06-01-2012

Introduccin

La capa de Red

Permite la comunicacin host a host Mueve paquetes (datagramas) entre hosts La capa de red se encuentra en todos y cada uno de los hosts y routers de la red Tiene los algoritmos que enrutan los paquetes (determinan el camino) Dispositivo caracterstico: el router

Funciones Claves de la Capa de red

Re-envo (forwarding)
Mover paquetes desde la entrada de un Router a la apropiada salida Cada paquete que llega a un router es enviado al siguiente router
Host a

Esquema
Router Host b

Determinacin del camino (routing)

Determinar la ruta a tomar por los paquetes desde la fuente al destino Algoritmos de enrutamiento
La capa de red define los servicios provistos por la subred

Modelos de Servicios
Qu modelos existen?
Ejemplos de servicios para datagramas individuales Garanta de entrega Garanta de entrega con menos de 40 mseg de retardo Ejemplos de servicios para un flujo de datagramas Entrega ordenada Garanta de Mnimo ancho de banda

Ejemplos de modelos de servicio

Network Architecture Internet ATM ATM ATM ATM Service Model Guarantees ? Bandwidth Loss Order Timing no yes yes no no no yes yes yes yes no yes yes no no Congestion feedback no no congestion no congestion yes no

best effort none CBR VBR ABR UBR constant rate guaranteed rate guaranteed minimum none

06-01-2012

Tipos de Servicios
Servicios orientado a la conexin
Red de Circuitos Virtuales

Red de Circuitos Virtuales

Se usan en
ATM Frame relay X.25

Servicio sin conexin

Red de datagramas

Caractersticas:
Servicio: Host-to-host Eleccin: Se elige un tipo Implementacin: En el ncleo de la red

No se usan en Internet

Red de Datagramas
No est el concepto de conexin No se necesita establecer un circuito previamente (no hay retardo inicial) Cada router contiene una tabla de encaminamiento

Red de Datagramas (cont)

Las subredes de datagramas se adaptan a fallas y congestionamiento con ms facilidad No existe confirmacin de llegada Los paquetes se re-envan considerando direccin destino:
Los paquetes se encaminan por separado Dos paquetes consecutivos pueden tomar rutas diferentes ( no se sabe si podrn hacer llegar)

Enrutamiento Encaminamiento
Es el conjunto de decisiones para establecer una ruta
Tarea independiente del tipo de servicio Si se usan datagramas esta decisin se toma cada vez que llega un paquete

Algoritmos de Enrutamiento

El algoritmo de enrutamiento es la parte de software encargada de decidir la ruta

06-01-2012

Clasificacin de los Algoritmos

Algoritmos no adaptables (estticos)
Decisin calculada por adelantado que se carga en el router

Algoritmos no adaptables

Algoritmos adaptables (dinmicos)

Decisin cambia segn cambios en la topologa, mediciones o estimaciones de trfico

Encaminamiento Fijo
La tabla es esttica Procesamiento mnimo
Simple de entender e implementar
A

Ejemplo Tablas esttica

Tabla del Nodo C Destino B C D E F G
Puerta de Acceso

Funcionan bien si el trfico es estable Comando route

A B D E F G

B B D B D G

Algoritmos Algoritmos adaptables

Algoritmo de enrutamiento por vector distancia Algoritmo de enrutamiento por estado de enlaces Algoritmo de enrutamiento jerrquico

06-01-2012

Enrutamiento por vector-distancia

Uno de los algoritmos ms comnmente usado Algoritmo de tipo descentralizado Fue el original en los inicios de Internet: RIP

Funcionamiento: Vector-distancia
Cada router mantiene una tabla (un vector) que da la mejor distancia conocida a cada destino y la lnea usada para llegar all Una entrada esta compuesta de dos partes
Lnea preferida de salida al destino, y Estimacin de tiempo o distancia hacia ese destino

El router conoce la distancia a cada uno de sus vecinos.

La mtrica puede ser saltos, longitud de cola o retardo

Vector - Distancia: Ejemplo

Informacin recibida

Enrutamiento por estado de enlace

Del tipo distribuido global El Reemplazo de Vector Distancia en Internet por que:
La mtrica no tomaba en cuenta el ancho de banda (antiguamente no era importante) El algoritmo tarda demasiado en converger (cuenta hasta el infinito)

Clculo de rutas en J

Existen bastantes variantes de este tipo de enrutamiento

Enrutamiento por estado de enlace (cont)

Cada router debe: a. Descubrir a sus vecinos y conocer sus direcciones de red b. Medir retardo o costo para c/u de sus vecinos c. Construir paquete que indique lo que ha aprendido d. Enviar este paquete a todos los dems routers e. Calcular la ruta ms corta a todos los otros routers

Paquete de estado de enlace (LSP)

Identificador de nodo que gener el LSP Costo de los enlaces a c/vecino conectado directamente Nmero de secuencia (SEQNO) Tiempo de Vida del paquete (TTL)

06-01-2012

Enrutamiento Jerrquico
A medidas que crecen las redes las tablas de enrutamiento tambin lo hacen, necesitando mayor
Memoria Tiempo de cpu para procesarlas Ancho de banda para transmitirlas

Enrutamiento Jerrquico (cont)

Funcionamiento: Se dividen los routers en regiones (AS: Autonomous Systems) Routers en la misma AS ejecutan el mismo algoritmo
Algoritmo Intra-AS Cada router conoce los detalles para enrutar destinos dentro de su propia regin No sabe la estructura interna de otras regiones

El crecimiento puede hacer que no sea factible que cada router tenga una entrada para cada uno de los otros routers

Enrutamiento Jerrquico: Ejemplo

Capa de Red en Internet

Jerarqua de dos niveles

Problema de longitud de ruta mayor: De 1A a 5C

Internet
Es una red virtual mundial construida por subredes fsicas interconectadas

Capa de Red de Internet

La interconexin se realiza por medio de routers para transmitir datagramas El pegamento que mantiene unida Internet es el protocolo IP
Diseado desde un principio para la interconexin de redes

Funcionamiento:
La capa de transporte divide los flujos de datos en datagramas (generalmente de 1500 bytes c/u) Cada datagrama se transmite a travs de Internet Cada datagrama podra ser fragmentado en unidades ms pequeas

06-01-2012

El protocolo IP
Define el esquema de direccionamiento lgico Especifica un servicio de entrega de paquetes sin conexin Define el formato de los datagramas Fragmenta y reensambla datagramas
Diferencias de MTU

Datagrama IP
Va encapsulado en tramas Formato del Encabezado

Encamina los datagramas

Se transmite en Big endian

Datagrama IP (cont)
Versin: Indica la versin del protocolo
IPv4 normalmente y transicin a IPv6

Datagrama IP (cont)
Offset: que fragmento es Tiempo de Vida: Permite limitar la vida del datagrama (en segs) (mx 255s) Protocolo: Indica el protocolo de la capa superior Checksum: Verifica slo el encabezado Direcciones: Numero de red y host Opciones: Timestamp, registro de ruta tomada, lista de routers a visitar, etc.

IHL: Longitud del header en palabras de 32 bits Tipo de servicio: distinguir la clase de servicio (confiable, veloz) Largo total: tamao del datagrama (mx. 64Kb) Identificacin: permite identificar fragmentos de datagramas DF: Dont Fragment MF: More Fragments (para saber si hay mas)

Direcciones IPv4
Cada computador necesita una direccin IP para conectarse a Internet (identificador Universal) Las direcciones IP son de 32 bits y se dividen en
Netid Hostid Nmero de red Identificador de host

Expresin de una direccin IPv4

La expresin ms comn es un formato decimal. Ejemplo 192.41.6.20
En Hexadecimal sera C0290614

No identifican a un host si no a una tarjeta de red

Cada nmero decimal representa un byte IP menor= 0.0.0.0 IP Mayor= 255.255.255.255

06-01-2012

Clases de direcciones
Dependiendo del nmero de bits reservados para el campo netid se definen 5 clases de direcciones IP (ya no se utilizan)
A: Reservadas para grandes redes B: Reservada para redes de tamao intermedio C: Para redes pequeas D: Direcciones multicast E: Reservadas para usos futuros
Clase A B C D

Clases de direcciones (Cont)

1.0.0.0 to 127.255.255.255 host host 128.0.0.0 to 191.255.255.255 192.0.0.0 to 223.255.255.255 224.0.0.0 to 239.255.255.255

0 network 10 110 network network

host

1110

multicast address

32 bits

Direcciones Especiales
0.0.0.0: default
Todos los bit en cero

Direcciones IP Privadas
Segn RFC 1597
10.0.0.0 172.16.0.0 192.168.0.0 hasta 10.255.255.255 hasta 172.31.255.255 hasta 192.168.255.255

255.255.255.255: Difusin red local

Con todos los bits en 1

127.x.x.x: Retrociclo (loopback)

Para pruebas internas

Usadas por Hosts

que emplean NAT :Network Address Traslation Emplean un Servidor Proxy No se conectan a Internet directamente

Otros rangos especiales

direcciones
0.0.0.0 0.255.255.255

Reemplazo de clases
La clase A era muy grande para algunas organizaciones La clase C era muy pequea para algunas empresas lo que obligaba a asignarle una clase B
Lo que produjo que rpidamente se acabaran

equivalente 0/8

propsito Direcciones cero

Clase Cant. A B 16 M 64 K

169.254.0.0 169.254.0.0/16 Zeroconf 169.254.255.255

Zeroconf o Zero Configuration Networking sirve para la creacin automtica de una direccin IP

Asignacin de clases no es eficiente Este se solucion a partir de 1993 con CIDR

06-01-2012

CIDR
Enrutamiento Interdominios sin clases
RFC 1517, RFC 1518 y RFC 1519 Clase A B C D E

Equivalencia
CIDR /8 /16 /24 /4 /4 Mscara por defecto 255.0.0.0 255.255.0.0 255.255.255.0 No definido No definido

Solucin para asignar bloques de direcciones IP en vez de clases

Mucho ms eficiente Ejemplo: Si un sitio necesita 2000 direcciones se le asigna un bloque de 2048 y no una clase B

Las tablas de enrutamiento tiene tres variables:

Direccin IP, Mscara de subred, y lnea saliente

CIDR: Notacin
Net-ID / Mscara Ejemplos: 206.25.3.0/25 Se puede usar como prefijo de aglomeracin: 16 redes /24 pueden ser totalizadas como /20 en una ruta
CIDR Clase N de hosts /29 1/32 C 8 /28 1/16 C 16 /27 1/8 C 32 /26 1/4 C 64 /25 1/2 C 128 /24 1C 256 /23 2C 512 /22 4C 1024 /21 8C 2048 /20 16 C 4096 /19 32 C 8192 /18 64 C 16384 /17 128 C 32768 /16 256 C = 1 B 65536 /15 512 C 2 B 131072 Mscara 255.255.255.248 255.255.255.240 255.255.255.224 255.255.255.192 255.255.255.128 255.255.255.0 255.255.254.0 255.255.252.0 255.255.248.0 255.255.240.0 255.255.224.0 255.255.192.0 255.255.128.0 255.255.0.0 255.254.0.0

CIDR. Ejemplos
Reparticin de una direcciones comenzando de 194.24.0.0 La universidad A necesita 2048 direcciones La universidad B necesita 4096 direcciones La universidad C Necesita 1024 direcciones Tabla resultante

Subredes
Los host de una red deben tener el mismo nmero de red
Puede no se adecuado cuando se tiene varias redes El problema est en que una direccin de clase A, B o C haga referencia a una sola red

Subredes (cont)
Ejemplo grfico de una red de campus

Con algunos pequeos cambios se puede dividir una red en varias partes: subredes.
Pero para el exterior aun siguen actuando como una sola red

06-01-2012

Subredes (cont)
Se puede usar algunos bits del nmero de host para crear un nmero de subred El router principal necesita una mscara de subred
Indica la divisin

Asignacin de Direcciones IPv4

La asignaciones de nmeros de red (netid) son asignados por la ICANN para evitar conflictos
Funcin delegada regionalmente a cargo del NIC (Network Information Center)

Ejemplo: 255.255.252.0 /22

El hostid es asignado por el administrador local de la red Si un host cambia de red .... Debe cambiar su direccin IP

Mapeo
Entre direcciones IP y direcciones locales Uso mediante tablas distribuidas
Cada equipo tiene sus propias tablas

Obtencin de direcciones IP
Manualmente
Administrador de red ISP

Uso de ARP (Address Resolution Protocol)

Se implementa diferente dependiendo de la capa inferior Basado en consultas y respuestas

Configuracin dinmica DHCP (Dinamic Host Configuration Protocol)

Asignacin de una direccin IP temporal Ultima definicin en 1993 con RFC 2131 DHCPv6 con RFC 3315 (2003)

DHCP
Sistema cliente servidor Cliente obtiene configuracin de la red Se asignan IP desde un rango predefinido (el conjunto) Se puede asignar misma IP siempre al mismo equipo
Relacionada a la MAC address

Funcionamiento: DHCP
Protocolo que cuenta de 4 pasos:
Descubrir el servidor DHCP
Uso de puerto 67 IP destino 255.255.255.255 y origen 0.0.0.0

Ofrecimiento de servicio DHCP

Pueden haber varios servidores

Peticin DHCP (eleccin de las ofertas)

Se repite la informacin

ACK DHCP
Servidor responde

06-01-2012

NAT : Traduccin de direcciones de Red

Solucin a escasez de direcciones IP Se tiene unas pocas direcciones IP vlidas y las restantes son IP privadas

ICMP
Internet Control Message Protocol (RFC 1122) Se usa para intercambiar informacin entre capas de redes Uso ms comn es para informar de errores
Unreachable Network (Red inalcanzable)

Otros usos
Echo request y echo reply (ping)

ICMP (cont)
Va encapsulado en un datagrama IP
Cabecera ICMP

ICMP (cont)
Todo mensaje ICMP tiene 3 campos
TIPO: Identifica el mensaje CODIGO: Ms informacin del tipo de mensaje CHECKSUM: Control de errores
TIPO Tipo Mensaje Respuesta a eco Destino inalcanzable Solicitud de eco Tiempo excedido Solicitud de mscara 0 3 8 11 17

Datos ICMP Datos IP

Cabecera IP

ICMP est integrado a IP IP usa ICMP para reportar problemas

Enrutamiento esttico
Todo equipo tiene una tabla de rutas bsica Las rutas tpicas son para la subred y la puerta de enlace Se puede modificar la tabla de rutas con el comando route

Protocolos de Enrutamiento
RIP (Routing Internet Protocol)
Es de vector distancia (intra-AS) Ya no se usa Existen varias versiones:
RIPv1 (RFC 1058) RIPv2 (RFC 2053) RIPng (RFC 2080) para IPv6

Usa puerto UDP 520 para la comunicacin

10

06-01-2012

Protocolos de Enrutamiento (cont)

OSPF (Open Short Path First)
Es de Estado de enlace Es un IGP (Interior Gateway Protocol: Intrasistema) Es ms comn ltimo RFC 2328 (OSPFv2)

IPv6

BGP (Border Gateway Protocol)

Protocolo de enrutado interdominios (inter-SA) RFC 1771

Introduccin
Para Mejorar IP se agregaron nuevos protocolos
RSVP, IPSec, MPLS Esto no fue suficiente

Objetivos
Crear mtodo de direccionamiento escalable Reducir operaciones realizadas por routers Garantizar QoS de transporte Asegurar proteccin de los datos transmitidos

IPv6 se ajusta a crecimiento continuo de Internet Aplicaciones ms nuevas requieren capacidades de direccionamiento y enrutamiento diferentes
Tecnologas de colaboracin (Multicasting, distribucin de cargas, etc)

Caractersticas
Extensin de capacidad de direccionamiento
De 32 a 128 bits

Tipos de Direccionamiento
Unitransmisin: Direccin de 1 computador Multitransmisin: Direccin corresponde a un grupo de computadores
Pueden estar en varios sitios Los miembros pueden cambiar el cualquier momento

Cambio de Cabecera a 40 bytes fija Cabecera de extensin (adicional a cabecera base) Etiquetado de flujo y prioridad
Ideal para manejo de audio y video

Cluster: Direccin de un grupo de computadores que comparte prefijo comn

Misma localidad

11

06-01-2012

Direccionamiento
Notacin decimal. Ejemplo:
105.220.136.100.255.255.255.255.0.0.18.128.140.10.255.255

Notacin ms compacta en hexadecimal 69DC:8864:FFFF:FFFF:0:1280:8C0A:FFFF Direcciones antiguas de IPv4 como 200.27.2.2 0.0.0.0.0.0.0.0.0.0.0.0.200.27.2.2 usando compresin de ceros en hexadecimal :C81B:0202

Seguridad en redes

Introduccin
Las redes permiten acceso a informacin y forma de comunicacin Son amenazadas en la integridad y confidencialidad de la informacin Existe un aumento sostenido en los incidentes de seguridad asociados a delitos

Herramientas de Seguridad
Herramientas de seguridad en computadores
Proteger acceso a todos los recursos de la LAN Proteger recursos Locales Mecanismo tradicional: Cortafuegos

Herramientas de seguridad de la red

Proteccin de la informacin que se transmite Herramienta frecuente VPN

Que es un cortafuegos?
Dispositivo que permite filtrar trfico de red Combinacin de Hardware y Software Asla red interna de mundo exterior : Internet Deja pasar o bloquea paquetes Permite controlar el acceso y gestionar flujo de trfico entrante (incoming) y saliente (outgoing) Ubicados en los lmites entre la red e Internet
Capacidades de Router

Tareas de un Cortafuegos
Si hay trfico que entra y sale de una red computacional se debe:
Revisar Registrar (logs) Eliminar (drops) Re-enviar (forward)

12

06-01-2012

Esquema Simple

Esquema con DMZ

Tipos de Cortafuegos
Se pueden adquirir del tipo comercial o crear uno con el software y sistema operativo correspondiente Naturalmente debera tener a lo menos dos interfaces de red
Red externa Red a la que se quiere proteger

Filtrado de paquetes
Se analizan las cabeceras de los datagramas y se aplican reglas de filtrados Las reglas de filtrado se pueden basar en:
Direcciones IP Origen y Destino Puerto TCP o UDP origen y destino Tipo de mensaje ICMP Datagramas de inicio de conexin con bits TCP SYN o ACK

Hay dos grandes tipos

Filtrado de paquetes ( a nivel de capa de red) Pasarelas a nivel de aplicacin

Pasarela de Aplicacin
Filtrado a nivel de contenido Se analiza los datos de nivel de aplicacin Ejemplos:
Usuarios que pueden hacer conexiones remotas Filtrar paquetes NAT Logs

IPTABLES
Herramienta de cortafuegos:

Se necesita una para cada aplicacin

Se invoca mediante comandos Ejemplos

iptables -A INPUT -p udp -j DROP iptables -A INPUT -p tcp --dport 25 -j DROP

13

06-01-2012

Firewalls Comerciales
Appliances:

Sofware:

14