Anda di halaman 1dari 118

Redes Corporativas

REDES DE DATOS

Ing. Jos Joskowicz Instituto de Ingeniera Elctrica, Facultad de Ingeniera Universidad de la Repblica Montevideo, Uruguay Agosto 2008
Versin 5

Redes de Datos

Pgina 1

Redes Corporativas

Temario
Temario ................................................................................................................... 2 1 Introduccin...................................................................................................... 4 2 Modelos de referencia OSI y TCP/IP .............................................................. 7 2.1 Capa Fsica............................................................................................... 8 2.2 Capa de Enlace ........................................................................................ 9 2.3 Capa de Red............................................................................................. 9 2.4 Capa de Transporte ................................................................................ 10 2.5 Capa de Aplicacin ................................................................................. 10 3 Redes LAN..................................................................................................... 11 3.1 Ethernet .................................................................................................. 11 3.1.1 El medio fsico en Ethernet .............................................................. 12 3.1.2 Reglas de acceso al medio fsico en Ethernet ................................. 13 3.1.3 Trama Ethernet ................................................................................ 15 3.2 Hubs........................................................................................................ 16 3.3 Bridges.................................................................................................... 19 3.4 Switches.................................................................................................. 19 3.4.1 Introduccin a los Switches ............................................................. 19 3.4.2 Spanning Tree ................................................................................. 20 3.4.3 VLANs.............................................................................................. 22 3.4.4 Routing Switches (Switches de capa 3)........................................... 24 3.5 Redes inalmbricas (Wireless LAN)........................................................ 26 3.5.1 Introduccin e historia...................................................................... 26 3.5.2 Arquitectura de 802.11..................................................................... 28 3.5.3 Modelo de capas en IEEE 802.11.................................................... 30 3.5.3.1 Capa fsica de 802.11............................................................... 31 3.5.3.2 Capa MAC de 802.11 ............................................................... 41 3.5.4 Alcance de IEEE 802.11 .................................................................. 43 3.5.5 Seguridad en redes inalmbricas..................................................... 44 4 Redes PAN .................................................................................................... 46 4.1 Bluetooth................................................................................................. 48 4.1.1 Origen e historia............................................................................... 48 4.1.2 Tecnologa Bluetooth ....................................................................... 49 4.1.3 Consumo y Alcance en Bluetooth .................................................... 51 4.1.4 Arquitectura y modelo de capas en Bluetooth ................................. 51 4.2 IEEE 802.15............................................................................................ 54 4.3 Coexistencia IEEE 802.15/Bluetooth y IEEE 802.11............................... 55 5 Redes WAN ................................................................................................... 57 5.1 Frame Relay ........................................................................................... 57 5.1.1 Trama Frame Relay ......................................................................... 59 5.1.2 LMI (Local Management Interface) .................................................. 60 5.1.3 La contratacin de Frame Relay (CIR) ............................................ 60 5.2 ATM ........................................................................................................ 62 5.2.1 Capa ATM........................................................................................ 63 5.2.1.1 Celdas ATM .............................................................................. 63 5.2.2 Capa AAL (ATM Adaptation Layer).................................................. 64

Redes de Datos

Pgina 2

Redes Corporativas 5.2.2.1 AAL - 1...................................................................................... 65 5.2.2.2 AAL - 2...................................................................................... 65 5.2.2.3 AAL 3/4 .................................................................................. 66 5.2.2.4 AAL 5 ..................................................................................... 66 5.2.3 Capa Fsica...................................................................................... 66 5.3 Routers ................................................................................................... 66 Tecnologas de acceso xDSL......................................................................... 68 6.1 ADSL....................................................................................................... 69 6.2 ADSL Light o G.Light .............................................................................. 71 6.3 HDSL ...................................................................................................... 71 6.4 HDSL2 .................................................................................................... 72 6.5 VDSL2..................................................................................................... 72 Administracin de Redes ............................................................................... 74 7.1 Funciones a considerar en la administracin de redes segn ISO ......... 75 7.1.1 Gestin de Fallas (Fault Management)............................................ 75 7.1.2 Gestin de Configuracin (Configuration Management) .................. 75 7.1.3 Gestin de Costos (Accounting) ...................................................... 76 7.1.4 Gestin de Desempeo (Performance Management)...................... 77 7.1.5 Gestin de la Seguridad (Security Management) ............................ 77 7.2 Funciones a considerar en la administracin de redes segn ITU-T ...... 78 7.2.1 Gestin de Negocio (Bussines Management).................................. 79 7.2.2 Gestin de Servicio (Service Management)..................................... 79 7.2.3 Gestin de Red (Network Management).......................................... 79 7.2.4 Gestin de Elementos de Red (Network Element Management)..... 79 7.3 SNMP...................................................................................................... 79 Seguridad de la Informacin .......................................................................... 83 8.1 Recomendaciones y normas relacionadas con la seguridad de la informacin ........................................................................................................ 83 8.2 Poltica de seguridad............................................................................... 85 8.3 Vulnerabilidades, amenazas y contramedidas........................................ 90 8.3.1 Vulnerabilidad .................................................................................. 90 8.3.1.1 Factores relacionados con la tecnologa: ................................. 90 8.3.1.2 Factores humanos: ................................................................... 91 8.3.1.3 Poltica de seguridad: ............................................................... 91 8.3.2 Amenazas........................................................................................ 91 8.3.2.1 Tipos de ataques ...................................................................... 92 8.3.3 Deteccin de ataques e intrusos...................................................... 94 8.3.4 Contramedidas................................................................................. 96 8.4 Tecnologas asociadas a la seguridad de la informacin........................ 97 8.4.1 Criptografa ...................................................................................... 97 8.4.1.1 Criptografa de clave secreta .................................................... 97 8.4.1.2 Criptografa de clave pblica .................................................... 98 8.4.1.3 Firmas digitales......................................................................... 99 8.4.2 Firewall .......................................................................................... 100 8.4.3 VPN ............................................................................................... 109 Referencias .................................................................................................. 112

Redes de Datos

Pgina 3

Redes Corporativas

1 Introduccin
La industria de la computacin es relativamente joven, comparada con otras industrias, an en el rea de telecomunicaciones, como por ejemplo la telefona. Sin embargo, la rapidez de crecimiento y el abaratamiento de costos hace que hoy en da las computadoras estn al alcance de la gran mayora de las personas y de prcticamente todas las empresas. Junto con la proliferacin de computadoras, surgi la necesidad interconectarlas, para poder intercambiar, almacenar y procesar informacin. Las redes de datos, tiene como objetivos Compartir recursos, equipos, informacin y programas que se encuentran localmente o dispersos geogrficamente. Brindar confiabilidad a la informacin, disponiendo de alternativas de almacenamiento. Obtener una buena relacin costo / beneficio Transmitir informacin entre usuarios distantes de la manera ms rpida y eficiente posible de

La topologa en las redes de datos puede ser enmarcada en dos tipos segn el tipo de transmisin utilizada: Redes de difusin: Donde se comparte el mismo medio de transmisin entre todos los integrantes de la red. Cada mensaje (tpicamente llamado paquete) emitido por una mquina es recibido por todas las otras mquinas de la misma red. Cada paquete dispone de la informacin de Origen y Destino y de esta manera se discrimina quien debe procesar cada mensaje. Por ejemplo, Ethernet es una red de difusin Redes punto a punto: Donde existen muchas conexiones entre pares individuales de mquinas. Para enviar mensajes hasta mquinas distantes, puede ser necesario pasar por varias mquinas intermedias. Por ejemplo, las conexiones por MODEM son redes punto a punto.

En forma independiente la tecnologa utilizada, las redes de datos pueden ser clasificadas segn el alcance o tamao de las mismas:

LAN (Local Area Networks, Redes de rea Local): Las redes LAN son de alcance limitado. Generalmente son redes privadas que estn instaladas

Redes de Datos

Pgina 4

Redes Corporativas dentro de un mismo edificio, oficina o campus. Su objetivo principal tpicamente es compartir recursos (impresoras, discos, etc.). Estas redes pueden tener velocidades de transmisin de hasta 1000 Mb/s y pueden tener topologas del tipo bus, estrella o anillo.

WAN (Wide Area Networks, Redes de rea Amplia): Estas redes se extienden en una amplia zona geogrfica, la que eventualmente puede ser dividida en subredes interconectadas con equipos de conversin de interfases y/o protocolos. Estos equipos se conectan con diferentes tipos de lneas de transmisin.
Una de las funciones tpicas de las redes WAN es la interconexin de dos o varias redes LAN.

La topologa de las redes WAN puede ser del tipo estrella, anillo, rbol o malla.

PAN (Personal Area Networks, Redes de rea Personal): Las redes PAN son de alcance muy limitado (unos pocos metros), y se utilizan para interconectar dispositivos personales de manera inalmbrica (PCs, laptops, celulares, PDAs, impresoras, etc.)
Estas redes son de velocidad media (algunos Mb/s) y estn teniendo creciente desarrollo en los ltimos aos.

Todos los tipos de redes e interredes vistas anteriormente requieren de programas dedicados al control, mantenimiento y diseo as como sus conexiones. Para reducir la complejidad del diseo, la mayora de las redes estn organizadas en niveles o capas. El propsito de cada capa es ofrecerle servicios a su capa inmediatamente superior. Cada capa se comunica con su similar en otra mquina, mediante reglas bien establecidas, llamadas protocolos. Esta comunicacin se realiza a travs de las capas inferiores, como se observa en la figura.

Redes de Datos

Pgina 5

Redes Corporativas

Capa n+1
Comunicacin

Capa n

Entidades pares

Lgica (Protocolo)

Entidades pares

Capa n-1

servicio

Primitivas de servicio

Cada capa tiene sus propias interfases, hacia las capas superiores e inferiores. Estas deben ser bien definidas para poder intercambiar informacin de un nivel a otro. Un conjunto de capas y protocolos se denomina arquitectura de red. Actualmente existen muchas arquitecturas de red, entre las que figuran OSI, TCP/IP, SNA, etc. La mayora de los protocolos y funciones de las capas de una arquitectura estn desarrolladas en software (programas) pero ltimamente se estn desarrollando muchos protocolos, interfases y funciones, en hardware (equipos) y/o firmware (equipos programables). Las capas de una arquitectura pueden ofrecer dos tipos de servicios: orientados a conexin y no orientados a conexin. Servicios orientados a la conexin: Son muy similares a los servicios de telefona, donde se establece una conexin marcando un nmero determinado. Una vez establecida la conexin, se puede intercambiar informacin en forma segura y ordenada. Luego de terminado el intercambio de informacin, puede liberarse la conexin. Servicios no orientados a la conexin: Toman su modelo del servicio de correos, donde el mensaje es enviado sin establecer previamente una conexin entre origen y destino. Cada mensaje debe contener la direccin completa de su destino. Dos mensajes enviados al mismo destino (dos cartas, en el ejemplo), pueden viajar por caminos completamente diferentes antes de llegar al destino, e incluso puede suceder que el mensaje enviado en segundo lugar llegue a destino antes que el enviado en primer lugar.

Una discusin ms detallada acerca de los tipos de redes y los modelos de capas puede leerse en Redes de Computadoras de A. S. Tanenbaum [1]

Redes de Datos

Pgina 6

Redes Corporativas

2 Modelos de referencia OSI y TCP/IP


Como se vio en la introduccin, la estructura de red se basa en modelos de capas, interfaces y protocolos. Muchas arquitecturas basadas en capas partieron del modelo de referencia OSI y a partir de ste se generaron muchas otras arquitecturas como TCP/ IP y B-ISDN. El modelo de referencia OSI (Open Systems Interconnection, Interconexin de Sistemas Abiertos) es un modelo de siete capas desarrollado por la Organizacin Internacional de Normas (ISO). En la figura se describe el modelo de capas de OSI.

Comunicacin entre Capas Adyacentes

Aplicacin Presentacin Sesin Transporte Red Enlace Fsica


Comunicacin entre Capas Paralelas

Aplicacin Presentacin Sesin Transporte Red Enlace Fsica

Medio Fsico (Transmisin de la Informacin)

Sobre la base del modelo de referencia OSI se desarrollaron otros modelos de red y arquitecturas completas para las redes de comunicacin. Este modelo se desarroll a partir de un proyecto de investigacin patrocinado por el departamento de defensa de los Estados Unidos denominado ARPANET. Esta red debera permanecer funcionando en caso de que algunos de los nodos de la red o incluso sus conexiones fueran daados por algn motivo. La red ARPANET empez conectando centros de investigacin del gobierno y luego universidades hasta convertirse en la red ms popular de uso pblico hasta el momento: Internet. Un modelo que surge de ARPANET y de los desarrollos posteriores fue el modelo de TCP/ IP. Difiere del modelo de referencia OSI en que no maneja siete capas

Redes de Datos

Pgina 7

Redes Corporativas sino cinco (en el modelo de TCP/ IP no hay capas para sesin y presentacin), segn muestra la siguiente figura :

Modelo ISO-OSI

Modelo TCP/IP

Aplicacin Presentacin Sesin Transporte Red Enlace Fsica

Aplicacin No estn presentes Transporte Red Enlace Fsica

2.1 Capa Fsica


La capa fsica se encarga del transporte de los bits de un extremo al otro del medio de transmisin. Debe asegurarse de que cuando un extremo enva un 0 el extremo distante reciba efectivamente un 0. A nivel de la capa fsica las recomendaciones y estndares establecen interfaces mecnicas, elctricas y de procedimiento, teniendo en cuenta las caractersticas del medio de transmisin (ancho de banda, ruido o interferencia, caractersticas de propagacin). En las redes LAN, el medio de transmisin histricamente utilizado fue el cable coaxial, y ha sido sustituido actualmente por los cables UTP (par trenzado no blindado) y STP (par trenzado blindando), o por fibras pticas. Las redes inalmbricas estn teniendo tambin amplia difusin, y utilizan el ether (el vaco), como medio de transporte. En las redes WAN, los medios de transmisin varan, desde los pares de cobre hasta las fibras pticas o las redes inalmbricas.

Redes de Datos

Pgina 8

Redes Corporativas

2.2 Capa de Enlace


La funcin principal de la capa de enlace es lograr una comunicacin eficiente y confiable entre dos extremos de un canal de transmisin. Para ello, la capa de enlace realiza las siguientes funciones: Armado y separacin de tramas: Dado que la capa fsica solamente acepta y transmite bits, sin preocuparse de su significado o estructura, corresponde a la capa de enlace crear y reconocer los lmites de las tramas de datos. Deteccin de errores: Corresponde a la capa de enlace resolver los problemas de tramas daadas, repetidas o perdidas. Por ejemplo, si no se recibe el acuse de recibo de una trama determinada, puede ser por que la trama original se perdi, o porque lleg correctamente pero se perdi el acuse de recibo. La capa de enlace debe ser capaz de resolver ste tipo de casos. Control de flujo: La capa de enlace debe resolver los problemas que surgen debido a las diferentes velocidades de procesamiento del receptor y emisor. Debe tener algn tipo de regulacin de trfico, para que no existan saturaciones o desbordes de memorias (buffers) Adecuacin para acceso al medio: En TCP/IP la capa de enlace dispone de una sub-capa de acceso al medio (MAC Mdium Access Control). Esta sub-capa de acceso al medio implementa los protocolos necesarios para utilizar un medio compartido en las redes de difusin. Esta sub-capa debe resolver las colisiones (resultantes de que varias mquinas intenten enviar tramas a la vez sobre un mismo medio compartido)

2.3 Capa de Red


La capa de red es la encargada de hacer llegar la informacin desde el origen hasta el destino. Para esto puede ser necesario pasar por varias mquinas intermedias. Es de hacer notar la diferencia con la capa de enlace, cuya funcin se limita a transportar en forma segura tramas de un punto a otro de un canal de transmisin. La capa de red puede brindar servicios orientados a la conexin o no orientados a la conexin. En los servicios orientados a la conexin, la complejidad se encuentra en la propia capa de red. En los servicios no orientados a la conexin, la complejidad es pasada una capa ms arriba, es decir, a la capa de transporte. En el funcionamiento orientados a la conexin, la capa de red establece circuitos virtuales en el proceso de conexin. En el funcionamiento no orientado a la conexin, los paquetes enviados se llaman normalmente datagramas

Redes de Datos

Pgina 9

Redes Corporativas

2.4 Capa de Transporte


La tarea de esta capa es proporcionar un transporte de datos confiable y econmico de la mquina de origen a la mquina de destino, independientemente de la red o redes fsicas en uso. Es la primera capa en la que los corresponsales son directamente los extremos. Para lograrlo, la capa de transporte hace uso de los servicios brindados por la capa de red. De la misma manera que hay dos tipos de servicios de red, orientados y no orientados a la conexin, hay dos tipos de servicios de transporte, orientados y no orientados a la conexin. La Internet tiene dos protocolos principales a nivel de la capa de transporte: TCP (Transmission Control Protocol): Es un protocolo orientado a la conexin, que proporciona flujos de informacin seguros y confiables. UDP (User Datagram Protocol): Es un protocolo no orientado a la conexin, muy sencillo (bsicamente el paquete IP ms un encabezado), y no seguro.

2.5 Capa de Aplicacin


En la capa de aplicacin residen las aplicaciones de los usuarios. Las capas por debajo de la de aplicacin existen nicamente para brindar un transporte confiable a las aplicaciones residentes en la capa de aplicacin. En la capa de aplicacin se implementan los temas de seguridad, presentacin de la informacin, y cualquier aplicacin til para los usuarios (correo electrnico, world wide web, etc.).

Redes de Datos

Pgina 10

Redes Corporativas

3 Redes LAN
Las redes de rea local (LAN: Local Area Network) son aquellas que conectan una red de ordenadores normalmente confinadas en un rea geogrfica, como un solo edificio o un campus. Las LAN, sin embargo, no son necesariamente simples de planificar, ya que pueden unir muchos centenares de ordenadores y pueden ser usadas por muchos miles de usuarios. El desarrollo de varias normas de protocolos de red y medios fsicos, junto con la baja de precio de las computadoras han hecho posible la proliferacin de LAN's en todo tipo de organizaciones. Las LAN generalmente utilizan transmisin por difusin, a velocidades de 10, 100 o 1000 Mb/s. Las topologas ms utilizadas son en bus (IEEE 802.3 Ethernet) o en anillo (IEEE 802.5 Token Ring)

3.1 Ethernet
Ethernet fue desarrollada originalmente por Bob Metcalfe, trabajando para Xerox [2]. Le haba sido asignada la tarea de desarrollar un mecanismo para interconectar los computadores que en ese momento se estaban desarrollando en la Compaa. Inspirado en los trabajos publicados por la Universidad de Hawaii, respecto a la red Alohanet [3], en 1973 Bob Metcalfe desarroll una nueva tecnologa de comunicacin entre computadores, a la que llam Ethernet. Ethernet fue tan exitosa, que en 1980 varias compaas la adoptaron. Digital, Intel y Xerox comenzaron a usarla, a velocidades de 10 Mb/s, convirtindola en un estndar de hecho. En febrero de 1980 la Sociedad de Computacin del IEEE realiz la primer reunin del comit de estandarizacin de redes de rea local (Local Network Standards Committee), al que fue asignado el nmero 802 (simplemente el siguiente nmero secuencial de los proyectos que estaban en curso en la IEEE). En 1983 Ethernet es estandarizada como IEEE 802.3 (10 Base 5). Desde entonces, varias recomendaciones se han incorporado a la original 802.3. Las principales se detallan a continuacin [4].
Recomendacin 802.3a 802.3c 802.3d 802.3i 802.3j 802.3u 802.3x 802.3z 802.3ab 802.3ac Ao 1985 1986 1987 1990 1993 1995 1997 1998 1999 1998 Descripcin 10Base2 (thin Ethernet) 10 Mb/s repeater specifications (clause 9) FOIRL (fiber link) 10Base-T (twisted pair) 10Base-F (fiber optic) 100Base-T (Fast Ethernet and autonegotiation) Full-duplex 1000Base-X (Gigabit Ethernet sobre fibra ptica) 1000Base-T (Gigabit Ethernet sobre par trenzado) VLAN tag (frame size extension to 1522 bytes)

Redes de Datos

Pgina 11

Redes Corporativas
Recomendacin 802.3ad 802.3ae 802.3af 802.3ak 802.3an Ao 2000 2002 2003 2004 2006 Descripcin Parallel links (link aggregation) 10 Gigabit Ethernet PoE (Power over Ethernet) 10GBase-CX4 (Ethernet a 10 Gbit/s sobre cable bi-axial) 10GBase-T (10 Gigabit Ethernet sobre par trenzado)

Ethernet es la tecnologa de LAN ms popularmente utilizada actualmente. Ethernet es popular porque permite un buen equilibrio entre velocidad, costo y facilidad de instalacin. Estos puntos fuertes, combinados con la amplia aceptacin en el mercado y la habilidad de soportar virtualmente todos los protocolos de red populares, hacen a Ethernet la tecnologa ideal para la red de la mayora los usuarios de la informtica actual. Adhirindose a las normas de IEEE, los equipos y protocolos de red pueden interoperar eficazmente. Un sistema Ethernet dispone bsicamente de tres elementos: El medio fsico, que transporta las seales entre las mquinas. Un conjunto de reglas de acceso al medio fsico, incluidas en las Interfaces Ethernet, que permiten que varias mquinas puedan acceder al mismo medio sin necesidad de arbitrajes externos. Una trama Ethernet estandarizada. que consiste en una secuencia de bits

3.1.1 El medio fsico en Ethernet Ethernet admite cuatro tipos de medios fsicos cableados:

Cable Coaxial Grueso ("Thick wire" o "Thick Ethernet") (10BASE5) Cable Coaxial Fino ("Thin wire" o "Thin Ethernet") (10BASE2) Par Trenzado Sin Malla ("Unshielded Twisted Pair" o "UTP") para redes 10Base-T, 100Base-T, 1000Base-T y 10 GBase-T Fibra Optica ("Fiber optic") para redes 10Base-FL, 1000Base-X o para redes de Vnculos Inter-repetidores de Fibra Optica ("Fiber-Optic Interrepeater Link" o "FOIRL").

Esta amplia variedad de medios refleja la evolucin de Ethernet y tambin demuestra la flexibilidad de la tecnologa. Las primeras redes Ethernet funcionaban sobre cables coaxiales que recorran, formando un bus, cada una de las mquinas de la red.

Redes de Datos

Pgina 12

Redes Corporativas

Thickwire fue uno de los primeros sistemas de cableado coaxial utilizados en Ethernet pero era difcil de trabajar y caro. Este evolucion al cable coaxial fino, el cual es ms fcil de trabajar y ms barato. Sin embargo, una debilidad de las redes basadas en cables coaxiales fue la poca fiabilidad. Un problema en cualquier punto del cable afectaba a toda la red. Ms recientemente, se comenz a utilizar cable de cobre trenzado sin malla (UTP) y concentradores (hubs Ver 3.2). Hoy, los ms populares esquemas de cableado son realizados con cables UTP (pares trenzados sin malla), sobre los que se pueden soportar aplicaciones de hasta 10 Gb/s. Estos cables se clasifican en Categoras, de acuerdo al ancho de banda de los mismos. Un estudio detallado de estas Categoras y sus caractersticas puede verse en Cableado Estructurado [5] Para aplicaciones especializadas pueden utilizarse fibras pticas. El cable de fibra ptica es ms costoso, pero es insustituible para situaciones donde las emisiones electrnicas y los riesgos ambientales son un problema a tener en cuenta. El cable de fibra ptica es a menudo utilizado para aplicaciones inter-edificio para aislar equipamientos de red de daos elctricos ocasionados por descargas de rayos debido a que este no conduce electricidad. El cable de fibra ptica puede tambin ser til en reas donde hay gran interferencia electromagntica, como por ejemplo el piso de una fbrica. El estndar Ethernet permite segmentos de cable de fibra ptica de hasta 2 kilmetros de longitud, convirtiendo a la Ethernet por fibra ptica en la eleccin perfecta para conexin de nodos y edificios que de otro modo no seran alcanzables por medios de conductores de cobre. Ethernet tambin admite medios fsicos inalmbricos, como se ver en el captulo 3.5. 3.1.2 Reglas de acceso al medio fsico en Ethernet Cada mquina Ethernet opera en forma independiente del resto de las mquinas de la red. Ethernet no dispone de controladores centrales. Cada mquina en la red

Redes de Datos

Pgina 13

Redes Corporativas est conectada al mismo medio de transmisin compartido. Las seales Ethernet que genera cada mquina son transmitidas en forma serial, un bit a continuacin de otro, sobre el medio fsico compartido. Para enviar datos, las mquinas tratan de asegurarse que el medio fsico est libre (es decir, que ninguna otra mquina est transmitiendo bits). Para ello escuchan el medio fsico, y cuando entienden que est libre, transmiten los datos en la forma de una trama Ethernet. Luego de la transmisin de cada trama, todas las mquinas de la red compiten nuevamente por el medio para el envo de nuevas tramas. Esto asegura que el acceso al medio fsico es equitativo, y que ninguna mquina puede bloquear el acceso de las otras. Las reglas de acceso al medio fsico estn determinadas por una sub-capa de control de acceso al medio, llamada MAC (Medium access control). Las funciones de esta sub-capa estn generalmente incorporadas en las interfaces Ethernet de cada mquina. El mecanismo de control de acceso al medio est basado en un sistema denominado CSMA/CD (Carrier Sense Multiple Access with Collition Detection). Como se mencion, las mquinas de una red Ethernet envan paquetes cuando determinan que la red no est en uso. Esta determinacin se hace esperando un tiempo (cuya duracin es aleatoria) despus del ltimo paquete que se est transmitiendo en la red en ese momento. Transcurrido este tiempo, sin detectar actividad en el medio fsico, se determina que la red esta disponible para efectuar una transmisin. Sin embargo, es posible que dos mquinas en localizaciones fsicas distantes traten de enviar datos al mismo tiempo. Cuando ambas mquinas intentan transmitir un paquete a la red al mismo tiempo se produce una colisin. Este mecanismo puede asimilarse al que utilizamos los humanos al conversar: cada uno espera un tiempo (aleatorio) desde que el otro emiti la ltima palabra antes de determinar que termin de decir lo que quera y proceder entonces a contestar. Si por algn motivo erramos en la determinacin, hablaremos dos o ms al mismo tiempo, generando una colisin y deberemos detenernos y recomenzar. Minimizar las colisiones es un elemento crucial en el diseo y operacin de redes. El incremento de las colisiones es a menudo el resultado de demasiados usuarios en una red, lo que produce una notable disminucin en el ancho de banda efectivo de la red. Esto puede enlentecer la performance de la red desde el punto de vista de los usuarios. Segmentar la red en varios dominios de colisin, con un "bridge" o un "switch", es una manera de reducir una red superpoblada (Ver 3.3). El tamao mximo de una red Ethernet est determinada por el largo mnimo de una trama y la velocidad de la misma, debido a la necesidad de detectar colisiones. Se debe evitar que una mquina complete la transmisin de una trama antes de que el primer bit de dicha trama llegue hasta la mquina ms alejada de la red y eventualmente vuelva a la mquina de origen. Supongamos que la mquina A comienza a transmitir el primer bit de una trama en el tiempo 0, y que este bit tarda un tiempo en llegar a la mquina ms lejana B. Supongamos que casualmente la mquina B decide comenzar el envo de una trama justo antes de , digamos a un tiempo . Inmediatamente se producir una colisin, que ser detectada sin problemas por la mquina B, pero esta

Redes de Datos

Pgina 14

Redes Corporativas

colisin tardar otro tiempo en llegar hasta la mquina A. Es decir, la mquina A recibir la informacin de la colisin a un tiempo 2 desde el comienzo del envo del primer bit de su trama. Si la mquina A hubiera terminado el envo de su trama antes de 2 , no hubiera detectado esta colisin, y por lo tanto, hubiera asumido que la trama fue enviada correctamente. Dado que las tramas tienen un largo mnimo de 64 bytes, conociendo el tiempo de propagacin (teniendo en cuenta los posibles repetidores y sus retardos), puede calcularse la distancia mxima de una red Ethernet, segn la velocidad de transmisin de bits (en bits/s). Para 10 Mb/s, la distancia mxima es de 2.500 m (previendo 4 repetidores). 3.1.3 Trama Ethernet
SFD Prembulo S Dir Origen F D Dir Destino L Datos / Relleno FCS

46 1500

La estructura de la trama Ethernet se muestra en la figura. Comienza con 7 bytes de prembulo, que contienen los bits 10101010 como un patrn fijo. Dado que Ethernet utiliza codificacin Manchester, este patrn genera una onda cuadrada de 10 Mhz durante 5.6 s, lo que permite sincronizar los relojes de las mquinas receptoras con el reloj de la mquina que origina la trama. Luego del prembulo se transmite el byte 10101011, indicando el comienzo efectivo de la trama. La trama misma contiene la informacin de origen y destino. Las direcciones Ethernet consisten en 6 bytes, los primeros 3 correspondientes al fabricante del

Redes de Datos

Pgina 15

Redes Corporativas controlador Ethernet (excluyendo los 2 primeros bits, que estn reservados), y los ltimos 3 al nmero de dispositivo fabricado. Con 46 bits, hay aproximadamente 7 x1013 direcciones Ethernet posibles. La direccin consistente en todos los bits en 1 es reservada para difusin (broadcast). Una trama que contiene todos los bits en 1 en la direccin de destino es recibida y procesada por todas las mquinas de la red. El campo L indica la longitud del campo de datos, desde 0 a 1500. Dado que las tramas Ethernet deben tener como mnimo 64 bytes, desde el campo Direccin origen, si los datos a transmitir son menos de 46 bytes, se completan con relleno. El campo final FCS (Frame Check Sequence) es la suma de comprobacin, utilizada por el receptor para validar la ausencia de errores en la trama recibida.

3.2 Hubs
Como se indic en 3.1.1, las primeras redes Ethernet utilizaron cables coaxiales como medios fsicos, y luego evolucionaron a cables UTP (pares de cobre trenzados sin malla). Debido a los retardos y la atenuacin de las seales, fue necesario determinar longitudes mximas y cantidades mximas de mquinas en las redes coaxiales. Para que la red funcione correctamente, un segmento de cable coaxial fino puede tener hasta 185 metros de longitud y hasta 30 nodos o mquinas. Un segmento de cable coaxial grueso puede tener hasta 500 metros, y hasta 100 nodos o mquinas. Las redes coaxiales grandes requeran ampliar estas restricciones, para lo que se desarrollaron repetidores, capaces de conectar varios segmentos de la red. Los repetidores proporcionan la amplificacin y resincronizacin de las seales necesarias para conectar los segmentos entre s. Al poder conectar varios segmentos, permitimos a la red continuar creciendo, sin violar las restricciones de correcto funcionamiento.

Redes de Datos

Pgina 16

Redes Corporativas

Repetidor

Segmento 1

Segmento 2

Al utilizar cable UTP, cambi la topologa del cableado. Las redes coaxiales utilizaban una topologa de bus, dnde el cable coaxial recorra todas las mquinas de su segmento. Las redes UTP son siempre en estrella, por lo que es siempre necesario un concentrador que a su vez realice las funciones de repetidor. Este equipo se conoce habitualmente como Hub

Hub

UTP

En las redes Ethernet sobre UTP se disponen siempre de un enlace punto a punto, desde la mquina o PC hasta un Hub, formando por lo tanto una topologa en estrella, con el Hub en el centro de la misma. La funcin principal del Hub es la de repetir la seal que ingresa por cada una de sus puertas hacia todas las otras puertas, realizando por tanto la difusin que requiere Ethernet (y que se daba naturalmente en las topologas de bus sobre cables coaxiales). Adicionalmente, los Hubs tambin monitorizan el estado de los enlaces de las conexiones a sus puertas, para verificar que la red funciona correctamente (una

Redes de Datos

Pgina 17

Redes Corporativas puerta de un Hub puede tener conectada una mquina o un segmento proveniente de otro Hub). En las redes coaxiales, cuando algo falla en un determinado segmento (por ejemplo se produce una rotura en un cable o en un conector), todas las mquinas conectadas a ese segmento pueden quedar inoperantes. Los Hubs limitan el efecto de estos problemas, desconectando el puerto problemtico y permitiendo al resto seguir funcionando correctamente. La avera de un cable o conector en una red punto a punto, habitualmente, slo desactivar una mquina, lo que en una topologa de bus ocasionara la desactivacin de todos los nodos del segmento. Las recomendaciones IEEE 802.3 describen las reglas para el nmero mximo de repetidores (Hubs) que pueden ser usados en una configuracin. El nmero mximo de repetidores (Hubs) que pueden encontrarse en el camino de transmisin entre dos mquinas es de cuatro; el mximo nmero de segmentos de red entre dos mquinas es cinco, con la restriccin adicional de que no ms de tres de esos cinco segmentos pueden tener otras estaciones de red conectadas a ellos (los otros segmentos deben de ser enlaces entre repetidores, que simplemente conectan repetidores). Estas reglas son determinadas por clculos de las mximas longitudes de cables y retardos de repetidores. Las redes que las incumplen puede que an funcionen, pero estn sujetas a fallos espordicos o problemas frecuentes de naturaleza indeterminada. Adems, usando repetidores, simplemente extendemos la red a un tamao mayor. Cuando esto ocurre, el ancho de banda de la red puede resultar un problema; en este caso, los switches (conmutadores) pueden usarse para particionar una gran red en segmentos ms pequeos que operan ms eficazmente (Ver 3.3). Lo ms importante a resaltar sobre los Hubs es que slo permiten a los usuarios compartir Ethernet, es decir, implementar un medio fsico. Una red que utiliza Hubs es denominada "Ethernet compartida", lo que implica que todos los miembros de la red compiten por el uso del medio, formando por lo tanto un nico dominio de colisin. Cuando una mquina debe enviar una trama de datos a otra,

1
HUB

1
HUB

1 1

la misma es recibida por el Hub en una de sus puertas, y retransmitida a todas las otras puertas. Los Hubs no interpretan el contenido de las tramas. Trabajan a nivel elctrico (fsico), regenerando las seales y retransmitindolas.

Redes de Datos

Pgina 18

Redes Corporativas

3.3 Bridges
La funcin de los Bridges (puentes) es interconectar redes de distintas tecnologas. Los bridges pueden conectar entre si tipos de redes diferentes (como por ejemplo Ethernet con Fast Ethernet, Ethernet con Token Ring, etc.). Para ello, deben interpretar la trama que reciben por una de sus puertas y traducirla al formato adecuado de la puerta de salida. Por lo tanto, los Bridges debe trabajar a nivel de la Capa 2 o Capa de Enlace.

3.4 Switches
3.4.1 Introduccin a los Switches Como se mencion en 3.2, los Hubs son concentradores y repetidores, que trabajan a nivel de la capa fsica, regenerando la seal que reciben por una de sus puertas y retransmitindola por todas las otras puertas. Sin embargo, cuando las redes comienzan a crecer, la probabilidad de colisiones tambin crece, generando ms retransmisiones, y por lo tanto degradando la performance general de la red. Para solucionar, o por lo menos disminuir este problema, pueden utilizarse Switches o Conmutadores. Los Switches son dispositivos que analizan las tramas Ethernet, y la envan a la puerta adecuada de acuerdo a la direccin de destino. A diferencia de los Hubs, que trabajan a nivel de la Capa 1 (capa fsica), los switches trabajan a nivel de la Capa 2 (capa de enlace).

2
SWITCH

2
SWITCH

3
Esto permite que varias mquinas puedan estar enviando tramas a la vez, y no existan colisiones. Para que esto sea posible, los switches deben conocer las direcciones de enlace (conocidas como direcciones MAC en Ethernet) conectadas a cada uno de sus puertos. La mayora de los switches aprenden de manera automtica las direcciones MAC conectadas a cada puerto en forma automtica. Simplemente,

Redes de Datos

Pgina 19

Redes Corporativas cuando reciben una trama por una puerta, obtienen la direccin de origen y la asocian a la puerta por la que se recibi la trama. Si por una puerta reciben una trama dirigida a una direccin MAC destino desconocida, envan la trama por todos los puertos (como lo hara un Hub). Cuando la mquina de destino responda, el switch aprender en que puerta se encuentra su direccin y las prximas tramas sern enviadas nicamente a esa puerta. Dado que una puerta de un switch puede estar conectado a otro switch o hub, es posible que una misma puerta est asociada a un conjunto de direcciones MAC. Los switches habitualmente pueden almacenar varios cientos o miles de direcciones MAC por puerta. Los paquetes del tipo Broadcast son enviados a todas las puertas del switch. Los switches tienen bsicamente dos mecanismos de funcionamiento: "store and forward" (almacenar y remitir) y "cut through" (cortar y atravesar): Store and Forward: Esta mecanismo de trabajo consiste en recibir por una puerta una trama completa, para luego analizarla y retransmitirla. Cut through: Dado que la direccin de destino se encuentra al comienzo de la trama (ver 3.1.3), este modo de trabajo consiste en analizar nicamente los primeros bytes de la trama, hasta obtener la direccin de destino, e inmediatamente comenzar a retransmitir la trama.

El mtodo Cut through parece a priori ms rpido, ya que no espera la recepcin completa de la trama para luego retransmitirla. Sin embargo, este mtodo no puede validar que la trama recibida sea correcta (ya que comienza a enviarla antes de recibirla en su totalidad). Si la trama recibida tuviera errores (o existieran colisiones en el segmento de red conectado a la puerta del switch por el que ingresa la trama), stos errores se propagarn a la puerta de salida del switch. Por el contrario, el mtodo Store and Forward puede detectar los errores o colisiones en las tramas de entrada, y descartarlas antes de enviarlas a la puerta de salida. Muchos switches pueden trabajar con ambos mtodos, y el administrador de red puede decidir cual es el mejor en cada caso. Muchos de los switches disponibles en el mercado tienen, en el mismo equipo, puertas Ethernet, Fast Ethernet y/o Gigabit Ethernet, sobre UTP o sobre Fibra ptica, por lo que realizan implcitamente funciones de Bridges (o puentes). 3.4.2 Spanning Tree Un potencial problema que se presenta al implementar una red con Hubs y Switches es la posibilidad de crear bucles o loops entre ellos. Pongamos por ejemplo una red como la que se muestra en la figura y veamos como se comporta: 1. Supongamos que luego del encendido inicial de los swtiches A, B y C, la Mquina 1 enva una trama dirigida a la mquina 2 2. El Switch A recibe la trama y registra la direccin de origen (direccin MAC de la Mquina 1) en su tabla de direcciones, asocindola al puerto

Redes de Datos

Pgina 20

Redes Corporativas correspondiente (el superior en la figura). Luego analiza la direccin MAC de destino, y al no encontrarla en sus tablas (se supone que el switch acaba de ser inicializado) difunde las tramas por todas sus puertas, y en particular, hacia la LAN 2

Mquina 1

LAN 1

Switch A LAN 2

Switch B

Switch C LAN 3

Mquina 2

3. En la LAN 2, la trama es recibida por el Switch B y por el Switch C. Ambos switches registran la direccin MAC de la mquina 1 en sus puertas superiores, comparan la direccin de destino con sus tablas, y al no encontrarla, difunden la trama por todas sus puertas, y en particular por las puertas conectadas a la LAN 3. Esto resulta en que dos tramas idnticas son enviadas a la LAN 3. 4. La trama enviada a la LAN 3 por el switch B es recibida por la Mquina 2, pero tambin por el Switch C. El Switch C al recibir la trama, inspecciona la direccin de origen, y encuentra que la tena asignada a la puerta superior. Entiende que la Mquina 1 cambi de lugar, y actualiza sus tablas, asociando la direccin de la Mquina 1 al puerto inferior (LAN 3). Por otra parte, la direccin de destino de la trama, correspondiente a la Mquina 2 an es desconocida por el Switch C, por lo que enva la trama nuevamente a la LAN 2. 5. Si el Switch B es ms lento que el Switch C, puede recibir la trama nuevamente por su puerta superior (LAN 2) y reenviarla nuevamente a la LAN 3, quedando por tanto la trama en bucle.

Redes de Datos

Pgina 21

Redes Corporativas 6. Si el Switch B realiz el mismo proceso que el Switch C antes de recibir la trama por la LAN 2, habr asociado, al igual que el Switch B, la direccin de la Mquina 1 como perteneciente a la LAN 3. Cuando la Mquina 2 responda, ambos switches entendern que la direccin de la Mquina 1 corresponde a la LAN 3 y descartarn la trama. Como se explic, si existen bucles en la interconexin de switches, una trama puede quedar atrapada eternamente en un bucle, degradando completamente la performance de la red, o pueden descartarse tramas, imposibilitando la comunicacin. Para evitar esta situacin, se ha desarrollado un algoritmo conocido como Spanning Tree, que se ha estandarizado en la Recomendacin IEEE 802.1d [6]. La idea de este algoritmo es bloquear los enlaces que cierran los bucles, dejando a la red siempre con una topologa del tipo rbol, y asegurar de esta manera que no existan bucles. El algoritmo reevala peridicamente que enlaces hay que bloquear o rehabilitar para tener acceso a todos los equipos sin crear bucles. Por ello, utilizando adecuadamente el algoritmo Spanning Tree es posible armar explcitamente configuraciones en bucle que permitan tener enlaces de respaldo en caso de falla en los enlaces principales. Dado que el algoritmo permite valorar los enlaces con pesos, cuando existen bucles es posible configurar a priori que enlaces sern los principales y que enlaces quedarn bloqueados. 3.4.3 VLANs Como se mencion en 3.4, los switches mejoran la performance de las redes enviando las tramas nicamente a las puertas dnde se encuentra el destino de la misma. Sin embargo, los mensajes de difusin (broadcast) son enviadas a todas las puertas, ya que deben ser recibidos por todas las mquinas de la misma red. A veces es deseable limitar el alcance de los mensajes de difusin (broadcast), y por lo tanto, la red. Las VLANs (Virtual LANs, o redes LAN virtuales) permiten utilizar los mismos medios fsicos para formar varias redes independientes, a nivel de la capa 2. Un mismo conjunto de switches pueden implementar, utilizando VLANs, varias redes LAN independientes. Los criterios para formar las VLAN pueden ser varios. Entre los ms comunes se encuentran: VLAN por puertos: Los puertos de los switches se agrupan en VLANs. De esta manera, las mquinas conectadas a un puerto nicamente ven a las mquinas que estn conectadas a puertos de la misma VLAN VLAN por direcciones MAC: Las direcciones MAC se agrupan en VLAN. De esta manera, se pude restringir la red nicamente a ciertas direcciones MAC, independientemente de en que puerto de los switches se conecten. VLAN por protocolo: Algunos switches que soportan VLAN pueden inspeccionar datos de la capa 3, como el protocolo utilizado, y formar redes independientes segn estos protocolos

Redes de Datos

Pgina 22

Redes Corporativas VLAN por direcciones IP: Las direcciones IP (de capa 3) pueden ser ledas por los switches, y pueden formarse redes independientes con ciertos conjuntos de direcciones IP

Cuando se dispone de un nico switch, la implementacin de las VLANs es sencilla, ya que todas las reglas se manejan dentro del mismo switch. Sin embargo, qu sucede si una mquina de una VLAN debe comunicarse con otra mquina de la misma VLAN, pero conectada a otro switch? La informacin de la VLAN de origen, debe viajar , junto con la trama, hasta el otro switch. Para esto, se ha estandarizado la recomendacin IEEE 802.1q [7], que permite transmitir en las tramas Ethernet la informacin de VLAN. Conceptualmente es simple: se agregan a la trama Ethernet 4 bytes. La figura muestra una trama Ethernet normal y una trama Ethernet 802.1q:

SFD Prembulo S Dir Origen F D Dir Destino L Datos / Relleno FCS

46 1500

SFD Prembulo S Dir Origen F D Dir Destino L


T P I T A G

Datos / Relleno

FCS

46 1500

Como puede observarse, se agregan 4 bytes: los primeros 2, llamados TPI, son fijos e identifican a la trama como una trama 802.1q. Los segundos 2 bytes, llamados TAG se interpretan como 3 conjuntos de bits, de longitud 3 bits, 1 bit y 12 bits respectivamente:

Redes de Datos

Pgina 23

Redes Corporativas

TAG CFI P R
3 1

VLAN ID

12

Los primeros 3 bits del TAG indican la prioridad de la trama, de acuerdo a la recomendacin IEEE 802.1p [8] (es de hacer notar que el cabezal de 802.1q contiene la marca de priorizacin 802.1p, por lo que es necesario disponer de 802.1q para interpretar 802.1p). El cuarto bit, llamado CFI (Canonical Format Indicator), indica el orden de los bits (en formato cannico o no cannico). Los ltimos 12 bits indican la VLAN a la cual pertenece la trama. Estos 12 bits permiten tener, por lo tanto hasta 4096 VLANs De esta manera, las tramas intercambiadas entre switches pueden contener informacin de VLAN. 3.4.4 Routing Switches (Switches de capa 3) Los switches, como se vio anteriormente, son esencialmente bridges multipuerto que aprenden automticamente que direcciones MAC tienen conectadas a cada puerta. Las tramas que ingresan a un switch, en vez de ser propagadas a todas sus puertas, son enviadas nicamente a la puerta dnde se encuentra la direccin de destino de la trama de entrada. Los switches mejoran la eficiencia de la red, ya que pueden soportar transmisiones simultneas, siempre que no involucren las mismas puertas. Sin embargo, los mensajes de difusin (broadcast) son enviados por los switches a todas sus puertas, de la misma manera que las tramas que tienen direccin MAC de destino desconocida. En la mayora de los casos, el nmero de mquinas conectadas a una red switcheada puede ser mayor al nmero de mquinas conectadas a una red no switcheada (consistente en hubs), pero los dominios de broadcast, an con switches, continan siendo una restriccin a la cantidad de mquinas de una LAN. Para solucionar este problema, se desarrollaron las VLANs, que separan totalmente los dominios de broadcast. Las mquinas pueden ser asignadas a una VLAN de acuerdo al puerto fsico del switch a la que est conectada, de acuerdo al protocolo de capa 3, de acuerdo a su direccin MAC o direccin IP, etc. Las VLAN por direcciones MAC facilitan los problemas de mudanzas, mientras que las VLAN por protocolo limitan el impacto de los broadcast generados por ciertos protocolos.

Redes de Datos

Pgina 24

Redes Corporativas Sin embargo, las VLAN limitan los dominios de broadcast separando completamente las redes. En muchos casos, si bien es deseable limitar los broadcast, tambin es deseable poder mantener comunicaciones entre mquinas de distintas VLANs. La solucin a este problema es utilizar equipos ruteadores, que analicen ms all de la capa 2 (llegando a la capa 3 o capa de red), y en base a tablas de ruteo, puedan enviar trfico entre diferentes VLANs. Realizar esta tarea con ruteadores clsicos (Ver 5.3) es lento a nivel de

desempeo y costoso econmicamente. Por esta razn se han desarrollado los equipos llamados Routing Switches, o Switches de capa 3. Tradicionalmente, el proceso de ruteo (a nivel de las direcciones de capa 3, por ejemplo, direcciones IP), es realizado por software, corriendo en uno o varios procesadores relativamente lentos, incluidos en los ruteadores (routers) tradicionales. En contraste, los routing switches pueden realizar ruteo IP (o IPX en algunos casos) en hardware especializado, y a la velocidad del cable, es decir, a la misma velocidad entrada de los datos (10, 100, 1000 Mb/s). En suma, los routing switches son equipos que permiten switchear (analizar a nivel de capa 2) o rutear (analizar a nivel de capa 3) las tramas y paquetes que reciben. Permiten por tanto, separar dominios de broadcast y a su vez permitir comunicaciones entre mquinas de distintos dominios. Su administracin se asemeja a la de un router tradicional (Ver 5.3), pero con la ventaja de ser sumamente rpido (a la velocidad del cable).

Redes de Datos

Pgina 25

Redes Corporativas

3.5 Redes inalmbricas (Wireless LAN)


3.5.1 Introduccin e historia Cuando es necesario disponer de movilidad en las comunicaciones, depender de un enlace fsico como es un cable (en cualquiera de sus modalidades) supone una seria restriccin. Para evitar esto, las conexiones inalmbricas se convierten en una buena alternativa. Desde hace algunos aos, el potencial de esta clase de redes hizo que aparecieran los primeros sistemas que utilizaban ondas de radio para interconectar ordenadores. Estos primeros sistemas inalmbricos eran dependientes de su fabricante en cuanto a implantacin y conectividad, lentos (con velocidades de 1,5 Mb/s) y concebidos para cubrir un reducido grupo de aplicaciones. Pero con el desarrollo tecnolgico alcanzado en el transcurso de estos ltimos aos, han ido apareciendo nuevas soluciones ampliamente estandarizadas y funcionales, en la que se pueden comunicar sistemas informticos y dispositivos de diversa naturaleza y capacidades mediante la tecnologa inalmbrica basados en la emisin de ondas de radio o de luz infrarroja. Los primeros avances en redes de datos inalmbricas datan de fines de 1970, cuando en los laboratorios de IBM de Suiza se publican las primeras ideas de una red de datos inalmbrica basada en luz infrarroja, pensada para plantas industriales. Sobre la misma fecha, en los laboratorios de investigacin de HP en Palo Alto, California, se desarroll una red inalmbrica de 100 kb/s, que operaba en la banda de los 900 MHz. Este proyecto se desarroll bajo un acuerdo con la FCC para poder utilizar estas frecuencias de manera experimental. Sobre mitad de la dcada de 1980, quedaba claro que las redes inalmbricas necesitaran un ancho de banda de varias decenas de MHz. Todas las bandas, en esa poca, eran licenciadas y el mercado potencial de las redes WLAN no prometa grandes retornos inmediatos en las inversiones, lo que desestimulaba la inversin en estas tecnologas al tener que pagar costosas licencias reguladas por la FCC en Estados Unidos. Finalmente, en mayo de 1985, la FCC decidi liberar algunas bandas de frecuencias no licenciadas, las que dio a conocer como Bandas ISM (Industrial, Scientific and Medical band). Estas fueron las primeras bandas de frecuencia no licenciadas para desarrollos de productos comerciales, y jugaron un papel fundamental en el desarrollo de las WLANs. Se definieron 3 bandas ISM no licenciadas: 902 a 928 MHz, 2.4 a 2.4835 GHz y 5.725 a 5.850 GHz. Las tcnicas de modulacin deben ser del tipo spread spectrum, para minimizar la interferencia entre sistemas cercanos que utilicen las mismas bandas. Las potencias mximas estn tambin reguladas. Mas adelante, en 1997, la FCC liber nuevas bandas no licenciadas, conocidas como U-NII (Unilcensed Nacional Information Infrastructure), con las siguientes frecuencias: 5.15 a 5.25 GHz, restringida a aplicaciones internas, 5.25 a 5.35 GHz para utilizacin en Campus y 5.725 a 5.825 GHz para redes comunitarias.

Redes de Datos

Pgina 26

Redes Corporativas Los primeros esfuerzos en estandarizacin de las redes WLAN datan de 1987, cuando la IEEE designa el grupo 802.4L para estudiar el tema. Este grupo perteneca al IEEE 802.4 de token bus. En 1990 el grupo 802.4L fue renombrado como IEEE 802.11, pasando a tener la categora de un estndar independiente. En 1999 la IEEE public el primer estndar para redes de datos inalmbricas, la Recomendacin IEEE 802.11 [9]. Esta recomendacin define la sub-capa MAC y la capa fsica (PHY) para las redes inalmbricas. Desde su publicacin inicial, varios grupos de trabajo la han ampliado, en las recomendaciones 802.11a, 802.11b, etc. Las principales se detallan a continuacin [10].
Recomendacin 802.11 802.11a 802.11b 802.11b Cor1 802.11d 802.11f 802.11g 802.11h 802.11i 802.11j 802.11e Ao 1999 1999 1999 2001 2001 2003 2003 2003 2004 2004 2005 Descripcin Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications Amendment 1: High-speed Physical Layer in the 5 GHz band Higher speed Physical Layer (PHY) extension in the 2.4 GHz band Higher-speed Physical Layer (PHY) extension in the 2.4 GHz bandCorrigendum1 Specification for Operation in Additional Regulartory Domains Recommended Practice for Multi-Vendor Access Point Interoperability via an Inter-Access Point Protocol Across Distribution Systems Supporting IEEE 802.11 Operation Further Higher-Speed Physical Layer Extension in the 2.4 GHz Band Spectrum and Transmit Power Management Extensions in the 5GHz band in Europe Medium Access Control (MAC) Security Enhancements 4.9 GHz5 GHz Operation in Japan Medium Access Control (MAC) Quality of Service Enhancements

Las redes WLAN se diferencian de las convencionales principalmente en la capa fsica y en la capa de enlace de datos, segn el modelo de referencia OSI. La capa Fsica (PHY) indica cmo son enviados los bits de una estacin a otra. La capa de Enlace de Datos y de control de acceso al medio (MAC) se encarga de describir cmo se empaquetan y verifican los bits de manera que no tengan errores. La recomendacin 802.11a [11] estandariza la operacin de las WLAN en la banda de los 5 GHz, con velocidades de datos de hasta 54 Mb/s. La recomendacin 802.11b [12], tambin conocida con WiFi, estandariza la operacin de las WLAN en la bada de los 2.4 GHz, con velocidades de datos de hasta 11 Mb/s. Esta recomendacin ha sido particularmente exitosa, y existen en el mercado diversos productos que la cumplen. La recomendacin 802.11g [13], estandariza la operacin de las WLAN con velocidades de datos de hasta 54 Mb/s. Utiliza la misma banda de 2.4 GHz que la

Redes de Datos

Pgina 27

Redes Corporativas 802.11b, lo que permite que los dispositivos puedan operar en ambas normas. 802.11g utiliza OFDM (orthogonal frequency division multiplexing) 3.5.2 Arquitectura de 802.11 Las redes 802.11 (WLAN) estn basadas en una arquitectura del tipo celular, dnde el sistema se subdivide en celdas o clulas. Cada celda (llamada BSA = Basic Service Area) se corresponde con el rea de cobertura de una estacin base o punto de acceso (AP = Access Point). El conjunto de terminales o dispositivos controlados por un AP se conoce como BSS = Basic Service Set. Una WLAN puede estar formada por una nica celda, conteniendo un nico punto de acceso AP (y como veremos ms adelante podra funcionar incluso sin ningn AP), o por un conjunto de celdas cada una con su punto de acceso, los que a su vez se interconectan entre s a travs de un backbone, llamado sistema de distribucin (DS = Distribution System). Este backbone es tpicamente Ethernet, generalmente cableado, pero en algunos casos puede ser tambin inalmbrico. El conjunto de terminales inalmbricos contenido dentro de varias DSA se conoce como ESS = Extended Service Set. La WLAN completa (incluyendo las diferentes celdas, sus respectivos AP y el DS) es vista como una nica red 802 hacia las capas superiores del modelo OSI. La siguiente figura ilustra una red 802.11 tpica, incluyendo los elementos descritos anteriormente.

Redes de Datos

Pgina 28

Redes Corporativas

BSA

DS

AP

AP

El Access Point (AP) acta como bridge, convirtiendo las capas MAC y PHY de 802.11 a las MAC y PHY del DS, tpicamente Ethernet 802.3, como se muestra en la siguiente figura

AP

LLC Relay 802.11 MAC 802.11 PHY Wireless 802.11 MAC 802.11 PHY 802.3 MAC 802.3 PHY Ethernet LAN

Redes de Datos

Pgina 29

Redes Corporativas La recomendacin 802.11 admite dos modos de operacin Infraestructure Mode: Consiste en disponer por lo menos de un AP (punto de acceso) conectado al DS (Sistema de Distribucin) Ad Hoc Mode: Las mquinas se comunican directamente entre s, sin disponer de AP (puntos de acceso) en la red. Dado que no hay AP, todas las mquinas de una red en este modo de operacin deben estar dentro del rango de alcance de todas las otras.

3.5.3 Modelo de capas en IEEE 802.11 En IEEE 802.11 fue necesario subdividir el modelo de capas de los otros estndares IEEE 802, a los efectos de simplificar el proceso de especificacin. La siguiente figura representa el modelo de capas de IEEE 802.11 [14]: Capa de Enlace Subcapa MAC MAC (Medium Access Control) MAC Management Station Management LLC (Logical Link Control)

Capa Fsica

PLCP (PHY Layer Convergence Protocol) Dependent) PMD (PHY Medium Dependent)

PHY Management

La subcapa MAC es dividide, a su vez, en otras dos subcapas La subcapa MAC es responsable del mecanismo de acceso y la fragmentacin de los paquetes. La subcapa de gerenciamineto de MAC (MAC Management) se encarga de administrar las actividades de Roaming dentro del ESS, la energa, y los procesos de asociacin y disociacin durante la registracin.

La capa fsica se divide en tres subcapas:

Redes de Datos

Pgina 30

Redes Corporativas La subcapa PLCP (PHY Layer Convergence Protocol) se encarga de evaluar la deteccin de portadora y de formar los paquetes para los diversos tipos de capas fsicas La subcapa PMD (PHY Medium dependent) especifica las tcnicas de modulacin y codificacin La subcapa PHY Management determina ajustes de diferentes opciones de cada capa PHY.

Adicionalmente se especifica una capa de administracin de terminal (Station Management) responsable de coordinar las interacciones entre las capas MAC y PHY. 3.5.3.1 Capa fsica de 802.11 Cuando un paquete arriba a la subcapa PLCP desde la capa superior, se le adiciona un encabezado, el que depende del tipo de transmisin a utilizar en la capa PMD. Luego el paquete es transmitido por la capa PMD, de acuerdo a lo especificado en las tcnicas de sealizacin. La recomendacin 802.11 original fue especificada para trabajar a 1 y 2 Mb/s, en la banda de los 2.4 GHz, utilizando tcnicas FHSS (Frequency Hopping Spread Spectrum), DSSS (Direct Sequence Spread Spectrum) o DFIR (Diffused Infrared) 3.5.3.1.1 FHSS La tcnica FHSS (Frequency Hopping Spread Spectrum) consiste en modular la seal a transmitir con una portadora que salta de frecuencia en frecuencia, dentro del ancho de la banda asignada, en funcin del tiempo. El cambio peridico de frecuencia de la portadora reduce la interferencia producida por otra seal originada por un sistema de banda estrecha, afectando solo si ambas seales se transmiten en la misma frecuencia en el mismo momento. Un patrn de saltos determina las frecuencias de la portadora en cada momento. Para recibir correctamente la seal, el receptor debe conocer el patrn de saltos del emisor, y sincronizarse con ste, de manera de sintonizar la frecuencia correcta en el momento correcto. La recomendacin IEEE 802.11 especifica 79 frecuencias, separadas por 1 MHz para Norteamrica y Europa (excluyendo Francia y Espaa), 23 para Japn, 35 para Francia y 27 para Espaa. Estas frecuencias estn divididas en tres patrones de saltos no superpuestos. Por ejemplo, para Norteamrica y la mayor parte de Europa, estos patrones corresponden a las frecuencias 2.402 MHz + (0,3,6,9,... 75 MHz), (1,4,7,10,... 76 MHz) y (2,5,8,1,... 77 MHz) respectivamente. Esto permite que hasta tres sistemas puedan coexistir en la misma zona sin interferencias mutuas. La tcnica de modulacin utilizada es GFSK (Gaussian Frequency Shift Keying). La modulacin digital FSK (Frequency Shift Keying) consiste en modular en FM la

Redes de Datos

Pgina 31

Redes Corporativas banda base digital, lo que se traduce en una seal modulada de dos frecuencias (una correspondiente al bit 0 y otra correspondiente al bit 1). Esta tcnica de modulacin genera saltos instantneos de frecuencia en la seal modulada, lo que se traduce en un espectro ms amplio, y puede producir problemas debido a las no linealidades de los componentes utilizados. Para evitar estos problemas, se desarroll la modulacin GFSK, haciendo pasar la seal digital de banda base por un filtro gausiano antes de ingresar al modulador de FM. Este filtro suaviza las transiciones entre ceros y unos, generando una seal modulada sin saltos abruptos de frecuencias. Para 1 Mb/s se utilizan dos niveles en la modulacin GFSK y para 2 Mb/s se utilizan 4 niveles, codificando 2 bits en cada smbolo. Una trama IEEE 802.11 modulada con FHSS tiene la siguiente estructura:
PLCP (siempre a 1 Mb/s) SYNC SFD PLW PSF CRC Datos (1 o 2 Mb/s) Datos (MPDU, scrambleados)

80

16

12

16

< 4.096 bytes

La trama comienza con un prembulo, consistente en una secuencia de sincronismo (SYNC) de 80 bits de 1s y 0s alternados. Esta secuencia es utilizada por el receptor para sincronizarse con el transmisor. Contina con un patrn fijo de bits (SFD = Start Frame Delimter = 0000110010111101) que indica el comienzo efectivo de la trama. El largo de la trama se codifica con 12 bits (PLW = Packet Lenght Width), admitiendo por tanto hasta 212= 4.096 bytes. La velocidad de transmisin se codifica en el campo PSF = Packet Signalling Field. Finalmente, el cabezal PLCP tiene 16 bits de correccin de errores (CRC). La sobrecarga total del cabezal es menos del 0.4% del largo mximo de datos permitidos. 3.5.3.1.2 DSSS La tcnica DSSS (Direct Sequence Spread Spectrum) codifica cada bit con una secuencia predeterminada de bits de mayor velocidad, generando una nueva seal banda base, pero de mucha mayor velocidad que la seal original. Esta nueva seal banda base es modulada con tcnicas tradicionales. Los bits o pulsos de la nueva seal banda base se conocen como chips o trozos. La siguiente figura esquematiza el proceso de generacin de la nueva seal banda base.

Redes de Datos

Pgina 32

Redes Corporativas

Bit de datos

Bit expandido (Spread)

t Chip

En el receptor, los chips recibidos son de-modulados, con tcnicas tradicionales, y luego pasados por un decodificador, el que implementa una correlacin entre la secuencia conocida de los chips y la seal recibida. Si la correlacin es alta, se asume que se ha recibido el bit codificado. La recomendacin IEEE 802.11 utiliza un cdigo Barker, de largo 11, con la siguiente secuencia: (1,1,1,-1,-1,-1,1,-1,-1,1,-1). Esta modulacin ocupa aproximadamente 26 MHz. La tcnica de modulacin utilizada es DBPSK (Differential Binary Phase Shift Keying) para 1 Mb/s y DQPSK (Differential Quadratue Phase Shift Keying) para 2 Mb/s, las que envan uno o dos bits por smbolo respectivamente. Las tcnicas DPSK son una variante de las tcnicas PSK (modulacin por cambio de fase), en las que el receptor no necesita sincronizarse en fase con el transmisor. La idea detrs de esta modulacin se centra en utilizar la seal portador de un bit recibido como referencia para detectar el bit siguiente. Para que esto sea posible, los bits son codificados de manera diferencial, enviando siempre el XOR del bit a transmitir con el anterior. De esta manera, la diferencia de fases recibida representa el resultado del XOR con el bit anterior. La tcnica DSSS es ms difcil de implementar que la FHSS, ya que requiere velocidades de muestro 11 veces mayores que la de transmisin de bits. Como contrapartida, tiene mejor alcance que FHSS. La estructura de una trama IEEE 802.11 modulada con DSSS difiere de la FHSS:
PLCP (siempre a 1 Mb/s) SYNC SFD Signal Service Length FCS Datos (1 o 2 Mb/s) Datos (MPDU, sin scramblear)

128

16

16

Redes de Datos

Pgina 33

Redes Corporativas La trama comienza con un prembulo, consistente en una secuencia de sincronismo (SYNC) de 128 bits de 1s y 0s alternados. Esta secuencia es utilizada por el receptor para sincronizarse con el transmisor. Contina con un patrn fijo de bits (SFD = Start Frame Delimter =1111001110100000) que indica el comienzo efectivo de la trama. La velocidad de transmisin se codifica en el campo Signal. El campo Service est reservado para usos futuros (y no existe en FHSS). El largo de la trama se codifica con 16 bits (Length), e indica la duracin de los datos en microsegundos. Finalmente, el cabezal PLCP tiene 8 bits de correccin de errores (FCS). En la recomendacin IEEE 802.11, la banda ISM de 2.4 GHz es dividida en 14 canales solapados, espaciados 5 MHz, para permitir la coexistencia de varios sistemas en el mismo rea. Cada canal ocupa, aproximadamente, un ancho de bada de 22 MHz (a +/- 11 MHz de la frecuencia central, la seal debe tener una atenuacin de 30 dB). Los canales que se encuentran efectivamente disponibles pueden variar segn las recomendaciones locales de cada pas. En Estados Unidos, la FCC permite nicamente los canales 1 a 11. En Europa estn admitidos los canales 1 a 13. Japn admite el canal 14. La siguiente tabla resume los canales y frecuencias utilizados tal como se definen en IEEE 802.11:
Canal Frecuencia central (GHz) 1 2 3 4 5 6 7 8 9 10 11 12 13 14 2.412 2.417 2.422 2.427 2.432 2.437 2.442 2.447 2.452 2.457 2.462 2.467 2.472 2.484 Estados Unidos X X X X X X X X X X X Europa (ETSI) X X X X X X X X X X X X X Espaa Francia Japn Resto del Mundo X X X X X X X X X X X X X -

X X -

X X X X -

La siguiente figura ilustra la tabla anterior [15]:

Redes de Datos

Pgina 34

Redes Corporativas

3.5.3.1.3 IEEE 802.11b La recomendacin 802.11b es una extensin de la recomendacin original y trabaja, adems de a 1 y 2 Mb/s, tambin a 5.5 y 11 Mb/s. Se dise de tal manera que ocupe bsicamente la misma porcin de espectro que en la 802.11, basndose en que en la modulacin DSSS de la recomendacin 802.11 de 1 Mb/s se utiliza un cdigo Barker, de largo 11, obteniendo de hecho una seal de 11 Mb/s de velocidad. La modulacin en 802.11b utiliza una tecnologa conocida como CCK (Complementary Code Keying) con modulacin QPSK (Quadrature Phase Shift Keying) y tecnologa DSSS (Direct-Sequence Spread Spectrum). CCK provee un mecanismo para incrementar la eficiencia del ancho de banda en un sistema de espectro extendido (spread spectrum). Esta tcnica agrupa los bits de entrada en bytes (8 bits), equivalentes a 256 posibles smbolos. Si la velocidad de los datos de entrada es 11 Mb/s, se obtiene una velocidad de smbolos de 11/8 = 1.375 Msimbolos/s. Cada uno de estos smbolos es codificado a su vez con una secuencia de 8 nuevos smbolos, cada uno de los cuales puede tener 4 valores. Estos ltimos son modulados con QPSK (4 posibles fases). Como hay 4 posibles valores para cada uno de los 8 smbolos a modular, existen por lo tanto 48= 65.536 posibles smbolos para codificar 256 valores. Esto permite elegir 256 smbolos que sean ortogonales entre s, de manera que el receptor pueda tomar los 8 smbolos y fcilmente determinar a que conjunto vlido corresponden (por ejemplo, calculando la correlacin con las 256 smbolos posibles). Las fases de cada uno de los 8 smbolos a modular se obtienen mediante un algoritmo que utiliza parejas de bits de entrada y los mapea en 4 fases (1, 2, 3,

Redes de Datos

Pgina 35

Redes Corporativas 4), que puedan tomar los valores (0, , /2, -/2). De esta manera, si los bits de entrada se definen como (d7, d6, d5, d4, d3, d2, d1, d0), los bits (d1, d0), determinan la fase 1: d1d0 00 01 11 10 1 0 /2 -/2

De manera similar, los bits (d3, d2) determinan la fase 2 , y as sucesivamente. Con estos valores se calculan las fases de cada uno de los 8 smbolos, segn la siguiente ecuacin:

donde cn corresponde a la fase del smbolo n Por ejemplo, si se tiene en la entrada la secuencia de bits (1,0,1,1,0,1,0,1), se obtendr una secuencia de smbolos con las siguientes fases: (1,-1, j, j, -j, j,-1,-1) [16]. IEEE 802.11b utiliza los mismos canales que la recomendacin IEEE 802.11 original. En Ammendant 2 [17] se agregan, para Japn, los canales 1 a 13, completando para este pas los 14 canales disponibles.
.

La recomendacin 802.11b soporta cambios de velocidad dinmicos, para poder ajustarse automticamente a condiciones ruidosas. Esto significa que los dispositivos de una WLAN 802.11b ajustarn automticamente sus velocidades a 11, 5.5, 2 o 1 Mb/s de acuerdo a las condiciones de ruido. Las velocidades y modulaciones utilizadas se resumen en la siguiente tabla:
Velocidad (Mb/s) 1 2 5.5 11 DSSS DSSS CCK CCK Modulacin Comentario Mandatorio Mandatorio Mandatorio Mandatorio

3.5.3.1.4 IEEE 802.11a La recomendacin 802.11a es una extensin de la 802.11, y trabaja hasta 54 Mb/s en las bandas U-NII de 5.15 a 5.25, de 5.25 a 5.35 y de 5.725 a 5.825 GHz. Utiliza

Redes de Datos

Pgina 36

Redes Corporativas tcnicas de modulacin OFDM (Orthogonal Frequency Divisin Multiplexing), en vez de FHSS o DSSS. En la tcnica OFDM, el emisor utiliza a la vez varias frecuencias portadoras, dividiendo la transmisin entre cada una de ellas. En IEEE 802.11a, se utilizan 64 portadoras. 48 de las portadoras se utilizan para enviar la informacin, 4 para sincronizacin y 12 est reservados para otros usos. Cada portadora est separada 0.3125 MHz de la siguiente, ocupando un ancho de banda total de 0.3125 x 64 = 20 MHz. Cada una de los canales puede ser modulado con BPSK, QPSK, 16-QAM o 64-QAM. Al dividir el flujo de datos a transmitir entre varios canales (portadoras), el tiempo en el aire de cada smbolo en cada canal es mayor, y por lo tanto, es menor el efecto de la interferencia producida por caminos mltiples, lo que redunda en una mejora en la recepcin de la seal, evitando el uso de complejos sistemas DSP. En Estados Unidos hay previstos 12 canales, de 20 MHz de ancho cada uno. Ocho de ellos son dedicados a aplicaciones de uso internas y cuatro a externas. En Europa se admiten 19 canales. Las potencias mximas admitidas dependen del canal utilizado. A diferencia de DSSS, los canales OFDM en 802.11a no se superponen. Los canales en U-NII se definen entre las frecuencias de 5 y 6 GHz, a razn de un canal cada 5 MHz, segn la frmula Fcentral (MHz) = 5.000 + 5 x n siendo n el nmero del canal La siguiente tabla resume los canales y frecuencias utilizados en 802.11a:
Canal 34 36 38 40 42 44 46 48 52 56 60 64 Frecuencia central (GHz) 5.170 5.180 5.190 5.200 5.210 5.220 5.230 5.240 5.260 5.280 5.300 5.320 Estados Unidos X X X X X X X X Europa X X X X X X X X Japn X X X X Resto del Mundo X X X X X X X X

Redes de Datos

Pgina 37

Redes Corporativas
Canal 100 104 108 112 116 120 124 128 132 136 140 149 153 157 161 Frecuencia central (GHz) 5.500 5.520 5.540 5.560 5.580 5.600 5.620 5.640 5.660 5.680 5.700 5.745 5.765 5.785 5.805 Estados Unidos X X X X Europa X X X X X X X X X X X Japn Resto del Mundo X X X X X X X X X X X X X X X

La siguiente figura ilustra la tabla anterior [18]:

Redes de Datos

Pgina 38

Redes Corporativas

Las velocidades y modulaciones utilizadas en 802.11a se resumen en la siguiente tabla:


Velocidad (Mb/s) 6 9 12 18 24 36 48 54 OFDM OFDM OFDM OFDM OFDM OFDM OFDM OFDM Modulacin Opcional Mandatorio Opcional Mandatorio Opcional Opcional Opcional Comentario Mandatorio

3.5.3.1.5 IEEE 802.11g La recomendacin 802.11g [19], estandariza la operacin de las WLAN con velocidades de datos de hasta 54 Mb/s. Utiliza la misma banda de 2.4 GHz que la

Redes de Datos

Pgina 39

Redes Corporativas 802.11b, lo que permite que los dispositivos puedan operar en ambas normas. 802.11g utiliza OFDM (orthogonal frequency division multiplexing). IEEE 802.11g utiliza los mismos canales que la recomendacin IEEE 802.11b. Las velocidades y modulaciones utilizadas en 802.11g se resumen en la siguiente tabla:
Velocidad (Mb/s) 1 2 5.5 5.5 11 6 9 11 11 12 18 22 24 33 36 48 54 DSSS DSSS CCK PBCC CCK OFDM OFDM CCK PBCC OFDM OFDM PBCC OFDM PBCC OFDM OFDM OFDM Modulacin Comentario Mandatorio Mandatorio Mandatorio Opcional Mandatorio Mandatorio Opcional Opcional Opcional Mandatorio Opcional Opcional Mandatorio Opcional Opcional Opcional Opcional

3.5.3.1.6 IEEE 802.11n En enero de 2004, el IEEE anunci la formacin de un grupo de trabajo para desarrollar una nueva revisin del estndar 802.11. La velocidad real de transmisin podra llegar a los 600 Mbps (lo que significa que las velocidades tericas de transmisin seran an mayores), y debera ser hasta 10 veces ms rpida que una red 802.11a y 802.11g, y cerca de 40 veces ms rpida que una red 802.11b. Tambin se espera que el alcance de operacin de las redes sea mayor con este nuevo estndar gracias a la tecnologa MIMO (Multiple Input Multiple Output), que permite utilizar varios canales a la vez para enviar y recibir datos gracias a la incorporacin de varias antenas. Se espera que el estndar est completado en 2008. Al momento de publicar estas notas, el estndar se encuentra en estado de Draft, siendo la versin 2.05 del mismo aprobada en julio de 2007 (TGn Draft 2.05) [20].

Redes de Datos

Pgina 40

Redes Corporativas La tecnologa MIMO permite tener diversidad de caminos, ya que hay varias antenas en el emisor y en el receptor, como se esquematiza en la siguiente figura, lo que permitir mejorar notoriamente las velocidades de transmisin y el alcance de estas redes.

3.5.3.2 Capa MAC de 802.11 El mecanismo de control de acceso al medio est basado en un sistema denominado CSMA/CA (Carrier Sense Multiple Access with Collition Avoidance). Los protocolos CSMA son los mismos utilizados en Ethernet cableado (Ver 3.1.2). Sin embargo, en Ethernet cableado, se utilizaba el mecanismo de control de acceso CSMA/CD (CSMA con deteccin de colisiones). En las redes inalmbricas es muy dificultoso utilizar mecanismos de deteccin de colisiones, ya que requerira la implementacin de equipos de radio full-duplex (los que seran muy costosos) y adicionalmente, en las redes inalmbricas no es posible asumir que todas las estaciones puedan efectivamente escuchar a todas las otras (lo que est bsicamente asumido en los mecanismos del tipo deteccin de colisiones). En las redes inalmbricas, el hecho de escuchar el medio y verlo libre no asegura que realmente lo est en puntos cercanos. Es por ello que el mecanismo utilizado en las WLAN se basa en evitar las colisiones, y no en detectarlas. Esto se logra de la siguiente manera: 1. Si una mquina desea transmitir, antes de hacerlo escucha el medio. Si lo encuentra ocupado, lo intenta ms tarde. Si lo encuentra libre durante un tiempo (denominado IFS = Distributed Inter Frame Space), la mquina puede comenzar a transmitir. 2. La mquina destino recibe la trama, realiza el chequeo de CRC y enva una trama de reconocimiento (ACK) 3. La recepcin de la trama ACK indica a la mquina original que no existieron colisiones. Si no se recibe el ACK, se retransmite la trama hasta que se reciba el ACK, o se supere el mximo nmero de retransmisiones.

Redes de Datos

Pgina 41

Redes Corporativas Para poder implementar un sistema de prioridades en la transmisin, se definen tres tiempos de espera diferentes (IFS), cada uno con una duracin preestablecida: DIFS: Distributed-coordinated-function (DCF) Inter Frame Space. Se utiliza cuando se desea enviar datos largos y de baja prioridad. SIFS: Short Inter Frame Space: Se utiliza cuando se desea enviar datos cortos y de alta prioridad (por ejemplo, paquetes ACK) PIFS: Point-Coordination-Function (PCF) Inter Frame Space: Se utiliza solo cuando el AP coordina las transmisiones. Tiene una duracin intermedia entre DIFS y SIFS.

A los efectos de reducir la probabilidad de que dos mquinas transmitan al mismo tiempo debido a que no se escuchan entre s, la recomendacin define un mecanismo de deteccin virtual de portadora (Virtual Carrier Sense), que funciona de la siguiente forma: Una mquina que desea transmitir una trama, enva primero una pequea trama de control llamada RTS (Request To Send, o Solicitud para poder Enviar), que incluye la direccin de origen y destino, y la duracin de la siguiente trama (incluyendo la trama a enviar y su correspondiente respuesta ACK). La mquina de destino responde (si el medio est libre) con una trama de control llamada CTS (Clear To Send, o Todo est libre para que enves), que incluye la misma informacin de duracin. Todas las mquinas reciben el RTS y/o el CTS, y por lo tanto, reciben la informacin de por cuanto tiempo estar ocupado el medio. De esta manera, tienen un indicador virtual de ocupacin del medio, que les informa cunto tiempo deben esperar para poder intentar transmitir. Este mecanismo reduce la probabilidad de colisiones en el rea del receptor. Si existen mquinas que estn fuera del alcance del emisor, pero dentro del alcance del receptor, recibirn la trama CTS (enviada por el receptor) y aunque no puedan escuchar la trama del emisor, no ocuparn el medio mientras sta dure. Las tramas IEEE 802.11 difieren de las tramas IEEE 802.3 que se detallaron en 3.1.3. A diferencia de las sencillas tramas 802.3, una red inalmbrica necesita intercambiar entre sus nodos informacin de control, implementar procesos de registracin, administracin de movilidad y de energa, y mecanismos de seguridad. Por ello, fue necesario agregar campos adicionales a las tramas MAC de IEEE 802.11, as como definir, adems de tramas de datos, tramas de control y administracin. Como se vio anteriormente, la capa fsica (PHY) incluye el prembulo, SFD (Start of frame) y el largo de la trama. La trama generada en la capa MAC en IEEE 802.11 se detalla a continuacin:
Frame control Dur/ID Direccin 1 Direccin 2 Direccin 3 Control de secuenc ia 2 Direccin 4 Dato s / Relle no 0-2312 CR C

Redes de Datos

Pgina 42

Redes Corporativas

El primer campo, Frame Control, indica el tipo de trama (codificado con 2 bits, permite diferencia entre tramas de datos, tramas de control o tramas administrativas), y el subtipo (codificado con 4 bits, permite hasta 16 subtipos de trama para cada tipo). Indica tambin si los datos se encuentran o no encriptados. Dentro de ste campo se reservan 2 bits para el tipo de trama (permitiendo hasta 4 tipos diferentes. El campo Duracin / ID se utiliza para identificar el largo de los datos fragmentados que siguen. A diferencia de la trama IEEE 802.3, esta trama tiene 4 campos de direcciones, correspondientes al origen, al destino, y a las direcciones de los AP a los que fuente y destino estn conectados. El campo Control de secuencia es utilizado para numerar los datos fragmentados. Los datos puede tener un largo mximo de 2.312 bytes (superior a los 1.500 bytes soportados por 802.3). Finalmente, se utilizan 4 bytes para control de errores, CRC. Como se mencion anteriormente, la subcapa MAC cotiene, adicionalmente, una subcapa de gerenciamiento (MAC Management). Esta subcapa se encarga de la administracin del establecimiento de las comunicaciones entre las estaciones y el AP. Esta subcapa implementa los mecanismos necesarios para soportar la movilidad. Uno de las tareas de la subcapa de gerenciamiento es el proceso de registracin, el que se lleva a cabo mediante el intercambio de tramas del tipo Association Request, enviadas por el terminal al AP y Association response, enviadas del AP al terminal. Adicionalmente, el AP enva en forma cuasi-peridica, cada aproximadamente 100 ms, tramas administrativas del subtipo beacon (baliza). Estas tramas permiten la sincronizacin y el control de la potencia recibida por parte de los terminales. Otra de las tareas de la subcapa de gerenciamiento es la controlar los handoffs, es decir, la movilidad de un terminal desde un AP a otro. Cuando la potencia de la seal recibida en la tramas beacon disminuye por debajo de un determinada umbral, el terminal puede comenzar un proceso de reasociacin, hacia otro AP cuya potencia de seal sea mayor. Para este proceso se intercambian tramas administrativas del tipo Reassociation Request y Reassociation Response) entre el terminal y el nuevo AP. 3.5.4 Alcance de IEEE 802.11 El alcance de las redes WLAN depende de diversos factores, como ser, velocidad de transmisin, modulacin utilizada, tipo de ambiente de trabajo (abiertos o cerrados), tipo y materiales de las construcciones cercanas, interferencias externas, etc. Algunas reglas generales pueden tenerse en cuenta: Existe una relacin entre la longitud de onda y el alcance. Seales con mayores longitudes de onda (menores frecuencias) llegarn ms lejos que seales con menores longitudes de onda (mayores frecuencias). Adicionalmente, las mayores longitudes de onda tienen

Redes de Datos

Pgina 43

Redes Corporativas mejor propagacin a travs de slidos (como paredes, por ejemplo). Otra relacin genrica es que, a medida que la velocidad aumenta, el alcance disminuye. Finalmente, la modulacin utilizada tiene su efecto en el alcance. OFDM es una tcnica ms eficiente que DSSS, permitiendo, a iguales distancias mayores velocidades de informacin, o a iguales velocidades, mayor alcance. La siguiente tabla ilustra una aproximacin de los alcances en las diversas tecnologas y velocidades [21]
802.11a (40 mW with 6 dBi gain diversity patch antenna) Range 54 48 36 24 18 12 11 9 6 5.5 2 1 13 m 15 m 19 m 26 m 33 m 39 m 45 m 50 m 802.11g (30 mW with 2.2 dBi gain diversity dipole antenna) 27 m 29 m 30 m 42 m 54 m 64 m 48 m 76 m 91 m 67 m 82 m 124 m 802.11b (100 mW with 2.2 dBi gain diversity dipole antenna) 48 m 67 m 82 m 124 m

Data Rate (Mbps)

Puede verse como 802.11a tiene, en similares condiciones, menor alcance que 802.11g (para las mismas velocidades). Asimismo puede verse como las tcnicas OFDM utilizadas en 802.11g permiten tener mayor alcance que las DSSS (por ejemplo, notar que hay mayor alcance en 802.11g a 18 Mb/s (OFDM) que a 11 Mb/s (DSSS, por compatibilidad con 802.11b) Los mtodos habituales para lograr mayores alcances consisten en: Repetidores: Son equipos que escuchan las sealas de los AP y los retransmiten, logrando servir a reas a los que el AP no llegara Amplificadores: Son equipos que aumentan la potencia de salida, y se conectan entre la salida de RF y la antena [22]. Antenas direccionales: Concentran la potencia radiada, aumentando el alcance en una zona, y disminuyndola en otras.

3.5.5 Seguridad en redes inalmbricas Los aspectos de seguridad son especialmente importantes en redes inalmbricas. En la recomendacin IEEE 802.11 original, era recomendado el uso del mecanismo de seguridad conocido como WEP (Wired Equivalent Privacy). Este mecanismo fue diseado de manera de ofrecer una seguridad equivalente a la que existe en las redes cableadas.

Redes de Datos

Pgina 44

Redes Corporativas WEP es un algoritmo que encripta las tramas 802.11 antes de ser transmitidas, utilizando el algoritmo de cifrado de flujo RC4. Los receptores desencriptan las tramas al recibirlas, utilizando el mismo algoritmo. Como parte del proceso de encriptacin, WEP requiere de una clave compartida entre todas las mquinas de la WLAN, la que es concatenada con una vector de inicializacin que se genera en forma aleatoria con el envo de cada trama. WEP utiliza claves de 64 bits para encriptar y desencriptar. Este mecanismo ha resultado poco seguro, y la Wi-Fi propuso en 2003, como mejora, el algoritmo conocido como WPA (Wi-Fi Protected Access). WPA estuvo basado en los borradores de la (en ese entonces) futura recomendacin IEEE 802.11i y fue diseado para utilizar un servidor de autenticacin (normalmente un servidor RADIUS), que distribuye claves diferentes a cada usuario (utilizando el protocolo 802.1x [23]). Sin embargo, tambin se puede utilizar en un modo menos seguro de clave pre-compartida (PSK - Pre-Shared Key). Al igual que WEP, la informacin es cifrada utilizando el algoritmo RC4, pero con una clave de 128 bits y un vector de inicializacin de 48 bits. Una de las mejoras de WPA sobre WEP, es la implementacin del Protocolo de Integridad de Clave Temporal (TKIP Temporal Key Integrity Protocol), que cambia las claves dinmicamente a medida que el sistema es utilizado. Esto junto con el uso de un vector de inicializacin ms grande, mejora sustancialmente la seguridad de WPA frente a WEP. La Wi-Fi ha denominado WPA-Personal cuando se utiliza una calve pre-compartida y WPAEnterprise cuando se utiliza un servidor de autenticacin. En 2004 la IEEE complet la recomendacin IEEE 802.11i [24], la que provee mejoras en los mecanismos de seguridad originalmente propuestos en WEP. En este nuevo estndar, se proveen tres posibles algoritmos criptogrficos: WEP, TKIP y CCMP (Counter-Mode / Cipher Block Chaining / Message Authentication Code Protocol). WEP y TKIP se basan en el algoritmo de cifrado RC4, mientras que CCMP se basa en el algoritmo AES (Advanced Encryption Standard), desarrollado originalmente por el NIS. AES es un algoritmo de cifrado de bloque con claves de 128 bits (mientras que RC4 es un algoritmo de cifrado de flujo). La Wi-Fi adopt la recomendacin 802.11i con el nombre WPA2. Est basado en el mecanismo RSN (Robust Security Network), y mantiene todos los mecanismos previamente introducidos en WPA. En marzo de 2006, la Wi-Fi impuso como obligatorio cumplir con WPA2 para obtener el certificado de compatibilidad.

Redes de Datos

Pgina 45

Redes Corporativas

4 Redes PAN
Las redes PAN, o Personal Area Network estn diseadas para el intercambio de datos entre dispositivos cercanos (Laptops, telfonos celulares, PCs, PDA, etc.). Se trata de redes inalmbricas de corto alcance, y velocidad media (algunos Mb/s), aunque estndares de alta velocidad (ms de 50 Mb/s) estn siendo desarrollados. Estas redes son generalmente del tipo Ad-Hoc, ya que no existe infraestructura previa para que la red pueda formarse. Se denominan en forma genrica MANET (Mobile Ad-hoc Networks) y consisten en una coleccin de terminales inalmbricos que dinmicamente pueden conectarse entre s, en cualquier lugar e instante de tiempo, sin necesidad de utilizar infraestructuras de red preexistente. Los terminales pueden ser dismiles en sus caractersticas y prestaciones (Laptops, PDAs, Pocket PCs, telfonos celulares, sensores inalmbricos, etc.) Se trata de un sistema autnomo, auto organizado y adaptativo, en el que los equipos mviles pueden moverse libremente y actuar simultneamente como terminales y enrutadores (o routers). Dado que no todos los terminales son capaces de tener alcance directo a todos los otros, sus nodos deben cooperar, en la medida de sus posibilidades, reenrutando paquetes (recodar que no hay elementos centrales). Asimismo, debern intercambiar informacin acerca de la topologa de la red y sus dispositivos, generando dinmicamente tablas de ruteo. Varios aspectos deben ser resueltos para que este tipo de redes funcionen, entre los que se destacan [25]: Uso y licenciamiento del espectro utilizado Las bandas del espectro estn reguladas en cada pas. Hay bandas de uso libre (como la ISM), pero dicha banda est comenzando a ser superpoblada (Redes WLAN, microondas, telfonos inalmbricos, etc. est utilizando esta banda). Por otro lado, de elegir alguna banda licenciada, no est claro quien debera obtener los derechos de la misma para utilizara en redes MANET. Mecanismos de acceso al medio Dado que no hay puntos centrales, los protocolos de acceso al medio deben ser especialmente diseados, y estar adaptados a la gran movilidad de ste tipo de redes Protocolos de ruteo La gran movilidad de estas redes hacen que los enlaces se creen y desaparezcan rpidamente. Por esta razn los protocolos clsicos de ruteo, utilizados en redes fijas o con baja movilidad, no son directamente aplicables a este tipo de redes. Nuevos protocolos de ruteo estn siendo estudiados para este tipo de redes. Multicasting Al igual que con el ruteo, la movilidad en los nodos enrutadores no est prevista en los protocolos clsicos de Multicast. Nuevas tcnicas, que

Redes de Datos

Pgina 46

Redes Corporativas minimicen en ancho de banda y la difusin de paquetes deben ser diseadas para estas redes. Uso eficiente de la energa La mayora de los protocolos de red no consideran los factores referentes al consumo de energa, ya que asume equipos fijos, conectados a fuentes externas. Sin embargo, las redes MANET estn pensadas para dispositivos pequeos y mviles, operados con bateras. Las tcnicas existentes de bateras an estn poco avanzadas, comparado con la microelectrnica. Esto hace que la vida til de las bateras de los equipos mviles sea muy limitada, y por lo tanto, la preservacin de la energa es un factor clave en las redes MANET, especialmente si se piensa que parte de esa energa deber ser usada para enrutar paquetes de terceros. Performance del protocolo TCP El protocolo TCP esta designado para establecer conexiones confiables sobre redes no orientadas a la conexin (como es el caso de Internet o IP). TCP asume que los nodos en las rutas son estticos (es decir, no tienen movilidad), y por lo tanto, miden el RTT (Round-trip time) y la prdida de paquetes para detectar congestiones en la red. Sin embargo, TCP no puede distinguir si un nodo intermedio est congestionado, o se ha movido. Ser necesario introducir mejoras a este protocolo, para que pueda funcionar correctamente en redes MANET. Seguridad y privacidad Los aspectos de seguridad siempre deben ser tenidos en cuenta, en especial en redes inalmbricas. Dado que este tipo de redes no tiene controladores centrales, las funciones de seguridad y privacidad debern estar omnipresentes en todos los nodos, estableciendo reglas acerca de que paquetes pueden o no ser enrutados, por ejemplo, basado en la autenticidad del emisor.

Las redes MANET tienen utilidad en aquellos entornos donde la infraestructura de comunicaciones es escasa, no existe, resulta costosa o es impracticable. Sus aplicaciones varan desde la domtica hasta el campo de batalla. Quizs el uso ms directo es el relacionado con la comunicacin en pequeas distancias de dispositivos heterogneos, eliminando la necesidad de cables de interconexin. Ejemplos de redes PAN son Bloutooth y IEEE 802.15, que se presentarn brevemente a continuacin.

Redes de Datos

Pgina 47

Redes Corporativas

4.1 Bluetooth
4.1.1 Origen e historia El nombre Bluetooth tiene sus orgenes en Harald Bltand (en Ingls Harald I Bluetooth), quien fue Rey de Dinamarca, entre los aos 940 y el 985. El nombre Bltand fue probablemente tomado de dos viejas palabras danesas: 'bl', que significa piel oscura y 'tan' que significa gran hombre. Como buen Vikingo, Harald consideraba honorable pelear por tesoros en tierras extranjeras. En 1960 lleg a la cima de su poder, gobernando sobre Dinamarca y Noruega. Harald fue bautizado por un sacerdote enviado por el emperador de Alemania, y fue quien introdujo el Cristianismo en su reino. Como recordatorio perpetuo de su reinado, erigi un monumento con lo siguiente inscripcin: El Rey Harald leventa este monumento en memoria de Grom, su padre y Thyre, su madre. Harald conquist Dinamarca y Noruega y convirt a los daneses al cristianismo. Estas palabras fueron talladas en runa1, sobre una Gran Piedra que mide 2,43 metros y pesa 10 toneladas. Tiene tres caras. Una de ellas contiene las runas con el mensaje anteriormente citado. En la otra aparece la que est considerada la imagen nrdica ms antigua de Cristo, prueba de que el Cristianismo haba penetrado en Dinamarca. Curiosamente, la tercera cara de la Gran Piedra representa un gran animal y una serpiente, smbolos paganos legado de las creencias tradicionales danesas. Harald fue asesinado en 985. Durante su reinado, complet la unificacin de su reino, comenzada por su padre, convirti a los daneses al cristianismo y conquist Noruega. Su hijo, Sweyn I, culmin la expansin, conquistando tambin Inglaterra en 1013. As como el antiguo Harlad unific Dinamarca y Noruega, los creadores de Bluetooth esperan que sta tecnologa unifique los mundos de los dispositivos informticos y de telecomunicaciones. Es as que en 1998 las compaas Ericsson, Nokia, IBM, Toshiba e Intel formaron un Grupo de Inters Especial (SIG = Special Interest Group) para desarrollar una tecnologa de conectividad inalmbrica entre dispositivos mviles de uso personal, que utilizara la banda no licenciada de frecuencias (ISM). Actualmente, ms de 2.500 compaas se han afiliado al grupo Bluetooth. La siguiente figura ilustra la runa original de Harald [26] y el smbolo de Bluetooth [27]

Los caracteres que se empleaban en la escritura de los antiguos escandinavos se denominan Runa

Redes de Datos

Pgina 48

Redes Corporativas

4.1.2 Tecnologa Bluetooth Bluetooth [28] es un sistema de comunicacin de corto alcance, diseado para reemplazar los cables que conectan equipos portables entre s o con equipos fijos. Las principales caractersticas de ste tecnologa inalmbrica se centra en su robustez y su bajo consumo de potencia. Un sistema Bluetooth consiste en un receptor y emisor de RF, un sistema de banda base y un conjunto de protocolos. La capa fsica de Bluetooth, es un sistema de Radio Frecuencia que opera en la banda ISM de 2.4 GHz. Utiliza tcnicas de modulacin basadas en FHSS (Frequency Hopping Spread Spectrum), de manera similar a IEEE 802.11. La tcnica FHSS (Frequency Hopping Spread Spectrum) consiste en modular la seal a transmitir con una portadora que salta de frecuencia en frecuencia, dentro del ancho de la banda asignada, en funcin del tiempo. El cambio peridico de frecuencia de la portadora reduce la interferencia producida por otra seal originada por un sistema de banda estrecha, afectando solo si ambas seales se transmiten en la misma frecuencia en el mismo momento. Se transmite 1 Mega smbolo por segundo (1 Ms/s), soportando velocidades binarias de 1 Mb/s (Basic Rate), o con EDR (Enhanced Data Rate), 2 o 3 Mb/s. Los dispositivos Bluetooth cercanos, forman una piconet, dentro de la cual, uno de los dispositivos cumple el rol de Maestro, mientras que los dems asumen el rol de Esclavos. Durante una operacin tpica, un mismo canal de radio es compartido por el grupo de la piconet, sincronizndose todos los esclavos al patrn de saltos de frecuencias impuesto por el maestro. Este patrn de saltos est determinado algortmicamente por la direccin y el reloj del maestro, y utiliza las 79 posibles frecuencias de la banda ISM de 2.4 GHz. Se dispone de tcnicas adaptivas, que excluyen las frecuencias en las que se detecta interferencias, a los efectos de poder coexistir con otros sistemas que utilicen frecuencias fijas dentro de la banda.

Redes de Datos

Pgina 49

Redes Corporativas El canal fsico es subdividido en unidades de tiempo (time slots). Los datos son transmitidos entre los dispositivos en paquetes dentro de estos time slots. Se logra un efecto full duplex mediante tcnicas del tipo TDD (Time-Division Duplex) Dentro de un canal fsico, se pueden establecer canales lgicos de comunicacin, entre los dispositivos de una piconet. Sin embargo, stos canales lgicos solamente pueden establecerse entre un maestro y hasta 7 esclavos. Los esclavos no pueden establecer canales lgicos entre s. Deben necesariamente pasar por un maestro. Solo hasta 8 dispositivos activos pueden formar una piconet. Ms de 8 dispositivos pueden estar dentro de la piconet, pero no en estado activo, sino estacionados (parked) o en stand-by. Un mismo dispositivos puede formar parte de ms de una piconet, pero no puede ser Maestro en ms de una a la vez. En este caso, el dispositivo que pertenece a ms de una piconet podr eventualmente, enrutar paquetes entre ambas piconets. La unin de varas piconets interconectadas se denomina scatternet. La siguiente figura ilustra una posible distribucin de 20 dispositivos en una scatternet, formada por 3 piconets, dnde dos de las dispositivos son maestros de una piconet y esclavos de otra.

Esclavo P3

Esclavo de P1 y Master de P2

P2

P3

Esclavo de P1 y Master de P3

P1 P1: Piconet 1 P2: Piconet 2 P3: Piconet 3

Nodo Master P1

A: de

En este ejemplo, se forman 3 piconets P1, P2 y P3. El nodo designado como A es Maestro de la piconet P1. A esta piconet se le asignan otros 7 nodos Esclavos. 2 de estos nodos esclavos, se designan, a su vez, como Maestros de los piconets

Redes de Datos

Pgina 50

Redes Corporativas P2 y P3 respectivamente, dnde se distribuyen como Esclavos los 12 nodos restantes (6 a la piconet P2 y 6 a la piconet P3). Esta configuracin permite tener un mximo de 2 saltos desde cualquier nodo al nodo A. Por otra parte, se requiere un mximo de 4 saltos para llegar de cualquier nodo a cualquier otro (dndose este mximo cuando se quiere llegar de nodos Esclavos de P2 a nodos Esclavos de P3)

4.1.3 Consumo y Alcance en Bluetooth El consumo de potencia es uno de los temas especialmente considerado en la tecnologa Bluetooth. Dado que los dispositivos que utilizan esta tecnologa (PDAs, hand helds, telfonos celulares, etc) son generalmente alimentados con bateras de corta autonoma, las aspectos relacionados al consumo deben tenerse muy en cuenta. Es generalmente admitido que los mdems Bluetooth consumen menos potencia que los de IEEE 802.11. En las pginas del sitio de Bluetooth se menciona que sta tecnologa utiliza la quinta parte de la potencia que la tecnologa Wi-Fi [29]. Sin embargo, algunos estudios muestran que diferentes productos del mercado 802.11 pueden tener grandes diferencias de consumo entre s, llegando a medir un factor de 15 entre el de menor y el de mayor consumo [30]. Los de menor consumo, podran entran en la franja de consumos de los productos Bluetooth En Bluetooth las clases de los dispositivos definen la potencia de emisin, y por lo tanto, el alcance tpico, segn la siguiente tabla [31]: Clase 1 2 3 Potencia mxima (Pmax) 100 mW (20 dBm) 2.5 mW (4 dBm) 1 mW (0 dBm) Potencia nominal N/A 1 mW (0 dBm) N/A Potencia Mnima 1 mW (0 dBm) 0.25 mW (-6 dBm) N/A Alcance 100 m 10 m 1m

4.1.4 Arquitectura y modelo de capas en Bluetooth Una de las caractersticas de Bluetooth es que provee un conjunto completo de protocolos que permite la intercomunicacin de aplicaciones entre dispositivos, a diferencia de IEEE 802.11 que especifica nicamente las tres capas ms bajas del modelo. El modelo de capas de Bluetooth se esquematiza en la siguiente figura:

Redes de Datos

Pgina 51

Redes Corporativas

Applications
Other
TC S RFCOMM SDP

Application Framework and Support Data


Con trol

HCI: Host Controller Interface


Audio

L2CAP LMP Baseband

Link Manager and L2CAP

Radio & Baseband RF

La capa RF contiene el MODEM de radio utilizado para la transmisin y recepcin de informacin, en la banda ISM de 2.4 GHz, mediante modulacin FHSS, como se mencion anteriormente. La capa de banda base (Baseband) se encarga del control del enlace a nivel de bits y paquetes. En particular esta capa establece la codificacin y encripcin, as como las reglas de saltos de frecuencias. La capa LMP (Link Management Protocol) establece los enlaces con los otros dispositivos. Es responsable de conectar maestros con esclavos dentro de una piconet, y administrar sus modos de operacin (activos, estacionados) y sus potencias. Estas tres capas ms bajas del protocolo se implementan generalmente dentro del chip Bluetooth, e interactan con las capas superiores a travs de una interfaz denominada HCI (Host Controller Interface). La capa L2CAP (Logical Link Control and Adaptation Protocol) proporciona servicios de datos tanto orientados a conexin como no orientados a conexin a

Redes de Datos

Pgina 52

Redes Corporativas los protocolos de las capas superiores, junto con facilidades de multiplexacin y de segmentacion y reensamblaje. L2CAP permite que los protocolos de capas superiores puedan transmitir y recibir paquetes de datos L2CAP de hasta 64 kilobytes de longitud. L2CAP se basa en el concepto de canales. Un canal es una conexin lgica que se sita sobre la conexin de banda base. Cada canal se asocia a un nico protocolo. Cada paquete L2CAP que se recibe a un canal se redirige al protocolo superior correspondiente. Varios canales pueden operar sobre la misma conexin de banda base, pero un canal no puede tener asociados ms de un protocolo de alto nivel. Por sobre L2CAP se ubican las capas RFCOMM, SDP y TCS. El protocolo RFCOMM proporciona emulacin de puertos RS-232 serie a travs del protocolo L2CAP. Este protocolo se basa en el estndar de la ETSI denominado TS 07.10. RFCOMM es utilizado para establecer comunicaciones seriales punto a punto, emulando el protocolo RS-232 a travs de RF. Sobre este protocolo pueden implementarse diferentes aplicaciones, como por ejemplo: OBEX: Es un protocolo muy utilizado para transferencias de archivos entre dispositivos mviles, por ejemplo, tarjetas de visita o entradas de agenda (por ejemplo, entre telfonos celulares y PDAs). PPP: El protocolo Point to Point puede ser implementado sobre RFCOMM, permitiendo, a su vez, implementar sobre l protocolos UDP y TCP Comando AT: Pueden emularse comandos de modems a travs de RFCOMM

El protocolo SDP (Service Discovery Protocol) permite a las aplicaciones cliente descubrir la existencia de diversos servicios proporcionados por uno o varios servidores de aplicaciones, junto con los atributos y propiedades de los servicios que se ofrecen. Estos atributos de servicio incluyen el tipo o clase de servicio ofrecido y el mecanismo o la informacin necesaria para utilizar dichos servicios. Los dispositivos que actan como servidores de aplicaciones mantienen una lista de registros de servicios, los cuales describen las caractersticas de los servicios ofrecidos. Cada registro contiene informacin sobre un determinado servicio. Un cliente puede recuperar la informacin de un registro de servicio almacenado en un servidor SDP lanzando una peticin SDP. Si el cliente o la aplicacin asociada con el cliente decide utilizar un determinado servicio, debe establecer una conexin independiente con el servicio en cuestin. SDP proporciona un mecanismo para el descubrimiento de servicios y sus atributos asociados, pero no proporciona ningn mecanismo ni protocolo para utilizar dichos servicios.

Redes de Datos

Pgina 53

Redes Corporativas El protocolo TCP (Telephony Control Protocol) define la sealizacin para el control de llamadas de voz para aplicaciones de telefona inalmbrica. Est basado en el protocolo ITU-T Q.931. El Audio es directamente transferido de la aplicacin a la banda base. Bluetooth soporta hasta 3 canales de audio full duplex simultneamente. Puede utilizar codecs con tcnicas CVSD (Continuous Variable Slope Delta Modulation) a 64 kb/s, o PCM (ley A o ley Mu)

4.2 IEEE 802.15


El grupo de trabajo IEEE 802.15 ha desarrollado un estndar de WPAN basado en las especificaciones existentes de Bluetooth. El estndar IEEE 802.15.1 fue publicado en junio de 2002 y revisado en mayo de 2005 [32] Este estndar es una adaptacin de la versin 1.1 de Bluetooth en lo referente a la capa fsica (PHY) y a la capa de enlace (MAC), incluyendo L2CAP y LMP. La siguiente figura, tomada de la recomendacin IEEE 802.15, ilustra la correspondencia entre las capas del modelo ISO OSI, frente a las de IEEE 802 y IEEE 802.15.1

Redes de Datos

Pgina 54

Redes Corporativas

4.3 Coexistencia IEEE 802.15/Bluetooth y IEEE 802.11


Una de las principales preocupaciones de la IEEE es la coexistencia de Bluetooth con IEEE 802.11b, ya que ambos utilizan la misma porcin del espectro, y tienen mecanismos de transmisin similares. Para abordar este problemtica, se design al Task group 2 (grupo de trabajo 2), que desarroll la recomendacin IEEE 802.15.2 [33] Bluetooth utiliza tcnicas FHSS de 1.600 saltos por segundo a 1 Mb/s, ocupando todo el ancho de banda disponible en la banda ISM de 2.4 GHz. IEEE 802.11b utiliza FHSS de 2.5 saltos por segundo para velocidades bajas y DSSS y CCK para velocidades mayores, lo que lleva a que los problemas de interferencia y coexistencia deban ser analizados en detalle. Puede leerse el captulo 13.5 de la referencia [34] para profundizar en los problemas de interferencia. La recomendacin IEEE 802.15.2 estable prcticas para facilitar la coexistencia de estas dos tecnologas. Estas prcticas se dividen en dos categoras de mecanismos de coexistencia: Colaborativos: Cuando puede existir intercambio de informacin entre las dos redes inalmbricas (por ejemplo, cuando el mismo equipo es 802.15.1 y 802.11b). Dentro de esta categora se establecen los siguientes mecanismos de coexistencia: o Acceso al medio inalmbrico alternado (Alternating wireless medium access) o Arbitraje de trfico de paquetes (Packet traffic arbitration) o Supresin de interferencia determinstica (Deterministic interference supression) No colaborativos: Cuando no es posible intercambiar informacin entre las redes inalmbricas o Supresin de supression) interferencia adaptativa (Adaptive interference

o Seleccin de paquete adaptativo (Adaptive packet selection) o Agendamiento de paquetes para enlaces ACL (Packet scheduling for ACL links) o Agendamiento de paquetes para enlaces SCO (Packet scheduling for SCO links) o Saltos de frecuencia adaptativos (Adaptive frequency-hopping) Las tcnicas colaborativas son las ms efectivas, pero solo pueden realizarse dentro de un mismo dispositivo que tenga ambas tecnologas. En este caso, se pueden combinar las tcnicas AWMA (Alternating wireless medium access) y PTA (Packet traffic arbitration), como se muestra en la siguiente figura:

Redes de Datos

Pgina 55

Redes Corporativas

Redes de Datos

Pgina 56

Redes Corporativas

5 Redes WAN
Las redes de rea extendida (WAN: Wide Area Network) son aquellas que conectan dos o ms redes LAN ubicadas en sitios geogrficos distantes. Las WAN generalmente utilizan protocolos punto a punto, de velocidades bajas a medias (usualmente menores a 2 Mb/s), y se basan en servicios pblicos o en lneas punto a punto. Dadas las caractersticas propias de las redes WAN, los protocolos y equipos utilizados difieren de los de las redes LAN.

5.1 Frame Relay


Frame Relay es una tecnologa de comunicacin utilizada a nivel mundial para interconectar redes LAN, redes SNA, redes de voz, etc. Tpicamente se basa en la utilizacin de la infraestructura de red disponible por los prestadores de servicio pblico, aunque puede ser tambin implementada sobre lneas dedicadas. Frame Relay surgi como es el sucesor de la tecnologa X.25, y est pensada para capas fsicas con bajas tasas de errores y velocidades relativamente altas (de hasta 2 Mb/s, aunque podra funcionar sin problemas a velocidades mayores). La tecnologa Frame Relay se basa en la utilizacin de circuitos virtuales (VC = Virtual Circuits) entre las dos redes que se desean conectar. Los circuitos virtuales son caminos bidireccionales, establecidos entre dos puntos extremos de la red Frame Relay. Existen dos tipos de circuitos virtuales: PVC (Circuitos virtuales permanentes): Los PVC son circuitos virtuales permanentes, establecidos por el operador de red (tpicamente un prestador de servicios pblicos), a travs de su sistema de gestin de la red Frame Relay. Los PVC son definidos en forma esttica, y se requiere la intervencin de un operador para establecerlos y liberarlos. Son virtuales ya que puede no existir una conexin fsica directa entre ambos extremos, sino que por software se pueden configurar todos los equipos intermedios para establecer un circuito virtual. Son permanentes ya que una vez establecido el circuito, el mismo permanece en el tiempo, en forma independiente del trfico. Los PVC son los ms comnmente utilizados en Frame Relay. SVC (Circuitos virtuales conmutados): Son circuitos que se establecen en forma dinmica, llamada a llamada (en forma similar a una llamada telefnica). La implementacin de circuitos virtuales es ms compleja que la de circuitos permanentes, pero permite, en principio, conectar cualquier nodo de la red Frame Relay con cualquier otro.

En la siguiente figura se muestra una red Frame Relay tpica, dnde 4 nodos (redes LAN) estn conectados a una red Frame Relay. Cada nodo dispone de un equipo ruteador (Router), que interconecta la LAN a la red Frame Relay.

Redes de Datos

Pgina 57

Redes Corporativas En esta figura, se muestras 3 PVCs establecidos, en forma de estrella. Un extremo de todos los PVC es uno de los nodos de la red, y los otros extremos se encuentran en cada uno de los nodos restantes.

Es de hacer notar que el nodo que recibe los 3 PVCs dispone de un nico enlace fsico con la red Frame Relay, y no de tres enlaces, como hubiera sido requerido si se utilizara X.25 u otros protocolos punto a punto. Por otro lado, puede verse en la figura, dentro de la red Frame Relay, 3 equipos (A, B, C), administrados por el proveedor del servicio, y configurados para mantener en forma permanente los PVCs. Desde el punto de vista del modelo OSI, Frame Relay trabaja a nivel de la capa 2, implementado nicamente los aspectos esenciales de la recomendacin, como ser chequear que las tramas sean vlidas y no contengan errores, pero no solicitando retransmisiones en caso de detectar errores. Frame Relay se basa en la alta confiabilidad de la capa fsica sobre la que trabaja, y deja a los protocolos de mayor nivel el chequeo de paquetes faltantes, y otros controles de errores.

Redes de Datos

Pgina 58

Redes Corporativas 5.1.1 Trama Frame Relay


FL AG HE AD ER INFORMATION F C S FL AG

FECN C/R EA DLCI S F D 1 1 4 DLCI S S S S F F F F DDDD 1 1 1 1 BECN DE DA

La estructura de la trama Frame Relay se indica en la figura. Comienza con un indicador de comienzo de trama (Flag) y una cabecera (Header) de 2 bytes. Los datos a transmitir (provenientes de capas superiores, como ser paquetes IP, SNA, etc.) se encapsulan en la trama Frame Relay, en el campo Information, luego de la cabecera. Dentro de la cabecera de la trama se encuentran los siguientes campos: DLCI (Data Link Connection Identifier): Es un identificador de 10 bits, que indica la direccin de destino de la trama. C/R (Command/Response Field) FECN (Forward Explicit Congestion Notification): Cuando la red Frame Relay est congestionada, algunos paquetes pueden ser descartados. Si un nodo dentro de la red Frame Relay detecta una situacin de congestin, sta situacin es alertada a los nodos siguientes mediante este bit. BECN (Backward Explicit Congestion Notification): De la misma manera que son alertados los nodos siguientes, el nodo congestionado alerta a los nodos anteriores acerca de la situacin, cambiando este bits, en las tramas hacia atrs. De esta manera el nodo que origina el trfico puede bajar su velocidad de transmisin, ayudando a descongestionar la red. DE (Discard Eligibility Indicator): Cuando la red Frame Relay est congestionada, es necesario descartar tramas. Las primeras tramas a descartar sern las que tengan encendido el bit DE. Este bit es encendido por los nodos de entrada de la red Frame Relay en funcin del CIR (Ver 5.1.3) contratado por el cliente. Todas las tramas que excedan el CIR contratado, son marcadas como DE.

Redes de Datos

Pgina 59

Redes Corporativas EA (Extension Bit): Indica si el cabezal es de 2 o 4 bytes.

5.1.2 LMI (Local Management Interface) A los efectos del intercambio de informacin entre los equipos del prestador de servicio y del cliente final, se ha desarrollado el protocolo LMI. Este intercambio de informacin se utiliza para conocer el estado del enlace y los PVC configurados en el mismo. Este protocolo es opcional dentro de las recomendaciones de Frame Relay, pero es habitual que est implementado en las casi todas las implementaciones. El intercambio de informacin entre equipos se implementa mediante el uso de tramas especiales de administracin, que disponen de nmeros de DLCI reservados para estos fines. Estas tramas chequean el status de la conexin y proveen la siguiente informacin: Indicacin de que la interfaz est activa (keep alive) Los DLCIs definidos en la interfaz El status de cada circuito virtual, por ejemplo, si est congestionado o no.

Existen tres versions de LMI: LMI: Frame Relay Forum superceded by FRF.1.1 Annex D: ANSI T1.617 Annex A: ITU Q.933 referenced in FRF.1.1 Implementation Agreement (IA), FRF.1

Si bien el trmino LMI es usado comnmente para referirse al FRF.1 IA, puede ser usado como trmino genrico para cualquiera de los 3 protocolos. Cada uno de los protocolos incluye pequeas diferencias en el uso e interpretacin de las tramas de control, por lo que es importante que los equipos del proveedor de servicio estn configurados con el mismo protocolo que los equipos locales. 5.1.3 La contratacin de Frame Relay (CIR) Los servicios pblicos Frame Relay se comercializan teniendo en cuenta varios parmetros, entre los que el CIR (Committed Information Rate) es el ms importante. El CIR es la velocidad media de transmisin acordada entre el cliente y el proveedor de servicio. Es un parmetro que se establece en forma independiente para cada PVC. En una configuracin tpica, un nodo central puede tener un enlace con el prestador de servicios sobre el que se configuran varios PVC, hacia los nodos secundarios, o sucursales. El enlace fsico puede ser, por ejemplo, de 1 Mb/s, y cada PVC puede tener un CIR, por ejemplo, de 64 kb/s.

Redes de Datos

Pgina 60

Redes Corporativas Esto significa que la velocidad media de transmisin entre el nodo central y los nodos secundarios debe ser 64 kb/s (CIR), aunque la velocidad fsica de cada trama ser de 1 Mb/s. La velocidad media, se mide sobre un tiempo prefijado, llamado generalmente tc (generalmente 1 segundo). En el tiempo tc, el cliente se compromete a no pasar ms de Bc bits, equivalentes al CIR x tc kb para un determinado PVC. Bc (Committed Burst Size) = CIR x tc Se establece tambin un trfico de exceso, llamado generalmente Be (Excess Burst Size). Las tramas enviadas por el cliente dentro de un tc que excedan Bc bits, sern marcadas por el proveedor de servicio como descartables (Bit DE del cabezal de la trama, ver 5.1.1). Estas sern las primeras tramas a descartar en caso de que exista congestin en la red Frame Relay. Las tramas que dentro del mismo intervalo tc excedan Bc + Be sern directamente descartadas en la entrada de la red Frame Relay.

Para los interesados en profundizar en Frame Relay, se recomienda la lectura de The Basic Guide to Frame Relay Networking [35].

Redes de Datos

Pgina 61

Redes Corporativas

5.2 ATM
ATM (Asynchronous Transfer Mode) surgi como respuesta a la necesidad de tener una red multiservicio que pudiera manejar velocidades muy dispares. Tcnicamente puede verse como una evolucin de las redes de paquetes. Como otras redes de paquetes (X.25, Frame Relay, TCP/IP, etc.) ATM integra las funciones de multiplexacin y conmutacin. A su vez est diseada para soportar altos picos de trfico y permite interconectar dispositivos que funcionen a distintas velocidades. ATM est especialmente diseada para soportar aplicaciones multimedia (voz y video, por ejemplo). Si bien ATM puede ser usada como soporte para servicios dentro las redes de rea locales, en usuarios finales, su principal protagonismo ha estado en las redes de backbone de los proveedores de servicios pblicos. Los protocolos de ATM estn estandarizados por la ITU-T, y con especial contribucin del ATM Forum. El ATM Forum es una organizacin voluntaria internacional, formada por fabricantes, prestadores de servicio, organizaciones de investigacin y usuarios finales. Algunas de las ventajas de ATM frente a otras tecnologas son: Alta performance, realizando las operaciones de conmutacin a nivel de hardware Ancho de banda dinmico, para permitir el manejo de picos de trfico Soporte de clase de servicio para aplicaciones multimedia Escalabilidad en velocidades y tamaos de redes. ATM soporta velocidades de T1/E1 (1.5 / 2 Mb/s) hasta STM-16 (2 Gb/s) Arquitectura comn para las redes de LAN y WAN

De forma similar al modelo OSI (Ver 2) ATM tambin est diseada en un modelo de capas. En el caso de ATM, el modelo de capas puede verse en varios planos, como se esquematiza en la figura

Plano de Management Capas superiores Capa AAL (ATM Adaptation Layer) Capa ATM Capa fsica

Redes de Datos

Pgina 62

Redes Corporativas A continuacin se describen las Capas fsicas, ATM y AAL. Para una mejor comprensin, se comienza describiendo la capa ATM, luego la AAL y por ltimo la capa Fsica. 5.2.1 Capa ATM La Capa ATM es la responsable de transportar la informacin a travs de la red. ATM utiliza conexiones virtuales para el transporte de la informacin. Estas conexiones virtuales, pueden ser permanentes (PVC) o del tipo llamada a llamada (SVC). 5.2.1.1 Celdas ATM Para poder manejar los requerimientos de tiempo real, se opt por usar unidades de tamao fijo y pequeo. Estas unidades, llamadas celdas, contiene 48 bytes de informacin y 5 bytes de cabecera. Este tamao fijo y pequeo asegura que la informacin de tiempo real, como el audio y el video no se vea afectada por la duracin de tramas o paquetes largos (recordar que Ethernet o Frame Relay, permiten paquetes de ms de 1.500 bytes). La siguiente figura muestra la estructura del cabezal de las tramas ATM, que contiene los siguientes campos:
HEADER INFORMATION

48

GFC VPI VCI VCI HEC 8 bits

VPI VCI

Byte 1

PTI

C Byte 5

GFC (Generic Flow Control): Es usado nicamente en conexiones que van desde un usuario final hasta el primer nodo ATM de una red pblica (UNI = User to Network Interface ), como control de flujo entre el usuario y la red. En conexiones entre nodos ATM de la red pblica (NNI = Network to Network Interface), no se utiliza este campo. VPI (Virtual Path Identifier): Al igual que Frame Relay, ATM brinda servicios orientados a la conexin, basados en circuitos virtuales permanentes (PVC) o temporales (SVC). El campo VPI contiene el identificador del camino virtual al que pertenece la trama

Redes de Datos

Pgina 63

Redes Corporativas VCI (Virtual Channel Identifier): Dentro de un mismo camino virtual (identificado por el VPI), pueden establecerse varios canales o circuitos virtuales (VCC). El campo VCI identifica cada circuito o canal virtual dentro del camino virtual. PTI (Payload Type Indicator): Indica el tipo de datos o informacin que transporta la celda en los 48 bytes de Informacin. Es de hacer notar que este campo no siempre transporta datos, sino que algunas cedas utilizan este campo para enviar informacin de sealizacin, mensajes administrativos de la red, etc. CLP (Cell Loss Priority): Es utilizado como marca de prioridad de la celda o trama. En caso de congestin, la red puede descartar los paquetes de menor prioridad (CLP = 1). Las celdas marcadas con CLP = 0 se consideran de alta prioridad y no deberan ser descartadas. HEC (Header Error Control): Es un byte de control de errores en el cabezal. nicamente se realiza control de errores sobre el cabezal. El algoritmo utilizado permite corregir errores en 1 bit

5.2.2 Capa AAL (ATM Adaptation Layer) La capa AAL realiza el mapeo necesario entre la capa ATM y las capas superiores. Esto es generalmente realizado en los equipos terminales, en los lmites de las redes ATM. La red ATM es independiente de los servicios que transporta. Por lo tanto, la informacin de cada celda es transportada en forma transparente a travs de la red ATM. La red ATM no conoce la estructura ni procesa el contenido de la informacin que transporta. Por ello es necesario, en los lmites de la red ATM, una capa que adapte los diversos servicios o protocolos a transportar, a las caractersticas de la red ATM. Esto es realizado por la capa AAL. A los efectos de las funciones de la capa AAL, es necesario categorizar los servicios a transportar por ATM segn los siguientes tems: Relaciones de tiempo entre fuente y destino: Indica si el reloj de destino debe sincronizarse con el reloj de la fuente Velocidad (bit-rate): Indica si se trata de servicios de velocidad constante o variable Modo de conexin: Orientado a la conexin o No orientado a la conexin

Como resultado, se han definido 4 clases de servicios, denominadas A, B, C y D, como puede verse en la siguiente tabla:

Redes de Datos

Pgina 64

Redes Corporativas Clase Relaciones de tiempo entre fuente y destino Bit-Rate Modo de Conexin A Requerido Constante B C D No Requerido Variable No orientado a la conexin

Orientado a la conexin

Para cada clase de servicio se ha implementado una capa AAL, las que se conocen como AAL-n, como se ver ms adelante. Las capas AAL-n, a su vez, se subdividen en dos sub-capas: Convergence Sublayer (Sub-capa de convergencia): Se encarga de las adaptaciones especficas que requiere cada clase de servicio. Segmentation and Reassembly Sublayer (Sub-capa de segmentacin y reensamblado): Se encarga de dividir la informacin para poder transmitirla en las pequeas celdas de ATM y luego reensamblarla en el destino

5.2.2.1 AAL - 1 Se utiliza para la clase de servicio A (servicios orientados a la conexin, de velocidad constante y que requieren referencia de tiempos para sincronizacin del destino con la fuente) Se utiliza para transporte de servicios sincrnicos (por ejemplo, servicios sincrnicos de 64 kb/s) o asincrnicos de velocidad constante (por ejemplo, lneas E1 de 2 Mb/s). 5.2.2.2 AAL - 2 Se utiliza para la clase de servicio B (servicios orientados a la conexin, de velocidad variable y que requieren referencia de tiempos para sincronizacin del destino con la fuente). Ha sido la ms difcil de desarrollar, debido a la dificultad de recuperar en el destino el reloj de referencia de la fuente cuando no se reciben datos por un periodo prolongado de tiempo. En AAL-1 esto no sucede, ya que los flujos de informacin son constantes. Puede utilizarse, por ejemplo, para la transmisin de video comprimido. Esta aplicacin enva rfagas de informacin, generando trfico impulsivo. MPEG-2, por ejemplo, tiene una relacin de compresin de 10:1 en el peor caso. Sin embargo, si no hay cambios en la imagen de video, pueden llegarse a relaciones de compresin de hasta 50:1, generando largos periodos sin transmisin.

Redes de Datos

Pgina 65

Redes Corporativas 5.2.2.3 AAL 3/4 Originalmente, la capa AAL-3 fue pensada para servicios orientados a la conexin y la AAL-4 para servicios no orientados a la conexin. Actualmente se han fusionado en la capa AAL-3/4, ya que las diferencias originales eran menores. Se utiliza para la clase de servicio C y D (servicios de velocidad variable y que no requieren referencia de tiempos para sincronizacin del destino con la fuente). AAL-3/4 no utiliza todos los bytes de informacin de la celda ATM, lo que reduce el ancho de banda real apreciablemente 5.2.2.4 AAL 5 Se utiliza para la clase de servicio C y D, al igual que AAL-3/4, pero utiliza todos los bytes de informacin de la celda ATM, optimizando por lo tanto el ancho de banda. AAL-5 es conocida tambin como SEAL (Simple and Effective Adaptation Layer), ya que no provee secuenciamiento ni correccin de errores, sino que delega estas tareas en las capas superiores. 5.2.3 Capa Fsica La capa fsica es responsable de transmitir los datos sobre un medio fsico, de manera similar a la capa fsica del modelo de referencia OSI. El medio de transporte puede ser elctrico u ptico. ATM es generalmente transportado sobre SDH (Synchronous Digital Hierarchy). Las velocidades tpicas son de 155.520 kb/s (155 Mb/s) o 622.080 kb/s (622 Mb/s), acuerdo a la recomendacin I.432

5.3 Routers
Como se mencion en al principio de ste captulo (Ver 5), la funcin de las redes WAN es interconectar redes LAN distantes entre s, a travs de enlaces pblicos o privados, generalmente de baja velocidad en comparacin con la velocidad de las redes LAN. En las secciones anteriores se estudiaron los protocolos Frame Relay (Ver 5.1) y ATM (Ver 5.2), el primero como ejemplo de protocolo tpico de WAN y el segundo como ejemplo de protocolo de back-bone de los prestadores de servicios. Para poder interconectar redes LAN distantes, mediante algn protocolo de WAN, es necesario disponer de equipos de interconexin, que cumplan varias funciones, entre las que se destacan: Posibilidad de rutear trfico, para disminuir el trfico de WAN no deseado (Broadcast, etc.) Posibilidad de manejar protocolos de LAN y de WAN.

Redes de Datos

Pgina 66

Redes Corporativas

Estos equipos se conocen normalmente como Routers. Si bien el nombre indica, en principio, que el equipo debe poder rutear paquetes (es decir, trabajar a nivel de capa 3 en el modelo OSI), tambin se espera de estos equipos (por lo menos para los equipos diseados para las corporaciones) que soporten varios protocolos de WAN (como Frame Relay, por ejemplo). Un Router corporativo tpico debe disponer, por lo tanto, y como mnimo, de un puerto de LAN y un puerto de WAN. Asimismo, debe poder rutear los protocolos ms comunes de LAN (tpicamente IP, aunque an varias redes LAN utilizan IPX), enviando nicamente los paquetes que correspondan al puerto WAN y debe implementar varios protocolos de WAN (como Frame Relay, X.25, etc.)

LAN 1 Router

WAN Router

LAN 2

Para poder implementar las funciones de ruteo, los Routers deben disponer de tablas de ruteo. Estas tablas pueden estar definidas en forma esttica, por un administrador, o pueden generarse en forma automtica, ya que los routers disponen de protocolos propios de descubrimiento de rutas. Estos protocolos, que implementan el intercambio de informacin de rutas entre varios Routers, se llaman habitualmente protocolos ruteo. Los ms comunes son los llamados RIP y OSPF (ambos estn estandarizados, de manera que routers de diversas marcas pueden coexistir en una misma red).

Redes de Datos

Pgina 67

Redes Corporativas

6 Tecnologas de acceso xDSL


Las redes WAN requieren conexiones digitales desde las oficinas de las empresas hasta las oficinas de los prestadores de servicios, las que pueden estar alejadas varios kilmetros. La interconexin desde los prestadores de servicios a las empresas puede realizarse mediante enlaces inalmbricos, o mediante el tendido de cables de cobre o fibras pticas. Gran parte de las empresas prestadoras de servicios de datos son las mismas que las prestadoras de servicios telefnicos, y ya disponen de cables tendidos hasta las oficinas de las empresas. Estos son generalmente cables de cobre, pensados originalmente para brindar servicios telefnicos. A los efectos de minimizar los costos, se han desarrollado tcnicas que permiten utilizar estos mismos cables de cobre para brindar servicios digitales. Estas tecnologas se conocen como Digital Subscriber Loop o bucle digital de abonado. Entre estas tecnologas se encuentran ADSL, HDSL, VDSL y otras [36]. En forma genrica, todas ellas se engloban dentro de las tecnologas conocidas como xDSL. La siguiente figura ilustra la evolucin de los estndares xDSL, as como el crecimiento en la cantidad de suscriptores a nivel mundial [37]. En 2005 se lleg a los 100 millones de usuarios de la tecnologa.

Redes de Datos

Pgina 68

Redes Corporativas Todas las tecnologas xDSL permiten comunicacin de datos en forma bidireccional. Sin embargo, algunas son asimtricas y otras simtricas, en lo que respecta a las velocidades de transmisin de datos en cada sentido.

6.1 ADSL
ADSL, o Asymmetric Digital Subscriber Loop [38] (DSL asimtrico), brinda una conexin digital con velocidades de subida y de bajada diferentes. Est pensada tpicamente para servicios de acceso a Internet, en los que, por lo general, es mucha ms la informacin que debe viajar desde Internet hacia la empresa que desde la empresa hacia Internet. Por ejemplo, al navegar sobre la web, un usuario realiza un clic (envo muy pequeo de informacin), y baja una pgina completa (envo importante de informacin).
Exchange Customer Premises

Splitter

Splitter

Twisted Pair

DSL Modem

Computer

DSLAM

Telephone

PSTN

Los servicios ADSL pueden ser brindados a diferentes velocidades de subida y bajada. La tecnologa admite hasta 7 Mb/s de bajada y 928 kb/s de subida. Como todas las tecnologas DSL puede ser brindada sobre los pares telefnicos existentes. Sin embargo, ADSL permite utilizar el mismo par sobre el que funciona un servicio telefnico. Es decir, sobre un mismo par telefnico pueden coexistir un servicio telefnico analgico y un servicio de datos ADSL. Para lograr esto, ADSL utiliza modulacin en frecuencias supra-vocales, y separadores o splitters en las oficinas donde se presta el servicio. Estos splitters separan el servicio telefnico del servicio de datos. El servicio telefnico es conectado a un telfono analgico, y el servicio de datos a un MODEM DSL. Generalmente este MODEM dispone de una puerta LAN (RJ45) para ser conectado directamente a la red de datos del cliente.

Redes de Datos

Pgina 69

Redes Corporativas

Las distancias entre prestador y cliente a las que funciona ADSL dependen de la velocidad contratada, y pueden llegar hasta los 5 km.

ADSL utiliza modulacin DMT (Discrete Multitone Modulation). Esta modulacin consiste en dividir la banda de frecuencias disponibles en 256 sub-bandas, o canales, separados 4 kHz. 32 de estos canales se utilizan para subida, y el resto para bajada. Cada canal enva informacin en forma independiente, utilizando modulacin QAM (Quadrature Amplitude Modulation), en una constelacin de 2n puntos. Cada punto representa un conjunto de n bits, los que se envan en un nico smbolo modulando en amplitud y fase una portadora.

Redes de Datos

Pgina 70

Redes Corporativas

Una de las caractersticas de DMT es que permite que cada canal o sub-banda utilice constelaciones ms o menos densas (es decir, con ms o menos puntos), de acuerdo al ruido existente. Los modems ADSL pueden ajustar dinmicamente, de acuerdo a las condiciones de ruido existentes, las constelaciones a utilizar en cada canal

6.2 ADSL Light o G.Light


La tecnologa ADSL Light [39] es similar a la ADSL, pero no requiere de splitter o separador en las oficinas donde se presta el servicio. Es conocida tambin como splitterles DSL. La tecnologa fue pensada para brindar servicios a los hogares, dnde la simplicidad de instalacin es un factor de especial importancia. Dado su pblico objetivo, la velocidad de transmisin mxima fue diseada en 1.5 Mb/s, permitiendo equipos terminales ms sencillos, y por lo tanto, ms baratos. Dado que no hay splitter, los problemas de interferencia se ven acentuados, pero por lo general no son problema en las velocidades en que trabaja G.Light. En algunos casos es necesario instalar microfiltros en telfonos, para eliminar posibles ruidos.

6.3 HDSL
HDSL, o High Speed Symmetric Digital Subscriber Loop [40] (DSL simtrico de alta velocidad), brinda una conexin digital con iguales velocidades de subida y de bajada. Est pensada tpicamente para servicios 1.5 y 2 Mb/s, tpicamente de tipo T1 o E1. HDSL utiliza dos pares de cobre, y fue diseada para que la gran mayora de los cables tendidos originalmente para servicios telefnicos, puedan servir de soporte para ste nuevo servicio digital. Ambos pares son bidireccionales, y funcionan a la mitad de la velocidad de transmisin total.

Redes de Datos

Pgina 71

Redes Corporativas A diferencia de ADSL, los pares deben ser dedicados. No se pueden compartir otros servicios sobre los mismos pares por los que se brindan servicios HDSL HDSL utiliza modulacin 2B1Q, codificando 2 bits en cada smbolo.

La distancia a la que puede funcionar correctamente un servicio HDSL depende de los dimetros de cable utilizados, la cantidad de empalmes, y otros factores ambientales. Tpicamente puede llegar a 3.7 km, con cables 24 AWG

784 kbps

C
3,7 Km @ 24 AWG

784 kbps

RT

6.4 HDSL2
HDSL2 [41] es una mejora a HDSL, que permite las mismas funciones, pero utilizando solamente un par de cobre.

6.5 VDSL2
La tecnologa VDSL2 (Very-High-Bit-Rate Digital Subscriber Line 2) [42] fue aprobada en la recomendacin G.993.2 de la ITU-T en febrero de 2006. Esta tecnologa permite la transmisin simtrica o asimtrica de datos, llegando a velocidades superiores a 200 Mbit/s, utilizando un ancho de banda de hasta 30 MHz. Esta velocidad depende de la distancia a la central, reducindose a 100 Mbit/s a los 0,5 km y a 50 Mbits/s a 1 km de distancia. La siguiente figura esquematiza el espectro utilizado en VDSL2 hasta los 12 MHz [43]. En la gama de frecuencias entre 12 MHz y 30 MHz, la norma VDSL2 especifica como mnimo una banda adicional en sentido ascendente o descendente. El plan detallado de las bandas de frecuencia utilizadas depende de la regin, y est especificado en la recomendacin para Europa, Japn y Estados Unidos

Redes de Datos

Pgina 72

Redes Corporativas

La recomendacin establece 8 perfiles, denominados 8a, 8b, 8c, 8d, 12a, 12b, 17a y 30a. Difieren en la velocidad de transmisin y otros parmetros siendo 50 Mb/s la velocidad para los perfiles 8x, 68 Mb/s para los 12x, 100 Mb/s para el 17a y 200 Mb/s para el 30a. Por lo menos, se debe cumplir con las especificaciones para uno de los perfiles. La siguiente tabla resume las caractersticas ms destacables de los perfiles. Perfil
Velocidad de datos bidireccional neta mnima (Mb/s) Ancho de banda (MHz) Potencia de transmisin combinada en sentido descendente mxima (dBm)

8a 50 8.5 +17,5

8b 50 8.5 +20,5

8c 50 8.5 +11,5

8d 50 8.5 +14,5

12a 68 12 +14,5

12b 68 12 +14,5

17a 100 17.6 +14,5

30a 200 30 +14,5

Yoichi Maeda, Presidente de la Comisin de Estudio del Sector de Normalizacin de las Telecomunicaciones de la ITU, responsable de este trabajo, declar que "se ha reunido lo mejor del ADSL, el ADSL2+ y el VDSL para alcanzar niveles de calidad de funcionamiento extremadamente altos en la VDSL2. Esta nueva norma va camino de convertirse en una de las ms importantes en el panorama de las telecomunicaciones y constituye un hito histrico [44] El gran ancho de banda disponible hace posible la transmisin de video, lo que abre nuevas posibilidades para los servicios ofrecidos sobre tecnologas DSL.

Redes de Datos

Pgina 73

Redes Corporativas

7 Administracin de Redes
Junto con el crecimiento de las redes de datos, surgi la necesidad de su administracin. La administracin de redes incluye las tareas de diseo, integracin y coordinacin de los equipos de hardware, los programas de software y los recursos humanos necesarios para monitorear, testear, configurar, analizar, evaluar y controlar la red y sus recursos a los efectos de lograr la calidad de servicio requerida. Desde el punto de vista corporativo, las tareas de administracin de redes deben basarse en obtener en forma predecible y consistente una calidad de servicio adecuada a las necesidades, a un costo aceptable para la corporacin. Para poder realizar las tareas de administracin, es necesario poder detectar fallas, aislarlas y corregirlas, al menor costo y en el menor tiempo posible. Es necesario tambin poder realizar cambios en las configuraciones afectando lo mnimo posible al servicio. Una buena administracin de red se basa en prever, en la medida de lo posible, posibles puntos de falla, y evitarlos antes de que sucedan. Esto se basa en tener medidas de utilizacin de la red, analizarlas y tomar acciones preventivas antes que correctivas. Varios organismos han trabajado en intentar estandarizar las tareas relacionadas a la administracin de las redes, entre ellos la ISO, el ITU-T y el IETF. Cada uno de ellos ha establecido normas y recomendaciones, viendo a la administracin de las redes desde su propia ptica. La ISO ha establecido los criterios generales en la recomendacin 7498-4 [45]. Dentro de la administracin de redes, se distinguen 3 componentes que han sido estandarizados: La estructura de la informacin (10165-x), los protocolos a utilizar (9595 y 9596) y las funciones propias de la administracin (10164-x, conocidas generalmente como FCAPS) Por su lado, la ITU-T, con su visin centrada en su historia telefnica, ha desarrollado los estndares para lo que se ha dado a llamar TMN, o Telecommunications Management Network (Red de gerenciamiento de telecomunicaciones) [46] . La estructura general de esta red, se describe en las recomendaciones M.30xx. La primer versin de esta serie de recomendaciones fue publicada en 1989 (en ese momento por la CCITT) [47]. La versin conocida actualmente como M.3010 fue publicada en 1992, y revisada en 1996 [48]. Al igual que la ISO, se distinguen 3 componentes de las TMN: Estructura de la informacin (M.31xx), Protocolos (Q.8xx) y las funciones propias de la administracin (M.32xx, M.3300, M.3400). Finalmente, el IETF ha desarrollado un sistema pragmtico, mucho ms sencillo, aunque tambin ms limitado. Las recomendaciones acerca de la estructura general se han publicado en los RFC 1052 y 1155, y se presentan 2 componentes estandarizados: La estructura de la informacin (RFC1113 , MIB) y los protocolos (RFC 1157, SNMP).

Redes de Datos

Pgina 74

Redes Corporativas

7.1 Funciones a considerar en la administracin de redes segn ISO


Vamos a detenernos en las funciones de la administracin, definidas por ISO, llamadas comnmente funciones FCAPS, debido a sus siglas en ingls. 7.1.1 Gestin de Fallas (Fault Management) Una de las funciones de administracin de redes es poder detectar y resolver fallas. El propsito de la gestin de fallas es asegurar el correcto funcionamiento de la red y la rpida resolucin de las fallas que se presenten. La gestin de fallas comienza por la deteccin de las mismas, ya sea en forma automtica o en reportadas por los usuarios. Es recomendado disponer de un sistema de registro y seguimiento, que permita dejar registrado el incidente, y las acciones realizadas para su resolucin. La resolucin de fallas debe generar conocimiento, para prevenir fallas futuras. Muchas veces es difcil realizar un anlisis profundo de las causas durante el momento en que la falla est presente, sobre todo si la falla afecta considerablemente al servicio. Las presiones de los usuarios (y sobre todo de sus jefes), llevan muchas veces a tratar de solucionar lo ms rpidamente posible la falla, sin detenernos a buscar sus causas. Si bien la bsqueda y anlisis de las causas puede generar demoras adicionales en la resolucin de los problemas, muchas veces es preferible esto a que la misma falla se repita una y otra vez sin entender por que sucede. Como parte de la gestin de fallas es necesario disponer de un plan de contingencia, planificado y documentado, que nos permita brindar servicios (quizs en forma reducida), mientras se resuelve la falla e investiga sus causas Tambin se debe disponer de un plan de gestin de alarmas, con procesos acordes a su criticidad. 7.1.2 Gestin de Configuracin (Configuration Management) Para poder gestionar las redes, es necesario saber qu elementos se disponen, cmo estn iterconectados, cual es la configuracin especfica de cada uno de los elementos, etc. La gestin de la configuracin consiste en mantener esto en forma ordenada y documentada. Se debe partir de una descripcin de la red y cada uno de sus componentes. A quien le prestan servicio, con que caractersticas, etc. Esto puede llevarse a cabo en varios niveles. Por ejemplo, parte de la gestin de configuracin, podra ser disponer de un plano de las centrales telefnicas empresariales (PBX), con cada una de sus componentes (placas, internos, lneas, etc.), a que est conectado cada puerto, que facilidades tiene programado cada interno, etc.

Redes de Datos

Pgina 75

Redes Corporativas Deben preverse mecanismos para los agregados, mudanzas y cambios, de manera que se afecte mnimamente al servicio, y que los cambios queden documentados. El mantenimiento de la documentacin debe incluir todo lo necesario como para comprender la arquitectura de la red y cada uno de sus componentes. Esto incluye inventarios, diagramas de conexiones, cableado, configuraciones, planes de numeracin, planes de direcciones de red, etc. 7.1.3 Gestin de Costos (Accounting) Las redes de telecomunicaciones tienen costos asociados. Desde la amortizacin de los equipos, pasando por los costos de utilizacin de servicios, hasta los propios costos del gerenciamiento. En general, podemos separar los costos en 3 categoras: Costos directos de las telecomunicaciones: Corresponden a los costos del uso de las redes. Estos costos tienen generalmente un componente fijo y un componente variable. Por ejemplo, un prestador de servicio de acceso a Internet puede cobrar una tarifa plana mensual, y un prestador de telefona de larga distancia puede cobrar una tarifa segn cada llamada realizada. Dentro de los costos directos se deben incluir todos los costos de telecomunicaciones: o Servicios de datos o Lneas directas o Costos de llamadas telefnicas o Costos de servicios telefnicos (Colectivos, facilidades como CallerID, etc) o Etc Costos de equipos: Los equipos de telecomunicaciones pueden ser propios o arrendados. En el caso de tener equipos propios, existe un costo de amortizacin, generalmente prorrateado en un perodo estimado como el de vida til del equipo. Los equipos arrendados tienen un costo mensual prefijado. Costos del Gerenciamiento: Todos los aspectos de gerenciamiento (FCAPS Gestin de configuracin, de fallas, de seguridad, de desempeo y la propia gestin de costos) tienen costos asociados. Ya sea que se dispone de personal propio, o que se subcontrate el servicio a terceros, existen costos de gerenciamiento. En el primer caso, estos costos estn dados por los salarios del personal dedicado al gerenciamiento (administradores de red, help desk, etc.) En el segundo, los costos estn dados por una cuota por servicios contratados a terceros.

Redes de Datos

Pgina 76

Redes Corporativas Es usual que los costos se prorrateen entre Centros de Costo, generalmente asociado a sectores dentro de una Empresa (Ventas, Administracin, Operaciones, etc.) En algunos casos, cada Centro de Costos tiene cuotas, de las que no puede excederse. Algunos sistemas pueden llegar a limitar el uso de ciertos servicios si se excede la cuota preestablecida. 7.1.4 Gestin de Desempeo (Performance Management) La gestin del desempeo de las redes de telecomunicaciones tiene como objetivo asegurar el funcionamiento de las redes con la calidad de servicio deseada. Por ejemplo, que la cantidad de lneas urbanas que se dispone sea la adecuada, de manera que no exista congestin, que el ancho de banda en los enlaces entre sucursales sea suficiente para el trfico cursado, etc. Para lograr estos objetivos es necesario monitoreo ciertos parmetros de la red, que den un indicador acerca de la performance del servicio. Por ejemplo, si el servicio a monitorear es la disponibilidad de lneas urbanas salientes para realizar llamadas, un posible parmetro a monitorear puede ser la cantidad de lneas ocupadas en forma simultnea (para compararlo con la cantidad de lneas totales disponibles). Si el servicio a monitorear es el acceso a Internet, un posible parmetro a monitorear es el ancho de banda efectivamente utilizado (para compararlo con el ancho de banda disponible) Estos parmetros son generalmente de tiempo real. Es decir, miden en un momento determinado el desempeo de un servicio. Si son consultados en forma peridica y almacenados, es posible realizar un control de la performance. Esto permite realizar reportes de gestin, ver su evolucin en el tiempo, etc. Analizando estos reportes es posible prever futuros problemas, dimensionar los recursos adecuadamente e incluso detectar fallas que pueden no afectar a un usuario en particular, pero si degradar la performance general del sistema (por ejemplo, si una lnea urbana est rota, se disminuye la cantidad total de lneas disponibles y por lo tanto se degrada la performance, sin embargo, puede que nadie reporte el problema como tal). A los efectos de gestionar el desempeo de las redes, cada equipo debe tener capacidad de medir los parmetros concernientes a sus servicios. Entre estos equipos se pueden encontrar PBX, Switches, Routers, Firewalls, etc. 7.1.5 Gestin de la Seguridad (Security Management)

La gestin de seguridad es un tema complejo en s mismo. La seguridad en las redes de telecomunicaciones se enmarca dentro de los conceptos ms generales de Seguridad de la informacin, que sern tratados ms adelante. Como conceptos generales, la gestin de la seguridad en las redes se debe encargar de definir permisos de acceso, controlar el fraude y prevenir los ataques. El control de acceso debe definirse tanto para las redes de voz, como para las de datos. En las primeras, los controles tpicos tienen que ver con los permisos para

Redes de Datos

Pgina 77

Redes Corporativas realizar determinado tipo de llamadas y con las facilidades a las que cada usuario tiene acceso. Por ejemplo, si un usuario puede escuchar las llamadas de otros, si puede desviar su telfono a otros telfonos, o a celulares, si se pueden realizar llamadas a nmero internacionales, o a 0900, etc. En las redes de datos, los controles tpicos restringen el acceso a la informacin, ya sea interna o externa. Los controles de fraude tambin deben realizarse en las redes de voz y datos. Fraudes tpicos en redes de voz estn relacionados con accesos a nmero prohibidos y llamadas tandem. En las redes de datos los fraudes ms comunes consisten en acceder a informacin restringida, ya sea desde dentro de la empresa, o desde fuera.

7.2 Funciones a considerar en la administracin de redes segn ITU-T


Las funciones se organizan en una estructura jerrquica de niveles que cubren todos los aspectos de gestin (en realidad, pensados para los prestadores de servicio) y clasifica las funciones que se deben realizar en cada nivel segn criterios de responsabilidad. Los niveles son: el nivel de gestin de negocio, el nivel de gestin de servicio, el nivel de gestin de red y el nivel de gestin de elemento de red. Los niveles se representan habitualmente en forma de pirmide [49]. Entre cada nivel, se establecen puntos de referencia, con interfaces estandarizadas. La primera versin de TMN estableca tres tipos de interfaces, llamadas Q1, Q2 y Q3. En versiones ms recientes, se decidi unificar las interfaces Q1 y Q2 en una nueva interfaz Qx, y se mantuvo la interfaz Q3.

Redes de Datos

Pgina 78

Redes Corporativas 7.2.1 Gestin de Negocio (Bussines Management) El nivel superior es el nivel de gestin de negocio que incluye los aspectos relacionados con las estrategias de negocio; en l se definen las acciones para conseguir el retorno de la inversin, aumentar la satisfaccin de los accionistas de la compaa y de los empleados, etc. Las decisiones tomadas en este primer nivel definen los objetivos estratgicos de la compaa, y condicionan las funciones y procesos de la capa de nivel de gestin de servicio. Es decir, la gestin del servicio debe estar alineada con la estrategia de negocio definida en la corporacin. 7.2.2 Gestin de Servicio (Service Management) En la capa de gestin del nivel de servicio se decide cmo gestionar los servicios que se van a prestar en la red. En este nivel se incluyen todos los aspectos relacionados con la atencin a los clientes o usuarios y los de desarrollo y operacin de los servicios, y se realiza la gestin de las peticiones de servicio, la calidad del servicio Quality of Service (QoS), la gestin de problemas, la facturacin, etc. 7.2.3 Gestin de Red (Network Management) Los servicios estn soportados sobre las redes de telecomunicaciones. El nivel de gestin de red es responsable del transporte de la informacin entre dos extremos y de asegurar que sta se realiza de forma correcta. Cualquier error o problema que se detecte en este nivel y que afecte a los servicios que se prestan a los clientes o usuarios debe ser notificado hacia el nivel de gestin de servicio. 7.2.4 Gestin de Elementos de Red (Network Element Management) Por ltimo, el nivel de gestin de elemento de red se encarga de todos los aspectos relacionados con switches, sistemas de transmisin, etc., considerados como elementos aislados. Cualquier error o evento que se produzca en un equipo que pueda afectar al transporte de la informacin debe ser notificado hacia el nivel de gestin de red

7.3 SNMP
Para facilitar la administracin de redes, el IETF (Internet Engineering Task Force) ha definido una recomendacin llamada SNMP (Simple Network Management Protocol), que se ha convertido en un estndar en la industria de las comunicaciones.

Redes de Datos

Pgina 79

Redes Corporativas SNMP (Simple Network Management Protocol) fue definido por el IETF (Internet Engineering Task Force) en 1989, en el RFC-1098 [50]. Desde entonces, se ha convertido en un estndar de la industria de las comunicaciones para controlar dispositivos de red desde estaciones de gerenciamiento y administracin centralizadas.
MIB

SNMP Manager RED

Hub (SNMP Agent)

MIB

Switch (SNMP Agent)


MIB

Router (SNMP Agent)

SNMP es un conjunto de protocolos y funciones especialmente diseadas para la administracin de redes, que utilizan el protocolo IP. SNMP permite a los administradores de red aislar fallas y monitorear el status y la performance de las redes de comunicaciones corporativas. SNMP define dos componentes: SNMP Manager: Es una aplicacin de software desde la que se realiza la administracin, en forma centralizada, de la red. SNMP Agent: Residen en los diversos dispositivos de red (hubs, switches, routers, etc.) y generan informacin estadstica acerca de sus funciones y recursos (por ejemplo, informacin estadstica de trfico). Esta informacin es almacenada en una base de datos local, llamada MIB (Management Information Base). A su vez, los Agentes SNMP pueden recibir y enviar informacin desde y hacia el Administrador SNMP (SNMP Manager), utilizando el protocolo UDP.

Cada Agente SNMP almacena la informacin que requiere en una base de datos llamada MIB (Management Information Base), cuyo formato est estandarizado.

Redes de Datos

Pgina 80

Redes Corporativas

La informacin de la MIB est organizada en forma jerrquica. Cada elemento de informacin (llamado objeto MIB) es una variable que almacena alguna caracterstica o alguna informacin estadstica del dispositivo administrado (Agente SNMP). Estos objetos MIB pueden ser escalares (es decir, contener un nico valor), o tabulares (es decir, contener varios valores). La estructura jerrquica de la MIB es en forma de rbol, como se muestra en la figura. Cada objeto MIB est unvocamente identificado dentro de la jerarqua de la MIB, ya sea en una notacin textual o numrica, indicando los diferentes nombres o nmeros por los que se debe recorrer el rbol hasta llegar al objeto en cuestin. Por ejemplo, la variable atInput del ejemplo de la figura puede ser identificada como iso.identified-organization.dod.internet.private.enterprise.cisco.temporary variables.AppleTalk.atInput o por su equivalente numrico 1.3.6.1.4.1.9.3.3.1. Cada fabricante tiene una rama, bajo el objeto enterprise, y es libre de armar bajo esta rama la estructura de informacin que aplique mejor a sus productos. Los agentes SNMP son controlados y monitoreados desde el administrador SNMP (SNMP manager) usando comandos simples, entre los que se destacan:

Redes de Datos

Pgina 81

Redes Corporativas Read: Es usado por el Manager para leer las variables del Agente (por ejemplo, para recolectar estadsticas de uso) Write: Es usado para configurar el equipo administrado. El Manager puede escribir ciertas variables de configuracin del Agente Trap: Es utilizada en forma asncrona por los agentes, para reportar eventos (tpicamente fallas)

Existen tres versiones de SNMP, conocidas como SNMPv1 (versin 1) y SNMPv2 (versin 2) y SNMPv3 (versin 3). Todos ellas tienen un gran nmero de caractersticas similares, pero las versin ms nuevas, ofrecen algunas mejoras frente a las anteriores. La versin 2 implementa los comandos GetBulk y Inform. El comando GetBulk es usado por el SNMP Manager para recuperar en forma eficiente una gran cantidad de informacin de los agentes. El comando Inform es usado para intercambiar informacin entre varios SNMP Managers. La versin 3 introduce mejoras en la seguridad Las distintas versiones SNMP son incompatibles entre s, no solo por la incorporacin de nuevos comandos, sino porque el formato de los mensajes intercambiados entre el Manager y los agentes es diferente en cada versin.

Redes de Datos

Pgina 82

Redes Corporativas

8 Seguridad de la Informacin
En todas las empresas, las redes de voz y datos transportan informacin. Esta informacin es valiosa para las organizaciones, al punto que se considera uno de sus activos. que, al igual que otros activos importantes para el negocio, tiene valor para la organizacin y consecuentemente necesita ser protegido apropiadamente. Dentro de una corporacin o empresa, la informacin puede existir en muchas formas. Puede ser impresa o escrita en papel, almacenada electrnicamente, transmitida por correo o medios digitales, mostrada en videos, o hablada en conversaciones. En muchos de estos aspectos, las redes corporativas participan activamente. Asegurar la informacin, incluye, por lo tanto, asegurar las redes por dnde la misma es transmitida. Muchos componentes tecnolgicos son utilizados en las redes corporativas asociados a los aspectos de seguridad. Sin embargo, todos ellos tienen como objetivo proteger la informacin, y no los componentes informticos en si mismos. Tomando esto en cuenta, es natural ver a estos componentes tecnolgicos, enmarcados dentro de los planes ms genricos de seguridad de la informacin.

8.1 Recomendaciones y normas relacionadas con la seguridad de la informacin


La seguridad de la informacin es un tema crtico para la gran mayora de las corporaciones. Dado que el tema es genrico y no especfico de una tecnologa o tipo de negocio, varios organismos internacionales han desarrollado recomendaciones y estndares al respecto. La ISO ha publicado la recomendacin 17799 [51], la que incluye un conjunto de prcticas acerca del gerenciamiento de la seguridad de la informacin. La ISO 17799 es una gua de buenas prcticas de seguridad de la informacin que presenta una extensa serie de controles de seguridad. La recomendacin no cubre las problemticas tecnolgicas, sino que hace una aproximacin al tema abarcando todas las funcionalidades de una organizacin en lo relacionado a la seguridad de la informacin. Por su parte, la British Standards Institution, ha publicado las normas BS 7799. La parte 1 de esta norma es similar a la ISO 17799. La parte 2, conocida como BS 7799-2:2002 [52], es una norma enfocada a los procesos, y establece ms que recomendaciones genricas, reglas y requisitos a cumplir por las organizaciones. En su estructura es similar a las normas de calidad ISO 9001:2000, y al igual que stas, es una norma certificable. Es decir, una empresa puede certificarse en el cumplimiento de la BS 7799-2:2002. Cabe destacar que la recomendacin ISO

Redes de Datos

Pgina 83

Redes Corporativas 17799 no es una norma certificable, ya que incluye nicamente un cdigo de buenas prcticas relativas a la gestin de la seguridad de la informacin. Es una gua que contiene consejos y recomendaciones que permite asegurar la seguridad de la informacin de la empresa. Los requisitos establecidos en la BS 7799-2 se refieren a un Plan de Seguridad constituido por un Sistema de Gestin de Seguridad de la Informacin (SGSI), o en ingls, Information Security Management System (ISMS), en el que se aplican los controles de seguridad de la BS 7799-1 (y por lo tanto de la ISO 17799). Los requisitos que se establecen en el SGSI de la BS 7799-2 se pueden auditar y certificar. No hay versin ISO de la BS 7799-2. La BS 7799-2:2002 esta basada en el enfoque de procesos, muy similar al de ISO 9001:2000.

Estos procesos tienen las siguientes etapas, las que se ejecutan en forma cclica: Planificar Se planifica qu hacer y como hacerlos. A grandes rasgos, Esto incluye la definicin del alcance del SGSI, las polticas generales de seguridad, la identificacin y evaluacin de los riesgos a los que est expuesta la informacin, y la preparacin de los documentos preliminares Hacer Se ejecuta el plan, implementando los controles seleccionados, con el fin de cumplir los objetivos planteados Verificar Se verifica la ejecucin del plan, implementando exmenes o controles peridicos (por ejemplo, auditoras). Se registran las desviaciones encontradas

Redes de Datos

Pgina 84

Redes Corporativas Actuar En base a las desviaciones encontradas o a las posibles mejoras al sistema se toman acciones correctivas o preventivas, las que llevan nuevamente a planificar, cerrando el ciclo.

En general, los objetivos de un SGSI es asegurar la continuidad del negocio y minimizar el dao ante un incidente de seguridad. En forma genrica, se establecen 3 objetivos de seguridad de la informacin: Confidencialidad Procurar que la informacin sea accesible slo a las personas autorizadas a acceder a su utilizacin. Integridad Asegurar la exactitud y la completitud de la informacin y los mtodos de su procesamiento Disponibilidad Asegurar que los usuarios autorizados tengan acceso a la informacin y los recursos asociados cuando lo requieran.

8.2 Poltica de seguridad


La ISO/IEC indica que la informacin es un activo, y al igual que otros activos importantes para el negocio, tiene valor para la organizacin y consecuentemente necesita ser protegido apropiadamente. Para proteger apropiadamente a la informacin, es necesario definir ciertas Polticas de seguridad. El trmino Poltica define una declaracin de alto nivel que una organizacin manifiesta. La Poltica de seguridad es una declaracin formal de las reglas que deben seguir las personas que tienen acceso a los activos de informacin de una organizacin. La Poltica de seguridad debe ser la gua de la implementacin de todo el sistema de gestin de seguridad de la informacin. Como marco general de la Poltica de seguridad, hay que definir una Poltica estratgica de seguridad que sea coherente y aplicable a toda la organizacin. Es recomendable que sta sea breve y clara, y que establezca la filosofa bsica de la organizacin en lo referente a la seguridad de la informacin. Todos los otros documentos (polticas, prcticas, procedimientos, instructivos) debern estar alineados con esta Poltica estratgica de seguridad. Una buena Poltica de seguridad debe: Ser fcil de entender

Redes de Datos

Pgina 85

Redes Corporativas Los documentos de la Poltica de seguridad deben poder ser fcilmente comprendidos por quienes deban aplicarlos. Se debe tratar de utilizar el lenguaje habitual de acuerdo al perfil del empleado al que est dirigido. Debe ser clara y evitar confusiones o ambigedades. Ser Formal Debe estar documentada y especificar claramente los mecanismos por los que se protegern a los sistemas y activos de informacin Ser obligatoria En la medida de lo posible, las reglas se debern implementar mediante herramientas tecnolgicas de seguridad apropiadas. En caso que no sea tecnolgicamente posible implementar medidas preventivas, debern especificarse las sanciones adecuadas. Ser realizable Debe poder ser implementable mediante procedimientos administrativos, publicaciones, guas de uso y tecnologa apropiada. Definir responsabilidades Debe definir claramente las responsabilidades de los usuarios, gerentes y administradores. Ser proactiva Tratar de prevenir a sancionar. Ser flexible Para que una Poltica de seguridad pueda permanecer en el mediano plazo, debe ser flexible e independiente de plataformas de Hardware y Software especficas, ya que stas cambiarn con mucha frecuencia. Estar alineada con los objetivos del negocio La Poltica de seguridad debe acompaar, facilitar y proteger a la organizacin y el negocio, y no convertirse en una traba para los clientes y empleados. Tener el compromiso de la Direccin La Poltica de seguridad, y todo el sistema de gestin de seguridad de la informacin, deben contar con el apoyo expreso de la Direccin. La Direccin debe proporcionar los recursos humanos y materiales necesarios. Involucrar a toda la organizacin La poltica de seguridad debe llegar a todos los niveles de una organizacin. Las personas involucradas deben conocer el origen y motivo de la poltica, de manera que la perciban como necesaria y positiva y no slo como una serie de reglas a cumplir.

Redes de Datos

Pgina 86

Redes Corporativas

En base a la Poltica estratgica de seguridad, ser necesario definir varios documentos ms especficos, o Polticas especficas. Cuando se escribe una de estas polticas, se debe tener en cuenta: Intencin u objetivo: Qu es lo que se proteger? Responsabilidades: Quin es el responsable? Alcance: Qu reas estn afectadas? Monitoreo: Cmo se realizar el seguimiento y monitoreo? Aplicablidad: Cundo ser aplicable? Por qu fue desarrollada?

Debe estar redactado en un lenguaje comnmente usado y entendido por el personal de la empresa No existe una estructura de documentos preestablecida y aplicable a todos los casos. Diferentes organismos han detallado en mayor o menor medida diversos tipos de documentos o componentes que debe tener una buena poltica de seguridad o sistema de gestin de seguridad (ISMS, tal como lo define la ISO 17799:2000) En particular, el RFC-2196 establece una serie de componentes que deberan ser incluidos en las polticas de seguridad. A continuacin se detallan los mismos: Guas de compras de tecnologa de la informacin 2 Especifica funciones de seguridad requeridas o preferidas. Estas polticas deben complementar cualquier otra poltica de compra de la organizacin. Poltica de privacidad Establece las expectativas razonables de privacidad acerca de temas como el monitoreo de correos electrnicos, acceso a archivos de usuarios y registro de teclados. Podra incluir tambin polticas acerca de registro, escucha y control de llamadas telefnicas, control de accesos a sitios web, uso de herramientas de mensajera instantnea, etc. Poltica de acceso

El RFC 2196 menciona Computer Technology Purchasing Guidelines, o sea Guas de compra de tecnologa informtica. Se ha cambiado en este texto tecnologa informtica por tecnologa de la informacin, trmino ms amplio que el anterior, alineado con la filosofa de la ISO 17799:2000

Redes de Datos

Pgina 87

Redes Corporativas Define derechos o privilegios de acceso a activos o recursos de informacin protegidos. Especifica comportamientos aceptables para usuarios, empleados de mantenimiento o soporte y gerentes. Debe incluir reglas respecto a las conexiones y accesos externos, as como reglas acerca de la comunicacin de datos, conexiones de dispositivos a las redes e inclusin de nuevas aplicaciones informticas en los sistemas existentes. Debe establecer si es necesario o no incluir mensajes de advertencia o notificacin durante los accesos a las redes, sistemas, archivos, etc. Poltica de responsabilidad Define las responsabilidades de usuarios, personal de mantenimiento y gerentes. Debe especificar la capacidad de realizar auditorias y sus caractersticas, y proveer las guas para el registro y manejo de incidentes de seguridad (por ejemplo, que hacer y a quien contactar en caso de detectar un incidente de seguridad) Poltica de autenticacin Debe establecer los mecanismos de confianza mediante el uso de una poltica de contraseas apropiadas. Debe tener en cuenta, si aplica, polticas de autenticacin local y de acceso remoto, y el uso de dispositivos de autenticacin (por ejemplo, mecanismos de clave de una nica vez (one-time password) ) Declaracin de disponibilidad Establece las expectativas de disponibilidad de los recursos de los sistemas de informacin. En base a la disponibilidad necesaria, podrn establecerse mecanismos de redundancia y procedimientos de recuperacin. Podr establecer tambin las guas para el registro y manejo de problemas de disponibilidad (como y a quien reportar problemas de red, por ejemplo), as como tambin reglas generales acerca de los horarios de operacin y periodos de indisponibilidad debidos a tareas de mantenimiento. Poltica de mantenimiento de los sistemas relacionados a la tecnologa de la informacin Describe como deber realizarse el mantenimiento realizado tanto por personal interno como externo a la organizacin. Debe establecerse si se admite o no algn tipo de mantenimiento remoto (por ejemplo, por Internet o por MODEM), y las reglas que aplican al mismo, as como los mecanismos internos de control.

Deber establecerse si se admite mantenimiento tercerizado, y sus reglas de administracin.


Poltica de informes de incidentes o violaciones de seguridad Establece que tipo de incidentes o violaciones de seguridad deben ser reportados y a quien deben ser reportados. Para no generar un

Redes de Datos

Pgina 88

Redes Corporativas ambiente amenazante pueden considerarse la inclusin de reportes annimos, lo que seguramente devenga en una mayor probabilidad de que los incidentes sean efectivamente reportados. Informacin de apoyo Para proveer a los usuarios, empleados y gerentes con informacin de contacto y de referencia a ser usada ante incidentes de seguridad.

En todos los casos, los aspectos legales deben ser tenidos en cuenta. Como mnimo es recomendable que el departamento legal de la organizacin (o un consultor externo) de su aval a las polticas de seguridad. El NIST, por su parte, indica que los componentes de una poltica de seguridad deben incluir un programa estratgico de seguridad, polticas especficas, (concernientes a temas especficos) y polticas especficas-sistema (concernientes a sistemas particulares). Esta visin es similar a la del RFC-2196 El CERT indica que una poltica de seguridad debe incluir: Descripcin de alto nivel. Esto sera equivalente a la Poltica estratgica de seguridad mencionada anteriormente Anlisis de riesgos Identificando los valores, las amenazas a las que estn expuestos estos valores y los eventuales costos en caso de que un valor sea perdido o atacado. Es una visin similar a la de la ISO 17799 Lneas maestras para administradores Define como administrar los sistemas cubiertos Lneas maestras de cmo reaccionar ante un ataque

La ISO ha desarrollado un conjunto de buenas prcticas en la norma ISO/IEC 17799:2000. Este documento, junto con el standard BS7799-2 (norma certificable) constituyen una especificacin para un Sistema de Gestin de la Seguridad de la Informacin, conocido habitualmente como ISMS (Information Security Management System). La orientacin de estos documentos apuntan al desarrollo de procesos acerca de la seguridad de la informacin. Estos procesos se basan en el esquema de Planificar Hacer Verificar Actuar. El proceso indicado en la ISO 17799:2000 incluye 6 etapas:

Redes de Datos

Pgina 89

Redes Corporativas Definir poltica de seguridad Definir mbito del ISMS Evaluacin de riesgos Administracin de riesgos Seleccionar controles Declaracin de aplicabilidad

8.3 Vulnerabilidades, amenazas y contramedidas


8.3.1 Vulnerabilidad Varios actores pueden potencialmente amenazar los sistemas de seguridad de una organizacin. Entre ellos podemos mencionar insiders, o personal interno, competidores, o hackers en general. Las amenazas explotan posibles vulnerabilidades a la infraestructura de la informacin. Una lista de las vulnerabilidades consideradas ms crticas puede verse en [53]. Una lista completa y detallada de las vulnerabilidades conocida se puede obtener de CVE [54]. La vulnerabilidad de una organizacin depende de varios factores, entre los que se encuentran: 8.3.1.1 Factores relacionados con la tecnologa: Tipo de Firewall instalado y su configuracin: Diferentes arquitecturas de Firewalls o cortafuegos pueden ser mas o menos vulnerables. Adicionalmente, la adecuada configuracin de este sistema es fundamental para disminuir la vulnerabilidad. Sistemas operativos utilizados: Todos los sistemas operativos tienen vulnerabilidades conocidas, y en forma permanente se publican nuevos parches tendientes a solucionar problemas de vulnerabilidad. Las empresas que sistemticamente instalan estos parches sern menos vulnerables. Aplicaciones y servicios instalados: Especialmente, las aplicaciones o servicios publicados a Internet, ya que, por su propia funcin, estn expuestos al pblico. Sistemas de IDS utilizados: Las empresas que puedan instalar algn tipo de sistema de IDS (NIDS, HIDS, etc.) pueden reducir considerablemente su vulnerabilidad. Utilizacin de aplicaciones de Antivirus: Muchos de los ataques actuales se propagan por virus, gusanos o troyanos. Disponer de servicios Antivirus centralizados y actualizados reduce la vulnerabilidad.

Redes de Datos

Pgina 90

Redes Corporativas 8.3.1.2 Factores humanos: Correcto uso de las aplicaciones por los usuarios: Muchos ataques son producidos por tcnicas de ingeniera social. Concientizar a los usuarios y empleados en general de los riesgos causados por el mal uso de aplicaciones, por instalar programas no autorizados, o por revelar sus contraseas, reduce considerablemente estas vulnerabilidades. Capacitacin: Tener personal calificado en seguridad de la informacin es un factor clave para poder reducir las vulnerabilidades

8.3.1.3 Poltica de seguridad: Finalmente, tener una buena poltica de seguridad de la informacin, divulgada entre todos los actores, es, quizs, la mejora manera de disminuir la vulnerabilidad de la organizacin.

8.3.2 Amenazas Una amenaza es una condicin del entorno del sistema de informacin con el potencial de causar una violacin de la seguridad (confidencialidad, integridad, disponibilidad o uso legtimo). Las amenazas son, por tanto, el conjunto de los peligros a los que estn expuestos la informacin y sus recursos tecnolgicos relacionados. Para cada amenaza, se pueden distinguir Agentes: Quien potencialmente puede generar una violacin de la seguridad. Puede ser una persona, una mquina o fenmenos naturales Motivos: Lo que mueve al agente a actuar. Pueden existir motivos intencionales o accidentales. Resultados: El resultado de la ejecucin de la amenaza (divulgacin, modificacin, indisponibilidad) Una vulnerabilidad es una debilidad de un sistema, aplicacin o infraestructura que lo haga susceptible a la materializacin de una amenaza. El riesgo puede verse como la probabilidad de que una amenaza en particular explote una vulnerabilidad Un ataque no es ms que la concrecin o realizacin de una amenaza. La poltica de seguridad y el anlisis de riesgos deben identificar las vulnerabilidades y amenazas, y evaluar los correspondientes riesgos. Los riesgos pueden ser: Mitigados: Mediante la implementacin de los correspondientes controles Transferidos Por ejemplo. Tomando un seguro Eludidos: Cambiando la forma de hacer las cosas, o prescindiendo del activo amenazado.

Redes de Datos

Pgina 91

Redes Corporativas Aceptado: Luego de evaluado, decidir que no es conveniente tomar acciones. En general, es sumamente importante ser concientes de las vulnerabilidades y amenazas a las que est expuesta la informacin, de manera de mitigar, transferir, eludir o aceptar el riesgo. Muchas veces, la decisin de cuanto dinero vale la pena invertir para eliminar o bajar el riesgo de una amenaza no es sencillo. En [55] puede verse un estudio genrico de la rentabilidad de las medidas de seguridad. A continuacin se detallan algunas de las amenazas ms relevantes: Desastres naturales (Incendio, Inundacin, Terremotos Tormentas elctricas, etc) Fallas de infraestructura (Instalacin elctrica deficitaria, cambios bruscos de tensin, etc.) Robo fsico Ataques a travs de Internet Empleados actuales o ex - empleados descontentos, curiosos, hackers, terroristas.

8.3.2.1 Tipos de ataques Los ataques a sistemas de informacin pueden ser clasificados segn diversos criterios, entre los que podemos citar la clasificacin por origen (Personas, Amenazas lgicas y Catstrofes) y la clasificacin por tipo (Acceso no autorizado, revelacin de informacin y negacin del servicio) [56]. Otra clasificacin para los ataques es la siguiente [57] :

Interrupcin: Un recurso del sistema es destruido o se vuelve no disponible. Este es un ataque contra la disponibilidad. Intercepcin: Una entidad no autorizada consigue acceso a un recurso. Este es un ataque contra la confidencialidad. Modificacin: Una entidad no autorizada no slo consigue acceder a un recurso, sino que es capaz de manipularlo. Este es un ataque contra la integridad Fabricacin: Una entidad no autorizada inserta objetos falsificados en el sistema. Este es un ataque contra la autenticidad

En [58] se clasifican los ataques o incidentes de la siguiente manera:


Pruebas Barridos Comprometer cuentas de usuario. Comprometer cuentas del administrador. Husmeo de paquetes (Packet Sniffer) Denegacin de servicio. Explotacin de confianza.

Redes de Datos

Pgina 92

Redes Corporativas

Cdigo malicioso. Ataques a la infraestructura de Internet.

Se describen a continuacin varios Tipos de ataques [59]: INGENIERIA SOCIAL La ingeniera social consiste en la manipulacin de las personas para que voluntariamente realicen actos que normalmente no haran. Uno de los motivos mas frecuentes para que un atacante utilice la ingeniera social es intentar obtener informacin sensible para la organizacin o acceder a un sistema o dispositivo que, normalmente, no estara disponible desde el exterior. EAVESDROPPING3 Y PACKET SNIFFING4

Se entiende por Eavesdropping la pasiva intercepcin (sin modificacin) del trfico de red. En general esto es realizado por packet sniffers, que son programas que monitorean los paquetes de red. Este mtodo puede ser utilizado para capturar usuarios, claves, nmeros de tarjetas de crdito, etc. que viajen sin encriptar.
SNOOPING5 Y DOWNLOADING

Los ataques de esta categora tienen el mismo objetivo que el sniffing, obtener la informacin sin modificarla. Sin embargo los mtodos son diferentes. Adems de interceptar el trfico de red, el atacante ingresa a los documentos, mensajes de e-mail y otra informacin, guardando en la mayora de los casos esa informacin a su propia computadora.
TAMPERING6 O DATA DIDDLING7

Se refiere a la modificacin desautorizada de datos, o al software de en un sistema, incluyendo borrado de archivos. Puede ser realizado por insiders o outsiders, generalmente con el propsito de fraude o dejar fuera de servicio un sistema. La utilizacin de programas troyanos esta dentro de esta categora, y refiere a falsas versiones de un software con el objetivo de averiguar informacin, borrar archivos y hasta tomar control remoto de una computadora a travs de Internet.
SPOOFING8
Eavesdrop se traduce como Escuchar indiscretamente. Un eavesdropper es una persona indiscreta, o que escucha indiscretamente. 4 Sniffer proviene de la palabra Sniff, que se traduce como olfatear o husmear 5 Snoop se traduce como Entrometido o Curioso 6 Tamper se traduce como Manosear, o Intentar forzar 7 Diddle se traduce como Estafar
3

Redes de Datos

Pgina 93

Redes Corporativas

Esta tcnica es utilizada para actuar en nombre de otros usuarios, usualmente para realizar tareas de tampering. Una forma comn de spoofing, es conseguir el nombre y password de un usuario legtimo para, una vez ingresado al sistema, tomar acciones en nombre de l.
JAMMING9 o FLOODING10

Este tipo de ataques desactivan o saturan los recursos del sistema. Por ejemplo, un atacante puede consumir toda la memoria o espacio en disco disponible.
CABALLOS DE TROYA

Consiste en introducir dentro de un programa aparentemente seguro, una rutina o conjunto de instrucciones no autorizadas, para que dicho programa acte de una forma diferente a como estaba previsto.
BOMBAS LGICAS

Consiste en introducir un programa o rutina que en una fecha determinada destruir o modificara la informacin o provocara daos en el sistema.
VIRUS

Si bien es un ataque de tipo tampering, difiere de este porque puede ser ingresado al sistema por un dispositivo externo (disquete, CD, DVD) o travs de la red (e-mails u otros protocolos) sin intervencin directa del atacante.

8.3.3 Deteccin de ataques e intrusos Existen varias formas de detectar intrusos que estn o hayan atacado sistemas informticos [60] : Recibir mensajes de otro administrador, advirtiendo que desde alguna mquina de su red ha detectado un ataque hacia nuestra red. Es posible que la red de quien nos advierte ya haya sido atacada, y usada como trampoln para acceder a nuestra red. Hallar mensajes o registros inusuales durante anlisis rutinarios de nuestros sistemas. Mediante algn reporte de un sistema IDS (Intrusion Detection System). En este caso, el ataque podra incluso ser reportado en lnea.

8 9

Spoof se traduce como Engaar Jamming se traduce como Atascamiento 10 Floodign se traduce como Inundacin

Redes de Datos

Pgina 94

Redes Corporativas Signos de que un sistema est siendo atacado pueden ser: Reconocer una secuencia de acciones no permitidas. La manera ms comn es por reconocimiento de patrones, dnde el trfico entrante y saliente se compara con patrones conocidos, por ejemplo un gran nmero de conexiones TCP fallidas sobre muchos puertos indica que alguien est realizando un rastreo de puertos. Incrementos sbito de trfico Utilizacin exagerada de recursos como ser CPU, discos o memoria. Deteccin de conexiones de usuarios en das u horarios irregulares, o desde lugares desconocidos Registro de accesos a archivos de sistema o poco utilizados. Deteccin de que se estn ejecutando procesos o servicios no autorizados Deteccin de usuarios sospechosos que se encuentren firmados (logueados) En el artculo [61] pueden verse varias recomendaciones prcticas para detectar intrusiones en sistemas Linux. El artculo [62] muestra como detectar intrusiones y registrar sucesos en Windows. Un IDS (Intrusion Detection System) es un sistema de deteccin de intrusos, o sea, una herramienta automtica con cierta inteligencia que trata de detectar signos de ataques contra un sistema o cualquier tipo de actividad no autorizada o no deseada. Existen varios tipos de IDS disponibles, caracterizados por diferentes mtodos de monitoreo, capacidad de anlisis y respuesta. La mayora de ellos puede ser descrita en trminos de stos tres componentes funcionales principales [63]: Origen de los datos: Los IDS pueden basarse en diferentes fuentes de informacin de eventos, usados para determinar si existe una intrusin. Las ms comunes son la red, los servidores o las aplicaciones. Anlisis: El componente de anlisis de los IDS es el que decide, de manera inteligente, si los eventos recibidos desde sus Fuentes de Informacin son indicios de una intrusin. Los tipos de anlisis mas comunes son los de deteccin de mal uso y deteccin de anormalidades Respuesta: Este componente realiza un conjunto de acciones una vez que se ha detectado una posible intrusin. Son tpicamente agrupadas en respuestas pasivas o activas. Las respuestas pasivas, alertan al personal de seguridad de la deteccin, pero no toman acciones automticas, como s lo hacen los sistemas que disponen de respuestas activas. Segn el origen de los datos que se analizan, los IDS se pueden clasificar como [60]: NIDS (Sistema de deteccin de intrusiones basados en red): El sistema trata de detectar un comportamiento no autorizado mediante la utilizacin de un dispositivo de red

Redes de Datos

Pgina 95

Redes Corporativas HIDS (Sistemas de deteccin de intrusiones basados en equipos): Estos sistemas buscan patrones de comportamiento ilegal en los registros o en el trfico de red de una mquina. Stack-based IDS (Sistemas de deteccin de intrusos basados en pilas): Es una combinacin de los dos sistemas anteriores. En particular, los sistemas NIDS funcionan como sniffers, utilizando una interfaz de red en modo promiscuo, leyendo todos los paquetes que circulen por su segmento de red, y analizndolos. Las tcnicas aplicadas por los NIDS son las siguientes: Verificacin de protocolos, evitando los ataques por violacin de protocolos IP, TCP, UDP y ICMP. Tambin pueden ser incluidas conductas vlidas pero sospechosas, por ejemplo, el envo de varios paquetes IP fragmentados. Verificacin de protocolos de aplicacin, evitando los ataques de conducta de protocolo invlida, o conductas de protocolo vlidas pero inusuales. Creacin de nuevos eventos a registrar, extendiendo las capacidades de auditora del software de administrador de red. 8.3.4 Contramedidas Las contramedidas a tomar dependen de las vulnerabilidades y amenazas detectadas. En forma genrica, se pueden dividir en tres grandes grupos [56]: Medidas de Prevencin o Servicios de autenticacin e identificacin (Firmas y Certificados digitales) o Servicios de control de acceso (Acceso de control discrecional DAC Discretionary Access Control, controles de acceso obligatorio MAC Mandatory Access Control) o Servicios de separacin (Firewalls, routers de seleccin u otros mecanismos de filtros de paquetes) o Servicios de seguridad en las comunicaciones (Usos de tecnologas criptogrficas) Medidas para la Deteccin o Deteccin de anomalas (Mediante anlisis estadsticos se buscan comportamientos que no son usuales o normales en el sistema. Puede implementarse con IDS) o Deteccin de acciones ilegales (Analizando una serie de acciones no permitidas trata de encontrar un patrn que pueda seguir el atacante. Puede implementarse con IDS) Medidas para la Recuperacin o Procedimientos de registro, auditoria y monitorizacin (Caso de que se quiera seguir una investigacin legal, para grabar evidencias que ayuden a clarificar cmo sucedi el ataque y, si es posible, por quin. Puede utilizarse los logs generados por un IDS).

Redes de Datos

Pgina 96

Redes Corporativas o Copias de seguridad (Son fundamentales para poder restablecer el servicio, en caso que el ataque sea destructivo) Gran parte de los ataques se basan en fallos de diseo en protocolos y en los sistemas operativos utilizados. Lo recomendable es mantenerse informado sobre todos los tipos de ataques existentes y las actualizaciones que permanentemente se lanzan, principalmente de sistemas operativos. Las siguientes son medidas preventivas: Mantener las mquinas actualizadas y seguras fsicamente. Mantener personal especializado en cuestiones de seguridad (o subcontratarlo). Aunque una mquina no contenga informacin valiosa, hay que tener en cuenta que puede resultar til para un atacante, a la hora de ser empleada en un DoS coordinado o para ocultar su verdadera direccin. No permitir el trfico "broadcast" desde fuera de nuestra red. De esta forma evitamos ser empleados como "multiplicadores" durante un ataque. Establecer auditorias de seguridad y sistemas de deteccin. Mantenerse informado constantemente sobre cada unas de las vulnerabilidades encontradas y parches lanzados. Para esto es recomendable estar suscrito a listas que brinden este servicio de informacin. Por ltimo, pero quizs lo ms importante, la capacitacin continua del usuario.

8.4 Tecnologas asociadas a la seguridad de la informacin


Hay un gran nmero de tecnologas asociadas a la seguridad de la informacin. El rea de aplicabilidad de la seguridad es sumamente grande, al igual que las tecnologas y productos existentes. Dentro del tema seguridad de la informacin se enmarcan desde la criptografa, hasta los controles de acceso biomtricos. En este captulo nos concentraremos en solo algunas de las tecnologas existentes relacionadas con las redes de telecomunicaciones. 8.4.1 Criptografa 8.4.1.1 Criptografa de clave secreta La criptografa de clave secreta, o de claves simtricas, consiste en el uso de un secreto compartido entre las partes que desean compartir una informacin. Este secreto es el que se utiliza tanto para cifrar como para descifrar una informacin, y de all el nombre de clave simtrica. Este mtodo plantea un problema (a veces de difcil solucin), y es el de hacer llegar a todos las partes involucradas el secreto

Redes de Datos

Pgina 97

Redes Corporativas que han de compartir, por un canal que se considere seguro, as como de conseguir que estos mantengan las claves a buen recaudo. Las tcnicas ms comunes en la criptografa de clave secreta son el cifrado de bloque (block cipher) y el cifrado de flujo (stream cipher). Dentro del cifrado de bloque, los cuatro modos de operacin ms comunes son ECB, CBC, CFB y OFB. Ejemplos de algoritmos de cifrado de bloque de calve secreta son DES, 3DES, Blowfish, IDEA Los cifrados en flujo se clasifican en dos tipos; cifrados en flujo sncronos y cifrados en flujo asncronos. Ejemplos de algoritmos de cifrado de flujo de clave secreta son SEAL y el RC4. Este ltimo, es ampliamente usado actualmente. Las aplicaciones de ejemplos que se pueden mencionar son: Encriptacin de archivos en discos duros Encriptacin de claves de usuarios, ya sea en archivos o en bases de datos Seguridad en redes inalmbricas (por ejemplo, WLAN usa WEP, basado en RC4) Utilizacin de tarjetas inteligentes (smart cards), en las que puede distribuirse una clave compartida entre los usuarios de algn sistema Seguridad en las comunicaciones. Por ejemplo, SSL es un protocolo de comunicacin que proporciona principalmente tres servicios bsicos de seguridad: confidencialidad, autenticacin e integridad. SSL hace uso tanto de claves asimtricas (basada en la existencia de un par de claves, la pblica y la privada) como de claves simtricas (basada en la utilizacin de una nica clave secreta). La justificacin de dicha combinacin viene dada por cuestiones de eficiencia, puesto que las transformaciones criptogrficas realizadas mediante tcnicas de criptografa asimtrica son mucho ms lentas que las realizadas con criptografa simtrica. SSL negocia en una primera fase utilizando criptografa asimtrica (p.e. RSA), y cifra posteriormente la comunicacin utilizando criptografa simtrica (RC4, RC5, IDEA...). 8.4.1.2 Criptografa de clave pblica A diferencia de las de clave simtrica, las tcnicas criptogrficas que hacen uso de las claves asimtricas (o claves publicas) no exigen que se comparta ningn tipo de secreto. Cada participante en la comunicacin tiene un par de claves, que tienen la particularidad de que lo que una de ellas cifra es descifrado por la otra y viceversa. En este esquema cada una de las partes hace pblica una de las claves y mantiene secreta la otra. As, cuando uno de los participantes en la comunicacin desee enviar un mensaje a otro lo cifrar con la clave pblica del destinatario, garantizando de esta forma que slo el destinatario ser capaz de leerlo.

Redes de Datos

Pgina 98

Redes Corporativas

Ejemplos de esquemas de encriptacin de calve pblica son RSA, Rabin, DSA, Diffie-Hellman, ElGamal, Merkle-Hellman Este tipo de mecanismos es ideal para los casos en los que no es posible compartir una clave secreta entre las partes que deban compartir alguna informacin. Se pueden mencionar los siguientes ejemplos: Acceso a informacin confidencial a travs de Internet (consulta de estados de cuentas bancarios, por ejemplo) Pagos de servicios por Internet Aplicaciones del tipo B2B y B2C (Business to Business y Business to Consumers), como por ejemplo, envo de formularios completados en Internet, transferencia de archivos, e-banking y e-commerce en general Seguridad en las comunicaciones. Por ejemplo, SSL, como se mencion anteriormente, utiliza tanto claves asimtricas como claves simtricas Identificacin y autentificacin. Gracias al uso de firmas digitales y otras tcnicas criptogrficas es posible identificar a un individuo o validar el acceso a un recurso en un entorno de red con ms garantas que con los sistemas de usuario y clave tradicionales. Certificacin. La certificacin es un esquema mediante el cual agentes fiables (como una entidad certificadora) validan la identidad de agentes desconocidos (como usuarios comunes).

8.4.1.3 Firmas digitales En Uruguay, la legalidad de las firmas digitales fue legislada el 17 de septiembre de 2003, en el DECRETO REGLAMENTARIO DEL USO DE LA FIRMA DIGITAL [64]. Dicha reglamentacin establece las definiciones legales de varios trminos, entre los que podemos destacar: a) Firma Digital es el resultado de aplicar a un documento un procedimiento matemtico que requiere informacin de exclusivo conocimiento del firmante, encontrndose sta bajo su absoluto control. La firma digital debe ser susceptible de verificacin por terceras partes, de manera tal que dicha verificacin permita, simultneamente, identificar al firmante y detectar cualquier alteracin del documento digital posterior a su firma. b) Prestador de servicios de certificacin es una tercera parte que expide certificados digitales, pudiendo prestar adems, otros servicios relacionados con la firma digital. c) Certificado Digital es un documento digital firmado digitalmente por un Prestador de servicios de certificacin, que vincula la identidad del titular del mismo con una clave pblica y su correspondiente clave privada.

Redes de Datos

Pgina 99

Redes Corporativas Se establece adems que La firma digital tendr idntica validez y eficacia a la firma autgrafa, siempre que est debidamente autenticada por claves u otros procedimientos seguros de acuerdo a la tecnologa informtica...

8.4.2 Firewall Un Firewall o Cortafuego es un dispositivo o conjunto de dispositivos que restringe la comunicacin entre dos o ms redes. Sus funciones bsicas consisten en bloquear trficos indeseados y ocultar hacia el exterior la informacin interna [65]. Su utilizacin tpica es separar a las redes internas (LAN, asumidas como confiables o seguras) de las redes pblicas no seguras, como es el caso de Internet.

Existen varias definiciones formales de Firewalls, o Cortafuegos, ms o menos detalladas, pero todas basadas en los mismos principios bsicos. Se presentan a continuacin algunas de ellas: Un cortafuegos (o firewall en ingls), es un elemento de hardware o software utilizado en una red de computadoras para prevenir algunos tipos de comunicaciones prohibidas por las polticas de red, las cuales se fundamentan en las necesidades del usuario. [66] Un Firewall es un conjunto de programas relacionados, ubicados en un Servidor de Gateway de red (network gateway server), que protege los recursos de una red privada de usuarios de otras redes. (El trmino tambin implica la poltica de seguridad que es usada en los mencionados programas). Una corporacin con una red interna (Intranet) que permite a sus empleados acceder a Internet, instala un Firewall para prevenir los accesos externos a su propia red y para controlar que recursos externos pueden ser accedidos por sus propios empleados. [67] Otras definiciones pueden encontrarse en [68], [69] y [70] Algunos textos contienen definiciones que pueden ser ms coloquiales, como la siguiente

Redes de Datos

Pgina 100

Redes Corporativas

Los muros de seguridad son simplemente una adaptacin moderna del viejo sistema de seguridad medieval: un foso profundo alrededor del castillo. Este diseo obligaba a cualquiera que entrara o saliera del castillo a pasar por un solo puente levadizo, donde poda ser inspeccionado por la Polica de Entrada y Salida. En las redes, es posible el mismo truco: una compaa puede tener muchas LAN conectadas de manera arbitraria, pero todo el trfico de o a la compaa es obligado a pasar a travs de un puente levadizo electrnico (Muro de seguridad, o Firewall) [1] Todas las definiciones anteriores pueden ser validas. Un Firewall o Cortafuego es un sistema que cumple la funcin de control de trfico entre dos redes, una generalmente considera segura (red interna) y otra considerada no segura (red externa). El control realizado por el Firewall debe adecuarse a las polticas de seguridad establecidas en la Empresa, a los efectos de garantizar la seguridad de la informacin en la red segura o interna. Cabe aclarar que el control no se limita a protegerse contra accesos externos, sino tambin a limitar el tipo de acceso que existe desde la red segura o interna a la no segura o externa. Puede decirse que el cometido principal de un Firewall o cortafuego es implementar las polticas de seguridad definidas por la Empresa, en lo referente al acceso a la informacin entre redes. Para lograr este objetivo, se pueden detallar las siguientes funciones: Bloqueo de trfico no deseado (entrante y/o saliente) o Filtrado de paquetes o Bloqueo de servicios o Bloqueo de acceso a determinados sitios Web Monitorizar y detectar actividad sospechosa o Registro de incidentes Esconder la red interna o Traducir direcciones pblicas en privadas y viceversa (NAT) o Tener acceso a Internet desde varias maquinas con una sola IP publica Direccionar trfico entrante a sistemas internos que lo requieran o Servidores Web, Correo, etc.

Otras funciones que pueden obtenerse en Firewalls o cortafuegos son: Gerenciamiento de ancho de banda Autenticacin de usuarios Implementacin de VPN (Virtual Private Networks) Implementacin de DMZ (Zona de militarizada) Administracin remota Web caching Anti virus

Redes de Datos

Pgina 101

Redes Corporativas NAT Las direcciones IP pblicas son limitadas, y estn controladas por organismos internacionales. Cuando una empresa desea conectarse a Internet, tpicamente recibe un conjunto reducido de direcciones IP pblicas (generalmente una sola). Dado que por lo general se desea que todas (o un gran nmero) de las computadoras de la empresa tengan acceso a Internet, se debe compartir la IP pblica entre un gran nmero de mquinas. Para resolver este problema se ha diseado una solucin conocida como NAT (Network Address Translation). La implementacin de NAT consiste en instalar un gateway, o pasarela, entre Internet y la LAN. Este gateway dispone de dos interfaces de red. Una de ellas conectada a la red pblica (quien tiene asignada la IP pblica) y la otra conectada a la LAN (con una direccin IP privada). Todos los paquetes que entran o salen desde la LAN a Internet, pasan por este gateway. Cuando, por ejemplo, una computadora de la LAN (interna) enva un paquete a Internet, el gateway NAT reemplaza la direccin IP privada del PC de origen, por su propia direccin IP pblica. Asimismo, registra en su memoria la direccin IP interna (origen) y la direccin IP externa y el nmero de puerto (destino). El servidor remoto, recibe un paquete que contiene como origen la direccin IP pblica del gateway NAT (es decir, la nica direccin IP pblica de la Empresa), y dirige su respuesta a esta IP. Cuando esta respuesta es recibida por el gateway NAT, ste revisa en sus tablas almacenadas en memoria cual es la direccin IP interna a la que debe enviar esta respuesta (en base a la IP y puerto desde donde recibe el paquete de respuesta). Una vez obtenida la IP interna, sustituye la IP de destino del paquete, y enva el mismo hacia la LAN Bloquear correos electrnicos entrantes no deseados, o con adjuntos sospechosos Filtros de contenidos Registrar el trfico entre las redes

Redes de Datos

Pgina 102

Redes Corporativas La mayora de los Firewalls implementan NAT, como tecnologa de acceso a Internet, y como primer medida de seguridad. NAT deja las direcciones internas (privadas) ocultas hacia Internet. Sin embargo, hay que hacer notar que NAT funciona nicamente cuando el origen de la comunicacin es interno. Por lo general, las empresas deben recibir tambin trfico originado en Internet. Por ejemplo, si se dispone de un servidor de correo electrnico, los correos entrantes llegan desde Internet hacia la Empresa. Lo mismo sucede con las pginas web, servidores FTP, etc. Es decir, por lo general no es posible bloquear totalmente el trfico desde Internet hacia las Empresas, ya que esto impedira el funcionamiento de varios servicios esenciales. Arquitecturas de Firewalls Existen varias arquitecturas de cortafuegos. Las arquitecturas ms sencillas se corresponden al esquema de un router con filtros. En este caso, los paquetes entrantes deben pasar por un nico equipo para pasar de Internet a la Red interna (LAN). En esta arquitectura, los equipos que deben quedar expuestos a Internet (por ejemplo, servidores de correo, servidores HTTP, servidores FTP, etc) estn en la LAN interna. Un atacante que tenga acceso a estos equipos, tendr por tanto acceso a un equipo dentro de la LAN de la Empresa, y esto puede comprometer a la seguridad. Por otro lado, el acceso a servicios externos es realizado desde los PCs internos, directamente a travs del Router Esta arquitectura es fcil de implementar y es utilizada por organizaciones que no precisen grandes niveles de seguridad. La siguiente figura esquematiza esta arquitectura.

Redes de Datos

Pgina 103

Redes Corporativas

Red externa

Firewall LAN

Host

PC

PC

Una arquitectura alternativa es la conocida como Dual-Homed Host. Consiste en poner entre la red externa y la interna un equipo (Host), con dos tarjetas de red. En este Host deben existir proxies para cada uno de los servicios que se deseen proveer hacia el exterior. El servicio de IP Forwarding debe estar deshabilitado, de manera que no sea posible acceder desde el exterior directamente a hosts o equipos internos, sino que todo el trfico debe ser realizado a travs de los proxies. La arquitectura Dual-Homed Host se representa a continuacin:

Redes de Datos

Pgina 104

Redes Corporativas

Red externa

Dual-Homed Host (con Proxies) LAN

Host

PC

PC

PC

La arquitectura denominada Screened Host combina, en cierta forma, las dos anteriores. En este caso, se dispone de un Router con filtrado de paquetes entre la LAN y la red externa, y de un Host con servicios proxies, pero ubicado dentro de la LAN. El Router es configurado, a diferencia del primer caso, para que desde fuera solo se pueda acceder al Host con proxies. Alternativamente podra ubicarse el Host directamente conectado a la red externa, y el router entre el Host y la LAN, pero esta no es la arquitectura ms recomendada.

Red externa

Router (Con filtro de paquetes) LAN

Host

PC

PC

PC

Redes de Datos

Pgina 105

Redes Corporativas Una arquitectura ms segura consiste en implementar, mediante dos routers con filtros, una zona de seguridad intermedia, en la que se ubican todos los equipos que deben quedar expuestos en la red externa (Bastiones). Esta zona intermedia es conocida generalmente como zona desmilitarizada, o DMZ (DeMilitarized Zone), la arquitectura es conocida como Screened Subnet. Aunque un atacante tenga acceso a estos equipos, no tendr acceso directo a la LAN de la

Red externa

DMZ
Bastin Bastin

Router c/filtro

Firewall
Router c/filtro

LAN
PC PC PC PC

Empresa. Todava tendr que pasar por otro router con sus filtros, lo que brinda un nivel de seguridad adicional a la arquitectura anterior. Muchos equipos Firewall implementan esta arquitectura, disponiendo de 3 puertas de red: una para la conexin a la red pblica (Internet), otra para la DMZ y la ltima para la conexin a la LAN. Esto se esquematiza en la figura anterior. Para elegir, en cada caso, la arquitectura de cortafuegos a implementar, se deben tener en cuenta varios aspectos: Poltica de seguridad: Principalmente debe tenerse en claro la Poltica de Seguridad de la organizacin, y en base a ella, definir una arquitectura que permita su implementacin. Tambin como parte de la poltica de seguridad, se debe tener claro cuales son los activos de informacin que se desean proteger, y las amenazas a las que estn expuestos, de manera de seleccionar la arquitectura que mejor se adapte a la proteccin de dichos activos.

Redes de Datos

Pgina 106

Redes Corporativas Tipos de servicio que se deben acceder: Debe tenerse en cuenta que tipos de servicios del exterior requieren ser accedidos por los usuarios, y que tipos de servicios se deben permitir acceder desde la red interna. En particular, debe considerarse si los servicios a acceder desde la red interna son generales, o dependen de cada usuario, o si se desea tener algn tipo de funcionalidad avanzada, como filtros de contenido. Registro de actividad: Debe considerarse si es necesario o no el registro de los accesos Carga o Performance: Es necesario considerar la carga que soportar el Firewall (accesos por segundo, por ejemplo), de manera de seleccionar los equipos adecuados a dicha carga Costos: Los aspectos de costos no pueden dejar de evaluarse. En especial, deber tenerse en cuenta el balance entre la proteccin obtenida y la inversin a realizar, teniendo en cuenta no solo los costos iniciales, sino tambin los repetitivos (soporte, mantenimiento, suscripcin a servicios de actualizacin de filtros, de antivirus, etc.) Administracin: La facilidad de administracin puede ser tambin un tema a evaluar, si es que dicha tarea ser realizada por personal propio. En caso de tercerizarlo, los costos debern ser evaluados, como se mencion en el prrafo anterior.

Filtrado de paquetes A los efectos de aumentar la seguridad, tanto en el trfico entrante como en el trfico saliente, los Firewall implementan varios tipos de inspecciones en los paquetes que pasan (o intentan pasar) de Internet a la LAN y viceversa. Packet Filter Un Firewall que implementa filtrado de paquetes, inspecciona cada paquete IP, y lo evala a los efectos de determinar si puede o no pasar. En este caso, la decisin es hecha paquete a paquete, sin importar los paquetes recibidos anteriormente. Los bloqueos se pueden definir en base a direcciones de origen y destino, tipo de paquete, etc. Este tipo de filtrado es sencillo de implementar, pero es relativamente pobre en sus caractersticas, ya que permite bloquear completamente o permitir el paso abiertamente. Los Firewall que implementan filtrado de paquetes, trabajan a nivel de la capa 3

Redes de Datos

Pgina 107

Redes Corporativas

Stateful Inspection Una manera mas sofisticada de filtrar paquetes consiste en tener en cuenta no solo el paquete actual, sino la historia, de manera que el paquete se considere en el contexto de los paquetes anteriores. Esto permite distinguir entre conversaciones establecidas y nuevas conversaciones, y tomar decisiones acordes. Circuit Level Si se inspecciona hasta la capa 4, es posible identificar sesiones, y por lo tanto, permitir solo sesiones iniciadas por computadores conocidos.

Application Level Llegando hasta la capa 5, se pueden implementar filtros por aplicacin. Por ejemplo, se pueden distinguir paquete http:post, http:get, etc.

Redes de Datos

Pgina 108

Redes Corporativas Los Firewall que implementan filtros en la capa de aplicacin requieren por lo general de un alto nivel de mantenimiento y actualizacin, ya que los fabricantes deben mantener al da el filtrado de nuevas aplicaciones o protocolos. Como contrapartida, son mas seguros que el resto de los tipos de Firewall

8.4.3 VPN Una Red Privada Virtual o Virtual Private Network (VPN) [71] es un sistema para simular una red privada sobre una red pblica, por ejemplo, Internet. Las VPN permiten interconectar redes LAN a travs de Internet, o computadores aislados a las redes LAN a travs de Internet. Las VPN posibilitan la conexin de usuarios mviles a la red privada, tal como si estuvieran en una LAN dentro de una oficina de la empresa donde se implementa la VPN. Esto resulta muy conveniente para personal que no tiene lugar fijo de trabajo dentro de la empresa, como podran ser vendedores, ejecutivos que viajan, personal que realiza trabajo desde el hogar, etc. La forma de comunicacin entre las partes de la red privada a travs de la red pblica se hace estableciendo tneles virtuales entre dos puntos para los cuales se negocian esquemas de encriptacin y autentificacin que aseguran la confidencialidad e integridad de los datos transmitidos utilizando la red pblica. La tecnologa de tneles ("Tunneling") es un modo de transferir datos en la que se encapsula un tipo de paquetes de datos dentro del paquete de datos de algn protocolo, no necesariamente diferente al del paquete original. Al llegar al destino, el paquete original es desencapsulado volviendo as a su estado original. En el traslado a travs de Internet, generalmente los paquetes viajan encriptados, por razones obvias de seguridad. En la LAN se debe ubicar un equipo Terminador de tneles, y los clientes remotos (PCs conectados a Internet que desean establecer un tnel con la LAN) deben tener el software adecuado para establecer tneles.

Redes de Datos

Pgina 109

Redes Corporativas

LAN Tunel sobre Internet

Internet

Paquetes encapsulados dentro del tunel

Una vez establecido el tnel, a nivel lgico, el PC remoto es como si estuviera en la LAN. Se le asigna una IP de LAN (generalmente con DHCP), y todos los servicios accesibles en la LAN estn a disposicin del PC remoto. Los paquetes IP que enva el PC remoto hacia la LAN son encapsulados, y generalmente encriptados, dentro del cuerpo del paquete IP que es enviado a Internet. El Terminador de tneles, ubicado en la empresa, recibe el paquete pblico, desencapsula y desencripta su contenido, y lo enva como un paquete IP normal de LAN Hay varios sistemas de encriptacin, pero el que est siendo ms utilizado es el conocido como IPSec. IPSec provee confidencialidad, integridad, autenticidad y proteccin a repeticiones mediante dos protocolos, que son Authentication Protocol (AH) y Encapsulated Security Payload (ESP). Se entiende por confidencialidad que los datos transferidos sean slo entendidos por los participantes de la sesin. Por integridad se entiende que los datos no sean modificados en el trayecto de la comunicacin. Autenticidad indica sea confiable el remitente de los datos, y por proteccin a repeticiones se entiende que una sesin no pueda ser grabada y repetida salvo que se tenga autorizacin para hacerlo. El protocolo AH [72] provee autenticacin, integridad y proteccin a repeticiones pero no confidencialidad.

Redes de Datos

Pgina 110

Redes Corporativas El protocolo ESP [73] provee autenticacin, integridad, proteccin a repeticiones y confidencialidad de los datos, protegiendo el paquete entero que sigue al header. La siguiente figura muestra un paquete AH y un paquete ESP [74]. En el primero (AH), el cabezal AH (AH Header) incluye la autenticacin de todo el paquete, incluyendo la direccin IP del comienzo del paquete. Es decir, el cabezal AH incluye un campo ICV (Integrity Checksum Value). En el segundo (ESP), la direccin IP del comienzo del paquete no tiene validacin, pero el resto del paquete est encriptado y autenticado. EL ICV en este caso se encuentra al final del paquete

Redes de Datos

Pgina 111

Redes Corporativas

9 Referencias
[1] Redes de Computadoras (Tercera edicin, ISBN 968-880-958-6) Andrew S. Tanenbaum Andrew S. Tanenbaum, Prentince Hall Hispanoamericana, 1997 Breve Historia de las Telecomunicaciones Jos Joskowicz, Agosto 2007 [3] The Aloha System - Another Alternative for Computer Communications N. Abramson, Proceedings of Fall Joint Computer Conference, AFIPS Conference Proceedings, Vol. 37, pp. 281-285, 1970 [4] IEEE 802.3-2005 IEEE Standard for Information technology--Telecommunications and information exchange between systems--Local and metropolitan area networks--Specific requirements--Part 3: Carrier Sense Multiple Access with Collision Detection (CSMA/CD) Access Method and Physical Layer Specifications http://standards.ieee.org/getieee802/802.3.html [5] Cableado Estructurado Jos Joskowicz, Agosto 2007 [6] IEEE 802.1d Spannig Tree IEEE Standard for Information technology--Telecommunications and information exchange between systems--IEEE standard for local and metropolitan area networks--Common specifications--Media access control (MAC) Bridges (includes IEEE 802.1k-1993), 1998 Edition or 2003 Edition http://standards.ieee.org/getieee802/802.1.html [7] IEEE 802.1q VLAN IEEE Standards for Local and metropolitan area networksVirtual Bridged Local Area Networks, 2003 Edition http://standards.ieee.org/getieee802/802.1.html [8] IEEE 802.1p - Priorizacin Traffic Class Expediting and Dynamic Multicast Filtering (published in 802.1D-1998) [9] IEEE 802.11 Inalmbricos. IEEE Standards for Information Technology -- Telecommunications and Information Exchange between Systems -- Local and Metropolitan Area Network -- Specific Requirements -- Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications, 1999 Edition

[2]

Redes de Datos

Pgina 112

Redes Corporativas

http://standards.ieee.org/getieee802/802.11.html [10] IEEE 802.11TM WIRELESS LOCAL AREA NETWORKS http://www.ieee802.org/11/ IEEE 802.11a : Telecommunications and information exchange between systemsLocal and metropolitan area networksSpecific requirementsPart 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specificationsAmendment 1: High-speed Physical Layer in the 5 GHz band (IEEE Standard for Information technology, 1999) IEEE 802.11b : Wireless LAN MAC and PHY specifications: Higher speed Physical Layer (PHY) extension in the 2.4 GHz band (IEEE Standard for Information technology, 1999) IEEE 802.11g : Telecommunications and information exchange between systemsLocal and metropolitan area networksSpecific requirementsPart 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specificationsAmendment 4: Further Higher-Speed Physical Layer Extension in the 2.4 GHz Band (IEEE Standard for Information technology, 2003) Principles of Wireless Networks Kaveh Pahlavan, Prashant Krishnamurthy Prentice Hall PTR, 2002 ISBN: 0-13-093003-2 2.4 GHz 802.11 Channel-to-Frequency Mappings http://www.hyperlinktech.com/web/band_pass_filters.php Complementary Code Keying Made Simple Intersil Application Note AN9850.2 Bob Pearson Novembre 2001 IEEE Standard for Information technology Telecommunications and information exchange between systems Local and metropolitan area networks Specific requirements Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications Amendment 2: Higher-speed Physical Layer (PHY) extension in the 2.4 GHz band Corrigendum 1 IEEE Std 802.11b-1999/Cor 1-2001 7 November 2001 Wireless Market Update Alex Myrman Cisco Systems, April 2004 http://www.socalwug.org/cisco-ppt0504/img7.html

[11]

[12]

[13]

[14]

[15] [16]

[17]

[18]

Redes de Datos

Pgina 113

Redes Corporativas

[19]

802.11g: IEEE Standard for Information technology Telecommunications and information exchange between systems Local and metropolitan area networks Specific requirements Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications Amendment 4: Further Higher Data Rate Extension in the 2.4 GHz Band IEEE P802.11 - TASK GROUP N - MEETING UPDATE Status of Project IEEE 802.11n http://grouper.ieee.org/groups/802/11/Reports/tgn_update.htm

[20]

[21]

Capacity Coverage & Deployment Considerations for IEEE 802.11g Cisco Systems, White Paper http://www.cisco.com/en/US/products/hw/wireless/ps4570/products_white_paper09186a00 801d61a3.shtml

[22]

Application Note: Wi-Fi /802.11 WLANs Bi-directional amplifier Fidelity Comtech September 2002 www.fidelity-comtech.com/PDFs/ApplicationNote.pdf

[23]

802.1X: IEEE Standard for Local and Metropolitan Area Networks Port Based Network Access Control December 13, 2004 IEEE Standard for Information technology Telecommunications and information exchange between systems Local and metropolitan area networks Specific requirements. Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications Amendment 6: Medium Access Control (MAC) Security Enhancements July 23, 2004 Ad Hoc Mobile Wireless Networks: Protocols and Systems C.-K. Toh 2002, Prentince Hall

[24]

[25]

[26]

Harald Bltand e-Robotiker http://revista.robotiker.com/bluetooth/historia.jsp

[27]

Bluetooth Protocol and Security Architecture Review http://www.cs.utk.edu/~dasgupta/bluetooth/

[28]

Specification of the Bluetooth System Covered Core Package version: 2.0 + EDR 4 November 2004

[29]

Bluetooth Compare with Other Technologies

Redes de Datos

Pgina 114

Redes Corporativas

http://www.bluetooth.com/Bluetooth/Learn/Technology/Compare/: [30] Power Consumption and Energy Efficiency Comparisons of WLAN Products Atheros White Paper www.super-g.com/atheros_power_whitepaper.pdf [31] Bluetooth Basics http://www.bluetooth.com/Bluetooth/Learn/Basics/ [32] 802.15.1 IEEE Standard for Information technology Telecommunications and information exchange between systems Local and metropolitan area networksSpecific requirements Part 15.1: Wireless medium access control (MAC) and physical layer (PHY) specifications for wireless personal area networks (WPANs) Approved 31 May 2005 [33] 802.15.1 IEEE Standard for Information technology Telecommunications and information exchange between systems Local and metropolitan area networksSpecific requirements Part 15.2: Coexistence of Wireless Personal Area Networks with Other Wireless Devices Operating in Unlicensed Frequency Band Approved June 12, 2003 [34] Principles of Wireless Networks Kaveh Pahlavan, Prashant Krishnamurthy Prentice Hall PTR, 2002 ISBN: 0-13-093003-2 The Basic Guide to Frame Relay Networking Frame Relay Forum, 1998 [36] xDSL Tutorial Brandon Provolt Engineering Intern Marketing and Product Development Group Schott Corporation Version 0.53 (beta), August 2000 [37] VDSL2: The Ideal Access Technology for Delivering Video Services, Revision 2 White Paper, Aware ADSL ITU-T Recomendacin G992.1 (ITU-T, Jun 1999) ADSL Light ITU-T Recommendation G992.2 (ITU-T, Jun 1999)

[35]

[38]

[39]

Redes de Datos

Pgina 115

Redes Corporativas

[40]

HDSL ITU-T Recommendation G991.1 (ITU-T, Oct 1998) ANSI T1E1.4 High Bit Rate Digital Subscriber Line 2nd Generation (HDSL2) VDSL2: Very high speed digital subscriber line transceivers 2 (VDSL2) ITU-T Recommendation G.993.2 (ITU-T, February 2006) Espectro de asignacin VDSL2 Wikipedia http://es.wikipedia.org/wiki/Imagen:Espectro_de_asignaci%C3%B3n_VDSL2.png New ITU Standard Delivers 10x ADSL Speeds ITU Press Release 27 de mayo de 2005 http://www.itu.int/newsarchive/press_releases/2005/06.html ISO/IEC 7498-4 Information Processing Systems Open Systems Interconnection Basic Reference Model Part 4: Management Framework, 1989 Introduction to TMN http://www.simpleweb.org/tutorials/tmn/index.html Aiko Pras, Enschede, the Netherlands Abril 1999 CCITT Blue Book Recommendation M.30, Principles for Management Network, Volume IV, Fascicle IV.1, Geneva, 1989 a Telecommunication

[41]

[42]

[43]

[44]

[45]

[46]

[47]

[48]

CCITT Recommendation M.3010, Principles for a Telecommunication Management Network, Geneva, 1996 Nueva visin en la gestin de redes y servicios Jos Antonio Lozano Lpez, Carmen de Hita lvarez Telefnica I+D, Nmero 18, Setiembre 2000, http://www.tid.es/presencia/publicaciones/comsid/esp/articulos/home.html

[49]

[50] [51]

RFC-1098 SMNP, J. Case et al, MIT Laboratory for Computer Science, 1989 ISO/IEC 17799:2000: Information technology -- Code of practice for information security management

Redes de Datos

Pgina 116

Redes Corporativas

[52]

British Standards Institution. BS 7799-2:2002: Information security management systems specification with guidance for use. Londres, 2002 The twenty most critical Internet security vulnerability The experts consensus Version 6.01 November 28, 2005 Copyright (C) 2005, SANS Institute http://www.sans.org/top20/ Common Vulnerabilities and Exposures CVE, the standard for information security vulnerability names http://www.cve.mitre.org/cve/ La rentabilidad de las medidas de seguridad de la informacin Vicente Aceituno Canal, e.Security, septiembre 2004 No 1, pp 36-37. (Reproducido parcialmente en http://www.seguridaddelainformacion.com/seg_10.htm) Amenazas, vulnerabilidades y contramedidas Francisco F. Pardo Barro, Curso: Seguridad en Redes, 2002, Programa de Doctorado en Tecnologas de la Informacin, DET, Universidad de Vigo Clasificacin y tipos de ataques contra sistemas de informacin Delitosinformaticos.com, 25 de marzo de 2001 http://www.delitosinformaticos.com/seguridad/clasificacion.shtml Security of the Internet Marcel Dekker, New York, 1997 The Froehlich/Kent Encyclopedia of Telecommunications vol. 15., pp. 231-255. Tipos de ataques Ingeniera Dric http://www.dric.com.mx/seguridad/di/di4.php Sistemas de deteccin de intrusiones M Aurora Garcs Navarro, Carlos Ruiz Garca, Abril 2002, Curso de Seguridad en Internet Programa de Doctorado en Tecnologas de la Informacin, DET, Universidad de Vigo Seguridad en sistemas de informacin - Deteccin de intrusos http://redes-linux.all-inone.net/manuales/ seguridad/DeteccionDeIntrusos.pdf Forma rpida de detectar intrusiones y registrar sucesos Microsoft TechNet, 11 de agosto de 2004 http://www.microsoft.com/spain/technet/recursos/articulos/14110305.aspx Intrusion Detection Systems Rebecca Bace and Peter Mell, NIST Special Publications 800-31, Noviembre, 2001 http://csrc.nist.gov/publications/nistpubs/ DECRETO REGLAMENTARIO DEL USO DE LA FIRMA DIGITAL http://www.onpi.org.ar/verlegdocjur.php4?id=128 Internet Firewall Tutorial A white paper Rob Pickering RPA Network, July 2002

[53]

[54]

[55]

[56]

[57]

[58]

[59]

[60]

[61] [62]

[63]

[64]

[65]

Redes de Datos

Pgina 117

Redes Corporativas

[66] [67] [68] [69] [70]

Wikipedia http://es.wikipedia.org/wiki/Firewall Whatis.com http://whatis.techtarget.com/definition/0,289893,sid9_gci212125,00.html ESIDE. Facultad de Ingeniera. Universidad de Deusto Dr. Javier Areitio Bertolin. Firewalls Frequently Asked Questions, 2004/07/26 Paul D. Robertson, Matt Curtin, Marcus J. Ranum. Keeping your site comfortable secure: An introduction to Internet Firewalls US Department of Commerce, NIST (National Institute of Standars and Technology) John P. Wack, Lisa J. Carnahan Virtual Private Networks http://www.monografias.com/trabajos12/monvpn/monvpn.shtml Mariano Hevia

[71]

[72]

RFC 2402 - IP Authentication Header S.Kent BBN Corp, R. Atkinson @Home Network November 1998

[73]

RFC 2406 - IP Encapsulating Security Payload (ESP) S.Kent BBN Corp, R. Atkinson @Home Network November 1998 IPSec VPN Fundamentals Pradosh Kumar Mohapatra and Mohan Dattatreya Tasman Networks, TechOnLine, Sep. 19, 2002

[74]

Redes de Datos

Pgina 118

Anda mungkin juga menyukai