaciones utilizadas se resumen en la siguiente tabla:
Velocidad (Mb/s) Modulacin Comentario
1 DSSS Mandatorio
2 DSSS Mandatorio
5.5 CCK Mandatorio
11 CCK Mandatorio
3.5.3.1.4 IEEE 802.11a
La recomendacin 802.11a es una extensin de la 802.11, y trabaja hasta 54 Mb/s
en las bandas U-NII de 5.15 a 5.25, de 5.25 a 5.35 y de 5.725 a 5.825 GHz. Utiliza
Redes Corporativas
Redes de Datos Pgina 37
tcnicas de modulacin OFDM (Orthogonal Frequency Divisin Multiplexing), en
vez de FHSS o DSSS.
En la tcnica OFDM, el emisor utiliza a la vez varias frecuencias portadoras,
dividiendo la transmisin entre cada una de ellas. En IEEE 802.11a, se utilizan 64
portadoras. 48 de las portadoras se utilizan para enviar la informacin, 4 para
sincronizacin y 12 est reservados para otros usos. Cada portadora est
separada 0.3125 MHz de la siguiente, ocupando un ancho de banda total de
0.3125 x 64 = 20 MHz. Cada una de los canales puede ser modulado con BPSK,
QPSK, 16-QAM o 64-QAM. Al dividir el flujo de datos a transmitir entre varios
canales (portadoras), el tiempo en el aire de cada smbolo en cada canal es
mayor, y por lo tanto, es menor el efecto de la interferencia producida por caminos
mltiples, lo que redunda en una mejora en la recepcin de la seal, evitando el
uso de complejos sistemas DSP.
En Estados Unidos hay previstos 12 canales, de 20 MHz de ancho cada uno.
Ocho de ellos son dedicados a aplicaciones de uso internas y cuatro a externas.
En Europa se admiten 19 canales. Las potencias mximas admitidas dependen
del canal utilizado. A diferencia de DSSS, los canales OFDM en 802.11a no se
superponen.
Los canales en U-NII se definen entre las frecuencias de 5 y 6 GHz, a razn de un
canal cada 5 MHz, segn la frmula
F
central
(MHz) = 5.000 + 5 x n
siendo n el nmero del canal
La siguiente tabla resume los canales y frecuencias utilizados en 802.11a:
Canal Frecuencia
central (GHz)
Estados
Unidos
Europa Japn Resto del
Mundo
34 5.170 - - X -
36 5.180 X X - X
38 5.190 - - X -
40 5.200 X X - X
42 5.210 - - X -
44 5.220 X X - X
46 5.230 - - X -
48 5.240 X X - X
52 5.260 X X - X
56 5.280 X X - X
60 5.300 X X - X
64 5.320 X X - X
Redes Corporativas
Redes de Datos Pgina 38
Canal Frecuencia
central (GHz)
Estados
Unidos
Europa Japn Resto del
Mundo
100 5.500 - X - X
104 5.520 - X - X
108 5.540 - X - X
112 5.560 - X - X
116 5.580 - X - X
120 5.600 - X - X
124 5.620 - X - X
128 5.640 - X - X
132 5.660 - X - X
136 5.680 - X - X
140 5.700 - X - X
149 5.745 X - - X
153 5.765 X - - X
157 5.785 X - - X
161 5.805 X - - X
La siguiente figura ilustra la tabla anterior [18]:
Redes Corporativas
Redes de Datos Pgina 39
Las velocidades y modulaciones utilizadas en 802.11a se resumen en la siguiente
tabla:
Velocidad (Mb/s) Modulacin Comentario
6 OFDM Mandatorio
9 OFDM Opcional
12 OFDM Mandatorio
18 OFDM Opcional
24 OFDM Mandatorio
36 OFDM Opcional
48 OFDM Opcional
54 OFDM Opcional
3.5.3.1.5 IEEE 802.11g
La recomendacin 802.11g [19], estandariza la operacin de las WLAN con
velocidades de datos de hasta 54 Mb/s. Utiliza la misma banda de 2.4 GHz que la
Redes Corporativas
Redes de Datos Pgina 40
802.11b, lo que permite que los dispositivos puedan operar en ambas normas.
802.11g utiliza OFDM (orthogonal frequency division multiplexing).
IEEE 802.11g utiliza los mismos canales que la recomendacin IEEE 802.11b.
Las velocidades y modulaciones utilizadas en 802.11g se resumen en la siguiente
tabla:
Velocidad (Mb/s) Modulacin Comentario
1 DSSS Mandatorio
2 DSSS Mandatorio
5.5 CCK Mandatorio
5.5 PBCC Opcional
11 CCK Mandatorio
6 OFDM Mandatorio
9 OFDM Opcional
11 CCK Opcional
11 PBCC Opcional
12 OFDM Mandatorio
18 OFDM Opcional
22 PBCC Opcional
24 OFDM Mandatorio
33 PBCC Opcional
36 OFDM Opcional
48 OFDM Opcional
54 OFDM Opcional
3.5.3.1.6 IEEE 802.11n
En enero de 2004, el IEEE anunci la formacin de un grupo de trabajo para
desarrollar una nueva revisin del estndar 802.11. La velocidad real de
transmisin podra llegar a los 600 Mbps (lo que significa que las velocidades
tericas de transmisin seran an mayores), y debera ser hasta 10 veces ms
rpida que una red 802.11a y 802.11g, y cerca de 40 veces ms rpida que una
red 802.11b. Tambin se espera que el alcance de operacin de las redes sea
mayor con este nuevo estndar gracias a la tecnologa MIMO (Multiple Input
Multiple Output), que permite utilizar varios canales a la vez para enviar y recibir
datos gracias a la incorporacin de varias antenas. Se espera que el estndar est
completado en 2008. Al momento de publicar estas notas, el estndar se
encuentra en estado de Draft, siendo la versin 2.05 del mismo aprobada en julio
de 2007 (TGn Draft 2.05) [20].
Redes Corporativas
Redes de Datos Pgina 41
La tecnologa MIMO permite tener diversidad de caminos, ya que hay varias
antenas en el emisor y en el receptor, como se esquematiza en la siguiente figura,
lo que permitir mejorar notoriamente las velocidades de transmisin y el alcance
de estas redes.
3.5.3.2 Capa MAC de 802.11
El mecanismo de control de acceso al medio est basado en un sistema
denominado CSMA/CA (Carrier Sense Multiple Access with Collition Avoidance).
Los protocolos CSMA son los mismos utilizados en Ethernet cableado (Ver 3.1.2).
Sin embargo, en Ethernet cableado, se utilizaba el mecanismo de control de
acceso CSMA/CD (CSMA con deteccin de colisiones). En las redes inalmbricas
es muy dificultoso utilizar mecanismos de deteccin de colisiones, ya que
requerira la implementacin de equipos de radio full-duplex (los que seran muy
costosos) y adicionalmente, en las redes inalmbricas no es posible asumir que
todas las estaciones puedan efectivamente escuchar a todas las otras (lo que est
bsicamente asumido en los mecanismos del tipo deteccin de colisiones).
En las redes inalmbricas, el hecho de escuchar el medio y verlo libre no
asegura que realmente lo est en puntos cercanos. Es por ello que el mecanismo
utilizado en las WLAN se basa en evitar las colisiones, y no en detectarlas.
Esto se logra de la siguiente manera:
1. Si una mquina desea transmitir, antes de hacerlo escucha el medio. Si lo
encuentra ocupado, lo intenta ms tarde. Si lo encuentra libre durante un
tiempo (denominado IFS = Distributed Inter Frame Space), la mquina
puede comenzar a transmitir.
2. La mquina destino recibe la trama, realiza el chequeo de CRC y enva una
trama de reconocimiento (ACK)
3. La recepcin de la trama ACK indica a la mquina original que no existieron
colisiones. Si no se recibe el ACK, se retransmite la trama hasta que se
reciba el ACK, o se supere el mximo nmero de retransmisiones.
Redes Corporativas
Redes de Datos Pgina 42
Para poder implementar un sistema de prioridades en la transmisin, se definen
tres tiempos de espera diferentes (IFS), cada uno con una duracin
preestablecida:
DIFS: Distributed-coordinated-function (DCF) Inter Frame Space. Se utiliza
cuando se desea enviar datos largos y de baja prioridad.
SIFS: Short Inter Frame Space: Se utiliza cuando se desea enviar datos
cortos y de alta prioridad (por ejemplo, paquetes ACK)
PIFS: Point-Coordination-Function (PCF) Inter Frame Space: Se utiliza solo
cuando el AP coordina las transmisiones. Tiene una duracin intermedia
entre DIFS y SIFS.
A los efectos de reducir la probabilidad de que dos mquinas transmitan al mismo
tiempo debido a que no se escuchan entre s, la recomendacin define un
mecanismo de deteccin virtual de portadora (Virtual Carrier Sense), que
funciona de la siguiente forma:
Una mquina que desea transmitir una trama, enva primero una pequea trama
de control llamada RTS (Request To Send, o Solicitud para poder Enviar), que
incluye la direccin de origen y destino, y la duracin de la siguiente trama
(incluyendo la trama a enviar y su correspondiente respuesta ACK). La mquina
de destino responde (si el medio est libre) con una trama de control llamada
CTS (Clear To Send, o Todo est libre para que enves), que incluye la misma
informacin de duracin.
Todas las mquinas reciben el RTS y/o el CTS, y por lo tanto, reciben la
informacin de por cuanto tiempo estar ocupado el medio. De esta manera,
tienen un indicador virtual de ocupacin del medio, que les informa cunto
tiempo deben esperar para poder intentar transmitir.
Este mecanismo reduce la probabilidad de colisiones en el rea del receptor. Si
existen mquinas que estn fuera del alcance del emisor, pero dentro del alcance
del receptor, recibirn la trama CTS (enviada por el receptor) y aunque no puedan
escuchar la trama del emisor, no ocuparn el medio mientras sta dure.
Las tramas IEEE 802.11 difieren de las tramas IEEE 802.3 que se detallaron en
3.1.3. A diferencia de las sencillas tramas 802.3, una red inalmbrica necesita
intercambiar entre sus nodos informacin de control, implementar procesos de
registracin, administracin de movilidad y de energa, y mecanismos de
seguridad. Por ello, fue necesario agregar campos adicionales a las tramas MAC
de IEEE 802.11, as como definir, adems de tramas de datos, tramas de control y
administracin.
Como se vio anteriormente, la capa fsica (PHY) incluye el prembulo, SFD (Start
of frame) y el largo de la trama. La trama generada en la capa MAC en IEEE
802.11 se detalla a continuacin:
Frame
control
Dur/ID Direccin
1
Dato
s /
Relle
no
CR
C
2 1 6 6 6 2 6 0-2312 4
Direccin
2
Direccin
3
Control
de
secuenc
ia
Direccin
4
Redes Corporativas
Redes de Datos Pgina 43
El primer campo, Frame Control, indica el tipo de trama (codificado con 2 bits,
permite diferencia entre tramas de datos, tramas de control o tramas
administrativas), y el subtipo (codificado con 4 bits, permite hasta 16 subtipos de
trama para cada tipo). Indica tambin si los datos se encuentran o no encriptados.
Dentro de ste campo se reservan 2 bits para el tipo de trama (permitiendo hasta
4 tipos diferentes. El campo Duracin / ID se utiliza para identificar el largo de los
datos fragmentados que siguen. A diferencia de la trama IEEE 802.3, esta trama
tiene 4 campos de direcciones, correspondientes al origen, al destino, y a las
direcciones de los AP a los que fuente y destino estn conectados. El campo
Control de secuencia es utilizado para numerar los datos fragmentados. Los datos
puede tener un largo mximo de 2.312 bytes (superior a los 1.500 bytes
soportados por 802.3). Finalmente, se utilizan 4 bytes para control de errores,
CRC.
Como se mencion anteriormente, la subcapa MAC cotiene, adicionalmente, una
subcapa de gerenciamiento (MAC Management). Esta subcapa se encarga de la
administracin del establecimiento de las comunicaciones entre las estaciones y el
AP. Esta subcapa implementa los mecanismos necesarios para soportar la
movilidad.
Uno de las tareas de la subcapa de gerenciamiento es el proceso de registracin,
el que se lleva a cabo mediante el intercambio de tramas del tipo Association
Request, enviadas por el terminal al AP y Association response, enviadas del
AP al terminal.
Adicionalmente, el AP enva en forma cuasi-peridica, cada aproximadamente 100
ms, tramas administrativas del subtipo beacon (baliza). Estas tramas permiten
la sincronizacin y el control de la potencia recibida por parte de los terminales.
Otra de las tareas de la subcapa de gerenciamiento es la controlar los handoffs,
es decir, la movilidad de un terminal desde un AP a otro. Cuando la potencia de la
seal recibida en la tramas beacon disminuye por debajo de un determinada
umbral, el terminal puede comenzar un proceso de reasociacin, hacia otro AP
cuya potencia de seal sea mayor. Para este proceso se intercambian tramas
administrativas del tipo Reassociation Request y Reassociation Response) entre
el terminal y el nuevo AP.
3.5.4 Alcance de IEEE 802.11
El alcance de las redes WLAN depende de diversos factores, como ser, velocidad
de transmisin, modulacin utilizada, tipo de ambiente de trabajo (abiertos o
cerrados), tipo y materiales de las construcciones cercanas, interferencias
externas, etc.
Algunas reglas generales pueden tenerse en cuenta: Existe una relacin entre la
longitud de onda y el alcance. Seales con mayores longitudes de onda (menores
frecuencias) llegarn ms lejos que seales con menores longitudes de onda
(mayores frecuencias). Adicionalmente, las mayores longitudes de onda tienen
Redes Corporativas
Redes de Datos Pgina 44
mejor propagacin a travs de slidos (como paredes, por ejemplo). Otra relacin
genrica es que, a medida que la velocidad aumenta, el alcance disminuye.
Finalmente, la modulacin utilizada tiene su efecto en el alcance. OFDM es una
tcnica ms eficiente que DSSS, permitiendo, a iguales distancias mayores
velocidades de informacin, o a iguales velocidades, mayor alcance.
La siguiente tabla ilustra una aproximacin de los alcances en las diversas
tecnologas y velocidades [21]
Data Rate (Mbps)
802.11a (40 mW with 6
dBi gain diversity patch
antenna) Range
802.11g (30 mW with 2.2
dBi gain diversity dipole
antenna)
802.11b (100 mW with
2.2 dBi gain diversity
dipole antenna)
54 13 m 27 m -
48 15 m 29 m -
36 19 m 30 m -
24 26 m 42 m -
18 33 m 54 m -
12 39 m 64 m -
11 - 48 m 48 m
9 45 m 76 m -
6 50 m 91 m -
5.5 - 67 m 67 m
2 - 82 m 82 m
1 - 124 m 124 m
Puede verse como 802.11a tiene, en similares condiciones, menor alcance que
802.11g (para las mismas velocidades). Asimismo puede verse como las tcnicas
OFDM utilizadas en 802.11g permiten tener mayor alcance que las DSSS (por
ejemplo, notar que hay mayor alcance en 802.11g a 18 Mb/s (OFDM) que a 11
Mb/s (DSSS, por compatibilidad con 802.11b)
Los mtodos habituales para lograr mayores alcances consisten en:
Repetidores: Son equipos que escuchan las sealas de los AP y los
retransmiten, logrando servir a reas a los que el AP no llegara
Amplificadores: Son equipos que aumentan la potencia de salida, y se
conectan entre la salida de RF y la antena [22].
Antenas direccionales: Concentran la potencia radiada, aumentando el
alcance en una zona, y disminuyndola en otras.
3.5.5 Seguridad en redes inalmbricas
Los aspectos de seguridad son especialmente importantes en redes inalmbricas.
En la recomendacin IEEE 802.11 original, era recomendado el uso del
mecanismo de seguridad conocido como WEP (Wired Equivalent Privacy). Este
mecanismo fue diseado de manera de ofrecer una seguridad equivalente a la que
existe en las redes cableadas.
Redes Corporativas
Redes de Datos Pgina 45
WEP es un algoritmo que encripta las tramas 802.11 antes de ser transmitidas,
utilizando el algoritmo de cifrado de flujo RC4. Los receptores desencriptan las
tramas al recibirlas, utilizando el mismo algoritmo. Como parte del proceso de
encriptacin, WEP requiere de una clave compartida entre todas las mquinas de
la WLAN, la que es concatenada con una vector de inicializacin que se genera
en forma aleatoria con el envo de cada trama. WEP utiliza claves de 64 bits para
encriptar y desencriptar.
Este mecanismo ha resultado poco seguro, y la Wi-Fi propuso en 2003, como
mejora, el algoritmo conocido como WPA (Wi-Fi Protected Access). WPA estuvo
basado en los borradores de la (en ese entonces) futura recomendacin IEEE
802.11i y fue diseado para utilizar un servidor de autenticacin (normalmente un
servidor RADIUS), que distribuye claves diferentes a cada usuario (utilizando el
protocolo 802.1x [23]). Sin embargo, tambin se puede utilizar en un modo menos
seguro de clave pre-compartida (PSK - Pre-Shared Key). Al igual que WEP, la
informacin es cifrada utilizando el algoritmo RC4, pero con una clave de 128 bits
y un vector de inicializacin de 48 bits. Una de las mejoras de WPA sobre WEP,
es la implementacin del Protocolo de Integridad de Clave Temporal (TKIP -
Temporal Key Integrity Protocol), que cambia las claves dinmicamente a medida
que el sistema es utilizado. Esto junto con el uso de un vector de inicializacin ms
grande, mejora sustancialmente la seguridad de WPA frente a WEP. La Wi-Fi ha
denominado WPA-Personal cuando se utiliza una calve pre-compartida y WPA-
Enterprise cuando se utiliza un servidor de autenticacin.
En 2004 la IEEE complet la recomendacin IEEE 802.11i [24], la que provee
mejoras en los mecanismos de seguridad originalmente propuestos en WEP. En
este nuevo estndar, se proveen tres posibles algoritmos criptogrficos: WEP,
TKIP y CCMP (Counter-Mode / Cipher Block Chaining / Message Authentication
Code Protocol). WEP y TKIP se basan en el algoritmo de cifrado RC4, mientras
que CCMP se basa en el algoritmo AES (Advanced Encryption Standard),
desarrollado originalmente por el NIS. AES es un algoritmo de cifrado de bloque
con claves de 128 bits (mientras que RC4 es un algoritmo de cifrado de flujo).
La Wi-Fi adopt la recomendacin 802.11i con el nombre WPA2. Est basado en
el mecanismo RSN (Robust Security Network), y mantiene todos los mecanismos
previamente introducidos en WPA. En marzo de 2006, la Wi-Fi impuso como
obligatorio cumplir con WPA2 para obtener el certificado de compatibilidad.
Redes Corporativas
Redes de Datos Pgina 46
4 Redes PAN
Las redes PAN, o Personal Area Network estn diseadas para el intercambio
de datos entre dispositivos cercanos (Laptops, telfonos celulares, PCs, PDA,
etc.). Se trata de redes inalmbricas de corto alcance, y velocidad media (algunos
Mb/s), aunque estndares de alta velocidad (ms de 50 Mb/s) estn siendo
desarrollados.
Estas redes son generalmente del tipo Ad-Hoc, ya que no existe infraestructura
previa para que la red pueda formarse. Se denominan en forma genrica MANET
(Mobile Ad-hoc Networks) y consisten en una coleccin de terminales inalmbricos
que dinmicamente pueden conectarse entre s, en cualquier lugar e instante de
tiempo, sin necesidad de utilizar infraestructuras de red preexistente. Los
terminales pueden ser dismiles en sus caractersticas y prestaciones (Laptops,
PDAs, Pocket PCs, telfonos celulares, sensores inalmbricos, etc.) Se trata de
un sistema autnomo, auto organizado y adaptativo, en el que los equipos mviles
pueden moverse libremente y actuar simultneamente como terminales y
enrutadores (o routers).
Dado que no todos los terminales son capaces de tener alcance directo a todos
los otros, sus nodos deben cooperar, en la medida de sus posibilidades, re-
enrutando paquetes (recodar que no hay elementos centrales). Asimismo,
debern intercambiar informacin acerca de la topologa de la red y sus
dispositivos, generando dinmicamente tablas de ruteo.
Varios aspectos deben ser resueltos para que este tipo de redes funcionen, entre
los que se destacan [25]:
Uso y licenciamiento del espectro utilizado
Las bandas del espectro estn reguladas en cada pas. Hay bandas de uso
libre (como la ISM), pero dicha banda est comenzando a ser
superpoblada (Redes WLAN, microondas, telfonos inalmbricos, etc.
est utilizando esta banda). Por otro lado, de elegir alguna banda
licenciada, no est claro quien debera obtener los derechos de la misma
para utilizara en redes MANET.
Mecanismos de acceso al medio
Dado que no hay puntos centrales, los protocolos de acceso al medio
deben ser especialmente diseados, y estar adaptados a la gran movilidad
de ste tipo de redes
Protocolos de ruteo
La gran movilidad de estas redes hacen que los enlaces se creen y
desaparezcan rpidamente. Por esta razn los protocolos clsicos de ruteo,
utilizados en redes fijas o con baja movilidad, no son directamente
aplicables a este tipo de redes. Nuevos protocolos de ruteo estn siendo
estudiados para este tipo de redes.
Multicasting
Al igual que con el ruteo, la movilidad en los nodos enrutadores no est
prevista en los protocolos clsicos de Multicast. Nuevas tcnicas, que
Redes Corporativas
Redes de Datos Pgina 47
minimicen en ancho de banda y la difusin de paquetes deben ser
diseadas para estas redes.
Uso eficiente de la energa
La mayora de los protocolos de red no consideran los factores referentes al
consumo de energa, ya que asume equipos fijos, conectados a fuentes
externas. Sin embargo, las redes MANET estn pensadas para dispositivos
pequeos y mviles, operados con bateras. Las tcnicas existentes de
bateras an estn poco avanzadas, comparado con la microelectrnica.
Esto hace que la vida til de las bateras de los equipos mviles sea muy
limitada, y por lo tanto, la preservacin de la energa es un factor clave en
las redes MANET, especialmente si se piensa que parte de esa energa
deber ser usada para enrutar paquetes de terceros.
Performance del protocolo TCP
El protocolo TCP esta designado para establecer conexiones confiables
sobre redes no orientadas a la conexin (como es el caso de Internet o IP).
TCP asume que los nodos en las rutas son estticos (es decir, no tienen
movilidad), y por lo tanto, miden el RTT (Round-trip time) y la prdida de
paquetes para detectar congestiones en la red. Sin embargo, TCP no puede
distinguir si un nodo intermedio est congestionado, o se ha movido. Ser
necesario introducir mejoras a este protocolo, para que pueda funcionar
correctamente en redes MANET.
Seguridad y privacidad
Los aspectos de seguridad siempre deben ser tenidos en cuenta, en
especial en redes inalmbricas. Dado que este tipo de redes no tiene
controladores centrales, las funciones de seguridad y privacidad debern
estar omnipresentes en todos los nodos, estableciendo reglas acerca de
que paquetes pueden o no ser enrutados, por ejemplo, basado en la
autenticidad del emisor.
Las redes MANET tienen utilidad en aquellos entornos donde la infraestructura de
comunicaciones es escasa, no existe, resulta costosa o es impracticable. Sus
aplicaciones varan desde la domtica hasta el campo de batalla. Quizs el uso
ms directo es el relacionado con la comunicacin en pequeas distancias de
dispositivos heterogneos, eliminando la necesidad de cables de interconexin.
Ejemplos de redes PAN son Bloutooth y IEEE 802.15, que se presentarn
brevemente a continuacin.
Redes Corporativas
Redes de Datos Pgina 48
4.1 Bluetooth
4.1.1 Origen e historia
El nombre Bluetooth tiene sus orgenes en Harald Bltand (en Ingls Harald I
Bluetooth), quien fue Rey de Dinamarca, entre los aos 940 y el 985. El nombre
Bltand fue probablemente tomado de dos viejas palabras danesas: 'bl', que
significa piel oscura y 'tan' que significa gran hombre. Como buen Vikingo,
Harald consideraba honorable pelear por tesoros en tierras extranjeras. En 1960
lleg a la cima de su poder, gobernando sobre Dinamarca y Noruega.
Harald fue bautizado por un sacerdote enviado por el emperador de Alemania, y
fue quien introdujo el Cristianismo en su reino. Como recordatorio perpetuo de su
reinado, erigi un monumento con lo siguiente inscripcin: El Rey Harald leventa
este monumento en memoria de Grom, su padre y Thyre, su madre. Harald
conquist Dinamarca y Noruega y convirt a los daneses al cristianismo. Estas
palabras fueron talladas en runa
1
, sobre una Gran Piedra que mide 2,43 metros y
pesa 10 toneladas. Tiene tres caras. Una de ellas contiene las runas con el
mensaje anteriormente citado. En la otra aparece la que est considerada la
imagen nrdica ms antigua de Cristo, prueba de que el Cristianismo haba
penetrado en Dinamarca. Curiosamente, la tercera cara de la Gran Piedra
representa un gran animal y una serpiente, smbolos paganos legado de las
creencias tradicionales danesas.
Harald fue asesinado en 985. Durante su reinado, complet la unificacin de su
reino, comenzada por su padre, convirti a los daneses al cristianismo y conquist
Noruega. Su hijo, Sweyn I, culmin la expansin, conquistando tambin Inglaterra
en 1013.
As como el antiguo Harlad unific Dinamarca y Noruega, los creadores de
Bluetooth esperan que sta tecnologa unifique los mundos de los dispositivos
informticos y de telecomunicaciones. Es as que en 1998 las compaas
Ericsson, Nokia, IBM, Toshiba e Intel formaron un Grupo de Inters Especial
(SIG = Special Interest Group) para desarrollar una tecnologa de conectividad
inalmbrica entre dispositivos mviles de uso personal, que utilizara la banda no
licenciada de frecuencias (ISM). Actualmente, ms de 2.500 compaas se han
afiliado al grupo Bluetooth.
La siguiente figura ilustra la runa original de Harald [26] y el smbolo de Bluetooth
[27]
1
Los caracteres que se empleaban en la escritura de los antiguos escandinavos se denominan
Runa
Redes Corporativas
Redes de Datos Pgina 49
4.1.2 Tecnologa Bluetooth
Bluetooth [28] es un sistema de comunicacin de corto alcance, diseado para
reemplazar los cables que conectan equipos portables entre s o con equipos fijos.
Las principales caractersticas de ste tecnologa inalmbrica se centra en su
robustez y su bajo consumo de potencia.
Un sistema Bluetooth consiste en un receptor y emisor de RF, un sistema de
banda base y un conjunto de protocolos.
La capa fsica de Bluetooth, es un sistema de Radio Frecuencia que opera en la
banda ISM de 2.4 GHz. Utiliza tcnicas de modulacin basadas en FHSS
(Frequency Hopping Spread Spectrum), de manera similar a IEEE 802.11.
La tcnica FHSS (Frequency Hopping Spread Spectrum) consiste en modular la
seal a transmitir con una portadora que salta de frecuencia en frecuencia,
dentro del ancho de la banda asignada, en funcin del tiempo. El cambio peridico
de frecuencia de la portadora reduce la interferencia producida por otra seal
originada por un sistema de banda estrecha, afectando solo si ambas seales se
transmiten en la misma frecuencia en el mismo momento.
Se transmite 1 Mega smbolo por segundo (1 Ms/s), soportando velocidades
binarias de 1 Mb/s (Basic Rate), o con EDR (Enhanced Data Rate), 2 o 3 Mb/s.
Los dispositivos Bluetooth cercanos, forman una piconet, dentro de la cual, uno
de los dispositivos cumple el rol de Maestro, mientras que los dems asumen el
rol de Esclavos. Durante una operacin tpica, un mismo canal de radio es
compartido por el grupo de la piconet, sincronizndose todos los esclavos al
patrn de saltos de frecuencias impuesto por el maestro. Este patrn de saltos
est determinado algortmicamente por la direccin y el reloj del maestro, y utiliza
las 79 posibles frecuencias de la banda ISM de 2.4 GHz. Se dispone de tcnicas
adaptivas, que excluyen las frecuencias en las que se detecta interferencias, a los
efectos de poder coexistir con otros sistemas que utilicen frecuencias fijas dentro
de la banda.
Redes Corporativas
Redes de Datos Pgina 50
El canal fsico es subdividido en unidades de tiempo (time slots). Los datos son
transmitidos entre los dispositivos en paquetes dentro de estos time slots. Se logra
un efecto full duplex mediante tcnicas del tipo TDD (Time-Division Duplex)
Dentro de un canal fsico, se pueden establecer canales lgicos de comunicacin,
entre los dispositivos de una piconet. Sin embargo, stos canales lgicos
solamente pueden establecerse entre un maestro y hasta 7 esclavos. Los
esclavos no pueden establecer canales lgicos entre s. Deben necesariamente
pasar por un maestro.
Solo hasta 8 dispositivos activos pueden formar una piconet. Ms de 8 dispositivos
pueden estar dentro de la piconet, pero no en estado activo, sino estacionados
(parked) o en stand-by.
Un mismo dispositivos puede formar parte de ms de una piconet, pero no puede
ser Maestro en ms de una a la vez. En este caso, el dispositivo que pertenece a
ms de una piconet podr eventualmente, enrutar paquetes entre ambas piconets.
La unin de varas piconets interconectadas se denomina scatternet.
La siguiente figura ilustra una posible distribucin de 20 dispositivos en una
scatternet, formada por 3 piconets, dnde dos de las dispositivos son maestros de
una piconet y esclavos de otra.
P1: Piconet 1
P2: Piconet 2
P3: Piconet 3
En este ejemplo, se forman 3 piconets P1, P2 y P3. El nodo designado como A es
Maestro de la piconet P1. A esta piconet se le asignan otros 7 nodos Esclavos. 2
de estos nodos esclavos, se designan, a su vez, como Maestros de los piconets
P1
P3
P2
A
Nodo A:
Master de
P1
Esclavo de
P1 y Master
de P3
Esclavo de
P1 y Master
de P2
Esclavo P3
Redes Corporativas
Redes de Datos Pgina 51
P2 y P3 respectivamente, dnde se distribuyen como Esclavos los 12 nodos
restantes (6 a la piconet P2 y 6 a la piconet P3).
Esta configuracin permite tener un mximo de 2 saltos desde cualquier nodo al
nodo A. Por otra parte, se requiere un mximo de 4 saltos para llegar de cualquier
nodo a cualquier otro (dndose este mximo cuando se quiere llegar de nodos
Esclavos de P2 a nodos Esclavos de P3)
4.1.3 Consumo y Alcance en Bluetooth
El consumo de potencia es uno de los temas especialmente considerado en la
tecnologa Bluetooth. Dado que los dispositivos que utilizan esta tecnologa
(PDAs, hand helds, telfonos celulares, etc) son generalmente alimentados con
bateras de corta autonoma, las aspectos relacionados al consumo deben tenerse
muy en cuenta.
Es generalmente admitido que los mdems Bluetooth consumen menos potencia
que los de IEEE 802.11. En las pginas del sitio de Bluetooth se menciona que
sta tecnologa utiliza la quinta parte de la potencia que la tecnologa Wi-Fi [29].
Sin embargo, algunos estudios muestran que diferentes productos del mercado
802.11 pueden tener grandes diferencias de consumo entre s, llegando a medir
un factor de 15 entre el de menor y el de mayor consumo [30]. Los de menor
consumo, podran entran en la franja de consumos de los productos Bluetooth
En Bluetooth las clases de los dispositivos definen la potencia de emisin, y por lo
tanto, el alcance tpico, segn la siguiente tabla [31]:
Clase Potencia mxima
(Pmax)
Potencia
nominal
Potencia Mnima Alcance
1 100 mW (20 dBm) N/A 1 mW (0 dBm) 100 m
2 2.5 mW (4 dBm) 1 mW (0 dBm) 0.25 mW (-6 dBm) 10 m
3 1 mW (0 dBm) N/A N/A 1 m
4.1.4 Arquitectura y modelo de capas en Bluetooth
Una de las caractersticas de Bluetooth es que provee un conjunto completo de
protocolos que permite la intercomunicacin de aplicaciones entre dispositivos, a
diferencia de IEEE 802.11 que especifica nicamente las tres capas ms bajas del
modelo.
El modelo de capas de Bluetooth se esquematiza en la siguiente figura:
Redes Corporativas
Redes de Datos Pgina 52
La capa RF contiene el MODEM de radio utilizado para la transmisin y recepcin
de informacin, en la banda ISM de 2.4 GHz, mediante modulacin FHSS, como
se mencion anteriormente.
La capa de banda base (Baseband) se encarga del control del enlace a nivel de
bits y paquetes. En particular esta capa establece la codificacin y encripcin, as
como las reglas de saltos de frecuencias.
La capa LMP (Link Management Protocol) establece los enlaces con los otros
dispositivos. Es responsable de conectar maestros con esclavos dentro de una
piconet, y administrar sus modos de operacin (activos, estacionados) y sus
potencias.
Estas tres capas ms bajas del protocolo se implementan generalmente dentro del
chip Bluetooth, e interactan con las capas superiores a travs de una interfaz
denominada HCI (Host Controller Interface).
La capa L2CAP (Logical Link Control and Adaptation Protocol) proporciona
servicios de datos tanto orientados a conexin como no orientados a conexin a
Application Framework and
Support
Link Manager and L2CAP
Radio & Baseband
HCI: Host Controller
Interface
RF
Baseband
Audio
LMP
L2CAP
Other
TC
S
RFCOMM
Data
SDP
Applications
Con
trol
Redes Corporativas
Redes de Datos Pgina 53
los protocolos de las capas superiores, junto con facilidades de multiplexacin y de
segmentacion y reensamblaje. L2CAP permite que los protocolos de capas
superiores puedan transmitir y recibir paquetes de datos L2CAP de hasta 64
kilobytes de longitud.
L2CAP se basa en el concepto de canales. Un canal es una conexin lgica que
se sita sobre la conexin de banda base. Cada canal se asocia a un nico
protocolo. Cada paquete L2CAP que se recibe a un canal se redirige al protocolo
superior correspondiente. Varios canales pueden operar sobre la misma conexin
de banda base, pero un canal no puede tener asociados ms de un protocolo de
alto nivel.
Por sobre L2CAP se ubican las capas RFCOMM, SDP y TCS. El protocolo
RFCOMM proporciona emulacin de puertos RS-232 serie a travs del protocolo
L2CAP. Este protocolo se basa en el estndar de la ETSI denominado TS 07.10.
RFCOMM es utilizado para establecer comunicaciones seriales punto a punto,
emulando el protocolo RS-232 a travs de RF. Sobre este protocolo pueden
implementarse diferentes aplicaciones, como por ejemplo:
OBEX: Es un protocolo muy utilizado para transferencias de archivos entre
dispositivos mviles, por ejemplo, tarjetas de visita o entradas de agenda
(por ejemplo, entre telfonos celulares y PDAs).
PPP: El protocolo Point to Point puede ser implementado sobre RFCOMM,
permitiendo, a su vez, implementar sobre l protocolos UDP y TCP
Comando AT: Pueden emularse comandos de modems a travs de
RFCOMM
El protocolo SDP (Service Discovery Protocol) permite a las aplicaciones
cliente descubrir la existencia de diversos servicios proporcionados por uno o
varios servidores de aplicaciones, junto con los atributos y propiedades de los
servicios que se ofrecen. Estos atributos de servicio incluyen el tipo o clase de
servicio ofrecido y el mecanismo o la informacin necesaria para utilizar dichos
servicios. Los dispositivos que actan como servidores de aplicaciones mantienen
una lista de registros de servicios, los cuales describen las caractersticas de los
servicios ofrecidos. Cada registro contiene informacin sobre un determinado
servicio. Un cliente puede recuperar la informacin de un registro de servicio
almacenado en un servidor SDP lanzando una peticin SDP. Si el cliente o la
aplicacin asociada con el cliente decide utilizar un determinado servicio, debe
establecer una conexin independiente con el servicio en cuestin. SDP
proporciona un mecanismo para el descubrimiento de servicios y sus atributos
asociados, pero no proporciona ningn mecanismo ni protocolo para utilizar dichos
servicios.
Redes Corporativas
Redes de Datos Pgina 54
El protocolo TCP (Telephony Control Protocol) define la sealizacin para el
control de llamadas de voz para aplicaciones de telefona inalmbrica. Est
basado en el protocolo ITU-T Q.931.
El Audio es directamente transferido de la aplicacin a la banda base. Bluetooth
soporta hasta 3 canales de audio full duplex simultneamente. Puede utilizar
codecs con tcnicas CVSD (Continuous Variable Slope Delta Modulation) a 64
kb/s, o PCM (ley A o ley Mu)
4.2 IEEE 802.15
El grupo de trabajo IEEE 802.15 ha desarrollado un estndar de WPAN basado en
las especificaciones existentes de Bluetooth. El estndar IEEE 802.15.1 fue
publicado en junio de 2002 y revisado en mayo de 2005 [32]
Este estndar es una adaptacin de la versin 1.1 de Bluetooth en lo referente a la
capa fsica (PHY) y a la capa de enlace (MAC), incluyendo L2CAP y LMP.
La siguiente figura, tomada de la recomendacin IEEE 802.15, ilustra la
correspondencia entre las capas del modelo ISO OSI, frente a las de IEEE 802 y
IEEE 802.15.1
Redes Corporativas
Redes de Datos Pgina 55
4.3 Coexistencia IEEE 802.15/Bluetooth y IEEE 802.11
Una de las principales preocupaciones de la IEEE es la coexistencia de Bluetooth
con IEEE 802.11b, ya que ambos utilizan la misma porcin del espectro, y tienen
mecanismos de transmisin similares. Para abordar este problemtica, se design
al Task group 2 (grupo de trabajo 2), que desarroll la recomendacin IEEE
802.15.2 [33]
Bluetooth utiliza tcnicas FHSS de 1.600 saltos por segundo a 1 Mb/s, ocupando
todo el ancho de banda disponible en la banda ISM de 2.4 GHz. IEEE 802.11b
utiliza FHSS de 2.5 saltos por segundo para velocidades bajas y DSSS y CCK
para velocidades mayores, lo que lleva a que los problemas de interferencia y
coexistencia deban ser analizados en detalle. Puede leerse el captulo 13.5 de la
referencia [34] para profundizar en los problemas de interferencia.
La recomendacin IEEE 802.15.2 estable prcticas para facilitar la coexistencia de
estas dos tecnologas. Estas prcticas se dividen en dos categoras de
mecanismos de coexistencia:
Colaborativos: Cuando puede existir intercambio de informacin entre las
dos redes inalmbricas (por ejemplo, cuando el mismo equipo es 802.15.1 y
802.11b). Dentro de esta categora se establecen los siguientes
mecanismos de coexistencia:
o Acceso al medio inalmbrico alternado (Alternating wireless medium
access)
o Arbitraje de trfico de paquetes (Packet traffic arbitration)
o Supresin de interferencia determinstica (Deterministic interference
supression)
No colaborativos: Cuando no es posible intercambiar informacin entre las
redes inalmbricas
o Supresin de interferencia adaptativa (Adaptive interference
supression)
o Seleccin de paquete adaptativo (Adaptive packet selection)
o Agendamiento de paquetes para enlaces ACL (Packet scheduling for
ACL links)
o Agendamiento de paquetes para enlaces SCO (Packet scheduling
for SCO links)
o Saltos de frecuencia adaptativos (Adaptive frequency-hopping)
Las tcnicas colaborativas son las ms efectivas, pero solo pueden realizarse
dentro de un mismo dispositivo que tenga ambas tecnologas. En este caso, se
pueden combinar las tcnicas AWMA (Alternating wireless medium access) y PTA
(Packet traffic arbitration), como se muestra en la siguiente figura:
Redes Corporativas
Redes de Datos Pgina 56
Redes Corporativas
Redes de Datos Pgina 57
5 Redes WAN
Las redes de rea extendida (WAN: Wide Area Network) son aquellas que
conectan dos o ms redes LAN ubicadas en sitios geogrficos distantes.
Las WAN generalmente utilizan protocolos punto a punto, de velocidades bajas a
medias (usualmente menores a 2 Mb/s), y se basan en servicios pblicos o en
lneas punto a punto.
Dadas las caractersticas propias de las redes WAN, los protocolos y equipos
utilizados difieren de los de las redes LAN.
5.1 Frame Relay
Frame Relay es una tecnologa de comunicacin utilizada a nivel mundial para
interconectar redes LAN, redes SNA, redes de voz, etc. Tpicamente se basa en la
utilizacin de la infraestructura de red disponible por los prestadores de servicio
pblico, aunque puede ser tambin implementada sobre lneas dedicadas.
Frame Relay surgi como es el sucesor de la tecnologa X.25, y est pensada
para capas fsicas con bajas tasas de errores y velocidades relativamente altas
(de hasta 2 Mb/s, aunque podra funcionar sin problemas a velocidades mayores).
La tecnologa Frame Relay se basa en la utilizacin de circuitos virtuales (VC =
Virtual Circuits) entre las dos redes que se desean conectar. Los circuitos virtuales
son caminos bidireccionales, establecidos entre dos puntos extremos de la red
Frame Relay. Existen dos tipos de circuitos virtuales:
PVC (Circuitos virtuales permanentes): Los PVC son circuitos virtuales
permanentes, establecidos por el operador de red (tpicamente un prestador
de servicios pblicos), a travs de su sistema de gestin de la red Frame
Relay. Los PVC son definidos en forma esttica, y se requiere la
intervencin de un operador para establecerlos y liberarlos. Son virtuales
ya que puede no existir una conexin fsica directa entre ambos extremos,
sino que por software se pueden configurar todos los equipos intermedios
para establecer un circuito virtual. Son permanentes ya que una vez
establecido el circuito, el mismo permanece en el tiempo, en forma
independiente del trfico.
Los PVC son los ms comnmente utilizados en Frame Relay.
SVC (Circuitos virtuales conmutados): Son circuitos que se establecen
en forma dinmica, llamada a llamada (en forma similar a una llamada
telefnica). La implementacin de circuitos virtuales es ms compleja que la
de circuitos permanentes, pero permite, en principio, conectar cualquier
nodo de la red Frame Relay con cualquier otro.
En la siguiente figura se muestra una red Frame Relay tpica, dnde 4 nodos
(redes LAN) estn conectados a una red Frame Relay. Cada nodo dispone de un
equipo ruteador (Router), que interconecta la LAN a la red Frame Relay.
Redes Corporativas
Redes de Datos Pgina 58
En esta figura, se muestras 3 PVCs establecidos, en forma de estrella. Un extremo
de todos los PVC es uno de los nodos de la red, y los otros extremos se
encuentran en cada uno de los nodos restantes.
Es de hacer notar que el nodo que recibe los 3 PVCs dispone de un nico enlace
fsico con la red Frame Relay, y no de tres enlaces, como hubiera sido requerido si
se utilizara X.25 u otros protocolos punto a punto. Por otro lado, puede verse en la
figura, dentro de la red Frame Relay, 3 equipos (A, B, C), administrados por el
proveedor del servicio, y configurados para mantener en forma permanente los
PVCs.
Desde el punto de vista del modelo OSI, Frame Relay trabaja a nivel de la capa 2,
implementado nicamente los aspectos esenciales de la recomendacin, como ser
chequear que las tramas sean vlidas y no contengan errores, pero no solicitando
retransmisiones en caso de detectar errores. Frame Relay se basa en la alta
confiabilidad de la capa fsica sobre la que trabaja, y deja a los protocolos de
mayor nivel el chequeo de paquetes faltantes, y otros controles de errores.
Redes Corporativas
Redes de Datos Pgina 59
5.1.1 Trama Frame Relay
La estructura de la trama Frame Relay se indica en la figura. Comienza con un
indicador de comienzo de trama (Flag) y una cabecera (Header) de 2 bytes. Los
datos a transmitir (provenientes de capas superiores, como ser paquetes IP, SNA,
etc.) se encapsulan en la trama Frame Relay, en el campo Information, luego
de la cabecera.
Dentro de la cabecera de la trama se encuentran los siguientes campos:
DLCI (Data Link Connection Identifier): Es un identificador de 10 bits, que
indica la direccin de destino de la trama.
C/R (Command/Response Field)
FECN (Forward Explicit Congestion Notification): Cuando la red Frame
Relay est congestionada, algunos paquetes pueden ser descartados. Si un
nodo dentro de la red Frame Relay detecta una situacin de congestin,
sta situacin es alertada a los nodos siguientes mediante este bit.
BECN (Backward Explicit Congestion Notification): De la misma manera
que son alertados los nodos siguientes, el nodo congestionado alerta a los
nodos anteriores acerca de la situacin, cambiando este bits, en las tramas
hacia atrs. De esta manera el nodo que origina el trfico puede bajar su
velocidad de transmisin, ayudando a descongestionar la red.
DE (Discard Eligibility Indicator): Cuando la red Frame Relay est
congestionada, es necesario descartar tramas. Las primeras tramas a
descartar sern las que tengan encendido el bit DE. Este bit es
encendido por los nodos de entrada de la red Frame Relay en funcin del
CIR (Ver 5.1.3) contratado por el cliente. Todas las tramas que excedan el
CIR contratado, son marcadas como DE.
6 1 1 4 1 1 1 1
DLCI S
F
D
C/R
EA
DLCI S
F
D
S
F
D
S
F
D
S
F
D
FECN
BECN
DE
DA
FL
AG
HE
AD
ER
INFORMATION F
C
S
FL
AG
Redes Corporativas
Redes de Datos Pgina 60
EA (Extension Bit): Indica si el cabezal es de 2 o 4 bytes.
5.1.2 LMI (Local Management Interface)
A los efectos del intercambio de informacin entre los equipos del prestador de
servicio y del cliente final, se ha desarrollado el protocolo LMI. Este intercambio
de informacin se utiliza para conocer el estado del enlace y los PVC configurados
en el mismo. Este protocolo es opcional dentro de las recomendaciones de Frame
Relay, pero es habitual que est implementado en las casi todas las
implementaciones.
El intercambio de informacin entre equipos se implementa mediante el uso de
tramas especiales de administracin, que disponen de nmeros de DLCI
reservados para estos fines. Estas tramas chequean el status de la conexin y
proveen la siguiente informacin:
Indicacin de que la interfaz est activa (keep alive)
Los DLCIs definidos en la interfaz
El status de cada circuito virtual, por ejemplo, si est congestionado o no.
Existen tres versions de LMI:
LMI: Frame Relay Forum Implementation Agreement (IA), FRF.1
superceded by FRF.1.1
Annex D: ANSI T1.617
Annex A: ITU Q.933 referenced in FRF.1.1
Si bien el trmino LMI es usado comnmente para referirse al FRF.1 IA, puede ser
usado como trmino genrico para cualquiera de los 3 protocolos. Cada uno de
los protocolos incluye pequeas diferencias en el uso e interpretacin de las
tramas de control, por lo que es importante que los equipos del proveedor de
servicio estn configurados con el mismo protocolo que los equipos locales.
5.1.3 La contratacin de Frame Relay (CIR)
Los servicios pblicos Frame Relay se comercializan teniendo en cuenta varios
parmetros, entre los que el CIR (Committed Information Rate) es el ms
importante. El CIR es la velocidad media de transmisin acordada entre el cliente
y el proveedor de servicio. Es un parmetro que se establece en forma
independiente para cada PVC.
En una configuracin tpica, un nodo central puede tener un enlace con el
prestador de servicios sobre el que se configuran varios PVC, hacia los nodos
secundarios, o sucursales. El enlace fsico puede ser, por ejemplo, de 1 Mb/s, y
cada PVC puede tener un CIR, por ejemplo, de 64 kb/s.
Redes Corporativas
Redes de Datos Pgina 61
Esto significa que la velocidad media de transmisin entre el nodo central y los
nodos secundarios debe ser 64 kb/s (CIR), aunque la velocidad fsica de cada
trama ser de 1 Mb/s.
La velocidad media, se mide sobre un tiempo prefijado, llamado generalmente t
c
(generalmente 1 segundo). En el tiempo t
c
, el cliente se compromete a no pasar
ms de Bc bits, equivalentes al CIR x t
c
kb para un determinado PVC.
Bc (Committed Burst Size) = CIR x t
c
Se establece tambin un trfico de exceso, llamado generalmente Be (Excess
Burst Size). Las tramas enviadas por el cliente dentro de un t
c
que excedan Bc
bits, sern marcadas por el proveedor de servicio como descartables (Bit DE
del cabezal de la trama, ver 5.1.1). Estas sern las primeras tramas a descartar en
caso de que exista congestin en la red Frame Relay.
Las tramas que dentro del mismo intervalo t
c
excedan Bc + Be sern directamente
descartadas en la entrada de la red Frame Relay.
Para los interesados en profundizar en Frame Relay, se recomienda la lectura de
The Basic Guide to Frame Relay Networking [35].
Redes Corporativas
Redes de Datos Pgina 62
5.2 ATM
ATM (Asynchronous Transfer Mode) surgi como respuesta a la necesidad de
tener una red multiservicio que pudiera manejar velocidades muy dispares.
Tcnicamente puede verse como una evolucin de las redes de paquetes. Como
otras redes de paquetes (X.25, Frame Relay, TCP/IP, etc.) ATM integra las
funciones de multiplexacin y conmutacin. A su vez est diseada para soportar
altos picos de trfico y permite interconectar dispositivos que funcionen a distintas
velocidades. ATM est especialmente diseada para soportar aplicaciones
multimedia (voz y video, por ejemplo).
Si bien ATM puede ser usada como soporte para servicios dentro las redes de
rea locales, en usuarios finales, su principal protagonismo ha estado en las redes
de backbone de los proveedores de servicios pblicos.
Los protocolos de ATM estn estandarizados por la ITU-T, y con especial
contribucin del ATM Forum. El ATM Forum es una organizacin voluntaria
internacional, formada por fabricantes, prestadores de servicio, organizaciones de
investigacin y usuarios finales.
Algunas de las ventajas de ATM frente a otras tecnologas son:
Alta performance, realizando las operaciones de conmutacin a nivel de
hardware
Ancho de banda dinmico, para permitir el manejo de picos de trfico
Soporte de clase de servicio para aplicaciones multimedia
Escalabilidad en velocidades y tamaos de redes. ATM soporta velocidades
de T1/E1 (1.5 / 2 Mb/s) hasta STM-16 (2 Gb/s)
Arquitectura comn para las redes de LAN y WAN
De forma similar al modelo OSI (Ver 2) ATM tambin est diseada en un modelo
de capas. En el caso de ATM, el modelo de capas puede verse en varios planos,
como se esquematiza en la figura
Capa fsica
Capa ATM
Capa AAL (ATM Adaptation Layer)
Capas superiores
Plano de Management
Redes Corporativas
Redes de Datos Pgina 63
A continuacin se describen las Capas fsicas, ATM y AAL. Para una mejor
comprensin, se comienza describiendo la capa ATM, luego la AAL y por ltimo la
capa Fsica.
5.2.1 Capa ATM
La Capa ATM es la responsable de transportar la informacin a travs de la red.
ATM utiliza conexiones virtuales para el transporte de la informacin. Estas
conexiones virtuales, pueden ser permanentes (PVC) o del tipo llamada a
llamada (SVC).
5.2.1.1 Celdas ATM
Para poder manejar los requerimientos de tiempo real, se opt por usar unidades
de tamao fijo y pequeo. Estas unidades, llamadas celdas, contiene 48 bytes de
informacin y 5 bytes de cabecera. Este tamao fijo y pequeo asegura que la
informacin de tiempo real, como el audio y el video no se vea afectada por la
duracin de tramas o paquetes largos (recordar que Ethernet o Frame Relay,
permiten paquetes de ms de 1.500 bytes). La siguiente figura muestra la
estructura del cabezal de las tramas ATM, que contiene los siguientes campos:
GFC (Generic Flow Control): Es usado nicamente en conexiones que
van desde un usuario final hasta el primer nodo ATM de una red pblica
(UNI = User to Network Interface ), como control de flujo entre el usuario y
la red. En conexiones entre nodos ATM de la red pblica (NNI = Network to
Network Interface), no se utiliza este campo.
VPI (Virtual Path Identifier): Al igual que Frame Relay, ATM brinda
servicios orientados a la conexin, basados en circuitos virtuales
permanentes (PVC) o temporales (SVC). El campo VPI contiene el
identificador del camino virtual al que pertenece la trama
5 48
GFC
HEADER INFORMATION
VPI
VPI VCI
VCI
VCI PTI C
HEC
Byte 1
Byte 5
8 bits
Redes Corporativas
Redes de Datos Pgina 64
VCI (Virtual Channel Identifier): Dentro de un mismo camino virtual
(identificado por el VPI), pueden establecerse varios canales o circuitos
virtuales (VCC). El campo VCI identifica cada circuito o canal virtual dentro
del camino virtual.
PTI (Payload Type Indicator): Indica el tipo de datos o informacin que
transporta la celda en los 48 bytes de Informacin. Es de hacer notar que
este campo no siempre transporta datos, sino que algunas cedas utilizan
este campo para enviar informacin de sealizacin, mensajes
administrativos de la red, etc.
CLP (Cell Loss Priority): Es utilizado como marca de prioridad de la celda
o trama. En caso de congestin, la red puede descartar los paquetes de
menor prioridad (CLP = 1). Las celdas marcadas con CLP = 0 se
consideran de alta prioridad y no deberan ser descartadas.
HEC (Header Error Control): Es un byte de control de errores en el
cabezal. nicamente se realiza control de errores sobre el cabezal. El
algoritmo utilizado permite corregir errores en 1 bit
5.2.2 Capa AAL (ATM Adaptation Layer)
La capa AAL realiza el mapeo necesario entre la capa ATM y las capas
superiores. Esto es generalmente realizado en los equipos terminales, en los
lmites de las redes ATM.
La red ATM es independiente de los servicios que transporta. Por lo tanto, la
informacin de cada celda es transportada en forma transparente a travs de la
red ATM. La red ATM no conoce la estructura ni procesa el contenido de la
informacin que transporta. Por ello es necesario, en los lmites de la red ATM,
una capa que adapte los diversos servicios o protocolos a transportar, a las
caractersticas de la red ATM. Esto es realizado por la capa AAL.
A los efectos de las funciones de la capa AAL, es necesario categorizar los
servicios a transportar por ATM segn los siguientes tems:
Relaciones de tiempo entre fuente y destino: Indica si el reloj de destino
debe sincronizarse con el reloj de la fuente
Velocidad (bit-rate): Indica si se trata de servicios de velocidad constante
o variable
Modo de conexin: Orientado a la conexin o No orientado a la conexin
Como resultado, se han definido 4 clases de servicios, denominadas A, B, C y D,
como puede verse en la siguiente tabla:
Redes Corporativas
Redes de Datos Pgina 65
Clase A B C D
Relaciones de
tiempo entre
fuente y destino
Requerido No Requerido
Bit-Rate Constante Variable
Modo de Conexin
Orientado a la conexin
No orientado a
la conexin
Para cada clase de servicio se ha implementado una capa AAL, las que se
conocen como AAL-n, como se ver ms adelante.
Las capas AAL-n, a su vez, se subdividen en dos sub-capas:
Convergence Sublayer (Sub-capa de convergencia): Se encarga de las
adaptaciones especficas que requiere cada clase de servicio.
Segmentation and Reassembly Sublayer (Sub-capa de segmentacin y
reensamblado): Se encarga de dividir la informacin para poder
transmitirla en las pequeas celdas de ATM y luego reensamblarla en el
destino
5.2.2.1 AAL - 1
Se utiliza para la clase de servicio A (servicios orientados a la conexin, de
velocidad constante y que requieren referencia de tiempos para sincronizacin del
destino con la fuente)
Se utiliza para transporte de servicios sincrnicos (por ejemplo, servicios
sincrnicos de 64 kb/s) o asincrnicos de velocidad constante (por ejemplo, lneas
E1 de 2 Mb/s).
5.2.2.2 AAL - 2
Se utiliza para la clase de servicio B (servicios orientados a la conexin, de
velocidad variable y que requieren referencia de tiempos para sincronizacin del
destino con la fuente).
Ha sido la ms difcil de desarrollar, debido a la dificultad de recuperar en el
destino el reloj de referencia de la fuente cuando no se reciben datos por un
periodo prolongado de tiempo. En AAL-1 esto no sucede, ya que los flujos de
informacin son constantes.
Puede utilizarse, por ejemplo, para la transmisin de video comprimido. Esta
aplicacin enva rfagas de informacin, generando trfico impulsivo. MPEG-2,
por ejemplo, tiene una relacin de compresin de 10:1 en el peor caso. Sin
embargo, si no hay cambios en la imagen de video, pueden llegarse a relaciones
de compresin de hasta 50:1, generando largos periodos sin transmisin.
Redes Corporativas
Redes de Datos Pgina 66
5.2.2.3 AAL 3/4
Originalmente, la capa AAL-3 fue pensada para servicios orientados a la conexin
y la AAL-4 para servicios no orientados a la conexin. Actualmente se han
fusionado en la capa AAL-3/4, ya que las diferencias originales eran menores.
Se utiliza para la clase de servicio C y D (servicios de velocidad variable y que no
requieren referencia de tiempos para sincronizacin del destino con la fuente).
AAL-3/4 no utiliza todos los bytes de informacin de la celda ATM, lo que reduce
el ancho de banda real apreciablemente
5.2.2.4 AAL 5
Se utiliza para la clase de servicio C y D, al igual que AAL-3/4, pero utiliza todos
los bytes de informacin de la celda ATM, optimizando por lo tanto el ancho de
banda.
AAL-5 es conocida tambin como SEAL (Simple and Effective Adaptation Layer),
ya que no provee secuenciamiento ni correccin de errores, sino que delega estas
tareas en las capas superiores.
5.2.3 Capa Fsica
La capa fsica es responsable de transmitir los datos sobre un medio fsico, de
manera similar a la capa fsica del modelo de referencia OSI.
El medio de transporte puede ser elctrico u ptico. ATM es generalmente
transportado sobre SDH (Synchronous Digital Hierarchy).
Las velocidades tpicas son de 155.520 kb/s (155 Mb/s) o 622.080 kb/s (622
Mb/s), acuerdo a la recomendacin I.432
5.3 Routers
Como se mencion en al principio de ste captulo (Ver 5), la funcin de las redes
WAN es interconectar redes LAN distantes entre s, a travs de enlaces pblicos o
privados, generalmente de baja velocidad en comparacin con la velocidad de las
redes LAN. En las secciones anteriores se estudiaron los protocolos Frame Relay
(Ver 5.1) y ATM (Ver 5.2), el primero como ejemplo de protocolo tpico de WAN y
el segundo como ejemplo de protocolo de back-bone de los prestadores de
servicios.
Para poder interconectar redes LAN distantes, mediante algn protocolo de WAN,
es necesario disponer de equipos de interconexin, que cumplan varias
funciones, entre las que se destacan:
Posibilidad de rutear trfico, para disminuir el trfico de WAN no deseado
(Broadcast, etc.)
Posibilidad de manejar protocolos de LAN y de WAN.
Redes Corporativas
Redes de Datos Pgina 67
Estos equipos se conocen normalmente como Routers. Si bien el nombre indica,
en principio, que el equipo debe poder rutear paquetes (es decir, trabajar a nivel
de capa 3 en el modelo OSI), tambin se espera de estos equipos (por lo menos
para los equipos diseados para las corporaciones) que soporten varios
protocolos de WAN (como Frame Relay, por ejemplo).
Un Router corporativo tpico debe disponer, por lo tanto, y como mnimo, de un
puerto de LAN y un puerto de WAN. Asimismo, debe poder rutear los
protocolos ms comunes de LAN (tpicamente IP, aunque an varias redes LAN
utilizan IPX), enviando nicamente los paquetes que correspondan al puerto WAN
y debe implementar varios protocolos de WAN (como Frame Relay, X.25, etc.)
Para poder implementar las funciones de ruteo, los Routers deben disponer de
tablas de ruteo. Estas tablas pueden estar definidas en forma esttica, por un
administrador, o pueden generarse en forma automtica, ya que los routers
disponen de protocolos propios de descubrimiento de rutas. Estos protocolos,
que implementan el intercambio de informacin de rutas entre varios Routers, se
llaman habitualmente protocolos ruteo. Los ms comunes son los llamados RIP y
OSPF (ambos estn estandarizados, de manera que routers de diversas marcas
pueden coexistir en una misma red).
LAN 1
Router
WAN
Router
LAN 2
Redes Corporativas
Redes de Datos Pgina 68
6 Tecnologas de acceso xDSL
Las redes WAN requieren conexiones digitales desde las oficinas de las empresas
hasta las oficinas de los prestadores de servicios, las que pueden estar alejadas
varios kilmetros.
La interconexin desde los prestadores de servicios a las empresas puede
realizarse mediante enlaces inalmbricos, o mediante el tendido de cables de
cobre o fibras pticas. Gran parte de las empresas prestadoras de servicios de
datos son las mismas que las prestadoras de servicios telefnicos, y ya disponen
de cables tendidos hasta las oficinas de las empresas. Estos son generalmente
cables de cobre, pensados originalmente para brindar servicios telefnicos. A los
efectos de minimizar los costos, se han desarrollado tcnicas que permiten utilizar
estos mismos cables de cobre para brindar servicios digitales. Estas tecnologas
se conocen como Digital Subscriber Loop o bucle digital de abonado. Entre estas
tecnologas se encuentran ADSL, HDSL, VDSL y otras [36]. En forma genrica,
todas ellas se engloban dentro de las tecnologas conocidas como xDSL.
La siguiente figura ilustra la evolucin de los estndares xDSL, as como el
crecimiento en la cantidad de suscriptores a nivel mundial [37]. En 2005 se lleg a
los 100 millones de usuarios de la tecnologa.
Redes Corporativas
Redes de Datos Pgina 69
Todas las tecnologas xDSL permiten comunicacin de datos en forma
bidireccional. Sin embargo, algunas son asimtricas y otras simtricas, en lo
que respecta a las velocidades de transmisin de datos en cada sentido.
6.1 ADSL
ADSL, o Asymmetric Digital Subscriber Loop [38] (DSL asimtrico), brinda una
conexin digital con velocidades de subida y de bajada diferentes. Est
pensada tpicamente para servicios de acceso a Internet, en los que, por lo
general, es mucha ms la informacin que debe viajar desde Internet hacia la
empresa que desde la empresa hacia Internet. Por ejemplo, al navegar sobre la
web, un usuario realiza un clic (envo muy pequeo de informacin), y baja una
pgina completa (envo importante de informacin).
Los servicios ADSL pueden ser brindados a diferentes velocidades de subida y
bajada. La tecnologa admite hasta 7 Mb/s de bajada y 928 kb/s de subida.
Como todas las tecnologas DSL puede ser brindada sobre los pares telefnicos
existentes. Sin embargo, ADSL permite utilizar el mismo par sobre el que funciona
un servicio telefnico. Es decir, sobre un mismo par telefnico pueden coexistir un
servicio telefnico analgico y un servicio de datos ADSL.
Para lograr esto, ADSL utiliza modulacin en frecuencias supra-vocales, y
separadores o splitters en las oficinas donde se presta el servicio. Estos
splitters separan el servicio telefnico del servicio de datos. El servicio telefnico
es conectado a un telfono analgico, y el servicio de datos a un MODEM DSL.
Generalmente este MODEM dispone de una puerta LAN (RJ45) para ser
conectado directamente a la red de datos del cliente.
DSL Modem Computer
Telephone
PSTN
Splitter Splitter
Twisted Pair
Exchange Customer Premises
DSLAM
Redes Corporativas
Redes de Datos Pgina 70
Las distancias entre prestador y cliente a las que funciona ADSL dependen de la
velocidad contratada, y pueden llegar hasta los 5 km.
ADSL utiliza modulacin DMT (Discrete Multitone Modulation). Esta modulacin
consiste en dividir la banda de frecuencias disponibles en 256 sub-bandas, o
canales, separados 4 kHz. 32 de estos canales se utilizan para subida, y el resto
para bajada. Cada canal enva informacin en forma independiente, utilizando
modulacin QAM (Quadrature Amplitude Modulation), en una constelacin de 2
n
puntos. Cada punto representa un conjunto de n bits, los que se envan en un
nico smbolo modulando en amplitud y fase una portadora.
Redes Corporativas
Redes de Datos Pgina 71
Una de las caractersticas de DMT es que permite que cada canal o sub-banda
utilice constelaciones ms o menos densas (es decir, con ms o menos puntos),
de acuerdo al ruido existente. Los modems ADSL pueden ajustar dinmicamente,
de acuerdo a las condiciones de ruido existentes, las constelaciones a utilizar en
cada canal
6.2 ADSL Light o G.Light
La tecnologa ADSL Light [39] es similar a la ADSL, pero no requiere de splitter o
separador en las oficinas donde se presta el servicio. Es conocida tambin como
splitterles DSL. La tecnologa fue pensada para brindar servicios a los hogares,
dnde la simplicidad de instalacin es un factor de especial importancia.
Dado su pblico objetivo, la velocidad de transmisin mxima fue diseada en 1.5
Mb/s, permitiendo equipos terminales ms sencillos, y por lo tanto, ms baratos.
Dado que no hay splitter, los problemas de interferencia se ven acentuados, pero
por lo general no son problema en las velocidades en que trabaja G.Light. En
algunos casos es necesario instalar microfiltros en telfonos, para eliminar
posibles ruidos.
6.3 HDSL
HDSL, o High Speed Symmetric Digital Subscriber Loop [40] (DSL simtrico de
alta velocidad), brinda una conexin digital con iguales velocidades de subida y
de bajada. Est pensada tpicamente para servicios 1.5 y 2 Mb/s, tpicamente de
tipo T1 o E1.
HDSL utiliza dos pares de cobre, y fue diseada para que la gran mayora de los
cables tendidos originalmente para servicios telefnicos, puedan servir de soporte
para ste nuevo servicio digital. Ambos pares son bidireccionales, y funcionan a la
mitad de la velocidad de transmisin total.
Redes Corporativas
Redes de Datos Pgina 72
A diferencia de ADSL, los pares deben ser dedicados. No se pueden compartir
otros servicios sobre los mismos pares por los que se brindan servicios HDSL
HDSL utiliza modulacin 2B1Q, codificando 2 bits en cada smbolo.
La distancia a la que puede funcionar correctamente un servicio HDSL depende
de los dimetros de cable utilizados, la cantidad de empalmes, y otros factores
ambientales. Tpicamente puede llegar a 3.7 km, con cables 24 AWG
6.4 HDSL2
HDSL2 [41] es una mejora a HDSL, que permite las mismas funciones, pero
utilizando solamente un par de cobre.
6.5 VDSL2
La tecnologa VDSL2 (Very-High-Bit-Rate Digital Subscriber Line 2) [42] fue
aprobada en la recomendacin G.993.2 de la ITU-T en febrero de 2006. Esta
tecnologa permite la transmisin simtrica o asimtrica de datos, llegando a
velocidades superiores a 200 Mbit/s, utilizando un ancho de banda de hasta 30
MHz. Esta velocidad depende de la distancia a la central, reducindose a 100
Mbit/s a los 0,5 km y a 50 Mbits/s a 1 km de distancia.
La siguiente figura esquematiza el espectro utilizado en VDSL2 hasta los 12 MHz
[43]. En la gama de frecuencias entre 12 MHz y 30 MHz, la norma VDSL2
especifica como mnimo una banda adicional en sentido ascendente o
descendente. El plan detallado de las bandas de frecuencia utilizadas depende de
la regin, y est especificado en la recomendacin para Europa, Japn y Estados
Unidos
RT
784 kbps
784 kbps
3,7 Km @ 24 AWG
C
Redes Corporativas
Redes de Datos Pgina 73
La recomendacin establece 8 perfiles, denominados 8a, 8b, 8c, 8d, 12a, 12b, 17a
y 30a. Difieren en la velocidad de transmisin y otros parmetros siendo 50 Mb/s
la velocidad para los perfiles 8x, 68 Mb/s para los 12x, 100 Mb/s para el 17a y 200
Mb/s para el 30a. Por lo menos, se debe cumplir con las especificaciones para uno
de los perfiles. La siguiente tabla resume las caractersticas ms destacables de
los perfiles.
Perfil 8a 8b 8c 8d 12a 12b 17a 30a
Velocidad
de datos bidireccional
neta mnima (Mb/s)
50 50 50 50 68 68 100 200
Ancho de banda (MHz)
8.5 8.5 8.5 8.5 12 12 17.6 30
Potencia de
transmisin
combinada en sentido
descendente mxima
(dBm)
+17,5 +20,5 +11,5 +14,5 +14,5 +14,5 +14,5 +14,5
Yoichi Maeda, Presidente de la Comisin de Estudio del Sector de Normalizacin
de las Telecomunicaciones de la ITU, responsable de este trabajo, declar que "se
ha reunido lo mejor del ADSL, el ADSL2+ y el VDSL para alcanzar niveles de
calidad de funcionamiento extremadamente altos en la VDSL2. Esta nueva norma
va camino de convertirse en una de las ms importantes en el panorama de las
telecomunicaciones y constituye un hito histrico [44]
El gran ancho de banda disponible hace posible la transmisin de video, lo que
abre nuevas posibilidades para los servicios ofrecidos sobre tecnologas DSL.
Redes Corporativas
Redes de Datos Pgina 74
7 Administracin de Redes
Junto con el crecimiento de las redes de datos, surgi la necesidad de su
administracin. La administracin de redes incluye las tareas de diseo,
integracin y coordinacin de los equipos de hardware, los programas de software
y los recursos humanos necesarios para monitorear, testear, configurar, analizar,
evaluar y controlar la red y sus recursos a los efectos de lograr la calidad de
servicio requerida.
Desde el punto de vista corporativo, las tareas de administracin de redes deben
basarse en obtener en forma predecible y consistente una calidad de servicio
adecuada a las necesidades, a un costo aceptable para la corporacin.
Para poder realizar las tareas de administracin, es necesario poder detectar
fallas, aislarlas y corregirlas, al menor costo y en el menor tiempo posible. Es
necesario tambin poder realizar cambios en las configuraciones afectando lo
mnimo posible al servicio. Una buena administracin de red se basa en prever, en
la medida de lo posible, posibles puntos de falla, y evitarlos antes de que sucedan.
Esto se basa en tener medidas de utilizacin de la red, analizarlas y tomar
acciones preventivas antes que correctivas.
Varios organismos han trabajado en intentar estandarizar las tareas relacionadas
a la administracin de las redes, entre ellos la ISO, el ITU-T y el IETF. Cada uno
de ellos ha establecido normas y recomendaciones, viendo a la administracin de
las redes desde su propia ptica.
La ISO ha establecido los criterios generales en la recomendacin 7498-4 [45].
Dentro de la administracin de redes, se distinguen 3 componentes que han sido
estandarizados: La estructura de la informacin (10165-x), los protocolos a utilizar
(9595 y 9596) y las funciones propias de la administracin (10164-x, conocidas
generalmente como FCAPS)
Por su lado, la ITU-T, con su visin centrada en su historia telefnica, ha
desarrollado los estndares para lo que se ha dado a llamar TMN, o
Telecommunications Management Network (Red de gerenciamiento de
telecomunicaciones) [46] . La estructura general de esta red, se describe en las
recomendaciones M.30xx. La primer versin de esta serie de recomendaciones
fue publicada en 1989 (en ese momento por la CCITT) [47]. La versin conocida
actualmente como M.3010 fue publicada en 1992, y revisada en 1996 [48]. Al igual
que la ISO, se distinguen 3 componentes de las TMN: Estructura de la informacin
(M.31xx), Protocolos (Q.8xx) y las funciones propias de la administracin (M.32xx,
M.3300, M.3400).
Finalmente, el IETF ha desarrollado un sistema pragmtico, mucho ms sencillo,
aunque tambin ms limitado. Las recomendaciones acerca de la estructura
general se han publicado en los RFC 1052 y 1155, y se presentan 2 componentes
estandarizados: La estructura de la informacin (RFC1113 , MIB) y los protocolos
(RFC 1157, SNMP).
Redes Corporativas
Redes de Datos Pgina 75
7.1 Funciones a considerar en la administracin de redes segn
ISO
Vamos a detenernos en las funciones de la administracin, definidas por ISO,
llamadas comnmente funciones FCAPS, debido a sus siglas en ingls.
7.1.1 Gestin de Fallas (Fault Management)
Una de las funciones de administracin de redes es poder detectar y resolver
fallas. El propsito de la gestin de fallas es asegurar el correcto funcionamiento
de la red y la rpida resolucin de las fallas que se presenten.
La gestin de fallas comienza por la deteccin de las mismas, ya sea en forma
automtica o en reportadas por los usuarios. Es recomendado disponer de un
sistema de registro y seguimiento, que permita dejar registrado el incidente, y las
acciones realizadas para su resolucin.
La resolucin de fallas debe generar conocimiento, para prevenir fallas futuras.
Muchas veces es difcil realizar un anlisis profundo de las causas durante el
momento en que la falla est presente, sobre todo si la falla afecta
considerablemente al servicio. Las presiones de los usuarios (y sobre todo de sus
jefes), llevan muchas veces a tratar de solucionar lo ms rpidamente posible la
falla, sin detenernos a buscar sus causas. Si bien la bsqueda y anlisis de las
causas puede generar demoras adicionales en la resolucin de los problemas,
muchas veces es preferible esto a que la misma falla se repita una y otra vez sin
entender por que sucede.
Como parte de la gestin de fallas es necesario disponer de un plan de
contingencia, planificado y documentado, que nos permita brindar servicios
(quizs en forma reducida), mientras se resuelve la falla e investiga sus causas
Tambin se debe disponer de un plan de gestin de alarmas, con procesos
acordes a su criticidad.
7.1.2 Gestin de Configuracin (Configuration Management)
Para poder gestionar las redes, es necesario saber qu elementos se disponen,
cmo estn iterconectados, cual es la configuracin especfica de cada uno de los
elementos, etc. La gestin de la configuracin consiste en mantener esto en forma
ordenada y documentada.
Se debe partir de una descripcin de la red y cada uno de sus componentes. A
quien le prestan servicio, con que caractersticas, etc. Esto puede llevarse a cabo
en varios niveles.
Por ejemplo, parte de la gestin de configuracin, podra ser disponer de un
plano de las centrales telefnicas empresariales (PBX), con cada una de sus
componentes (placas, internos, lneas, etc.), a que est conectado cada puerto,
que facilidades tiene programado cada interno, etc.
Redes Corporativas
Redes de Datos Pgina 76
Deben preverse mecanismos para los agregados, mudanzas y cambios, de
manera que se afecte mnimamente al servicio, y que los cambios queden
documentados.
El mantenimiento de la documentacin debe incluir todo lo necesario como para
comprender la arquitectura de la red y cada uno de sus componentes. Esto incluye
inventarios, diagramas de conexiones, cableado, configuraciones, planes de
numeracin, planes de direcciones de red, etc.
7.1.3 Gestin de Costos (Accounting)
Las redes de telecomunicaciones tienen costos asociados. Desde la amortizacin
de los equipos, pasando por los costos de utilizacin de servicios, hasta los
propios costos del gerenciamiento.
En general, podemos separar los costos en 3 categoras:
Costos directos de las telecomunicaciones: Corresponden a los costos
del uso de las redes. Estos costos tienen generalmente un componente fijo
y un componente variable. Por ejemplo, un prestador de servicio de acceso
a Internet puede cobrar una tarifa plana mensual, y un prestador de
telefona de larga distancia puede cobrar una tarifa segn cada llamada
realizada.
Dentro de los costos directos se deben incluir todos los costos de
telecomunicaciones:
o Servicios de datos
o Lneas directas
o Costos de llamadas telefnicas
o Costos de servicios telefnicos (Colectivos, facilidades como
CallerID, etc)
o Etc
Costos de equipos: Los equipos de telecomunicaciones pueden ser
propios o arrendados. En el caso de tener equipos propios, existe un costo
de amortizacin, generalmente prorrateado en un perodo estimado como
el de vida til del equipo. Los equipos arrendados tienen un costo mensual
prefijado.
Costos del Gerenciamiento: Todos los aspectos de gerenciamiento
(FCAPS Gestin de configuracin, de fallas, de seguridad, de
desempeo y la propia gestin de costos) tienen costos asociados. Ya sea
que se dispone de personal propio, o que se subcontrate el servicio a
terceros, existen costos de gerenciamiento. En el primer caso, estos costos
estn dados por los salarios del personal dedicado al gerenciamiento
(administradores de red, help desk, etc.) En el segundo, los costos estn
dados por una cuota por servicios contratados a terceros.
Redes Corporativas
Redes de Datos Pgina 77
Es usual que los costos se prorrateen entre Centros de Costo, generalmente
asociado a sectores dentro de una Empresa (Ventas, Administracin,
Operaciones, etc.) En algunos casos, cada Centro de Costos tiene cuotas, de las
que no puede excederse. Algunos sistemas pueden llegar a limitar el uso de
ciertos servicios si se excede la cuota preestablecida.
7.1.4 Gestin de Desempeo (Performance Management)
La gestin del desempeo de las redes de telecomunicaciones tiene como objetivo
asegurar el funcionamiento de las redes con la calidad de servicio deseada. Por
ejemplo, que la cantidad de lneas urbanas que se dispone sea la adecuada, de
manera que no exista congestin, que el ancho de banda en los enlaces entre
sucursales sea suficiente para el trfico cursado, etc.
Para lograr estos objetivos es necesario monitoreo ciertos parmetros de la red,
que den un indicador acerca de la performance del servicio. Por ejemplo, si el
servicio a monitorear es la disponibilidad de lneas urbanas salientes para realizar
llamadas, un posible parmetro a monitorear puede ser la cantidad de lneas
ocupadas en forma simultnea (para compararlo con la cantidad de lneas totales
disponibles). Si el servicio a monitorear es el acceso a Internet, un posible
parmetro a monitorear es el ancho de banda efectivamente utilizado (para
compararlo con el ancho de banda disponible)
Estos parmetros son generalmente de tiempo real. Es decir, miden en un
momento determinado el desempeo de un servicio. Si son consultados en forma
peridica y almacenados, es posible realizar un control de la performance. Esto
permite realizar reportes de gestin, ver su evolucin en el tiempo, etc.
Analizando estos reportes es posible prever futuros problemas, dimensionar los
recursos adecuadamente e incluso detectar fallas que pueden no afectar a un
usuario en particular, pero si degradar la performance general del sistema (por
ejemplo, si una lnea urbana est rota, se disminuye la cantidad total de lneas
disponibles y por lo tanto se degrada la performance, sin embargo, puede que
nadie reporte el problema como tal).
A los efectos de gestionar el desempeo de las redes, cada equipo debe tener
capacidad de medir los parmetros concernientes a sus servicios. Entre estos
equipos se pueden encontrar PBX, Switches, Routers, Firewalls, etc.
7.1.5 Gestin de la Seguridad (Security Management)
La gestin de seguridad es un tema complejo en s mismo. La seguridad en las
redes de telecomunicaciones se enmarca dentro de los conceptos ms generales
de Seguridad de la informacin, que sern tratados ms adelante.
Como conceptos generales, la gestin de la seguridad en las redes se debe
encargar de definir permisos de acceso, controlar el fraude y prevenir los ataques.
El control de acceso debe definirse tanto para las redes de voz, como para las de
datos. En las primeras, los controles tpicos tienen que ver con los permisos para
Redes Corporativas
Redes de Datos Pgina 78
realizar determinado tipo de llamadas y con las facilidades a las que cada usuario
tiene acceso. Por ejemplo, si un usuario puede escuchar las llamadas de otros, si
puede desviar su telfono a otros telfonos, o a celulares, si se pueden realizar
llamadas a nmero internacionales, o a 0900, etc. En las redes de datos, los
controles tpicos restringen el acceso a la informacin, ya sea interna o externa.
Los controles de fraude tambin deben realizarse en las redes de voz y datos.
Fraudes tpicos en redes de voz estn relacionados con accesos a nmero
prohibidos y llamadas tandem. En las redes de datos los fraudes ms comunes
consisten en acceder a informacin restringida, ya sea desde dentro de la
empresa, o desde fuera.
7.2 Funciones a considerar en la administracin de redes segn
ITU-T
Las funciones se organizan en una estructura jerrquica de niveles que cubren
todos los aspectos de gestin (en realidad, pensados para los prestadores de
servicio) y clasifica las funciones que se deben realizar en cada nivel segn
criterios de responsabilidad. Los niveles son: el nivel de gestin de negocio, el
nivel de gestin de servicio, el nivel de gestin de red y el nivel de gestin de
elemento de red. Los niveles se representan habitualmente en forma de pirmide
[49].
Entre cada nivel, se establecen puntos de referencia, con interfaces
estandarizadas. La primera versin de TMN estableca tres tipos de interfaces,
llamadas Q1, Q2 y Q3. En versiones ms recientes, se decidi unificar las
interfaces Q1 y Q2 en una nueva interfaz Qx, y se mantuvo la interfaz Q3.
Redes Corporativas
Redes de Datos Pgina 79
7.2.1 Gestin de Negocio (Bussines Management)
El nivel superior es el nivel de gestin de negocio que incluye los aspectos
relacionados con las estrategias de negocio; en l se definen las acciones para
conseguir el retorno de la inversin, aumentar la satisfaccin de los accionistas de
la compaa y de los empleados, etc. Las decisiones tomadas en este primer nivel
definen los objetivos estratgicos de la compaa, y condicionan las funciones y
procesos de la capa de nivel de gestin de servicio. Es decir, la gestin del
servicio debe estar alineada con la estrategia de negocio definida en la
corporacin.
7.2.2 Gestin de Servicio (Service Management)
En la capa de gestin del nivel de servicio se decide cmo gestionar los servicios
que se van a prestar en la red. En este nivel se incluyen todos los aspectos
relacionados con la atencin a los clientes o usuarios y los de desarrollo y
operacin de los servicios, y se realiza la gestin de las peticiones de servicio, la
calidad del servicio Quality of Service (QoS), la gestin de problemas, la
facturacin, etc.
7.2.3 Gestin de Red (Network Management)
Los servicios estn soportados sobre las redes de telecomunicaciones. El nivel de
gestin de red es responsable del transporte de la informacin entre dos extremos
y de asegurar que sta se realiza de forma correcta. Cualquier error o problema
que se detecte en este nivel y que afecte a los servicios que se prestan a los
clientes o usuarios debe ser notificado hacia el nivel de gestin de servicio.
7.2.4 Gestin de Elementos de Red (Network Element Management)
Por ltimo, el nivel de gestin de elemento de red se encarga de todos los
aspectos relacionados con switches, sistemas de transmisin, etc., considerados
como elementos aislados. Cualquier error o evento que se produzca en un equipo
que pueda afectar al transporte de la informacin debe ser notificado hacia el nivel
de gestin de red
7.3 SNMP
Para facilitar la administracin de redes, el IETF (Internet Engineering Task Force)
ha definido una recomendacin llamada SNMP (Simple Network Management
Protocol), que se ha convertido en un estndar en la industria de las
comunicaciones.
Redes Corporativas
Redes de Datos Pgina 80
SNMP (Simple Network Management Protocol) fue definido por el IETF (Internet
Engineering Task Force) en 1989, en el RFC-1098 [50]. Desde entonces, se ha
convertido en un estndar de la industria de las comunicaciones para controlar
dispositivos de red desde estaciones de gerenciamiento y administracin
centralizadas.
SNMP es un conjunto de protocolos y funciones especialmente diseadas para la
administracin de redes, que utilizan el protocolo IP. SNMP permite a los
administradores de red aislar fallas y monitorear el status y la performance de las
redes de comunicaciones corporativas.
SNMP define dos componentes:
SNMP Manager: Es una aplicacin de software desde la que se realiza la
administracin, en forma centralizada, de la red.
SNMP Agent: Residen en los diversos dispositivos de red (hubs, switches,
routers, etc.) y generan informacin estadstica acerca de sus funciones y
recursos (por ejemplo, informacin estadstica de trfico). Esta informacin
es almacenada en una base de datos local, llamada MIB (Management
Information Base). A su vez, los Agentes SNMP pueden recibir y enviar
informacin desde y hacia el Administrador SNMP (SNMP Manager),
utilizando el protocolo UDP.
Cada Agente SNMP almacena la informacin que requiere en una base de datos
llamada MIB (Management Information Base), cuyo formato est estandarizado.
SNMP
Manager
RED
Hub (SNMP
Agent)
Switch (SNMP
Agent)
Router (SNMP
Agent)
MIB
MIB
MIB
Redes Corporativas
Redes de Datos Pgina 81
La informacin de la MIB est organizada en forma jerrquica. Cada elemento de
informacin (llamado objeto MIB) es una variable que almacena alguna
caracterstica o alguna informacin estadstica del dispositivo administrado
(Agente SNMP). Estos objetos MIB pueden ser escalares (es decir, contener un
nico valor), o tabulares (es decir, contener varios valores).
La estructura jerrquica de la MIB es en forma de rbol, como se muestra en la
figura. Cada objeto MIB est unvocamente identificado dentro de la jerarqua de
la MIB, ya sea en una notacin textual o numrica, indicando los diferentes
nombres o nmeros por los que se debe recorrer el rbol hasta llegar al objeto en
cuestin. Por ejemplo, la variable atInput del ejemplo de la figura puede ser
identificada como
iso.identified-organization.dod.internet.private.enterprise.cisco.temporary
variables.AppleTalk.atInput o por su equivalente numrico 1.3.6.1.4.1.9.3.3.1.
Cada fabricante tiene una rama, bajo el objeto enterprise, y es libre de armar
bajo esta rama la estructura de informacin que aplique mejor a sus productos.
Los agentes SNMP son controlados y monitoreados desde el administrador SNMP
(SNMP manager) usando comandos simples, entre los que se destacan:
Redes Corporativas
Redes de Datos Pgina 82
Read: Es usado por el Manager para leer las variables del Agente (por
ejemplo, para recolectar estadsticas de uso)
Write: Es usado para configurar el equipo administrado. El Manager puede
escribir ciertas variables de configuracin del Agente
Trap: Es utilizada en forma asncrona por los agentes, para reportar
eventos (tpicamente fallas)
Existen tres versiones de SNMP, conocidas como SNMPv1 (versin 1) y SNMPv2
(versin 2) y SNMPv3 (versin 3). Todos ellas tienen un gran nmero de
caractersticas similares, pero las versin ms nuevas, ofrecen algunas mejoras
frente a las anteriores. La versin 2 implementa los comandos GetBulk y
Inform. El comando GetBulk es usado por el SNMP Manager para recuperar en
forma eficiente una gran cantidad de informacin de los agentes. El comando
Inform es usado para intercambiar informacin entre varios SNMP Managers. La
versin 3 introduce mejoras en la seguridad
Las distintas versiones SNMP son incompatibles entre s, no solo por la
incorporacin de nuevos comandos, sino porque el formato de los mensajes
intercambiados entre el Manager y los agentes es diferente en cada versin.
Redes Corporativas
Redes de Datos Pgina 83
8 Seguridad de la Informacin
En todas las empresas, las redes de voz y datos transportan informacin. Esta
informacin es valiosa para las organizaciones, al punto que se considera uno de
sus activos. que, al igual que otros activos importantes para el negocio, tiene
valor para la organizacin y consecuentemente necesita ser protegido
apropiadamente.
Dentro de una corporacin o empresa, la informacin puede existir en muchas
formas. Puede ser impresa o escrita en papel, almacenada electrnicamente,
transmitida por correo o medios digitales, mostrada en videos, o hablada en
conversaciones. En muchos de estos aspectos, las redes corporativas participan
activamente. Asegurar la informacin, incluye, por lo tanto, asegurar las redes por
dnde la misma es transmitida.
Muchos componentes tecnolgicos son utilizados en las redes corporativas
asociados a los aspectos de seguridad. Sin embargo, todos ellos tienen como
objetivo proteger la informacin, y no los componentes informticos en si mismos.
Tomando esto en cuenta, es natural ver a estos componentes tecnolgicos,
enmarcados dentro de los planes ms genricos de seguridad de la informacin.
8.1 Recomendaciones y normas relacionadas con la seguridad
de la informacin
La seguridad de la informacin es un tema crtico para la gran mayora de las
corporaciones. Dado que el tema es genrico y no especfico de una tecnologa o
tipo de negocio, varios organismos internacionales han desarrollado
recomendaciones y estndares al respecto. La ISO ha publicado la
recomendacin 17799 [51], la que incluye un conjunto de prcticas acerca del
gerenciamiento de la seguridad de la informacin.
La ISO 17799 es una gua de buenas prcticas de seguridad de la informacin que
presenta una extensa serie de controles de seguridad. La recomendacin no cubre
las problemticas tecnolgicas, sino que hace una aproximacin al tema
abarcando todas las funcionalidades de una organizacin en lo relacionado a la
seguridad de la informacin.
Por su parte, la British Standards Institution, ha publicado las normas BS 7799. La
parte 1 de esta norma es similar a la ISO 17799. La parte 2, conocida como BS
7799-2:2002 [52], es una norma enfocada a los procesos, y establece ms que
recomendaciones genricas, reglas y requisitos a cumplir por las organizaciones.
En su estructura es similar a las normas de calidad ISO 9001:2000, y al igual que
stas, es una norma certificable. Es decir, una empresa puede certificarse en el
cumplimiento de la BS 7799-2:2002. Cabe destacar que la recomendacin ISO
Redes Corporativas
Redes de Datos Pgina 84
17799 no es una norma certificable, ya que incluye nicamente un cdigo de
buenas prcticas relativas a la gestin de la seguridad de la informacin. Es una
gua que contiene consejos y recomendaciones que permite asegurar la seguridad
de la informacin de la empresa.
Los requisitos establecidos en la BS 7799-2 se refieren a un Plan de Seguridad
constituido por un Sistema de Gestin de Seguridad de la Informacin (SGSI), o
en ingls, Information Security Management System (ISMS), en el que se aplican
los controles de seguridad de la BS 7799-1 (y por lo tanto de la ISO 17799). Los
requisitos que se establecen en el SGSI de la BS 7799-2 se pueden auditar y
certificar. No hay versin ISO de la BS 7799-2.
La BS 7799-2:2002 esta basada en el enfoque de procesos, muy similar al de ISO
9001:2000.
Estos procesos tienen las siguientes etapas, las que se ejecutan en forma cclica:
Planificar
Se planifica qu hacer y como hacerlos. A grandes rasgos, Esto incluye
la definicin del alcance del SGSI, las polticas generales de seguridad,
la identificacin y evaluacin de los riesgos a los que est expuesta la
informacin, y la preparacin de los documentos preliminares
Hacer
Se ejecuta el plan, implementando los controles seleccionados, con el
fin de cumplir los objetivos planteados
Verificar
Se verifica la ejecucin del plan, implementando exmenes o controles
peridicos (por ejemplo, auditoras). Se registran las desviaciones
encontradas
Redes Corporativas
Redes de Datos Pgina 85
Actuar
En base a las desviaciones encontradas o a las posibles mejoras al
sistema se toman acciones correctivas o preventivas, las que llevan
nuevamente a planificar, cerrando el ciclo.
En general, los objetivos de un SGSI es asegurar la continuidad del negocio y
minimizar el dao ante un incidente de seguridad. En forma genrica, se
establecen 3 objetivos de seguridad de la informacin:
Confidencialidad
Procurar que la informacin sea accesible slo a las personas
autorizadas a acceder a su utilizacin.
Integridad
Asegurar la exactitud y la completitud de la informacin y los mtodos de
su procesamiento
Disponibilidad
Asegurar que los usuarios autorizados tengan acceso a la informacin y
los recursos asociados cuando lo requieran.
8.2 Poltica de seguridad
La ISO/IEC indica que la informacin es un activo, y al igual que otros activos
importantes para el negocio, tiene valor para la organizacin y consecuentemente
necesita ser protegido apropiadamente.
Para proteger apropiadamente a la informacin, es necesario definir ciertas
Polticas de seguridad. El trmino Poltica define una declaracin de alto nivel
que una organizacin manifiesta. La Poltica de seguridad es una declaracin
formal de las reglas que deben seguir las personas que tienen acceso a los
activos de informacin de una organizacin. La Poltica de seguridad debe ser
la gua de la implementacin de todo el sistema de gestin de seguridad de la
informacin.
Como marco general de la Poltica de seguridad, hay que definir una Poltica
estratgica de seguridad que sea coherente y aplicable a toda la organizacin. Es
recomendable que sta sea breve y clara, y que establezca la filosofa bsica de
la organizacin en lo referente a la seguridad de la informacin. Todos los otros
documentos (polticas, prcticas, procedimientos, instructivos) debern estar
alineados con esta Poltica estratgica de seguridad.
Una buena Poltica de seguridad debe:
Ser fcil de entender
Redes Corporativas
Redes de Datos Pgina 86
Los documentos de la Poltica de seguridad deben poder ser
fcilmente comprendidos por quienes deban aplicarlos. Se debe
tratar de utilizar el lenguaje habitual de acuerdo al perfil del empleado
al que est dirigido. Debe ser clara y evitar confusiones o
ambigedades.
Ser Formal
Debe estar documentada y especificar claramente los
mecanismos por los que se protegern a los sistemas y activos de
informacin
Ser obligatoria
En la medida de lo posible, las reglas se debern implementar
mediante herramientas tecnolgicas de seguridad apropiadas. En
caso que no sea tecnolgicamente posible implementar medidas
preventivas, debern especificarse las sanciones adecuadas.
Ser realizable
Debe poder ser implementable mediante procedimientos
administrativos, publicaciones, guas de uso y tecnologa apropiada.
Definir responsabilidades
Debe definir claramente las responsabilidades de los usuarios,
gerentes y administradores.
Ser proactiva
Tratar de prevenir a sancionar.
Ser flexible
Para que una Poltica de seguridad pueda permanecer en el
mediano plazo, debe ser flexible e independiente de plataformas de
Hardware y Software especficas, ya que stas cambiarn con
mucha frecuencia.
Estar alineada con los objetivos del negocio
La Poltica de seguridad debe acompaar, facilitar y proteger a la
organizacin y el negocio, y no convertirse en una traba para los
clientes y empleados.
Tener el compromiso de la Direccin
La Poltica de seguridad, y todo el sistema de gestin de seguridad
de la informacin, deben contar con el apoyo expreso de la
Direccin. La Direccin debe proporcionar los recursos humanos y
materiales necesarios.
Involucrar a toda la organizacin
La poltica de seguridad debe llegar a todos los niveles de una
organizacin. Las personas involucradas deben conocer el origen y
motivo de la poltica, de manera que la perciban como necesaria y
positiva y no slo como una serie de reglas a cumplir.
Redes Corporativas
Redes de Datos Pgina 87
En base a la Poltica estratgica de seguridad, ser necesario definir varios
documentos ms especficos, o Polticas especficas. Cuando se escribe una de
estas polticas, se debe tener en cuenta:
Intencin u objetivo: Qu es lo que se proteger?
Responsabilidades: Quin es el responsable?
Alcance: Qu reas estn afectadas?
Monitoreo: Cmo se realizar el seguimiento y monitoreo?
Aplicablidad: Cundo ser aplicable?
Por qu fue desarrollada?
Debe estar redactado en un lenguaje comnmente usado y entendido por el
personal de la empresa
No existe una estructura de documentos preestablecida y aplicable a todos los
casos. Diferentes organismos han detallado en mayor o menor medida diversos
tipos de documentos o componentes que debe tener una buena poltica de
seguridad o sistema de gestin de seguridad (ISMS, tal como lo define la ISO
17799:2000)
En particular, el RFC-2196 establece una serie de componentes que deberan ser
incluidos en las polticas de seguridad. A continuacin se detallan los mismos:
Guas de compras de tecnologa de la informacin
2
Especifica funciones de seguridad requeridas o preferidas. Estas
polticas deben complementar cualquier otra poltica de compra de la
organizacin.
Poltica de privacidad
Establece las expectativas razonables de privacidad acerca de temas
como el monitoreo de correos electrnicos, acceso a archivos de
usuarios y registro de teclados. Podra incluir tambin polticas
acerca de registro, escucha y control de llamadas telefnicas, control
de accesos a sitios web, uso de herramientas de mensajera
instantnea, etc.
Poltica de acceso
2
El RFC 2196 menciona Computer Technology Purchasing Guidelines, o sea Guas de compra
de tecnologa informtica. Se ha cambiado en este texto tecnologa informtica por tecnologa
de la informacin, trmino ms amplio que el anterior, alineado con la filosofa de la ISO
17799:2000
Redes Corporativas
Redes de Datos Pgina 88
Define derechos o privilegios de acceso a activos o recursos de
informacin protegidos. Especifica comportamientos aceptables para
usuarios, empleados de mantenimiento o soporte y gerentes.
Debe incluir reglas respecto a las conexiones y accesos externos, as
como reglas acerca de la comunicacin de datos, conexiones de
dispositivos a las redes e inclusin de nuevas aplicaciones
informticas en los sistemas existentes.
Debe establecer si es necesario o no incluir mensajes de advertencia
o notificacin durante los accesos a las redes, sistemas, archivos,
etc.
Poltica de responsabilidad
Define las responsabilidades de usuarios, personal de mantenimiento
y gerentes. Debe especificar la capacidad de realizar auditorias y sus
caractersticas, y proveer las guas para el registro y manejo de
incidentes de seguridad (por ejemplo, que hacer y a quien contactar
en caso de detectar un incidente de seguridad)
Poltica de autenticacin
Debe establecer los mecanismos de confianza mediante el uso
de una poltica de contraseas apropiadas. Debe tener en cuenta,
si aplica, polticas de autenticacin local y de acceso remoto, y el
uso de dispositivos de autenticacin (por ejemplo, mecanismos de
clave de una nica vez (one-time password) )
Declaracin de disponibilidad
Establece las expectativas de disponibilidad de los recursos de los
sistemas de informacin. En base a la disponibilidad necesaria,
podrn establecerse mecanismos de redundancia y
procedimientos de recuperacin. Podr establecer tambin las
guas para el registro y manejo de problemas de disponibilidad
(como y a quien reportar problemas de red, por ejemplo), as como
tambin reglas generales acerca de los horarios de operacin y
periodos de indisponibilidad debidos a tareas de mantenimiento.
Poltica de mantenimiento de los sistemas relacionados a la tecnologa de
la informacin
Describe como deber realizarse el mantenimiento realizado tanto
por personal interno como externo a la organizacin. Debe
establecerse si se admite o no algn tipo de mantenimiento
remoto (por ejemplo, por Internet o por MODEM), y las reglas que
aplican al mismo, as como los mecanismos internos de control.
Deber establecerse si se admite mantenimiento tercerizado, y
sus reglas de administracin.
Poltica de informes de incidentes o violaciones de seguridad
Establece que tipo de incidentes o violaciones de seguridad deben
ser reportados y a quien deben ser reportados. Para no generar un
Redes Corporativas
Redes de Datos Pgina 89
ambiente amenazante pueden considerarse la inclusin de reportes
annimos, lo que seguramente devenga en una mayor probabilidad
de que los incidentes sean efectivamente reportados.
Informacin de apoyo
Para proveer a los usuarios, empleados y gerentes con informacin
de contacto y de referencia a ser usada ante incidentes de seguridad.
En todos los casos, los aspectos legales deben ser tenidos en cuenta. Como
mnimo es recomendable que el departamento legal de la organizacin (o un
consultor externo) de su aval a las polticas de seguridad.
El NIST, por su parte, indica que los componentes de una poltica de seguridad
deben incluir un programa estratgico de seguridad, polticas especficas,
(concernientes a temas especficos) y polticas especficas-sistema (concernientes
a sistemas particulares). Esta visin es similar a la del RFC-2196
El CERT indica que una poltica de seguridad debe incluir:
Descripcin de alto nivel.
Esto sera equivalente a la Poltica estratgica de seguridad
mencionada anteriormente
Anlisis de riesgos
Identificando los valores, las amenazas a las que estn expuestos
estos valores y los eventuales costos en caso de que un valor sea
perdido o atacado. Es una visin similar a la de la ISO 17799
Lneas maestras para administradores
Define como administrar los sistemas cubiertos
Lneas maestras de cmo reaccionar ante un ataque
La ISO ha desarrollado un conjunto de buenas prcticas en la norma ISO/IEC
17799:2000. Este documento, junto con el standard BS7799-2 (norma
certificable) constituyen una especificacin para un Sistema de Gestin de la
Seguridad de la Informacin, conocido habitualmente como ISMS (Information
Security Management System). La orientacin de estos documentos apuntan al
desarrollo de procesos acerca de la seguridad de la informacin. Estos procesos
se basan en el esquema de Planificar Hacer Verificar Actuar.
El proceso indicado en la ISO 17799:2000 incluye 6 etapas:
Redes Corporativas
Redes de Datos Pgina 90
Definir poltica de seguridad
Definir mbito del ISMS
Evaluacin de riesgos
Administracin de riesgos
Seleccionar controles
Declaracin de aplicabilidad
8.3 Vulnerabilidades, amenazas y contramedidas
8.3.1 Vulnerabilidad
Varios actores pueden potencialmente amenazar los sistemas de seguridad de
una organizacin. Entre ellos podemos mencionar insiders, o personal interno,
competidores, o hackers en general. Las amenazas explotan posibles
vulnerabilidades a la infraestructura de la informacin.
Una lista de las vulnerabilidades consideradas ms crticas puede verse en [53].
Una lista completa y detallada de las vulnerabilidades conocida se puede obtener
de CVE [54].
La vulnerabilidad de una organizacin depende de varios factores, entre los que
se encuentran:
8.3.1.1 Factores relacionados con la tecnologa:
Tipo de Firewall instalado y su configuracin: Diferentes arquitecturas de
Firewalls o cortafuegos pueden ser mas o menos vulnerables.
Adicionalmente, la adecuada configuracin de este sistema es fundamental
para disminuir la vulnerabilidad.
Sistemas operativos utilizados: Todos los sistemas operativos tienen
vulnerabilidades conocidas, y en forma permanente se publican nuevos
parches tendientes a solucionar problemas de vulnerabilidad. Las
empresas que sistemticamente instalan estos parches sern menos
vulnerables.
Aplicaciones y servicios instalados: Especialmente, las aplicaciones o
servicios publicados a Internet, ya que, por su propia funcin, estn
expuestos al pblico.
Sistemas de IDS utilizados: Las empresas que puedan instalar algn tipo de
sistema de IDS (NIDS, HIDS, etc.) pueden reducir considerablemente su
vulnerabilidad.
Utilizacin de aplicaciones de Antivirus: Muchos de los ataques actuales
se propagan por virus, gusanos o troyanos. Disponer de servicios Antivirus
centralizados y actualizados reduce la vulnerabilidad.
Redes Corporativas
Redes de Datos Pgina 91
8.3.1.2 Factores humanos:
Correcto uso de las aplicaciones por los usuarios: Muchos ataques son
producidos por tcnicas de ingeniera social. Concientizar a los usuarios y
empleados en general de los riesgos causados por el mal uso de
aplicaciones, por instalar programas no autorizados, o por revelar sus
contraseas, reduce considerablemente estas vulnerabilidades.
Capacitacin: Tener personal calificado en seguridad de la informacin es
un factor clave para poder reducir las vulnerabilidades
8.3.1.3 Poltica de seguridad:
Finalmente, tener una buena poltica de seguridad de la informacin,
divulgada entre todos los actores, es, quizs, la mejora manera de disminuir
la vulnerabilidad de la organizacin.
8.3.2 Amenazas
Una amenaza es una condicin del entorno del sistema de informacin con el
potencial de causar una violacin de la seguridad (confidencialidad, integridad,
disponibilidad o uso legtimo). Las amenazas son, por tanto, el conjunto de los
peligros a los que estn expuestos la informacin y sus recursos tecnolgicos
relacionados.
Para cada amenaza, se pueden distinguir
Agentes: Quien potencialmente puede generar una violacin de la
seguridad. Puede ser una persona, una mquina o fenmenos naturales
Motivos: Lo que mueve al agente a actuar. Pueden existir motivos
intencionales o accidentales.
Resultados: El resultado de la ejecucin de la amenaza (divulgacin,
modificacin, indisponibilidad)
Una vulnerabilidad es una debilidad de un sistema, aplicacin o infraestructura
que lo haga susceptible a la materializacin de una amenaza.
El riesgo puede verse como la probabilidad de que una amenaza en particular
explote una vulnerabilidad
Un ataque no es ms que la concrecin o realizacin de una amenaza.
La poltica de seguridad y el anlisis de riesgos deben identificar las
vulnerabilidades y amenazas, y evaluar los correspondientes riesgos. Los riesgos
pueden ser:
Mitigados: Mediante la implementacin de los correspondientes controles
Transferidos Por ejemplo. Tomando un seguro
Eludidos: Cambiando la forma de hacer las cosas, o prescindiendo del
activo amenazado.
Redes Corporativas
Redes de Datos Pgina 92
Aceptado: Luego de evaluado, decidir que no es conveniente tomar
acciones.
En general, es sumamente importante ser concientes de las vulnerabilidades y
amenazas a las que est expuesta la informacin, de manera de mitigar, transferir,
eludir o aceptar el riesgo. Muchas veces, la decisin de cuanto dinero vale la pena
invertir para eliminar o bajar el riesgo de una amenaza no es sencillo. En [55]
puede verse un estudio genrico de la rentabilidad de las medidas de seguridad.
A continuacin se detallan algunas de las amenazas ms relevantes:
Desastres naturales (Incendio, Inundacin, Terremotos Tormentas
elctricas, etc)
Fallas de infraestructura (Instalacin elctrica deficitaria, cambios bruscos
de tensin, etc.)
Robo fsico
Ataques a travs de Internet
Empleados actuales o ex - empleados descontentos, curiosos, hackers,
terroristas.
8.3.2.1 Tipos de ataques
Los ataques a sistemas de informacin pueden ser clasificados segn diversos
criterios, entre los que podemos citar la clasificacin por origen (Personas,
Amenazas lgicas y Catstrofes) y la clasificacin por tipo (Acceso no autorizado,
revelacin de informacin y negacin del servicio) [56].
Otra clasificacin para los ataques es la siguiente [57] :
Interrupcin: Un recurso del sistema es destruido o se vuelve no disponible.
Este es un ataque contra la disponibilidad.
Intercepcin: Una entidad no autorizada consigue acceso a un recurso. Este
es un ataque contra la confidencialidad.
Modificacin: Una entidad no autorizada no slo consigue acceder a un
recurso, sino que es capaz de manipularlo. Este es un ataque contra la
integridad
Fabricacin: Una entidad no autorizada inserta objetos falsificados en el
sistema. Este es un ataque contra la autenticidad
En [58] se clasifican los ataques o incidentes de la siguiente manera:
Pruebas
Barridos
Comprometer cuentas de usuario.
Comprometer cuentas del administrador.
Husmeo de paquetes (Packet Sniffer)
Denegacin de servicio.
Explotacin de confianza.
Redes Corporativas
Redes de Datos Pgina 93
Cdigo malicioso.
Ataques a la infraestructura de Internet.
Se describen a continuacin varios Tipos de ataques [59]:
INGENIERIA SOCIAL
La ingeniera social consiste en la manipulacin de las personas para que
voluntariamente realicen actos que normalmente no haran. Uno de los motivos
mas frecuentes para que un atacante utilice la ingeniera social es intentar obtener
informacin sensible para la organizacin o acceder a un sistema o dispositivo
que, normalmente, no estara disponible desde el exterior.
EAVESDROPPING
3
Y PACKET SNIFFING
4
Se entiende por Eavesdropping la pasiva intercepcin (sin modificacin) del
trfico de red. En general esto es realizado por packet sniffers, que son
programas que monitorean los paquetes de red. Este mtodo puede ser
utilizado para capturar usuarios, claves, nmeros de tarjetas de crdito, etc.
que viajen sin encriptar.
SNOOPING
5
Y DOWNLOADING
Los ataques de esta categora tienen el mismo objetivo que el sniffing, obtener
la informacin sin modificarla. Sin embargo los mtodos son diferentes.
Adems de interceptar el trfico de red, el atacante ingresa a los documentos,
mensajes de e-mail y otra informacin, guardando en la mayora de los casos
esa informacin a su propia computadora.
TAMPERING
6
O DATA DIDDLING
7
Se refiere a la modificacin desautorizada de datos, o al software de en un
sistema, incluyendo borrado de archivos. Puede ser realizado por insiders o
outsiders, generalmente con el propsito de fraude o dejar fuera de servicio
un sistema. La utilizacin de programas troyanos esta dentro de esta categora,
y refiere a falsas versiones de un software con el objetivo de averiguar
informacin, borrar archivos y hasta tomar control remoto de una computadora
a travs de Internet.
SPOOFING
8
3
Eavesdrop se traduce como Escuchar indiscretamente. Un eavesdropper es una persona
indiscreta, o que escucha indiscretamente.
4
Sniffer proviene de la palabra Sniff, que se traduce como olfatear o husmear
5
Snoop se traduce como Entrometido o Curioso
6
Tamper se traduce como Manosear, o Intentar forzar
7
Diddle se traduce como Estafar
Redes Corporativas
Redes de Datos Pgina 94
Esta tcnica es utilizada para actuar en nombre de otros usuarios, usualmente
para realizar tareas de tampering. Una forma comn de spoofing, es conseguir
el nombre y password de un usuario legtimo para, una vez ingresado al
sistema, tomar acciones en nombre de l.
JAMMING
9
o FLOODING
10
Este tipo de ataques desactivan o saturan los recursos del sistema. Por
ejemplo, un atacante puede consumir toda la memoria o espacio en disco
disponible.
CABALLOS DE TROYA
Consiste en introducir dentro de un programa aparentemente seguro, una
rutina o conjunto de instrucciones no autorizadas, para que dicho programa
acte de una forma diferente a como estaba previsto.
BOMBAS LGICAS
Consiste en introducir un programa o rutina que en una fecha determinada
destruir o modificara la informacin o provocara daos en el sistema.
VIRUS
Si bien es un ataque de tipo tampering, difiere de este porque puede ser
ingresado al sistema por un dispositivo externo (disquete, CD, DVD) o travs
de la red (e-mails u otros protocolos) sin intervencin directa del atacante.
8.3.3 Deteccin de ataques e intrusos
Existen varias formas de detectar intrusos que estn o hayan atacado sistemas
informticos [60] :
Recibir mensajes de otro administrador, advirtiendo que desde alguna
mquina de su red ha detectado un ataque hacia nuestra red. Es posible
que la red de quien nos advierte ya haya sido atacada, y usada como
trampoln para acceder a nuestra red.
Hallar mensajes o registros inusuales durante anlisis rutinarios de nuestros
sistemas.
Mediante algn reporte de un sistema IDS (Intrusion Detection System). En
este caso, el ataque podra incluso ser reportado en lnea.
8
Spoof se traduce como Engaar
9
Jamming se traduce como Atascamiento
10
Floodign se traduce como Inundacin
Redes Corporativas
Redes de Datos Pgina 95
Signos de que un sistema est siendo atacado pueden ser:
Reconocer una secuencia de acciones no permitidas. La manera ms
comn es por reconocimiento de patrones, dnde el trfico entrante y
saliente se compara con patrones conocidos, por ejemplo un gran nmero
de conexiones TCP fallidas sobre muchos puertos indica que alguien est
realizando un rastreo de puertos.
Incrementos sbito de trfico
Utilizacin exagerada de recursos como ser CPU, discos o memoria.
Deteccin de conexiones de usuarios en das u horarios irregulares, o
desde lugares desconocidos
Registro de accesos a archivos de sistema o poco utilizados.
Deteccin de que se estn ejecutando procesos o servicios no autorizados
Deteccin de usuarios sospechosos que se encuentren firmados
(logueados)
En el artculo [61] pueden verse varias recomendaciones prcticas para detectar
intrusiones en sistemas Linux. El artculo [62] muestra como detectar intrusiones y
registrar sucesos en Windows.
Un IDS (Intrusion Detection System) es un sistema de deteccin de intrusos, o
sea, una herramienta automtica con cierta inteligencia que trata de detectar
signos de ataques contra un sistema o cualquier tipo de actividad no autorizada o
no deseada.
Existen varios tipos de IDS disponibles, caracterizados por diferentes mtodos de
monitoreo, capacidad de anlisis y respuesta. La mayora de ellos puede ser
descrita en trminos de stos tres componentes funcionales principales [63]:
Origen de los datos: Los IDS pueden basarse en diferentes fuentes de
informacin de eventos, usados para determinar si existe una intrusin. Las
ms comunes son la red, los servidores o las aplicaciones.
Anlisis: El componente de anlisis de los IDS es el que decide, de manera
inteligente, si los eventos recibidos desde sus Fuentes de Informacin son
indicios de una intrusin. Los tipos de anlisis mas comunes son los de
deteccin de mal uso y deteccin de anormalidades
Respuesta: Este componente realiza un conjunto de acciones una vez que se
ha detectado una posible intrusin. Son tpicamente agrupadas en respuestas
pasivas o activas. Las respuestas pasivas, alertan al personal de seguridad de
la deteccin, pero no toman acciones automticas, como s lo hacen los
sistemas que disponen de respuestas activas.
Segn el origen de los datos que se analizan, los IDS se pueden clasificar como
[60]:
NIDS (Sistema de deteccin de intrusiones basados en red): El sistema trata
de detectar un comportamiento no autorizado mediante la utilizacin de un
dispositivo de red
Redes Corporativas
Redes de Datos Pgina 96
HIDS (Sistemas de deteccin de intrusiones basados en equipos): Estos
sistemas buscan patrones de comportamiento ilegal en los registros o en el
trfico de red de una mquina.
Stack-based IDS (Sistemas de deteccin de intrusos basados en pilas): Es
una combinacin de los dos sistemas anteriores.
En particular, los sistemas NIDS funcionan como sniffers, utilizando una interfaz
de red en modo promiscuo, leyendo todos los paquetes que circulen por su
segmento de red, y analizndolos. Las tcnicas aplicadas por los NIDS son las
siguientes:
Verificacin de protocolos, evitando los ataques por violacin de protocolos IP,
TCP, UDP y ICMP. Tambin pueden ser incluidas conductas vlidas pero
sospechosas, por ejemplo, el envo de varios paquetes IP fragmentados.
Verificacin de protocolos de aplicacin, evitando los ataques de conducta de
protocolo invlida, o conductas de protocolo vlidas pero inusuales.
Creacin de nuevos eventos a registrar, extendiendo las capacidades de
auditora del software de administrador de red.
8.3.4 Contramedidas
Las contramedidas a tomar dependen de las vulnerabilidades y amenazas
detectadas. En forma genrica, se pueden dividir en tres grandes grupos [56]:
Medidas de Prevencin
o Servicios de autenticacin e identificacin (Firmas y Certificados
digitales)
o Servicios de control de acceso (Acceso de control discrecional DAC -
Discretionary Access Control, controles de acceso obligatorio MAC -
Mandatory Access Control)
o Servicios de separacin (Firewalls, routers de seleccin u otros
mecanismos de filtros de paquetes)
o Servicios de seguridad en las comunicaciones (Usos de tecnologas
criptogrficas)
Medidas para la Deteccin
o Deteccin de anomalas (Mediante anlisis estadsticos se buscan
comportamientos que no son usuales o normales en el sistema. Puede
implementarse con IDS)
o Deteccin de acciones ilegales (Analizando una serie de acciones no
permitidas trata de encontrar un patrn que pueda seguir el atacante.
Puede implementarse con IDS)
Medidas para la Recuperacin
o Procedimientos de registro, auditoria y monitorizacin (Caso de que se
quiera seguir una investigacin legal, para grabar evidencias que
ayuden a clarificar cmo sucedi el ataque y, si es posible, por quin.
Puede utilizarse los logs generados por un IDS).
Redes Corporativas
Redes de Datos Pgina 97
o Copias de seguridad (Son fundamentales para poder restablecer el
servicio, en caso que el ataque sea destructivo)
Gran parte de los ataques se basan en fallos de diseo en protocolos y en los
sistemas operativos utilizados. Lo recomendable es mantenerse informado sobre
todos los tipos de ataques existentes y las actualizaciones que permanentemente
se lanzan, principalmente de sistemas operativos.
Las siguientes son medidas preventivas:
Mantener las mquinas actualizadas y seguras fsicamente.
Mantener personal especializado en cuestiones de seguridad (o
subcontratarlo).
Aunque una mquina no contenga informacin valiosa, hay que tener en
cuenta que puede resultar til para un atacante, a la hora de ser empleada
en un DoS coordinado o para ocultar su verdadera direccin.
No permitir el trfico "broadcast" desde fuera de nuestra red. De esta forma
evitamos ser empleados como "multiplicadores" durante un ataque.
Establecer auditorias de seguridad y sistemas de deteccin.
Mantenerse informado constantemente sobre cada unas de las
vulnerabilidades encontradas y parches lanzados. Para esto es
recomendable estar suscrito a listas que brinden este servicio de
informacin.
Por ltimo, pero quizs lo ms importante, la capacitacin continua del
usuario.
8.4 Tecnologas asociadas a la seguridad de la informacin
Hay un gran nmero de tecnologas asociadas a la seguridad de la informacin. El
rea de aplicabilidad de la seguridad es sumamente grande, al igual que las
tecnologas y productos existentes. Dentro del tema seguridad de la informacin
se enmarcan desde la criptografa, hasta los controles de acceso biomtricos. En
este captulo nos concentraremos en solo algunas de las tecnologas existentes
relacionadas con las redes de telecomunicaciones.
8.4.1 Criptografa
8.4.1.1 Criptografa de clave secreta
La criptografa de clave secreta, o de claves simtricas, consiste en el uso de un
secreto compartido entre las partes que desean compartir una informacin. Este
secreto es el que se utiliza tanto para cifrar como para descifrar una informacin, y
de all el nombre de clave simtrica. Este mtodo plantea un problema (a veces de
difcil solucin), y es el de hacer llegar a todos las partes involucradas el secreto
Redes Corporativas
Redes de Datos Pgina 98
que han de compartir, por un canal que se considere seguro, as como de
conseguir que estos mantengan las claves a buen recaudo.
Las tcnicas ms comunes en la criptografa de clave secreta son el cifrado de
bloque (block cipher) y el cifrado de flujo (stream cipher).
Dentro del cifrado de bloque, los cuatro modos de operacin ms comunes son
ECB, CBC, CFB y OFB. Ejemplos de algoritmos de cifrado de bloque de calve
secreta son DES, 3DES, Blowfish, IDEA
Los cifrados en flujo se clasifican en dos tipos; cifrados en flujo sncronos y
cifrados en flujo asncronos. Ejemplos de algoritmos de cifrado de flujo de clave
secreta son SEAL y el RC4. Este ltimo, es ampliamente usado actualmente.
Las aplicaciones de ejemplos que se pueden mencionar son:
Encriptacin de archivos en discos duros
Encriptacin de claves de usuarios, ya sea en archivos o en bases de datos
Seguridad en redes inalmbricas (por ejemplo, WLAN usa WEP, basado en
RC4)
Utilizacin de tarjetas inteligentes (smart cards), en las que puede
distribuirse una clave compartida entre los usuarios de algn sistema
Seguridad en las comunicaciones. Por ejemplo, SSL es un protocolo de
comunicacin que proporciona principalmente tres servicios bsicos de
seguridad: confidencialidad, autenticacin e integridad. SSL hace uso tanto
de claves asimtricas (basada en la existencia de un par de claves, la
pblica y la privada) como de claves simtricas (basada en la utilizacin de
una nica clave secreta). La justificacin de dicha combinacin viene dada
por cuestiones de eficiencia, puesto que las transformaciones criptogrficas
realizadas mediante tcnicas de criptografa asimtrica son mucho ms
lentas que las realizadas con criptografa simtrica. SSL negocia en una
primera fase utilizando criptografa asimtrica (p.e. RSA), y cifra
posteriormente la comunicacin utilizando criptografa simtrica (RC4, RC5,
IDEA...).
8.4.1.2 Criptografa de clave pblica
A diferencia de las de clave simtrica, las tcnicas criptogrficas que hacen uso de
las claves asimtricas (o claves publicas) no exigen que se comparta ningn tipo
de secreto. Cada participante en la comunicacin tiene un par de claves, que
tienen la particularidad de que lo que una de ellas cifra es descifrado por la otra y
viceversa. En este esquema cada una de las partes hace pblica una de las
claves y mantiene secreta la otra. As, cuando uno de los participantes en la
comunicacin desee enviar un mensaje a otro lo cifrar con la clave pblica del
destinatario, garantizando de esta forma que slo el destinatario ser capaz de
leerlo.
Redes Corporativas
Redes de Datos Pgina 99
Ejemplos de esquemas de encriptacin de calve pblica son RSA, Rabin, DSA,
Diffie-Hellman, ElGamal, Merkle-Hellman
Este tipo de mecanismos es ideal para los casos en los que no es posible
compartir una clave secreta entre las partes que deban compartir alguna
informacin. Se pueden mencionar los siguientes ejemplos:
Acceso a informacin confidencial a travs de Internet (consulta de estados
de cuentas bancarios, por ejemplo)
Pagos de servicios por Internet
Aplicaciones del tipo B2B y B2C (Business to Business y Business to
Consumers), como por ejemplo, envo de formularios completados en
Internet, transferencia de archivos, e-banking y e-commerce en general
Seguridad en las comunicaciones. Por ejemplo, SSL, como se mencion
anteriormente, utiliza tanto claves asimtricas como claves simtricas
Identificacin y autentificacin. Gracias al uso de firmas digitales y otras
tcnicas criptogrficas es posible identificar a un individuo o validar el
acceso a un recurso en un entorno de red con ms garantas que con los
sistemas de usuario y clave tradicionales.
Certificacin. La certificacin es un esquema mediante el cual agentes
fiables (como una entidad certificadora) validan la identidad de agentes
desconocidos (como usuarios comunes).
8.4.1.3 Firmas digitales
En Uruguay, la legalidad de las firmas digitales fue legislada el 17 de septiembre
de 2003, en el DECRETO REGLAMENTARIO DEL USO DE LA FIRMA DIGITAL
[64].
Dicha reglamentacin establece las definiciones legales de varios trminos, entre
los que podemos destacar:
a) Firma Digital es el resultado de aplicar a un documento un procedimiento
matemtico que requiere informacin de exclusivo conocimiento del
firmante, encontrndose sta bajo su absoluto control. La firma digital debe
ser susceptible de verificacin por terceras partes, de manera tal que dicha
verificacin permita, simultneamente, identificar al firmante y detectar
cualquier alteracin del documento digital posterior a su firma.
b) Prestador de servicios de certificacin es una tercera parte que expide
certificados digitales, pudiendo prestar adems, otros servicios relacionados
con la firma digital.
c) Certificado Digital es un documento digital firmado digitalmente por un
Prestador de servicios de certificacin, que vincula la identidad del titular del
mismo con una clave pblica y su correspondiente clave privada.
Redes Corporativas
Redes de Datos Pgina 100
Se establece adems que La firma digital tendr idntica validez y eficacia a la
firma autgrafa, siempre que est debidamente autenticada por claves u otros
procedimientos seguros de acuerdo a la tecnologa informtica...
8.4.2 Firewall
Un Firewall o Cortafuego es un dispositivo o conjunto de dispositivos que
restringe la comunicacin entre dos o ms redes. Sus funciones bsicas consisten
en bloquear trficos indeseados y ocultar hacia el exterior la informacin interna
[65]. Su utilizacin tpica es separar a las redes internas (LAN, asumidas como
confiables o seguras) de las redes pblicas no seguras, como es el caso de
Internet.
Existen varias definiciones formales de Firewalls, o Cortafuegos, ms o menos
detalladas, pero todas basadas en los mismos principios bsicos. Se presentan a
continuacin algunas de ellas:
Un cortafuegos (o firewall en ingls), es un elemento de hardware o
software utilizado en una red de computadoras para prevenir algunos tipos
de comunicaciones prohibidas por las polticas de red, las cuales se
fundamentan en las necesidades del usuario. [66]
Un Firewall es un conjunto de programas relacionados, ubicados en un
Servidor de Gateway de red (network gateway server), que protege los
recursos de una red privada de usuarios de otras redes. (El trmino tambin
implica la poltica de seguridad que es usada en los mencionados
programas). Una corporacin con una red interna (Intranet) que permite a
sus empleados acceder a Internet, instala un Firewall para prevenir los
accesos externos a su propia red y para controlar que recursos externos
pueden ser accedidos por sus propios empleados. [67]
Otras definiciones pueden encontrarse en [68], [69] y [70]
Algunos textos contienen definiciones que pueden ser ms coloquiales, como la
siguiente
Redes Corporativas
Redes de Datos Pgina 101
Los muros de seguridad son simplemente una adaptacin moderna del
viejo sistema de seguridad medieval: un foso profundo alrededor del
castillo. Este diseo obligaba a cualquiera que entrara o saliera del castillo a
pasar por un solo puente levadizo, donde poda ser inspeccionado por la
Polica de Entrada y Salida. En las redes, es posible el mismo truco: una
compaa puede tener muchas LAN conectadas de manera arbitraria, pero
todo el trfico de o a la compaa es obligado a pasar a travs de un puente
levadizo electrnico (Muro de seguridad, o Firewall) [1]
Todas las definiciones anteriores pueden ser validas. Un Firewall o Cortafuego es
un sistema que cumple la funcin de control de trfico entre dos redes, una
generalmente considera segura (red interna) y otra considerada no segura (red
externa). El control realizado por el Firewall debe adecuarse a las polticas de
seguridad establecidas en la Empresa, a los efectos de garantizar la seguridad de
la informacin en la red segura o interna. Cabe aclarar que el control no se limita
a protegerse contra accesos externos, sino tambin a limitar el tipo de acceso que
existe desde la red segura o interna a la no segura o externa.
Puede decirse que el cometido principal de un Firewall o cortafuego es
implementar las polticas de seguridad definidas por la Empresa, en lo referente al
acceso a la informacin entre redes.
Para lograr este objetivo, se pueden detallar las siguientes funciones:
Bloqueo de trfico no deseado (entrante y/o saliente)
o Filtrado de paquetes
o Bloqueo de servicios
o Bloqueo de acceso a determinados sitios Web
Monitorizar y detectar actividad sospechosa
o Registro de incidentes
Esconder la red interna
o Traducir direcciones pblicas en privadas y viceversa (NAT)
o Tener acceso a Internet desde varias maquinas con una sola IP
publica
Direccionar trfico entrante a sistemas internos que lo requieran
o Servidores Web, Correo, etc.
Otras funciones que pueden obtenerse en Firewalls o cortafuegos son:
Gerenciamiento de ancho de banda
Autenticacin de usuarios
Implementacin de VPN (Virtual Private Networks)
Implementacin de DMZ (Zona de militarizada)
Administracin remota
Web caching
Anti virus
Redes Corporativas
Redes de Datos Pgina 102
Bloquear correos electrnicos entrantes no deseados, o con adjuntos
sospechosos
Filtros de contenidos
Registrar el trfico entre las redes
NAT
Las direcciones IP pblicas son limitadas, y estn controladas por organismos
internacionales. Cuando una empresa desea conectarse a Internet, tpicamente
recibe un conjunto reducido de direcciones IP pblicas (generalmente una sola).
Dado que por lo general se desea que todas (o un gran nmero) de las
computadoras de la empresa tengan acceso a Internet, se debe compartir la IP
pblica entre un gran nmero de mquinas. Para resolver este problema se ha
diseado una solucin conocida como NAT (Network Address Translation).
La implementacin de NAT consiste en instalar un gateway, o pasarela, entre
Internet y la LAN. Este gateway dispone de dos interfaces de red. Una de ellas
conectada a la red pblica (quien tiene asignada la IP pblica) y la otra conectada
a la LAN (con una direccin IP privada). Todos los paquetes que entran o salen
desde la LAN a Internet, pasan por este gateway. Cuando, por ejemplo, una
computadora de la LAN (interna) enva un paquete a Internet, el gateway NAT
reemplaza la direccin IP privada del PC de origen, por su propia direccin IP
pblica. Asimismo, registra en su memoria la direccin IP interna (origen) y la
direccin IP externa y el nmero de puerto (destino).
El servidor remoto, recibe un paquete que contiene como origen la direccin IP
pblica del gateway NAT (es decir, la nica direccin IP pblica de la Empresa),
y dirige su respuesta a esta IP. Cuando esta respuesta es recibida por el gateway
NAT, ste revisa en sus tablas almacenadas en memoria cual es la direccin IP
interna a la que debe enviar esta respuesta (en base a la IP y puerto desde donde
recibe el paquete de respuesta). Una vez obtenida la IP interna, sustituye la IP de
destino del paquete, y enva el mismo hacia la LAN
Redes Corporativas
Redes de Datos Pgina 103
La mayora de los Firewalls implementan NAT, como tecnologa de acceso a
Internet, y como primer medida de seguridad. NAT deja las direcciones internas
(privadas) ocultas hacia Internet. Sin embargo, hay que hacer notar que NAT
funciona nicamente cuando el origen de la comunicacin es interno.
Por lo general, las empresas deben recibir tambin trfico originado en Internet.
Por ejemplo, si se dispone de un servidor de correo electrnico, los correos
entrantes llegan desde Internet hacia la Empresa. Lo mismo sucede con las
pginas web, servidores FTP, etc.
Es decir, por lo general no es posible bloquear totalmente el trfico desde Internet
hacia las Empresas, ya que esto impedira el funcionamiento de varios servicios
esenciales.
Arquitecturas de Firewalls
Existen varias arquitecturas de cortafuegos. Las arquitecturas ms sencillas se
corresponden al esquema de un router con filtros. En este caso, los paquetes
entrantes deben pasar por un nico equipo para pasar de Internet a la Red interna
(LAN).
En esta arquitectura, los equipos que deben quedar expuestos a Internet (por
ejemplo, servidores de correo, servidores HTTP, servidores FTP, etc) estn en la
LAN interna. Un atacante que tenga acceso a estos equipos, tendr por tanto
acceso a un equipo dentro de la LAN de la Empresa, y esto puede comprometer a
la seguridad. Por otro lado, el acceso a servicios externos es realizado desde los
PCs internos, directamente a travs del Router Esta arquitectura es fcil de
implementar y es utilizada por organizaciones que no precisen grandes niveles de
seguridad. La siguiente figura esquematiza esta arquitectura.
Redes Corporativas
Redes de Datos Pgina 104
Una arquitectura alternativa es la conocida como Dual-Homed Host. Consiste
en poner entre la red externa y la interna un equipo (Host), con dos tarjetas de
red. En este Host deben existir proxies para cada uno de los servicios que se
deseen proveer hacia el exterior. El servicio de IP Forwarding debe estar
deshabilitado, de manera que no sea posible acceder desde el exterior
directamente a hosts o equipos internos, sino que todo el trfico debe ser
realizado a travs de los proxies. La arquitectura Dual-Homed Host se
representa a continuacin:
Host PC PC
Firewall
Red externa
LAN
Redes Corporativas
Redes de Datos Pgina 105
La arquitectura denominada Screened Host combina, en cierta forma, las dos
anteriores. En este caso, se dispone de un Router con filtrado de paquetes entre la
LAN y la red externa, y de un Host con servicios proxies, pero ubicado dentro de la
LAN. El Router es configurado, a diferencia del primer caso, para que desde fuera
solo se pueda acceder al Host con proxies. Alternativamente podra ubicarse el
Host directamente conectado a la red externa, y el router entre el Host y la LAN,
pero esta no es la arquitectura ms recomendada.
Host PC PC PC
Dual-Homed Host (con Proxies)
Red
externa
LAN
Host PC PC PC
Router (Con filtro de paquetes)
Red
externa
LAN
Redes Corporativas
Redes de Datos Pgina 106
Una arquitectura ms segura consiste en implementar, mediante dos routers con
filtros, una zona de seguridad intermedia, en la que se ubican todos los equipos
que deben quedar expuestos en la red externa (Bastiones). Esta zona
intermedia es conocida generalmente como zona desmilitarizada, o DMZ
(DeMilitarized Zone), la arquitectura es conocida como Screened Subnet. Aunque
un atacante tenga acceso a estos equipos, no tendr acceso directo a la LAN de la
Empresa. Todava tendr que pasar por otro router con sus filtros, lo que brinda un
nivel de seguridad adicional a la arquitectura anterior. Muchos equipos Firewall
implementan esta arquitectura, disponiendo de 3 puertas de red: una para la
conexin a la red pblica (Internet), otra para la DMZ y la ltima para la conexin a
la LAN. Esto se esquematiza en la figura anterior.
Para elegir, en cada caso, la arquitectura de cortafuegos a implementar, se deben
tener en cuenta varios aspectos:
Poltica de seguridad: Principalmente debe tenerse en claro la Poltica de
Seguridad de la organizacin, y en base a ella, definir una arquitectura que
permita su implementacin. Tambin como parte de la poltica de
seguridad, se debe tener claro cuales son los activos de informacin que
se desean proteger, y las amenazas a las que estn expuestos, de manera
de seleccionar la arquitectura que mejor se adapte a la proteccin de dichos
activos.
PC PC PC PC
Router c/filtro
Red externa
Router c/filtro
Bastin Bastin
Firewall
DMZ
LAN
Redes Corporativas
Redes de Datos Pgina 107
Tipos de servicio que se deben acceder: Debe tenerse en cuenta que
tipos de servicios del exterior requieren ser accedidos por los usuarios, y
que tipos de servicios se deben permitir acceder desde la red interna. En
particular, debe considerarse si los servicios a acceder desde la red interna
son generales, o dependen de cada usuario, o si se desea tener algn tipo
de funcionalidad avanzada, como filtros de contenido.
Registro de actividad: Debe considerarse si es necesario o no el registro
de los accesos
Carga o Performance: Es necesario considerar la carga que soportar el
Firewall (accesos por segundo, por ejemplo), de manera de seleccionar los
equipos adecuados a dicha carga
Costos: Los aspectos de costos no pueden dejar de evaluarse. En
especial, deber tenerse en cuenta el balance entre la proteccin obtenida
y la inversin a realizar, teniendo en cuenta no solo los costos iniciales, sino
tambin los repetitivos (soporte, mantenimiento, suscripcin a servicios de
actualizacin de filtros, de antivirus, etc.)
Administracin: La facilidad de administracin puede ser tambin un tema
a evaluar, si es que dicha tarea ser realizada por personal propio. En caso
de tercerizarlo, los costos debern ser evaluados, como se mencion en el
prrafo anterior.
Filtrado de paquetes
A los efectos de aumentar la seguridad, tanto en el trfico entrante como en el
trfico saliente, los Firewall implementan varios tipos de inspecciones en los
paquetes que pasan (o intentan pasar) de Internet a la LAN y viceversa.
Packet Filter
Un Firewall que implementa filtrado de paquetes, inspecciona cada paquete IP, y
lo evala a los efectos de determinar si puede o no pasar. En este caso, la
decisin es hecha paquete a paquete, sin importar los paquetes recibidos
anteriormente. Los bloqueos se pueden definir en base a direcciones de origen y
destino, tipo de paquete, etc.
Este tipo de filtrado es sencillo de implementar, pero es relativamente pobre en
sus caractersticas, ya que permite bloquear completamente o permitir el paso
abiertamente.
Los Firewall que implementan filtrado de paquetes, trabajan a nivel de la capa 3
Redes Corporativas
Redes de Datos Pgina 108
Stateful Inspection
Una manera mas sofisticada de filtrar paquetes consiste en tener en cuenta no
solo el paquete actual, sino la historia, de manera que el paquete se considere
en el contexto de los paquetes anteriores. Esto permite distinguir entre
conversaciones establecidas y nuevas conversaciones, y tomar decisiones
acordes.
Circuit Level
Si se inspecciona hasta la capa 4, es posible identificar sesiones, y por lo tanto,
permitir solo sesiones iniciadas por computadores conocidos.
Application Level
Llegando hasta la capa 5, se pueden implementar filtros por aplicacin. Por
ejemplo, se pueden distinguir paquete http:post, http:get, etc.
Redes Corporativas
Redes de Datos Pgina 109
Los Firewall que implementan filtros en la capa de aplicacin requieren por lo
general de un alto nivel de mantenimiento y actualizacin, ya que los fabricantes
deben mantener al da el filtrado de nuevas aplicaciones o protocolos. Como
contrapartida, son mas seguros que el resto de los tipos de Firewall
8.4.3 VPN
Una Red Privada Virtual o Virtual Private Network (VPN) [71] es un sistema
para simular una red privada sobre una red pblica, por ejemplo, Internet. Las
VPN permiten interconectar redes LAN a travs de Internet, o computadores
aislados a las redes LAN a travs de Internet. Las VPN posibilitan la conexin de
usuarios mviles a la red privada, tal como si estuvieran en una LAN dentro de
una oficina de la empresa donde se implementa la VPN. Esto resulta muy
conveniente para personal que no tiene lugar fijo de trabajo dentro de la empresa,
como podran ser vendedores, ejecutivos que viajan, personal que realiza trabajo
desde el hogar, etc.
La forma de comunicacin entre las partes de la red privada a travs de la red
pblica se hace estableciendo tneles virtuales entre dos puntos para los cuales
se negocian esquemas de encriptacin y autentificacin que aseguran la
confidencialidad e integridad de los datos transmitidos utilizando la red pblica.
La tecnologa de tneles ("Tunneling") es un modo de transferir datos en la que se
encapsula un tipo de paquetes de datos dentro del paquete de datos de algn
protocolo, no necesariamente diferente al del paquete original. Al llegar al destino,
el paquete original es desencapsulado volviendo as a su estado original. En el
traslado a travs de Internet, generalmente los paquetes viajan encriptados, por
razones obvias de seguridad.
En la LAN se debe ubicar un equipo Terminador de tneles, y los clientes
remotos (PCs conectados a Internet que desean establecer un tnel con la LAN)
deben tener el software adecuado para establecer tneles.
Redes Corporativas
Redes de Datos Pgina 110
Una vez establecido el tnel, a nivel lgico, el PC remoto es como si estuviera en
la LAN. Se le asigna una IP de LAN (generalmente con DHCP), y todos los
servicios accesibles en la LAN estn a disposicin del PC remoto. Los paquetes IP
que enva el PC remoto hacia la LAN son encapsulados, y generalmente
encriptados, dentro del cuerpo del paquete IP que es enviado a Internet. El
Terminador de tneles, ubicado en la empresa, recibe el paquete pblico,
desencapsula y desencripta su contenido, y lo enva como un paquete IP normal
de LAN
Hay varios sistemas de encriptacin, pero el que est siendo ms utilizado es el
conocido como IPSec.
IPSec provee confidencialidad, integridad, autenticidad y proteccin a repeticiones
mediante dos protocolos, que son Authentication Protocol (AH) y Encapsulated
Security Payload (ESP).
Se entiende por confidencialidad que los datos transferidos sean slo entendidos
por los participantes de la sesin. Por integridad se entiende que los datos no
sean modificados en el trayecto de la comunicacin. Autenticidad indica sea
confiable el remitente de los datos, y por proteccin a repeticiones se entiende
que una sesin no pueda ser grabada y repetida salvo que se tenga autorizacin
para hacerlo.
El protocolo AH [72] provee autenticacin, integridad y proteccin a repeticiones
pero no confidencialidad.
LAN
Internet
Tunel sobre
Internet
Paquetes
encapsulados
dentro del tunel
Redes Corporativas
Redes de Datos Pgina 111
El protocolo ESP [73] provee autenticacin, integridad, proteccin a repeticiones y
confidencialidad de los datos, protegiendo el paquete entero que sigue al header.
La siguiente figura muestra un paquete AH y un paquete ESP [74]. En el primero
(AH), el cabezal AH (AH Header) incluye la autenticacin de todo el paquete,
incluyendo la direccin IP del comienzo del paquete. Es decir, el cabezal AH
incluye un campo ICV (Integrity Checksum Value). En el segundo (ESP), la
direccin IP del comienzo del paquete no tiene validacin, pero el resto del
paquete est encriptado y autenticado. EL ICV en este caso se encuentra al final
del paquete
Redes Corporativas
Redes de Datos Pgina 112
9 Referencias
[1] Redes de Computadoras (Tercera edicin, ISBN 968-880-958-6)
Andrew S. Tanenbaum Andrew S. Tanenbaum, Prentince Hall Hispanoamericana, 1997
[2] Breve Historia de las Telecomunicaciones
Jos Joskowicz, Agosto 2007
[3] The Aloha System - Another Alternative for Computer Communications
N. Abramson, Proceedings of Fall Joint Computer Conference, AFIPS Conference
Proceedings, Vol. 37, pp. 281-285, 1970
[4] IEEE 802.3-2005
IEEE Standard for Information technology--Telecommunications and information exchange
between systems--Local and metropolitan area networks--Specific requirements--Part 3:
Carrier Sense Multiple Access with Collision Detection (CSMA/CD) Access Method and
Physical Layer Specifications
http://standards.ieee.org/getieee802/802.3.html
[5] Cableado Estructurado
Jos Joskowicz, Agosto 2007
[6] IEEE 802.1d Spannig Tree
IEEE Standard for Information technology--Telecommunications and information exchange
between systems--IEEE standard for local and metropolitan area networks--Common
specifications--Media access control (MAC) Bridges (includes IEEE 802.1k-1993), 1998
Edition or 2003 Edition
http://standards.ieee.org/getieee802/802.1.html
[7] IEEE 802.1q VLAN
IEEE Standards for Local and metropolitan area networksVirtual Bridged Local Area
Networks, 2003 Edition
http://standards.ieee.org/getieee802/802.1.html
[8] IEEE 802.1p - Priorizacin
Traffic Class Expediting and Dynamic Multicast Filtering (published in 802.1D-1998)
[9] IEEE 802.11 Inalmbricos.
IEEE Standards for Information Technology -- Telecommunications and Information
Exchange between Systems -- Local and Metropolitan Area Network -- Specific
Requirements -- Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer
(PHY) Specifications, 1999 Edition
Redes Corporativas
Redes de Datos Pgina 113
http://standards.ieee.org/getieee802/802.11.html
[10] IEEE 802.11TM WIRELESS LOCAL AREA NETWORKS
http://www.ieee802.org/11/
[11] IEEE 802.11a :
Telecommunications and information exchange between systemsLocal and metropolitan
area networksSpecific requirementsPart 11: Wireless LAN Medium Access Control
(MAC) and Physical Layer (PHY) specificationsAmendment 1: High-speed Physical Layer
in the 5 GHz band
(IEEE Standard for Information technology, 1999)
[12] IEEE 802.11b :
Wireless LAN MAC and PHY specifications: Higher speed Physical Layer (PHY) extension
in the 2.4 GHz band
(IEEE Standard for Information technology, 1999)
[13] IEEE 802.11g :
Telecommunications and information exchange between systemsLocal and metropolitan
area networksSpecific requirementsPart 11: Wireless LAN Medium Access Control
(MAC) and Physical Layer (PHY) specificationsAmendment 4: Further Higher-Speed
Physical Layer Extension in the 2.4 GHz Band
(IEEE Standard for Information technology, 2003)
[14] Principles of Wireless Networks
Kaveh Pahlavan, Prashant Krishnamurthy
Prentice Hall PTR, 2002
ISBN: 0-13-093003-2
[15] 2.4 GHz 802.11 Channel-to-Frequency Mappings
http://www.hyperlinktech.com/web/band_pass_filters.php
[16] Complementary Code Keying Made Simple
Intersil Application Note AN9850.2
Bob Pearson
Novembre 2001
[17] IEEE Standard for Information technology Telecommunications and information
exchange between systems Local and metropolitan area networks Specific
requirements
Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY)
specifications
Amendment 2: Higher-speed Physical Layer (PHY) extension in the 2.4 GHz band
Corrigendum 1
IEEE Std 802.11b-1999/Cor 1-2001
7 November 2001
[18] Wireless Market Update
Alex Myrman
Cisco Systems, April 2004
http://www.socalwug.org/cisco-ppt0504/img7.html
Redes Corporativas
Redes de Datos Pgina 114
[19] 802.11g: IEEE Standard for Information technology Telecommunications and information
exchange between systems Local and metropolitan area networks Specific
requirements
Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY)
specifications
Amendment 4: Further Higher Data Rate Extension in the 2.4 GHz Band
[20] IEEE P802.11 - TASK GROUP N - MEETING UPDATE
Status of Project IEEE 802.11n
http://grouper.ieee.org/groups/802/11/Reports/tgn_update.htm
[21] Capacity Coverage & Deployment Considerations for IEEE 802.11g
Cisco Systems, White Paper
http://www.cisco.com/en/US/products/hw/wireless/ps4570/products_white_paper09186a00
801d61a3.shtml
[22] Application Note: Wi-Fi /802.11 WLANs Bi-directional amplifier
Fidelity Comtech
September 2002
www.fidelity-comtech.com/PDFs/ApplicationNote.pdf
[23] 802.1X: IEEE Standard for Local and Metropolitan Area Networks Port Based Network
Access Control
December 13, 2004
[24] IEEE Standard for Information technology Telecommunications and information
exchange between systems Local and metropolitan area networks Specific
requirements.
Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY)
specifications Amendment 6: Medium Access Control (MAC) Security Enhancements
July 23, 2004
[25] Ad Hoc Mobile Wireless Networks: Protocols and Systems
C.-K. Toh
2002, Prentince Hall
[26] Harald Bltand
e-Robotiker
http://revista.robotiker.com/bluetooth/historia.jsp
[27] Bluetooth Protocol and Security Architecture Review
http://www.cs.utk.edu/~dasgupta/bluetooth/
[28] Specification of the Bluetooth System
Covered Core Package version: 2.0 + EDR
4 November 2004
[29] Bluetooth Compare with Other Technologies
Redes Corporativas
Redes de Datos Pgina 115
http://www.bluetooth.com/Bluetooth/Learn/Technology/Compare/:
[30] Power Consumption and Energy Efficiency Comparisons of WLAN Products
Atheros White Paper
www.super-g.com/atheros_power_whitepaper.pdf
[31] Bluetooth Basics
http://www.bluetooth.com/Bluetooth/Learn/Basics/
[32] 802.15.1 IEEE Standard for Information technology Telecommunications and information
exchange between systems Local and metropolitan area networksSpecific
requirements
Part 15.1: Wireless medium access control (MAC) and physical layer (PHY) specifications
for wireless personal area networks (WPANs)
Approved 31 May 2005
[33] 802.15.1 IEEE Standard for Information technology Telecommunications and information
exchange between systems Local and metropolitan area networksSpecific
requirements
Part 15.2: Coexistence of Wireless Personal Area Networks with Other Wireless Devices
Operating in Unlicensed Frequency Band
Approved June 12, 2003
[34] Principles of Wireless Networks
Kaveh Pahlavan, Prashant Krishnamurthy
Prentice Hall PTR, 2002
ISBN: 0-13-093003-2
[35] The Basic Guide to Frame Relay Networking
Frame Relay Forum, 1998
[36] xDSL Tutorial
Brandon Provolt
Engineering Intern Marketing and Product Development Group
Schott Corporation
Version 0.53 (beta), August 2000
[37] VDSL2: The Ideal Access Technology for Delivering Video Services, Revision 2
White Paper, Aware
[38] ADSL
ITU-T Recomendacin G992.1
(ITU-T, Jun 1999)
[39] ADSL Light
ITU-T Recommendation G992.2
(ITU-T, Jun 1999)
Redes Corporativas
Redes de Datos Pgina 116
[40] HDSL
ITU-T Recommendation G991.1
(ITU-T, Oct 1998)
[41] ANSI T1E1.4
High Bit Rate Digital Subscriber Line 2nd Generation (HDSL2)
[42] VDSL2: Very high speed digital subscriber line transceivers 2 (VDSL2)
ITU-T Recommendation G.993.2
(ITU-T, February 2006)
[43] Espectro de asignacin VDSL2
Wikipedia
http://es.wikipedia.org/wiki/Imagen:Espectro_de_asignaci%C3%B3n_VDSL2.png
[44] New ITU Standard Delivers 10x ADSL Speeds
ITU Press Release
27 de mayo de 2005
http://www.itu.int/newsarchive/press_releases/2005/06.html
[45] ISO/IEC 7498-4 Information Processing Systems Open Systems Interconnection Basic
Reference Model Part 4: Management Framework, 1989
[46] Introduction to TMN
http://www.simpleweb.org/tutorials/tmn/index.html
Aiko Pras, Enschede, the Netherlands
Abril 1999
[47] CCITT Blue Book Recommendation M.30, Principles for a Telecommunication
Management Network, Volume IV, Fascicle IV.1, Geneva, 1989
[48] CCITT Recommendation M.3010, Principles for a Telecommunication Management
Network, Geneva, 1996
[49] Nueva visin en la gestin de redes y servicios
Jos Antonio Lozano Lpez, Carmen de Hita lvarez
Telefnica I+D, Nmero 18, Setiembre 2000,
http://www.tid.es/presencia/publicaciones/comsid/esp/articulos/home.html
[50] RFC-1098 SMNP, J. Case et al, MIT Laboratory for Computer Science, 1989
[51] ISO/IEC 17799:2000: Information technology -- Code of practice for information security
management
Redes Corporativas
Redes de Datos Pgina 117
[52] British Standards Institution. BS 7799-2:2002: Information security management systems -
specification with guidance for use.
Londres, 2002
[53] The twenty most critical Internet security vulnerability The experts consensus
Version 6.01 November 28, 2005 Copyright (C) 2005, SANS Institute
http://www.sans.org/top20/
[54] Common Vulnerabilities and Exposures
CVE, the standard for information security vulnerability names
http://www.cve.mitre.org/cve/
[55] La rentabilidad de las medidas de seguridad de la informacin
Vicente Aceituno Canal, e.Security, septiembre 2004 No 1, pp 36-37.
(Reproducido parcialmente en http://www.seguridaddelainformacion.com/seg_10.htm)
[56] Amenazas, vulnerabilidades y contramedidas
Francisco F. Pardo Barro, Curso: Seguridad en Redes, 2002, Programa de Doctorado en
Tecnologas de la Informacin, DET, Universidad de Vigo
[57] Clasificacin y tipos de ataques contra sistemas de informacin
Delitosinformaticos.com, 25 de marzo de 2001
http://www.delitosinformaticos.com/seguridad/clasificacion.shtml
[58] Security of the Internet
Marcel Dekker, New York, 1997
The Froehlich/Kent Encyclopedia of Telecommunications vol. 15., pp. 231-255.
[59] Tipos de ataques
Ingeniera Dric
http://www.dric.com.mx/seguridad/di/di4.php
[60] Sistemas de deteccin de intrusiones
M Aurora Garcs Navarro, Carlos Ruiz Garca, Abril 2002, Curso de Seguridad en Internet
Programa de Doctorado en Tecnologas de la Informacin, DET, Universidad de Vigo
[61] Seguridad en sistemas de informacin - Deteccin de intrusos
http://redes-linux.all-inone.net/manuales/ seguridad/DeteccionDeIntrusos.pdf
[62] Forma rpida de detectar intrusiones y registrar sucesos
Microsoft TechNet, 11 de agosto de 2004
http://www.microsoft.com/spain/technet/recursos/articulos/14110305.aspx
[63] Intrusion Detection Systems
Rebecca Bace and Peter Mell, NIST Special Publications 800-31, Noviembre, 2001
http://csrc.nist.gov/publications/nistpubs/
[64] DECRETO REGLAMENTARIO DEL USO DE LA FIRMA DIGITAL
http://www.onpi.org.ar/verlegdocjur.php4?id=128
[65] Internet Firewall Tutorial A white paper
Rob Pickering
RPA Network, July 2002
Redes Corporativas
Redes de Datos Pgina 118
[66] Wikipedia
http://es.wikipedia.org/wiki/Firewall
[67] Whatis.com
http://whatis.techtarget.com/definition/0,289893,sid9_gci212125,00.html
[68] ESIDE. Facultad de Ingeniera. Universidad de Deusto
Dr. Javier Areitio Bertolin.
[69] Firewalls Frequently Asked Questions, 2004/07/26
Paul D. Robertson, Matt Curtin, Marcus J. Ranum.
[70] Keeping your site comfortable secure: An introduction to Internet Firewalls
US Department of Commerce, NIST (National Institute of Standars and Technology)
John P. Wack, Lisa J. Carnahan
[71] Virtual Private Networks
http://www.monografias.com/trabajos12/monvpn/monvpn.shtml
Mariano Hevia
[72] RFC 2402 - IP Authentication Header
S.Kent BBN Corp, R. Atkinson @Home Network
November 1998
[73] RFC 2406 - IP Encapsulating Security Payload (ESP)
S.Kent BBN Corp, R. Atkinson @Home Network
November 1998
[74] IPSec VPN Fundamentals
Pradosh Kumar Mohapatra and Mohan Dattatreya
Tasman Networks, TechOnLine, Sep. 19, 2002