Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Temario
Temario ................................................................................................................... 2
1 Introducción...................................................................................................... 4
2 Modelos de referencia OSI y TCP/IP .............................................................. 7
2.1 Capa Física............................................................................................... 8
2.2 Capa de Enlace ........................................................................................ 9
2.3 Capa de Red............................................................................................. 9
2.4 Capa de Transporte ................................................................................ 10
2.5 Capa de Aplicación ................................................................................. 10
3 Redes LAN..................................................................................................... 11
3.1 Ethernet .................................................................................................. 11
3.1.1 El medio físico en Ethernet .............................................................. 12
3.1.2 Reglas de acceso al medio físico en Ethernet ................................. 13
3.1.3 Trama Ethernet ................................................................................ 15
3.2 Hubs........................................................................................................ 16
3.3 Bridges.................................................................................................... 19
3.4 Switches.................................................................................................. 19
3.4.1 Introducción a los Switches ............................................................. 19
3.4.2 Spanning Tree ................................................................................. 20
3.4.3 VLANs.............................................................................................. 22
3.4.4 Routing Switches (Switches de capa 3)........................................... 24
3.5 Redes inalámbricas (Wireless LAN)........................................................ 26
3.5.1 Introducción e historia...................................................................... 26
3.5.2 Arquitectura de 802.11..................................................................... 28
3.5.3 Modelo de capas en IEEE 802.11.................................................... 30
3.5.3.1 Capa física de 802.11............................................................... 31
3.5.3.2 Capa MAC de 802.11 ............................................................... 41
3.5.4 Alcance de IEEE 802.11 .................................................................. 43
3.5.5 Seguridad en redes inalámbricas..................................................... 44
4 Redes PAN .................................................................................................... 46
4.1 Bluetooth................................................................................................. 48
4.1.1 Origen e historia............................................................................... 48
4.1.2 Tecnología Bluetooth ....................................................................... 49
4.1.3 Consumo y Alcance en Bluetooth .................................................... 51
4.1.4 Arquitectura y modelo de capas en Bluetooth ................................. 51
4.2 IEEE 802.15............................................................................................ 54
4.3 Coexistencia IEEE 802.15/Bluetooth y IEEE 802.11............................... 55
5 Redes WAN ................................................................................................... 57
5.1 Frame Relay ........................................................................................... 57
5.1.1 Trama Frame Relay ......................................................................... 59
5.1.2 LMI (Local Management Interface) .................................................. 60
5.1.3 La contratación de Frame Relay (CIR) ............................................ 60
5.2 ATM ........................................................................................................ 62
5.2.1 Capa ATM........................................................................................ 63
5.2.1.1 Celdas ATM .............................................................................. 63
5.2.2 Capa AAL (ATM Adaptation Layer).................................................. 64
1 Introducción
La topología en las redes de datos puede ser enmarcada en dos tipos según el
tipo de transmisión utilizada:
• LAN (Local Area Networks, Redes de Área Local): Las redes LAN son
de alcance limitado. Generalmente son redes privadas que están instaladas
Capa n+1
Comunicación
Entidades Lógica Entidades
Capa n
pares (Protocolo) pares
Capa n-1
servicio Primitivas de
servicio
Cada capa tiene sus propias interfases, hacia las capas superiores e inferiores.
Estas deben ser bien definidas para poder intercambiar información de un nivel a
otro.
Un conjunto de capas y protocolos se denomina “arquitectura de red”. Actualmente
existen muchas arquitecturas de red, entre las que figuran OSI, TCP/IP, SNA, etc.
La mayoría de los protocolos y funciones de las capas de una arquitectura están
desarrolladas en software (programas) pero últimamente se están desarrollando
muchos protocolos, interfases y funciones, en hardware (equipos) y/o firmware
(equipos programables).
Las capas de una arquitectura pueden ofrecer dos tipos de servicios: orientados a
conexión y no orientados a conexión.
• Servicios orientados a la conexión: Son muy similares a los servicios de
telefonía, donde se establece una conexión marcando un número
determinado. Una vez establecida la conexión, se puede intercambiar
información en forma segura y ordenada. Luego de terminado el
intercambio de información, puede liberarse la conexión.
• Servicios no orientados a la conexión: Toman su modelo del servicio de
correos, donde el mensaje es enviado sin establecer previamente una
conexión entre origen y destino. Cada mensaje debe contener la dirección
completa de su destino. Dos mensajes enviados al mismo destino (dos
cartas, en el ejemplo), pueden viajar por caminos completamente diferentes
antes de llegar al destino, e incluso puede suceder que el mensaje enviado
en segundo lugar llegue a destino antes que el enviado en primer lugar.
Una discusión más detallada acerca de los tipos de redes y los modelos de capas
puede leerse en “Redes de Computadoras” de A. S. Tanenbaum [1]
Comunicación
entre
Capas Adyacentes
Aplicación Aplicación
Comunicación entre
Presentación Presentación
Capas Paralelas
Sesión Sesión
Transporte Transporte
Red Red
Enlace Enlace
Física Física
Sobre la base del modelo de referencia OSI se desarrollaron otros modelos de red
y arquitecturas completas para las redes de comunicación. Este modelo se
desarrolló a partir de un proyecto de investigación patrocinado por el
departamento de defensa de los Estados Unidos denominado ARPANET. Esta
red debería permanecer funcionando en caso de que algunos de los nodos de la
red o incluso sus conexiones fueran dañados por algún motivo. La red ARPANET
empezó conectando centros de investigación del gobierno y luego universidades
hasta convertirse en la red más popular de uso público hasta el momento: Internet.
sino cinco (en el modelo de TCP/ IP no hay capas para sesión y presentación),
según muestra la siguiente figura :
Aplicación Aplicación
Presentación No están
presentes
Sesión
Transporte Transporte
Red Red
Enlace Enlace
Física Física
3 Redes LAN
Las redes de área local (LAN: Local Area Network) son aquellas que conectan una
red de ordenadores normalmente confinadas en un área geográfica, como un solo
edificio o un campus. Las LAN, sin embargo, no son necesariamente simples de
planificar, ya que pueden unir muchos centenares de ordenadores y pueden ser
usadas por muchos miles de usuarios. El desarrollo de varias normas de
protocolos de red y medios físicos, junto con la baja de precio de las
computadoras han hecho posible la proliferación de LAN's en todo tipo de
organizaciones.
Las LAN generalmente utilizan transmisión por difusión, a velocidades de 10, 100
o 1000 Mb/s. Las topologías más utilizadas son en bus (IEEE 802.3 Ethernet) o en
anillo (IEEE 802.5 Token Ring)
3.1 Ethernet
Ethernet fue desarrollada originalmente por Bob Metcalfe, trabajando para Xerox
[2]. Le había sido asignada la tarea de desarrollar un mecanismo para
interconectar los computadores que en ese momento se estaban desarrollando en
la Compañía. Inspirado en los trabajos publicados por la Universidad de Hawaii,
respecto a la red “Alohanet” [3], en 1973 Bob Metcalfe desarrolló una nueva
tecnología de comunicación entre computadores, a la que llamó “Ethernet”.
Ethernet fue tan exitosa, que en 1980 varias compañías la adoptaron. Digital, Intel
y Xerox comenzaron a usarla, a velocidades de 10 Mb/s, convirtiéndola en un
“estándar de hecho”.
En febrero de 1980 la Sociedad de Computación del IEEE realizó la primer reunión
del “comité de estandarización de redes de área local” (“Local Network Standards
Committee”), al que fue asignado el número 802 (simplemente el siguiente número
secuencial de los proyectos que estaban en curso en la IEEE). En 1983 Ethernet
es estandarizada como IEEE 802.3 (10 Base 5). Desde entonces, varias
recomendaciones se han incorporado a la original 802.3. Las principales se
detallan a continuación [4].
SFD
7 1 6 6 2 46 – 1500 4
controlador Ethernet (excluyendo los 2 primeros bits, que están reservados), y los
últimos 3 al número de dispositivo fabricado.
Con 46 bits, hay aproximadamente 7 x1013 direcciones Ethernet posibles.
La dirección consistente en todos los bits en 1 es reservada para “difusión”
(broadcast). Una trama que contiene todos los bits en 1 en la dirección de destino
es recibida y procesada por todas las máquinas de la red.
El campo “L” indica la longitud del campo de datos, desde 0 a 1500. Dado que las
tramas Ethernet deben tener como mínimo 64 bytes, desde el campo “Dirección
origen”, si los datos a transmitir son menos de 46 bytes, se completan con
“relleno”.
El campo final FCS (Frame Check Sequence) es la “suma de comprobación”,
utilizada por el receptor para validar la ausencia de errores en la trama recibida.
3.2 Hubs
Como se indicó en 3.1.1, las primeras redes Ethernet utilizaron cables coaxiales
como medios físicos, y luego evolucionaron a cables UTP (pares de cobre
trenzados sin malla).
Debido a los retardos y la atenuación de las señales, fue necesario determinar
longitudes máximas y cantidades máximas de máquinas en las redes coaxiales.
Para que la red funcione correctamente, un segmento de cable coaxial fino puede
tener hasta 185 metros de longitud y hasta 30 nodos o máquinas. Un segmento de
cable coaxial grueso puede tener hasta 500 metros, y hasta 100 nodos o
máquinas.
Las redes coaxiales grandes requerían ampliar estas restricciones, para lo que se
desarrollaron “repetidores”, capaces de conectar varios segmentos de la red. Los
repetidores proporcionan la amplificación y resincronización de las señales
necesarias para conectar los segmentos entre sí. Al poder conectar varios
segmentos, permitimos a la red continuar creciendo, sin violar las restricciones de
correcto funcionamiento.
Repetidor
Segmento 1 Segmento 2
Al utilizar cable UTP, cambió la topología del cableado. Las redes coaxiales
utilizaban una topología de bus, dónde el cable coaxial recorría todas las
máquinas de su segmento. Las redes UTP son siempre en estrella, por lo que es
siempre necesario un concentrador que a su vez realice las funciones de
repetidor. Este equipo se conoce habitualmente como “Hub”
Hub
UTP
1 1 1 1
HUB HUB
1
1 1
la misma es recibida por el Hub en una de sus puertas, y retransmitida a todas las
otras puertas. Los Hubs no interpretan el contenido de las tramas. Trabajan a nivel
eléctrico (físico), regenerando las señales y retransmitiéndolas.
3.3 Bridges
La función de los “Bridges” (“puentes”) es interconectar redes de distintas
tecnologías. Los bridges pueden conectar entre si tipos de redes diferentes (como
por ejemplo Ethernet con Fast Ethernet, Ethernet con Token Ring, etc.). Para ello,
deben interpretar la trama que reciben por una de sus “puertas” y “traducirla” al
formato adecuado de la puerta de salida. Por lo tanto, los Bridges debe trabajar a
nivel de la “Capa 2” o Capa de Enlace.
3.4 Switches
2 3
2
SWITCH SWITCH
Esto permite que varias máquinas puedan estar enviando tramas a la vez, y no
existan colisiones.
Para que esto sea posible, los switches deben conocer las direcciones de enlace
(conocidas como “direcciones MAC” en Ethernet) conectadas a cada uno de sus
puertos. La mayoría de los switches “aprenden” de manera automática las
direcciones MAC conectadas a cada puerto en forma automática. Simplemente,
cuando reciben una trama por una puerta, obtienen la dirección de origen y la
asocian a la puerta por la que se recibió la trama. Si por una puerta reciben una
trama dirigida a una dirección MAC destino desconocida, envían la trama por
todos los puertos (como lo haría un Hub). Cuando la máquina de destino
responda, el switch “aprenderá” en que puerta se encuentra su dirección y las
próximas tramas serán enviadas únicamente a esa puerta.
Dado que una puerta de un switch puede estar conectado a otro switch o hub, es
posible que una misma puerta esté asociada a un conjunto de direcciones MAC.
Los switches habitualmente pueden almacenar varios cientos o miles de
direcciones MAC por puerta.
Los paquetes del tipo “Broadcast” son enviados a todas las puertas del switch.
Los switches tienen básicamente dos mecanismos de funcionamiento: "store and
forward" (almacenar y remitir) y "cut through" (cortar y atravesar):
• “Store and Forward”: Esta mecanismo de trabajo consiste en recibir por
una puerta una trama completa, para luego analizarla y retransmitirla.
• “Cut through”: Dado que la dirección de destino se encuentra al comienzo
de la trama (ver 3.1.3), este modo de trabajo consiste en analizar
únicamente los primeros bytes de la trama, hasta obtener la dirección de
destino, e inmediatamente comenzar a retransmitir la trama.
El método “Cut through” parece a priori más rápido, ya que no espera la recepción
completa de la trama para luego retransmitirla. Sin embargo, este método no
puede validar que la trama recibida sea correcta (ya que comienza a enviarla
antes de recibirla en su totalidad). Si la trama recibida tuviera errores (o existieran
colisiones en el segmento de red conectado a la puerta del switch por el que
ingresa la trama), éstos errores se propagarán a la puerta de salida del switch. Por
el contrario, el método “Store and Forward” puede detectar los errores o colisiones
en las tramas de entrada, y descartarlas antes de enviarlas a la puerta de salida.
Muchos switches pueden trabajar con ambos métodos, y el administrador de red
puede decidir cual es el mejor en cada caso.
Muchos de los “switches” disponibles en el mercado tienen, en el mismo equipo,
puertas Ethernet, Fast Ethernet y/o Gigabit Ethernet, sobre UTP o sobre Fibra
óptica, por lo que realizan implícitamente funciones de Bridges (o puentes).
Máquina 1
LAN 1
Switch A
LAN 2
Switch B Switch C
LAN 3
Máquina 2
3.4.3 VLANs
Como se mencionó en 3.4, los switches mejoran la performance de las redes
enviando las tramas únicamente a las puertas dónde se encuentra el destino de la
misma. Sin embargo, los mensajes de difusión (broadcast) son enviadas a todas
las puertas, ya que deben ser recibidos por todas las máquinas de la misma red. A
veces es deseable limitar el alcance de los mensajes de difusión (broadcast), y por
lo tanto, “la red”.
Las “VLANs” (Virtual LANs, o redes LAN virtuales) permiten utilizar los mismos
medios físicos para formar varias redes independientes, a nivel de la capa 2. Un
mismo conjunto de switches pueden implementar, utilizando VLANs, varias redes
LAN independientes.
Los criterios para formar las VLAN pueden ser varios. Entre los más comunes se
encuentran:
• VLAN por puertos: Los puertos de los switches se agrupan en VLANs. De
esta manera, las máquinas conectadas a un puerto únicamente “ven” a las
máquinas que están conectadas a puertos de la misma VLAN
• VLAN por direcciones MAC: Las direcciones MAC se agrupan en VLAN.
De esta manera, se pude restringir la red únicamente a ciertas direcciones
MAC, independientemente de en que puerto de los switches se conecten.
• VLAN por protocolo: Algunos switches que soportan VLAN pueden
inspeccionar datos de la capa 3, como el protocolo utilizado, y formar redes
independientes según estos protocolos
• VLAN por direcciones IP: Las direcciones IP (de capa 3) pueden ser
leídas por los switches, y pueden formarse redes independientes con
ciertos conjuntos de direcciones IP
Cuando se dispone de un único switch, la implementación de las VLANs es
sencilla, ya que todas las reglas se manejan dentro del mismo switch. Sin
embargo, ¿qué sucede si una máquina de una VLAN debe comunicarse con otra
máquina de la misma VLAN, pero conectada a otro switch? La información de la
VLAN de origen, debe “viajar” , junto con la trama, hasta el otro switch. Para esto,
se ha estandarizado la recomendación IEEE 802.1q [7], que permite transmitir en
las tramas Ethernet la información de VLAN. Conceptualmente es simple: se
agregan a la trama Ethernet 4 bytes. La figura muestra una trama Ethernet
“normal” y una trama Ethernet 802.1q:
SFD
7 1 6 6 2 46 – 1500 4
SFD
7 1 6 6 2 2 2 46 – 1500 4
Como puede observarse, se agregan 4 bytes: los primeros 2, llamados “TPI”, son
fijos e identifican a la trama como una trama 802.1q. Los segundos 2 bytes,
llamados “TAG” se interpretan como 3 conjuntos de bits, de longitud 3 bits, 1 bit y
12 bits respectivamente:
TAG
CFI
P VLAN ID
R
3 1 12
802.11b, lo que permite que los dispositivos puedan operar en ambas normas.
802.11g utiliza OFDM (orthogonal frequency division multiplexing)
DS
BSA
AP AP
El Access Point (AP) actúa como bridge, convirtiendo las capas MAC y PHY de
802.11 a las MAC y PHY del DS, típicamente Ethernet 802.3, como se muestra en
la siguiente figura
AP
LLC Relay
Capa
de LLC (Logical Link
Enlace Control)
Subcapa
MAC MAC (Medium Access MAC
Control) Management Station Management
3.5.3.1.1 FHSS
La técnica FHSS (Frequency Hopping Spread Spectrum) consiste en modular la
señal a transmitir con una portadora que “salta” de frecuencia en frecuencia,
dentro del ancho de la banda asignada, en función del tiempo. El cambio periódico
de frecuencia de la portadora reduce la interferencia producida por otra señal
originada por un sistema de banda estrecha, afectando solo si ambas señales se
transmiten en la misma frecuencia en el mismo momento.
Un patrón de saltos determina las frecuencias de la portadora en cada momento.
Para recibir correctamente la señal, el receptor debe conocer el patrón de saltos
del emisor, y sincronizarse con éste, de manera de sintonizar la frecuencia
correcta en el momento correcto.
La recomendación IEEE 802.11 especifica 79 frecuencias, separadas por 1 MHz
para Norteamérica y Europa (excluyendo Francia y España), 23 para Japón, 35
para Francia y 27 para España. Estas frecuencias están divididas en tres patrones
de saltos no superpuestos. Por ejemplo, para Norteamérica y la mayor parte de
Europa, estos patrones corresponden a las frecuencias 2.402 MHz + (0,3,6,9,... 75
MHz), (1,4,7,10,... 76 MHz) y (2,5,8,1,... 77 MHz) respectivamente. Esto permite
que hasta tres sistemas puedan coexistir en la misma zona sin interferencias
mutuas.
La técnica de modulación utilizada es GFSK (Gaussian Frequency Shift Keying).
La modulación digital FSK (Frequency Shift Keying) consiste en modular en FM la
“banda base” digital, lo que se traduce en una señal modulada de dos frecuencias
(una correspondiente al bit “0” y otra correspondiente al bit “1”). Esta técnica de
modulación genera saltos instantáneos de frecuencia en la señal modulada, lo que
se traduce en un espectro más amplio, y puede producir problemas debido a las
no linealidades de los componentes utilizados. Para evitar estos problemas, se
desarrolló la modulación GFSK, haciendo pasar la señal digital de “banda base”
por un filtro gausiano antes de ingresar al modulador de FM. Este filtro “suaviza”
las transiciones entre ceros y unos, generando una señal modulada sin saltos
abruptos de frecuencias.
Para 1 Mb/s se utilizan dos niveles en la modulación GFSK y para 2 Mb/s se
utilizan 4 niveles, codificando 2 bits en cada símbolo.
Una trama IEEE 802.11 modulada con FHSS tiene la siguiente estructura:
3.5.3.1.2 DSSS
La técnica DSSS (Direct Sequence Spread Spectrum) codifica cada bit con una
secuencia predeterminada de bits de mayor velocidad, generando una nueva
señal “banda base”, pero de mucha mayor velocidad que la señal original. Esta
nueva señal banda base es modulada con técnicas tradicionales. Los “bits” o
pulsos de la nueva señal banda base se conocen como “chips” o trozos. La
siguiente figura esquematiza el proceso de generación de la nueva señal banda
base.
Bit de datos
t
Bit “expandido” (Spread”)
Chip
128 16 8 8 16 8
Φ4), que puedan tomar los valores (0, π, π/2, -π/2). De esta manera, si los bits de
entrada se definen como (d7, d6, d5, d4, d3, d2, d1, d0), los bits (d1, d0), determinan
la fase Φ1:
d1d0 Φ1
00 0
01 Π
11 π/2
10 -π/2
De manera similar, los bits (d3, d2) determinan la fase Φ2 , y así sucesivamente.
Con estos valores se calculan las fases de cada uno de los 8 símbolos, según la
siguiente ecuación:
IEEE 802.11b utiliza los mismos canales que la recomendación IEEE 802.11
original. En “Ammendant 2” [17] se agregan, para Japón, los canales 1 a 13,
completando para este país los 14 canales disponibles.
.
802.11b, lo que permite que los dispositivos puedan operar en ambas normas.
802.11g utiliza OFDM (orthogonal frequency division multiplexing).
IEEE 802.11g utiliza los mismos canales que la recomendación IEEE 802.11b.
Las velocidades y modulaciones utilizadas en 802.11g se resumen en la siguiente
tabla:
2 1 6 6 6 2 6 0-2312 4
El primer campo, Frame Control, indica el tipo de trama (codificado con 2 bits,
permite diferencia entre tramas de datos, tramas de control o tramas
administrativas), y el subtipo (codificado con 4 bits, permite hasta 16 subtipos de
trama para cada tipo). Indica también si los datos se encuentran o no encriptados.
Dentro de éste campo se reservan 2 bits para el tipo de trama (permitiendo hasta
4 tipos diferentes. El campo Duración / ID se utiliza para identificar el largo de los
datos fragmentados que siguen. A diferencia de la trama IEEE 802.3, esta trama
tiene 4 campos de direcciones, correspondientes al origen, al destino, y a las
direcciones de los AP a los que fuente y destino están conectados. El campo
Control de secuencia es utilizado para numerar los datos fragmentados. Los datos
puede tener un largo máximo de 2.312 bytes (superior a los 1.500 bytes
soportados por 802.3). Finalmente, se utilizan 4 bytes para control de errores,
CRC.
Como se mencionó anteriormente, la subcapa MAC cotiene, adicionalmente, una
subcapa de gerenciamiento (MAC Management). Esta subcapa se encarga de la
administración del establecimiento de las comunicaciones entre las estaciones y el
AP. Esta subcapa implementa los mecanismos necesarios para soportar la
movilidad.
Uno de las tareas de la subcapa de gerenciamiento es el proceso de registración,
el que se lleva a cabo mediante el intercambio de tramas del tipo “Association
Request”, enviadas por el terminal al AP y “Association response”, enviadas del
AP al terminal.
Adicionalmente, el AP envía en forma cuasi-periódica, cada aproximadamente 100
ms, tramas administrativas del subtipo “beacon” (“baliza”). Estas tramas permiten
la sincronización y el control de la potencia recibida por parte de los terminales.
Otra de las tareas de la subcapa de gerenciamiento es la controlar los “handoffs”,
es decir, la movilidad de un terminal desde un AP a otro. Cuando la potencia de la
señal recibida en la tramas “beacon” disminuye por debajo de un determinada
umbral, el terminal puede comenzar un proceso de reasociación, hacia otro AP
cuya potencia de señal sea mayor. Para este proceso se intercambian tramas
administrativas del tipo “Reassociation Request” y “Reassociation Response) entre
el terminal y el nuevo AP.
mejor propagación a través de sólidos (como paredes, por ejemplo). Otra relación
genérica es que, a medida que la velocidad aumenta, el alcance disminuye.
Finalmente, la modulación utilizada tiene su efecto en el alcance. OFDM es una
técnica más eficiente que DSSS, permitiendo, a iguales distancias mayores
velocidades de información, o a iguales velocidades, mayor alcance.
La siguiente tabla ilustra una aproximación de los alcances en las diversas
tecnologías y velocidades [21]
802.11a (40 mW with 6 802.11g (30 mW with 2.2 802.11b (100 mW with
dBi gain diversity patch dBi gain diversity dipole 2.2 dBi gain diversity
Data Rate (Mbps) antenna) Range antenna) dipole antenna)
54 13 m 27 m -
48 15 m 29 m -
36 19 m 30 m -
24 26 m 42 m -
18 33 m 54 m -
12 39 m 64 m -
11 - 48 m 48 m
9 45 m 76 m -
6 50 m 91 m -
5.5 - 67 m 67 m
2 - 82 m 82 m
1 - 124 m 124 m
Puede verse como 802.11a tiene, en similares condiciones, menor alcance que
802.11g (para las mismas velocidades). Asimismo puede verse como las técnicas
OFDM utilizadas en 802.11g permiten tener mayor alcance que las DSSS (por
ejemplo, notar que hay mayor alcance en 802.11g a 18 Mb/s (OFDM) que a 11
Mb/s (DSSS, por compatibilidad con 802.11b)
Los métodos habituales para lograr mayores alcances consisten en:
• Repetidores: Son equipos que “escuchan” las señalas de los AP y los
retransmiten, logrando servir a áreas a los que el AP no llegaría
• Amplificadores: Son equipos que aumentan la potencia de salida, y se
conectan entre la salida de RF y la antena [22].
• Antenas direccionales: Concentran la potencia radiada, aumentando el
alcance en una zona, y disminuyéndola en otras.
WEP es un algoritmo que encripta las tramas 802.11 antes de ser transmitidas,
utilizando el algoritmo de cifrado de flujo RC4. Los receptores desencriptan las
tramas al recibirlas, utilizando el mismo algoritmo. Como parte del proceso de
encriptación, WEP requiere de una clave compartida entre todas las máquinas de
la WLAN, la que es concatenada con una “vector de inicialización” que se genera
en forma aleatoria con el envío de cada trama. WEP utiliza claves de 64 bits para
encriptar y desencriptar.
Este mecanismo ha resultado poco seguro, y la Wi-Fi propuso en 2003, como
mejora, el algoritmo conocido como WPA (Wi-Fi Protected Access). WPA estuvo
basado en los borradores de la (en ese entonces) futura recomendación IEEE
802.11i y fue diseñado para utilizar un servidor de autenticación (normalmente un
servidor RADIUS), que distribuye claves diferentes a cada usuario (utilizando el
protocolo 802.1x [23]). Sin embargo, también se puede utilizar en un modo menos
seguro de clave pre-compartida (PSK - Pre-Shared Key). Al igual que WEP, la
información es cifrada utilizando el algoritmo RC4, pero con una clave de 128 bits
y un vector de inicialización de 48 bits. Una de las mejoras de WPA sobre WEP,
es la implementación del Protocolo de Integridad de Clave Temporal (TKIP -
Temporal Key Integrity Protocol), que cambia las claves dinámicamente a medida
que el sistema es utilizado. Esto junto con el uso de un vector de inicialización más
grande, mejora sustancialmente la seguridad de WPA frente a WEP. La Wi-Fi ha
denominado WPA-Personal cuando se utiliza una calve pre-compartida y WPA-
Enterprise cuando se utiliza un servidor de autenticación.
En 2004 la IEEE completó la recomendación IEEE 802.11i [24], la que provee
mejoras en los mecanismos de seguridad originalmente propuestos en WEP. En
este nuevo estándar, se proveen tres posibles algoritmos criptográficos: WEP,
TKIP y CCMP (Counter-Mode / Cipher Block Chaining / Message Authentication
Code Protocol). WEP y TKIP se basan en el algoritmo de cifrado RC4, mientras
que CCMP se basa en el algoritmo AES (Advanced Encryption Standard),
desarrollado originalmente por el NIS. AES es un algoritmo de cifrado de bloque
con claves de 128 bits (mientras que RC4 es un algoritmo de cifrado de flujo).
La Wi-Fi adoptó la recomendación 802.11i con el nombre WPA2. Está basado en
el mecanismo RSN (Robust Security Network), y mantiene todos los mecanismos
previamente introducidos en WPA. En marzo de 2006, la Wi-Fi impuso como
obligatorio cumplir con WPA2 para obtener el certificado de compatibilidad.
4 Redes PAN
Las redes “PAN”, o “Personal Area Network” están diseñadas para el intercambio
de datos entre dispositivos cercanos (Laptops, teléfonos celulares, PCs, PDA,
etc.). Se trata de redes inalámbricas de corto alcance, y velocidad media (algunos
Mb/s), aunque estándares de alta velocidad (más de 50 Mb/s) están siendo
desarrollados.
Estas redes son generalmente del tipo “Ad-Hoc”, ya que no existe infraestructura
previa para que la red pueda formarse. Se denominan en forma genérica MANET
(Mobile Ad-hoc Networks) y consisten en una colección de terminales inalámbricos
que dinámicamente pueden conectarse entre sí, en cualquier lugar e instante de
tiempo, sin necesidad de utilizar infraestructuras de red preexistente. Los
terminales pueden ser disímiles en sus características y prestaciones (Laptops,
PDAs, Pocket PCs, teléfonos celulares, sensores inalámbricos, etc.) Se trata de
un sistema autónomo, auto organizado y adaptativo, en el que los equipos móviles
pueden moverse libremente y actuar simultáneamente como terminales y
enrutadores (o routers).
Dado que no todos los terminales son capaces de tener alcance directo a todos
los otros, sus nodos deben cooperar, en la medida de sus posibilidades, re-
enrutando paquetes (recodar que no hay elementos “centrales”). Asimismo,
deberán intercambiar información acerca de la topología de la red y sus
dispositivos, generando dinámicamente tablas de ruteo.
Varios aspectos deben ser resueltos para que este tipo de redes funcionen, entre
los que se destacan [25]:
• Uso y licenciamiento del espectro utilizado
Las bandas del espectro están reguladas en cada país. Hay bandas de uso
“libre” (como la ISM), pero dicha banda está comenzando a ser
“superpoblada” (Redes WLAN, microondas, teléfonos inalámbricos, etc.
está utilizando esta banda). Por otro lado, de elegir alguna banda
licenciada, no está claro quien debería obtener los derechos de la misma
para utilizara en redes MANET.
• Mecanismos de acceso al medio
Dado que no hay puntos centrales, los protocolos de acceso al medio
deben ser especialmente diseñados, y estar adaptados a la gran movilidad
de éste tipo de redes
• Protocolos de ruteo
La gran movilidad de estas redes hacen que los enlaces se creen y
desaparezcan rápidamente. Por esta razón los protocolos clásicos de ruteo,
utilizados en redes fijas o con baja movilidad, no son directamente
aplicables a este tipo de redes. Nuevos protocolos de ruteo están siendo
estudiados para este tipo de redes.
• Multicasting
Al igual que con el ruteo, la movilidad en los nodos enrutadores no está
prevista en los protocolos clásicos de Multicast. Nuevas técnicas, que
4.1 Bluetooth
El nombre Bluetooth tiene sus orígenes en Harald Blåtand (en Inglés Harald I
Bluetooth), quien fue Rey de Dinamarca, entre los años 940 y el 985. El nombre
“Blåtand” fue probablemente tomado de dos viejas palabras danesas: 'blå', que
significa “piel oscura” y 'tan' que significa “gran hombre”. Como buen Vikingo,
Harald consideraba honorable pelear por tesoros en tierras extranjeras. En 1960
llegó a la cima de su poder, gobernando sobre Dinamarca y Noruega.
Harald fue bautizado por un sacerdote enviado por el emperador de Alemania, y
fue quien introdujo el Cristianismo en su reino. Como recordatorio perpetuo de su
reinado, erigió un monumento con lo siguiente inscripción: “El Rey Harald leventa
este monumento en memoria de Grom, su padre y Thyre, su madre. Harald
conquistó Dinamarca y Noruega y convirtó a los daneses al cristianismo”. Estas
palabras fueron talladas en runa1, sobre una Gran Piedra que mide 2,43 metros y
pesa 10 toneladas. Tiene tres caras. Una de ellas contiene las runas con el
mensaje anteriormente citado. En la otra aparece la que está considerada la
imagen nórdica más antigua de Cristo, prueba de que el Cristianismo había
penetrado en Dinamarca. Curiosamente, la tercera cara de la Gran Piedra
representa un gran animal y una serpiente, símbolos paganos legado de las
creencias tradicionales danesas.
Harald fue asesinado en 985. Durante su reinado, completó la unificación de su
reino, comenzada por su padre, convirtió a los daneses al cristianismo y conquistó
Noruega. Su hijo, Sweyn I, culminó la expansión, conquistando también Inglaterra
en 1013.
Así como el antiguo Harlad unificó Dinamarca y Noruega, los creadores de
Bluetooth esperan que ésta tecnología unifique los mundos de los dispositivos
informáticos y de telecomunicaciones. Es así que en 1998 las compañías
Ericsson, Nokia, IBM, Toshiba e Intel formaron un “Grupo de Interés Especial”
(SIG = Special Interest Group) para desarrollar una tecnología de conectividad
inalámbrica entre dispositivos móviles de uso personal, que utilizara la banda no
licenciada de frecuencias (ISM). Actualmente, más de 2.500 compañías se han
afiliado al grupo Bluetooth.
La siguiente figura ilustra la runa original de Harald [26] y el símbolo de Bluetooth
[27]
1
Los caracteres que se empleaban en la escritura de los antiguos escandinavos se denominan
“Runa”
El canal físico es subdividido en unidades de tiempo (“time slots”). Los datos son
transmitidos entre los dispositivos en paquetes dentro de estos time slots. Se logra
un efecto “full duplex” mediante técnicas del tipo TDD (Time-Division Duplex)
Dentro de un canal físico, se pueden establecer canales lógicos de comunicación,
entre los dispositivos de una piconet. Sin embargo, éstos canales lógicos
solamente pueden establecerse entre un maestro y hasta 7 esclavos. Los
esclavos no pueden establecer canales lógicos entre sí. Deben necesariamente
pasar por un maestro.
Solo hasta 8 dispositivos activos pueden formar una piconet. Más de 8 dispositivos
pueden estar dentro de la piconet, pero no en estado activo, sino “estacionados”
(“parked”) o en stand-by.
Un mismo dispositivos puede formar parte de más de una piconet, pero no puede
ser Maestro en más de una a la vez. En este caso, el dispositivo que pertenece a
más de una piconet podrá eventualmente, enrutar paquetes entre ambas piconets.
La unión de varas piconets interconectadas se denomina “scatternet”.
La siguiente figura ilustra una posible distribución de 20 dispositivos en una
scatternet, formada por 3 piconets, dónde dos de las dispositivos son maestros de
una piconet y esclavos de otra.
Esclavo P3
Esclavo de
P1 y Master P2 P3 Esclavo de
de P2 P1 y Master
de P3
Nodo A:
Master de
P1
A P1
P1: Piconet 1
P2: Piconet 2
P3: Piconet 3
Applications
Audio L2CAP
Link Manager and L2CAP
LMP
Baseband
Radio & Baseband
RF
La capa de banda base (“Baseband”) se encarga del control del enlace a nivel de
bits y paquetes. En particular esta capa establece la codificación y encripción, así
como las reglas de saltos de frecuencias.
La capa LMP (“Link Management Protocol”) establece los enlaces con los otros
dispositivos. Es responsable de conectar maestros con esclavos dentro de una
piconet, y administrar sus modos de operación (activos, estacionados) y sus
potencias.
Estas tres capas más bajas del protocolo se implementan generalmente dentro del
chip Bluetooth, e interactúan con las capas superiores a través de una interfaz
denominada HCI (“Host Controller Interface”).
Por sobre L2CAP se ubican las capas RFCOMM, SDP y TCS. El protocolo
RFCOMM proporciona emulación de puertos RS-232 serie a través del protocolo
L2CAP. Este protocolo se basa en el estándar de la ETSI denominado TS 07.10.
Las técnicas colaborativas son las más efectivas, pero solo pueden realizarse
dentro de un mismo dispositivo que tenga ambas tecnologías. En este caso, se
pueden combinar las técnicas AWMA (Alternating wireless medium access) y PTA
(Packet traffic arbitration), como se muestra en la siguiente figura:
5 Redes WAN
Las redes de área extendida (WAN: Wide Area Network) son aquellas que
conectan dos o más redes LAN ubicadas en sitios geográficos distantes.
Las WAN generalmente utilizan protocolos punto a punto, de velocidades bajas a
medias (usualmente menores a 2 Mb/s), y se basan en servicios públicos o en
líneas punto a punto.
Dadas las características propias de las redes WAN, los protocolos y equipos
utilizados difieren de los de las redes LAN.
Es de hacer notar que el nodo que recibe los 3 PVCs dispone de un único enlace
físico con la red Frame Relay, y no de tres enlaces, como hubiera sido requerido si
se utilizara X.25 u otros protocolos punto a punto. Por otro lado, puede verse en la
figura, dentro de la red Frame Relay, 3 equipos (A, B, C), administrados por el
proveedor del servicio, y configurados para mantener en forma permanente los
PVCs.
Desde el punto de vista del modelo OSI, Frame Relay trabaja a nivel de la capa 2,
implementado únicamente los aspectos esenciales de la recomendación, como ser
chequear que las tramas sean válidas y no contengan errores, pero no solicitando
retransmisiones en caso de detectar errores. Frame Relay se basa en la alta
confiabilidad de la capa física sobre la que trabaja, y deja a los protocolos de
mayor nivel el chequeo de paquetes faltantes, y otros controles de errores.
FL HE INFORMATION F FL
AG AD C AG
ER S
FECN
BECN
C/R
DE
EA
DA
DLCI S DLCI S S S S
F F F F F
D DDDD
6 1 1 4 1 1 1 1
Esto significa que la velocidad media de transmisión entre el nodo central y los
nodos secundarios debe ser 64 kb/s (CIR), aunque la velocidad física de cada
trama será de 1 Mb/s.
La velocidad media, se mide sobre un tiempo prefijado, llamado generalmente tc
(generalmente 1 segundo). En el tiempo tc, el cliente se compromete a no pasar
más de Bc bits, equivalentes al CIR x tc kb para un determinado PVC.
Bc (Committed Burst Size) = CIR x tc
Se establece también un tráfico de exceso, llamado generalmente Be (Excess
Burst Size). Las tramas enviadas por el cliente dentro de un tc que excedan Bc
bits, serán marcadas por el proveedor de servicio como “descartables” (Bit “DE”
del cabezal de la trama, ver 5.1.1). Estas serán las primeras tramas a descartar en
caso de que exista congestión en la red Frame Relay.
Las tramas que dentro del mismo intervalo tc excedan Bc + Be serán directamente
descartadas en la entrada de la red Frame Relay.
5.2 ATM
ATM (Asynchronous Transfer Mode) surgió como respuesta a la necesidad de
tener una red multiservicio que pudiera manejar velocidades muy dispares.
Técnicamente puede verse como una evolución de las redes de paquetes. Como
otras redes de paquetes (X.25, Frame Relay, TCP/IP, etc.) ATM integra las
funciones de multiplexación y conmutación. A su vez está diseñada para soportar
altos picos de tráfico y permite interconectar dispositivos que funcionen a distintas
velocidades. ATM está especialmente diseñada para soportar aplicaciones
multimedia (voz y video, por ejemplo).
Si bien ATM puede ser usada como soporte para servicios dentro las redes de
área locales, en usuarios finales, su principal protagonismo ha estado en las redes
de “backbone” de los proveedores de servicios públicos.
Los protocolos de ATM están estandarizados por la ITU-T, y con especial
contribución del “ATM Forum”. El “ATM Forum” es una organización voluntaria
internacional, formada por fabricantes, prestadores de servicio, organizaciones de
investigación y usuarios finales.
Algunas de las ventajas de ATM frente a otras tecnologías son:
• Alta performance, realizando las operaciones de conmutación a nivel de
hardware
• Ancho de banda dinámico, para permitir el manejo de picos de tráfico
• Soporte de “clase de servicio” para aplicaciones multimedia
• Escalabilidad en velocidades y tamaños de redes. ATM soporta velocidades
de T1/E1 (1.5 / 2 Mb/s) hasta STM-16 (2 Gb/s)
• Arquitectura común para las redes de LAN y WAN
De forma similar al modelo OSI (Ver 2) ATM también está diseñada en un modelo
de capas. En el caso de ATM, el modelo de capas puede verse en varios “planos”,
como se esquematiza en la figura
Plano de Management
Capas superiores
Capa ATM
Capa física
A continuación se describen las Capas físicas, ATM y AAL. Para una mejor
comprensión, se comienza describiendo la capa ATM, luego la AAL y por último la
capa Física.
HEADER INFORMATION
5 48
VPI VCI
VCI
VCI PTI C
HEC Byte 5
8 bits
Clase A B C D
Relaciones de
tiempo entre Requerido No Requerido
fuente y destino
Bit-Rate Constante Variable
Modo de Conexión No orientado a
Orientado a la conexión
la conexión
Para cada “clase de servicio” se ha implementado una capa AAL, las que se
conocen como AAL-n, como se verá más adelante.
Las capas AAL-n, a su vez, se subdividen en dos sub-capas:
• Convergence Sublayer (Sub-capa de convergencia): Se encarga de las
adaptaciones específicas que requiere cada clase de servicio.
• Segmentation and Reassembly Sublayer (Sub-capa de segmentación y
reensamblado): Se encarga de dividir la información para poder
transmitirla en las pequeñas celdas de ATM y luego reensamblarla en el
destino
5.2.2.1 AAL - 1
Se utiliza para la clase de servicio A (servicios orientados a la conexión, de
velocidad constante y que requieren referencia de tiempos para sincronización del
destino con la fuente)
Se utiliza para transporte de servicios sincrónicos (por ejemplo, servicios
sincrónicos de 64 kb/s) o asincrónicos de velocidad constante (por ejemplo, líneas
E1 de 2 Mb/s).
5.2.2.2 AAL - 2
Se utiliza para la clase de servicio B (servicios orientados a la conexión, de
velocidad variable y que requieren referencia de tiempos para sincronización del
destino con la fuente).
Ha sido la más difícil de desarrollar, debido a la dificultad de recuperar en el
destino el reloj de referencia de la fuente cuando no se reciben datos por un
periodo prolongado de tiempo. En AAL-1 esto no sucede, ya que los flujos de
información son constantes.
Puede utilizarse, por ejemplo, para la transmisión de video comprimido. Esta
aplicación envía “ráfagas” de información, generando tráfico impulsivo. MPEG-2,
por ejemplo, tiene una relación de compresión de 10:1 en el peor caso. Sin
embargo, si no hay cambios en la imagen de video, pueden llegarse a relaciones
de compresión de hasta 50:1, generando largos periodos sin transmisión.
5.2.2.4 AAL – 5
Se utiliza para la clase de servicio C y D, al igual que AAL-3/4, pero utiliza todos
los bytes de “información” de la celda ATM, optimizando por lo tanto el ancho de
banda.
AAL-5 es conocida también como SEAL (Simple and Effective Adaptation Layer),
ya que no provee secuenciamiento ni corrección de errores, sino que delega estas
tareas en las capas superiores.
5.3 Routers
Como se mencionó en al principio de éste capítulo (Ver 5), la función de las redes
WAN es interconectar redes LAN distantes entre sí, a través de enlaces públicos o
privados, generalmente de baja velocidad en comparación con la velocidad de las
redes LAN. En las secciones anteriores se estudiaron los protocolos Frame Relay
(Ver 5.1) y ATM (Ver 5.2), el primero como ejemplo de protocolo típico de WAN y
el segundo como ejemplo de protocolo de back-bone de los prestadores de
servicios.
Para poder interconectar redes LAN distantes, mediante algún protocolo de WAN,
es necesario disponer de equipos de “interconexión”, que cumplan varias
funciones, entre las que se destacan:
• Posibilidad de rutear tráfico, para disminuir el tráfico de WAN no deseado
(Broadcast, etc.)
• Posibilidad de manejar protocolos de LAN y de WAN.
Para poder implementar las funciones de ruteo, los Routers deben disponer de
“tablas de ruteo”. Estas tablas pueden estar definidas en forma estática, por un
administrador, o pueden generarse en forma automática, ya que los routers
disponen de protocolos propios de “descubrimiento de rutas”. Estos protocolos,
que implementan el intercambio de información de rutas entre varios Routers, se
llaman habitualmente “protocolos ruteo”. Los más comunes son los llamados RIP y
OSPF (ambos están estandarizados, de manera que routers de diversas marcas
pueden coexistir en una misma red).
Las redes WAN requieren conexiones digitales desde las oficinas de las empresas
hasta las oficinas de los prestadores de servicios, las que pueden estar alejadas
varios kilómetros.
La interconexión desde los prestadores de servicios a las empresas puede
realizarse mediante enlaces inalámbricos, o mediante el tendido de cables de
cobre o fibras ópticas. Gran parte de las empresas prestadoras de servicios de
datos son las mismas que las prestadoras de servicios telefónicos, y ya disponen
de cables tendidos hasta las oficinas de las empresas. Estos son generalmente
cables de cobre, pensados originalmente para brindar servicios telefónicos. A los
efectos de minimizar los costos, se han desarrollado técnicas que permiten utilizar
estos mismos cables de cobre para brindar servicios digitales. Estas tecnologías
se conocen como “Digital Subscriber Loop” o bucle digital de abonado. Entre estas
tecnologías se encuentran ADSL, HDSL, VDSL y otras [36]. En forma genérica,
todas ellas se engloban dentro de las tecnologías conocidas como xDSL.
La siguiente figura ilustra la evolución de los estándares xDSL, así como el
crecimiento en la cantidad de suscriptores a nivel mundial [37]. En 2005 se llegó a
los 100 millones de usuarios de la tecnología.
6.1 ADSL
ADSL, o “Asymmetric Digital Subscriber Loop” [38] (DSL asimétrico), brinda una
conexión digital con velocidades de “subida” y de “bajada” diferentes. Está
pensada típicamente para servicios de acceso a Internet, en los que, por lo
general, es mucha más la información que debe viajar desde Internet hacia la
empresa que desde la empresa hacia Internet. Por ejemplo, al navegar sobre la
web, un usuario realiza un clic (envío muy pequeño de información), y “baja” una
página completa (envío importante de información).
Splitter Splitter
DSLAM
Telephone
PSTN
Las distancias entre prestador y cliente a las que funciona ADSL dependen de la
velocidad contratada, y pueden llegar hasta los 5 km.
Una de las características de DMT es que permite que cada canal o sub-banda
utilice constelaciones más o menos densas (es decir, con más o menos puntos),
de acuerdo al ruido existente. Los modems ADSL pueden ajustar dinámicamente,
de acuerdo a las condiciones de ruido existentes, las constelaciones a utilizar en
cada canal
6.3 HDSL
HDSL, o “High Speed Symmetric Digital Subscriber Loop” [40] (DSL simétrico de
alta velocidad), brinda una conexión digital con iguales velocidades de “subida” y
de “bajada”. Está pensada típicamente para servicios 1.5 y 2 Mb/s, típicamente de
tipo T1 o E1.
HDSL utiliza dos pares de cobre, y fue diseñada para que la gran mayoría de los
cables tendidos originalmente para servicios telefónicos, puedan servir de soporte
para éste nuevo servicio digital. Ambos pares son bidireccionales, y funcionan a la
mitad de la velocidad de transmisión total.
←784 kbps →
C ←784 kbps → RT
3,7 Km @ 24 AWG
6.4 HDSL2
HDSL2 [41] es una mejora a HDSL, que permite las mismas funciones, pero
utilizando solamente un par de cobre.
6.5 VDSL2
La tecnología VDSL2 (Very-High-Bit-Rate Digital Subscriber Line 2) [42] fue
aprobada en la recomendación G.993.2 de la ITU-T en febrero de 2006. Esta
tecnología permite la transmisión simétrica o asimétrica de datos, llegando a
velocidades superiores a 200 Mbit/s, utilizando un ancho de banda de hasta 30
MHz. Esta velocidad depende de la distancia a la central, reduciéndose a 100
Mbit/s a los 0,5 km y a 50 Mbits/s a 1 km de distancia.
La siguiente figura esquematiza el espectro utilizado en VDSL2 hasta los 12 MHz
[43]. En la gama de frecuencias entre 12 MHz y 30 MHz, la norma VDSL2
especifica como mínimo una banda adicional en sentido ascendente o
descendente. El plan detallado de las bandas de frecuencia utilizadas depende de
la región, y está especificado en la recomendación para Europa, Japón y Estados
Unidos
La recomendación establece 8 perfiles, denominados 8a, 8b, 8c, 8d, 12a, 12b, 17a
y 30a. Difieren en la velocidad de transmisión y otros parámetros siendo 50 Mb/s
la velocidad para los perfiles 8x, 68 Mb/s para los 12x, 100 Mb/s para el 17a y 200
Mb/s para el 30a. Por lo menos, se debe cumplir con las especificaciones para uno
de los perfiles. La siguiente tabla resume las características más destacables de
los perfiles.
7 Administración de Redes
Junto con el crecimiento de las redes de datos, surgió la necesidad de su
administración. La administración de redes incluye las tareas de diseño,
integración y coordinación de los equipos de hardware, los programas de software
y los recursos humanos necesarios para monitorear, testear, configurar, analizar,
evaluar y controlar la red y sus recursos a los efectos de lograr la calidad de
servicio requerida.
Desde el punto de vista corporativo, las tareas de administración de redes deben
basarse en obtener en forma predecible y consistente una calidad de servicio
adecuada a las necesidades, a un costo aceptable para la corporación.
Para poder realizar las tareas de administración, es necesario poder detectar
fallas, aislarlas y corregirlas, al menor costo y en el menor tiempo posible. Es
necesario también poder realizar cambios en las configuraciones afectando lo
mínimo posible al servicio. Una buena administración de red se basa en prever, en
la medida de lo posible, posibles puntos de falla, y evitarlos antes de que sucedan.
Esto se basa en tener medidas de utilización de la red, analizarlas y tomar
acciones preventivas antes que correctivas.
Varios organismos han trabajado en intentar estandarizar las tareas relacionadas
a la administración de las redes, entre ellos la ISO, el ITU-T y el IETF. Cada uno
de ellos ha establecido normas y recomendaciones, viendo a la administración de
las redes desde su propia óptica.
La ISO ha establecido los criterios generales en la recomendación 7498-4 [45].
Dentro de la administración de redes, se distinguen 3 componentes que han sido
estandarizados: La estructura de la información (10165-x), los protocolos a utilizar
(9595 y 9596) y las funciones propias de la administración (10164-x, conocidas
generalmente como “FCAPS”)
Por su lado, la ITU-T, con su visión centrada en su historia telefónica, ha
desarrollado los estándares para lo que se ha dado a llamar “TMN”, o
“Telecommunications Management Network” (Red de gerenciamiento de
telecomunicaciones) [46] . La estructura general de esta red, se describe en las
recomendaciones M.30xx. La primer versión de esta serie de recomendaciones
fue publicada en 1989 (en ese momento por la CCITT) [47]. La versión conocida
actualmente como M.3010 fue publicada en 1992, y revisada en 1996 [48]. Al igual
que la ISO, se distinguen 3 componentes de las TMN: Estructura de la información
(M.31xx), Protocolos (Q.8xx) y las funciones propias de la administración (M.32xx,
M.3300, M.3400).
Finalmente, el IETF ha desarrollado un sistema pragmático, mucho más sencillo,
aunque también más limitado. Las recomendaciones acerca de la estructura
general se han publicado en los RFC 1052 y 1155, y se presentan 2 componentes
estandarizados: La estructura de la información (RFC1113 , MIB) y los protocolos
(RFC 1157, SNMP).
realizar determinado tipo de llamadas y con las facilidades a las que cada usuario
tiene acceso. Por ejemplo, si un usuario puede escuchar las llamadas de otros, si
puede desviar su teléfono a otros teléfonos, o a celulares, si se pueden realizar
llamadas a número internacionales, o a 0900, etc. En las redes de datos, los
controles típicos restringen el acceso a la información, ya sea interna o externa.
Los controles de fraude también deben realizarse en las redes de voz y datos.
Fraudes típicos en redes de voz están relacionados con accesos a número
prohibidos y llamadas “tandem”. En las redes de datos los fraudes más comunes
consisten en acceder a información restringida, ya sea desde dentro de la
empresa, o desde fuera.
7.3 SNMP
Para facilitar la administración de redes, el IETF (Internet Engineering Task Force)
ha definido una recomendación llamada SNMP (Simple Network Management
Protocol), que se ha convertido en un estándar en la industria de las
comunicaciones.
SNMP (Simple Network Management Protocol) fue definido por el IETF (Internet
Engineering Task Force) en 1989, en el RFC-1098 [50]. Desde entonces, se ha
convertido en un estándar de la industria de las comunicaciones para controlar
dispositivos de red desde estaciones de gerenciamiento y administración
centralizadas.
SNMP
MIB
Manager
Hub (SNMP
Agent)
RED
MIB
Switch (SNMP
Agent)
MIB
Router (SNMP
Agent)
Cada “Agente SNMP” almacena la información que requiere en una base de datos
llamada MIB (Management Information Base), cuyo formato está estandarizado.
Cada fabricante tiene una “rama”, bajo el objeto “enterprise”, y es libre de armar
bajo esta rama la estructura de información que aplique mejor a sus productos.
• Read: Es usado por el Manager para leer las variables del Agente (por
ejemplo, para recolectar estadísticas de uso)
• Write: Es usado para configurar el equipo administrado. El Manager puede
escribir ciertas variables de configuración del Agente
• Trap: Es utilizada en forma asíncrona por los agentes, para reportar
eventos (típicamente fallas)
8 Seguridad de la Información
En todas las empresas, las redes de voz y datos transportan “información”. Esta
información es valiosa para las organizaciones, al punto que se considera uno de
sus “activos”. que, al igual que otros activos importantes para el negocio, tiene
valor para la organización y consecuentemente necesita ser protegido
apropiadamente.
Estos procesos tienen las siguientes etapas, las que se ejecutan en forma cíclica:
• Planificar
Se planifica qué hacer y como hacerlos. A grandes rasgos, Esto incluye
la definición del alcance del SGSI, las políticas generales de seguridad,
la identificación y evaluación de los riesgos a los que está expuesta la
información, y la preparación de los documentos preliminares
• Hacer
Se ejecuta el plan, implementando los controles seleccionados, con el
fin de cumplir los objetivos planteados
• Verificar
Se verifica la ejecución del plan, implementando exámenes o controles
periódicos (por ejemplo, auditorías). Se registran las desviaciones
encontradas
• Actuar
En base a las desviaciones encontradas o a las posibles mejoras al
sistema se toman acciones correctivas o preventivas, las que llevan
nuevamente a planificar, cerrando el ciclo.
• Confidencialidad
Procurar que la información sea accesible sólo a las personas
autorizadas a acceder a su utilización.
• Integridad
Asegurar la exactitud y la completitud de la información y los métodos de
su procesamiento
• Disponibilidad
Asegurar que los usuarios autorizados tengan acceso a la información y
los recursos asociados cuando lo requieran.
2
El RFC 2196 menciona “Computer Technology Purchasing Guidelines”, o sea “Guías de compra
de tecnología informática”. Se ha cambiado en este texto “tecnología informática” por “tecnología
de la información”, término más amplio que el anterior, alineado con la filosofía de la ISO
17799:2000
En todos los casos, los aspectos legales deben ser tenidos en cuenta. Como
mínimo es recomendable que el departamento legal de la organización (o un
consultor externo) de su aval a las políticas de seguridad.
El NIST, por su parte, indica que los componentes de una política de seguridad
deben incluir un programa estratégico de seguridad, políticas específicas,
(concernientes a temas específicos) y políticas específicas-sistema (concernientes
a sistemas particulares). Esta visión es similar a la del RFC-2196
8.3.1 Vulnerabilidad
8.3.2 Amenazas
Una amenaza es una condición del entorno del sistema de información con el
potencial de causar una violación de la seguridad (confidencialidad, integridad,
disponibilidad o uso legítimo). Las amenazas son, por tanto, el conjunto de los
peligros a los que están expuestos la información y sus recursos tecnológicos
relacionados.
• Código malicioso.
• Ataques a la infraestructura de Internet.
SNOOPING5 Y DOWNLOADING
Los ataques de esta categoría tienen el mismo objetivo que el sniffing, obtener
la información sin modificarla. Sin embargo los métodos son diferentes.
Además de interceptar el tráfico de red, el atacante ingresa a los documentos,
mensajes de e-mail y otra información, guardando en la mayoría de los casos
esa información a su propia computadora.
SPOOFING8
3
“Eavesdrop” se traduce como “Escuchar indiscretamente”. Un “eavesdropper” es una persona
indiscreta, o que escucha indiscretamente.
4
“Sniffer” proviene de la palabra “Sniff”, que se traduce como “olfatear” o “husmear”
5
“Snoop” se traduce como “Entrometido” o “Curioso”
6
“Tamper” se traduce como “Manosear”, o “Intentar forzar”
7
“Diddle” se traduce como “Estafar”
JAMMING9 o FLOODING10
Este tipo de ataques desactivan o saturan los recursos del sistema. Por
ejemplo, un atacante puede consumir toda la memoria o espacio en disco
disponible.
CABALLOS DE TROYA
Consiste en introducir dentro de un programa aparentemente seguro, una
rutina o conjunto de instrucciones no autorizadas, para que dicho programa
actúe de una forma diferente a como estaba previsto.
BOMBAS LÓGICAS
Consiste en introducir un programa o rutina que en una fecha determinada
destruirá o modificara la información o provocara daños en el sistema.
VIRUS
Si bien es un ataque de tipo tampering, difiere de este porque puede ser
ingresado al sistema por un dispositivo externo (disquete, CD, DVD) o través
de la red (e-mails u otros protocolos) sin intervención directa del atacante.
8
“Spoof” se traduce como “Engañar”
9
“Jamming” se traduce como “Atascamiento”
10
“Floodign” se traduce como “Inundación”
Según el origen de los datos que se analizan, los IDS se pueden clasificar como
[60]:
NIDS (Sistema de detección de intrusiones basados en red): El sistema trata
de detectar un comportamiento no autorizado mediante la utilización de un
dispositivo de red
En particular, los sistemas NIDS funcionan como “sniffers”, utilizando una interfaz
de red en “modo promiscuo”, leyendo todos los paquetes que circulen por su
segmento de red, y analizándolos. Las técnicas aplicadas por los NIDS son las
siguientes:
Verificación de protocolos, evitando los ataques por violación de protocolos IP,
TCP, UDP y ICMP. También pueden ser incluidas conductas válidas pero
sospechosas, por ejemplo, el envío de varios paquetes IP fragmentados.
Verificación de protocolos de aplicación, evitando los ataques de conducta de
protocolo inválida, o conductas de protocolo válidas pero inusuales.
Creación de nuevos eventos a registrar, extendiendo las capacidades de
auditoría del software de administrador de red.
8.3.4 Contramedidas
8.4.1 Criptografía
que han de compartir, por un canal que se considere seguro, así como de
conseguir que estos mantengan las claves a buen recaudo.
Dentro del cifrado de bloque, los cuatro modos de operación más comunes son
ECB, CBC, CFB y OFB. Ejemplos de algoritmos de cifrado de bloque de calve
secreta son DES, 3DES, Blowfish, IDEA
A diferencia de las de clave simétrica, las técnicas criptográficas que hacen uso de
las claves asimétricas (o claves publicas) no exigen que se comparta ningún tipo
de secreto. Cada participante en la comunicación tiene un par de claves, que
tienen la particularidad de que lo que una de ellas cifra es descifrado por la otra y
viceversa. En este esquema cada una de las partes hace pública una de las
claves y mantiene secreta la otra. Así, cuando uno de los participantes en la
comunicación desee enviar un mensaje a otro lo cifrará con la clave pública del
destinatario, garantizando de esta forma que sólo el destinatario será capaz de
leerlo.
Este tipo de mecanismos es ideal para los casos en los que no es posible
compartir una clave secreta entre las partes que deban compartir alguna
información. Se pueden mencionar los siguientes ejemplos:
Se establece además que “La firma digital tendrá idéntica validez y eficacia a la
firma autógrafa, siempre que esté debidamente autenticada por claves u otros
procedimientos seguros de acuerdo a la tecnología informática...”
8.4.2 Firewall
Un “Firewall” o “Cortafuego” es un dispositivo o conjunto de dispositivos que
restringe la comunicación entre dos o más redes. Sus funciones básicas consisten
en bloquear tráficos indeseados y ocultar hacia el exterior la información interna
[65]. Su utilización típica es separar a las redes internas (LAN, asumidas como
“confiables” o “seguras”) de las redes públicas no seguras, como es el caso de
Internet.
Algunos textos contienen definiciones que pueden ser más coloquiales, como la
siguiente
NAT
Por lo general, las empresas deben recibir también tráfico originado en Internet.
Por ejemplo, si se dispone de un servidor de correo electrónico, los correos
entrantes llegan desde Internet hacia la Empresa. Lo mismo sucede con las
páginas web, servidores FTP, etc.
Arquitecturas de Firewalls
Red externa
Firewall
LAN
Host PC PC
Red
externa
LAN
Host PC PC PC
Red
externa
LAN
Host PC PC PC
Una arquitectura más segura consiste en implementar, mediante dos “routers con
filtros”, una zona de seguridad intermedia, en la que se ubican todos los equipos
que deben quedar expuestos en la red externa (“Bastiones”). Esta “zona
intermedia” es conocida generalmente como “zona desmilitarizada”, o DMZ
(DeMilitarized Zone), la arquitectura es conocida como Screened Subnet. Aunque
un atacante tenga acceso a estos equipos, no tendrá acceso directo a la LAN de la
Red externa
Router c/filtro
DMZ
Firewall
Bastión Bastión
Router c/filtro
LAN
PC PC PC PC
Empresa. Todavía tendrá que pasar por otro router con sus filtros, lo que brinda un
nivel de seguridad adicional a la arquitectura anterior. Muchos equipos “Firewall”
implementan esta arquitectura, disponiendo de 3 puertas de red: una para la
conexión a la red pública (Internet), otra para la DMZ y la última para la conexión a
la LAN. Esto se esquematiza en la figura anterior.
Filtrado de paquetes
Packet Filter
Stateful Inspection
Circuit Level
Application Level
8.4.3 VPN
Una “Red Privada Virtual” o “Virtual Private Network” (VPN) [71] es un sistema
para simular una red privada sobre una red pública, por ejemplo, Internet. Las
VPN permiten interconectar redes LAN a través de Internet, o computadores
aislados a las redes LAN a través de Internet. Las VPN posibilitan la conexión de
usuarios móviles a la red privada, tal como si estuvieran en una LAN dentro de
una oficina de la empresa donde se implementa la VPN. Esto resulta muy
conveniente para personal que no tiene lugar fijo de trabajo dentro de la empresa,
como podrían ser vendedores, ejecutivos que viajan, personal que realiza trabajo
desde el hogar, etc.
La forma de comunicación entre las partes de la red privada a través de la red
pública se hace estableciendo túneles virtuales entre dos puntos para los cuales
se negocian esquemas de encriptación y autentificación que aseguran la
confidencialidad e integridad de los datos transmitidos utilizando la red pública.
La tecnología de túneles ("Tunneling") es un modo de transferir datos en la que se
encapsula un tipo de paquetes de datos dentro del paquete de datos de algún
protocolo, no necesariamente diferente al del paquete original. Al llegar al destino,
el paquete original es desencapsulado volviendo así a su estado original. En el
traslado a través de Internet, generalmente los paquetes viajan encriptados, por
razones obvias de seguridad.
En la LAN se debe ubicar un equipo “Terminador de túneles”, y los “clientes
remotos” (PCs conectados a Internet que desean establecer un túnel con la LAN)
deben tener el software adecuado para establecer túneles.
LAN
Tunel sobre
Internet
Internet
Paquetes
encapsulados
dentro del tunel