MATERIA: INTERCONECTIVIDAD DE REDES
UNIDAD I: REDES DE AREA AMPLIA
Objetivo: El estudiante
conocerá los componentes, protocolos y elementos esenciales de una WAN.
INTRODUCCION
Una red de área amplia, con frecuencia
denominada WAN, acrónimo de la
expresión en idioma inglés wide area network,
es un tipo de red de computadoras capaz de cubrir distancias desde unos 100
hasta unos 1000 km, proveyendo de servicio a un país o un continente. Un
ejemplo de este tipo de redes sería RedIRIS, Internet o cualquier red en la cual no estén en un
mismo edificio todos sus miembros (sobre la distancia hay discusión posible).
Muchas WAN son
construidas por y para una organización o empresa particular y son de uso
privado, otras son construidas por los proveedores de internet (ISP) para
proveer de conexión a sus clientes.
Hoy en día,
Internet proporciona WAN de alta velocidad, y la necesidad de redes privadas
WAN se ha reducido drásticamente, mientras que las redes privadas virtuales que
utilizan cifrado y otras técnicas para hacer esa red dedicada, aumentan
continuamente.
Normalmente la
WAN es una red punto a punto, es decir, red de paquete conmutado. Las redes WAN
pueden usar sistemas de comunicación vía satélite o de radio.
Características
- Posee
máquinas dedicadas a la ejecución de programas de usuario (hosts).
- Una
subred, donde conectan varios hosts.
- División
entre líneas de transmisión y elementos de conmutación (enrutadores).
Topología de los enrutadores
Topologías de
los enrutadores en una red de área amplia:
- Estrella
- Anillo
- Árbol
- Completa
- Intersección
de anillos
- Irregular
1.1 INTERCONEXION DE REDES
La
Interconectividad (Internetworking) puede ser definida como:
“Comunicación
entre dos o más redes”
“Proceso de
comunicación el cual ocurre entre dos o más redes que están conectadas entre sí
de alguna manera”.
¿Por qué es
importante la interconectividad de redes?
·
Compartir recursos
·
Acceso
Instantáneo a bases de datos compartidas
·
Insensibilidad
a la distancia física y a la limitación en el número de nodos
·
Administración centralizada de la
red
·
Da una
ventaja estratégica en el mercado competitivo global
¿Qué retos
existen? El reto de la interconectividad
·
Reducción de
presupuestos (tiempo, dinero)
·
Escasez de
ingenieros especializados en redes
·
Capacidad de
planeación, administración y soporte
·
Retos
técnicos y retos de admisnitración de redes
¿Que retos técnicos existen?
·
Equipos de diferentes fabricantes
·
Arquitecturas,
plataformas, sistemas operativos, protocolos, medios de comunicación diferentes
·
Limitaciones
en distancia y en tamaño de los paquetes
·
Limitaciones
en ancho de banda y potencia
¿Que retos
de administración de redes existen?
·
configuración
·
Seguridad
·
Confiabilidad
·
Desempeño
·
Localización,
aislamiento, corrección y prevención de fallas
·
Planeación hacia el futuro
·
“El
verdadero reto de la interconectividad es la conectividad del transporte de
información entre LAN dispersas geográficamente”.
¿Cómo se
interconectan las redes? Las redes se conectan mediante equipos de
telecomunicaciones conocidos como equipos de interconexión. Equipos de
Interconexión Dos o más redes separadas están conectados para intercambiar
datos o recursos forman una interred (internetwork). Enlazar LANs en una
interred requiere de equipos que realicen ese propósito. Estos dispositivos
están diseñados para sobrellevar los obstáculos para la interconexión sin
interrumpir el funcionamiento de las redes. A estos dispositivos que realizan
esa tarea se les llama equipos de Interconexión.
Existen
equipos de Interconexión a nivel de:
» LAN: Hub, switch,
repetidor, gateway, puente, access points.
» MAN: Repetidor, switch capa 3,
enrutador, multicanalizador, wireless bridges. puente, modem analógico, modem
ADSL, modem CABLE, DSU/CSU.
» WAN: Enrutador,
multicanalizador, modem analógico, DSU/CSU, modem satelital.
Algunas
de las ventajas que plantea la interconexión de redes de datos, son:
·
Compartición de recursos dispersos.
·
Coordinación de tareas de diversos grupos de trabajo.
·
Reducción de costos, al utilizar recursos de otras redes.
·
Aumento de la cobertura geográfica.
1.1.1 MODEM/
MULTIPLEXOR/ SWITCH/ HUB
MODEM
Un módem (Modulador Demodulador) es un dispositivo que sirve para enviar una señal
llamada moduladora mediante
otra señal llamada portadora.
Lo primero que hay que dejar claro es que los modem se utilizan con
líneas analógicas, ya que su propio nombre indica su principal función, que es
la de modular-demodular la señal digital proveniente de nuestro ordenador y
convertirla a una forma de onda que sea asimilable por dicho tipo de líneas.
Es cierto que se suelen oír expresiones como modem ADSL o incluso modem
RDSI, aunque esto no es cierto en estos casos, ya que estas líneas de tipo
digital no necesitan de ningún tipo de conversión de digital a analógico, y su
función en este caso es más parecida a la de una tarjeta de red que a la de un
modem.
CARACTERISTICAS
1.- Existen módems internos y módems externos, aunque recientemente han
aparecido módems llamados "módems
software", más conocidos como "winmódems" o
"linuxmódems".
2.- Todos los
módem incluyen componentes comunes, como un transmisor y un receptor. El
transmisor modula la señal digital a analógica (tonos y sonidos), y el receptor
demodula la señal analógica recibida y la convierte de nuevo en digital.
3.- Cuenta con foquitos que le permiten a los
usuarios ver si está funcionando o no mediante el cambio de luz de los foquitos
indicadores.
4.- Nos permiten enviar y recibir
paquetes de la red.
5.- Seguridad: Aíslan el tráfico,
gracias a los diferentes mecanismos de encaminamiento, estos facilitan la
localización en caso de fallos en la red.
6.- Flexibilidad: No se encuentran
limitados de ninguna forma en su topología.
7.- Soporte de protocolos: La
información de cabecera es aprovechada de forma eficiente.
8.- Control de flujo y
encaminamiento.
9.- Los módems internos no ocupan
espacio en el escritorio
10.- Los módems externos son más
seguros durante tormentas eléctricas.
MULTIPLEXOR
En el campo de las
telecomunicaciones el multiplexor se utiliza como dispositivo que puede recibir
varias entradas y transmitirlas por un medio de transmisión compartido. Para
ello lo que hace es dividir el medio de transmisión en múltiples canales, para
que varios nodos puedan comunicarse al mismo tiempo. Una señal que está
multiplexada debe demultiplexarse en el otro extremo.
Según la forma
en que se realice esta división del medio de transmisión, existen varias clases
de multiplexación:
1.-Multiplexación
por división de frecuencia
2.-Multiplexación
por división de tiempo
3.-Multiplexación
por división de código
4.-Multiplexación
por división de longitud de onda
CARACTERISTICAS
DE UN MULTIPLEXOR MX-69
El
multiplexor MX-69 ha sido diseñado para aplicaciones punto a punto entre
equipos con interfaz RS-232. Por dos pares de fibra óptica se pueden transmitir
8 señales en cada dirección, lo que constituye una gran ventaja, por ejemplo
cuando se dispone de poco cable de fibra óptica. Como la fibra óptica es
totalmente inmune a las interferencias externas, es la solución perfecta para
las aplicaciones en las que éstas alcanzan niveles elevados.
El
MX-69 admite velocidades de transmisión de hasta 38,4 kbit/s en cada canal y distancias
de transmisión de hasta 3,5 km con cable multimodo. El multiplexor MX-69 se
instala en el bastidor Westermo (RV-01), lo cual supone un gran ahorro de
espacio cuando es preciso instalar muchos módems en el mismo emplazamiento, por
ejemplo, un centro de procesamiento de datos. El MX-69 es compatible con el
MM-61.
MÁS
CARACTERISTICAS DEL MULTIPLEXOR
1.-
8 canales
2.-Gran
ahorro en cables y canalizaciones para cables
3.-
Aislamiento galvánico
4.-
Conectores ST
5.-
Cable multinodo
6.-Independiente
del código/transparente
7.-Fiabilidad
de funcionamiento y rendimiento
8.-Resistente
a los entornos expuestos a niveles elevados de interferencia
9.-Dimensiones
(H x P) 100 x 100 mm
10.-Peso
0, 1 kg
SWITCH
Un switch (en castellano “conmutador”) es un dispositivo electrónico de
interconexión de redes de computadoras que opera en la capa 2 (nivel de enlace
de datos) del modelo OSI (Open Systems Interconection. Un switch interconecta
dos o más segmentos de red, funcionando de manera similar a los puentes
(bridges), pasando datos de un segmento a otro, de acuerdo con la dirección MAC
de destino de los datagramas en la red.
Un switch en el centro de una red en estrella.
Los switches se utilizan cuando se desea conectar múltiples redes,
fusionándolas en una sola. Al igual que los bridges, dado que funcionan como un
filtro en la red, mejoran el rendimiento y la seguridad de las LANs (Local Area
Network- Red de Área Local).
CARACTERÍSTICAS
DESTACADAS
Los Switches de Cisco Catalyst Serie 2960 ofrecen una amplia gama de
caracterísitcas, que incluye:
- Soporte
para comunicaciones de datos, inalámbricas y voz que le permite instalar
una única red para todas sus necesidades de comunicación.
- Capacidad
de Power over Ethernet para que puedan implementar nuevas funcionalidades
como voz y tecnología inalámbrica sin tener que realizar un nuevo
cableado.
- Opción
de Fast Ethernet (transferencia de datos de 100 Mbps) o Gigabit Ethernet
(transferencia de datos de 1000 Mbps), dependiendo del precio y las
necesidades de rendimiento.
- Múltiples
modelos de configuración, con la habilidad para conectar escritorios,
servidores, teléfonos IP, puntos de acceso inalámbrico, cámaras de TV de
circuito cerrado u otros dispositivos de red.
- Capacidad
de configurar LANs virtuales de forma que los empleados estén conectados a
través de funciones de organización, equipos de proyecto o aplicaciones en
lugar de por criterios físicos o geográficos.
- Seguridad integrada
- Funciones
de monitorización de red y solución de problemas de conectividad
mejoradas.
- Actualizaciones
de software sin gastos adicionales.
- Garantía
limitada de hardware de por vida.
- Cuenta
con varios conectores RJ45
HUB
En informática
un hub o concentrador es un equipo de redes que permite conectar entre sí otros
equipos y retransmite los paquetes que recibe desde cualquiera de ellos a todos
los demás. Los hubs han dejado de ser utilizados, debido al gran nivel de
colisiones y tráfico de red que propician.
CARACTERISTICAS
Y USOS
- Un analizador de protocolo conectado a un conmutador
no siempre recibe todos los paquetes desde que el conmutador separa a los
puertos en los diferentes segmentos. La conexión del analizador de
protocolos con un concentrador permite ver todo el tráfico en el segmento
(los conmutadores caros pueden ser configurados para permitir a un puerto
escuchar el tráfico de otro puerto. A esto se le llama puerto de
duplicado. Sin embargo, estos costos son mucho más elevados).
- Algunos grupos de computadoras o cluster, requieren
cada uno de los miembros del equipo para recibir todo el tráfico que trata
de ir a la agrupación. Un concentrador hará esto, naturalmente; usar un
conmutador en estos casos, requiere la aplicación de trucos especiales.
- Cuando un conmutador es accesible para los usuarios
finales para hacer las conexiones, por ejemplo, en una sala de
conferencias, un usuario inexperto puede reducir la red mediante la
conexión de dos puertos juntos, provocando un bucle. Esto puede evitarse
usando un concentrador, donde un bucle se romperá en el concentrador para
los otros usuarios (también puede ser impedida por la compra de conmutadores
que pueden detectar y hacer frente a los bucles, por ejemplo mediante la
aplicación de Spanning Tree Protocol).
- Un concentrador barato con un puerto 10BASE2 es probablemente
la manera más fácil y barata para conectar dispositivos que sólo soportan
10BASE2 a una red moderna (no suelen venir con los puertos 10BASE2
conmutadores baratos).
- La velocidad con la que funciona es la misma que la
que posee el componente más lento de la red. Esto es así ya que si
retransmitiera un paquete de datos a una velocidad mayor de la que posee
uno de los componentes que lo recibe, parte del mensaje se perdería.
- No posee capacidad de almacenamiento. Por lo que
cada vez que recibe datos, los retransmite automáticamente al resto;
incluso aunque ese paquete sea sólo para una Terminal, lo retransmite a
todos.
7. A veces suele ocurrir que más de una computadora que integran la red envíen
un mensaje simultáneamente, por lo que en estos casos puede perderse uno de
ellos y debe ser retransmitido. Esto es lo que se conoce como colisión de
manera que, cuantas más máquinas hay en una red, más son las posibilidades de
error.
8. En la actualidad, la gran cantidad de colisiones que se producen hacen que
el Hub ya no esté siendo muy utilizado.
- existen
3 clases:
• Pasivo: No necesita energía eléctrica.
• Activo: Necesita alimentación.
• Inteligente: También llamados smart hubs son hubs activos que incluyen
microprocesador.
10. Quedan un tanto obsoletos debido al abaratamiento de los switches y sus
mejoras (por ejemplo, capacidad de almacenaje.) hicieron que fuera siendo más
popular.
1.1.2
REPETIDOR
Un repetidor
es un dispositivo electrónico que recibe una señal débil o de bajo nivel y la
retransmite a una potencia o nivel más alto, de tal modo que se puedan cubrir
distancias más largas sin degradación o con una degradación tolerable.
CARACTERISTICAS
1. Cuando
las señales viajan a través de un cable, se degradan y se distorsionan en un
proceso denominado «atenuación». Si un cable es bastante largo, la atenuación
provocará finalmente que una señal sea prácticamente irreconocible. La
instalación de un repetidor permite a las señales viajar sobre distancias más
largas.
2. Un
repetidor funciona en el nivel físico del modelo de referencia OSI para
regenerar las señales de la red y reenviarla a otros segmentos.
3. El
repetidor toma una señal débil de un segmento, la regenera y la pasa al
siguiente segmento. Para pasar los datos de un segmento a otro a través del
repetidor, deben ser idénticos en cada segmento los paquetes y los protocolos
Control lógico de enlace (LLC; Logical Link Control).
4. Un
repetidor no activará la comunicación, por ejemplo, entre una LAN (Ethernet)
802.3 y una LAN (Token Ring) 802.5.
5. Los
repetidores no traducen o filtran señales.
6. Los
repetidores constituyen la forma más barata de extender una red.
7. Ni
aislamiento ni filtrado. Los repetidores envían cada bit de datos de un
segmento de cable a otro, incluso cuando los datos forman paquetes mal
configurados o paquetes no destinados a utilizarse en la red. Esto significa
que la presencia de un problema en un segmento puede romper el resto de los
segmentos. Los repetidores no actúan como filtros para restringir el flujo del
tráfico problemático.
Los pasos a considerar cuando se
decide implementar repetidores en la red son:
- Conectar
dos segmentos de medio similar o no similar.
- Regenerar
la señal para incrementar la distancia transmitida.
- Pasar
todo el tráfico en ambas direcciones.
- Conectar
dos segmentos de la forma más efectiva en cuanto al coste.
1.1.3
PUENTE
Un puente o
bridge es un dispositivo de interconexión de redes de ordenadores que opera en
la capa 2 (nivel de enlace de datos) del modelo OSI. Funciona a través de una
tabla de direcciones MAC detectadas en cada segmento a que está conectado.
Cuando detecta que un nodo de uno de los segmentos está intentando transmitir
datos a un nodo del otro, el bridge copia la trama para la otra subred. Por
utilizar este mecanismo de aprendizaje automático, los bridges no necesitan
configuración manual.
CARACTERISTICAS
1. Al
igual que un repetidor, un bridge puede unir segmentos o grupos de trabajo LAN.
2. Un
bridge puede, además, divide una red para aislar el tráfico o los problemas.
Por ejemplo, si el volumen del tráfico de uno o dos equipos o de un
departamento está sobrecargando la red con los datos y ralentizan todas las
operaciones, el bridge podría aislar a estos equipos o al departamento.
3. Los
bridges se pueden utilizar para;
- Extender la longitud de un segmento.
- Proporcionar un incremento en el número de
equipos de la red.
- Reducir los cuellos de botella del tráfico
resultantes de un número excesivo de equipos conectados.
- Dividir una red sobrecargada en dos redes
separadas, reduciendo la cantidad de tráfico en cada segmento y haciendo
que la red sea más eficiente.
- Enlazar medios físicos diferentes como par
trenzado y Ethernet coaxial.
- Los
bridges trabajan a nivel de enlace de datos del modelo de referencia OSI
y, por tanto, toda la información de los niveles superiores no está
disponible para ellos.
- Reenvían paquetes de la siguiente forma:
- o Si el destino no aparece en la tabla de
encaminamiento, el bridge reenvía el paquete a todos los segmentos.
- o Si el destino aparece en la tabla de
encaminamiento, el bridge reenvía el paquete al segmento correspondiente
(a menos que este segmento sea también el origen).
1.1.4 ROUTER
Un router —anglicismo, también conocido como encaminador, enrutador, direccionador
o ruteador— es un dispositivo de
hardware usado para la interconexión de redes informáticas que permite asegurar
el direccionamiento de paquetes de datos entre ellas o determinar la mejor ruta
que deben tomar. Opera en la capa tres del modelo OSI.
CARACTERISTICAS
DE UN ROUTER Cisco 2501
• Ruteo multiprotocolo entre WANs y LANs.
• Un puerto Ethernet (salida AUI), dos puertos seriales
sincrónicos de alta velocidad, un puerto consola y un puerto auxiliar
asincrónico de baja velocidad.
• La familia de productos 2500 permite a los usuarios
ruteos a través de líneas T1/E1.
• Procesador de 25 MHz, memoria flash de 8 MB y DRAM de 4
MB upgrades hasta 16 MB.
• Protocolos Seriales Sincrónicos: PPP, HDLC, LAPB.
• Servicios Sincrónicos Seriales WAN: Frame Relay, X.25.
Componentes
RAM/DRAM (volátil)
·
tablas de
enrutamiento, caché ARP
·
script de
configuración activo (running-config)
del router
·
buffering de
paquetes (RAM compartida) y cola de espera de paquetes
·
memoria
temporal y/o de trabajo para el archivo de configuración; imagen del IOS
mientras el router está encendido (intérprete de comandos, EXEC)
NVRAM (no volátil)
·
archivos de configuración
de inicio (startup-config) y
copia de respaldo
FLASH (no volátil, ROM borrable
y reprogramable)
·
imagen del
sistema operativo Cisco IOS
·
actualizar su
software no implica cambio de hardware
·
puede almacenar
varias versiones del IOS
ROM
·
programa de
diagnósticos de encendido
·
programa de
arranque (bootstrap)
·
actualizar su
software requiere cambio hardware
Interfaces
·
conexión a la
red (en placa base o módulo separado)
ü Son relativamente fáciles de
mantener una vez configurados, ya que muchos protocolos pueden actualizar sus
tablas de ruta de una manera dinámica.
ü Los routers proveen características
entre intereses, esto previene incidentes que pudieran ocurrir en una sub red,
afectando a otras sub redes. Así como también previene la presencia de
intrusos.
ü Los routers no son afectados por los
contrastes de los tiempos de retardos como ocurre en los bridges. Esto
significa que los routers no están limitados topológicamente.
1.1.5 BROUTERS
Como sugiere el nombre, un
bruoter (bridge/router) es un conector que ayuda a transferir la información
entre redes y que combina simultáneamente las funciones de bridge y router, y
que elige “la mejor solución de los dos”.
Los Brouters trabajan como router
con los protocolos encaminables y como bridge con los que no lo son. Tratan
estas funciones independientemente y proporcionan soporte de hardware para
ambos.
CARACTERISTICAS
ü Un
brouter puede chequear primero si la red soporta el protocolo usado por el
paquete que recibe y, si no lo hace, en lugar de descartar el paquete, lo
reenvía usando información de direcciones físicas.
ü Los
brouters pueden encaminar uno o varios protocolos, como TCP/IP y XNS, y
puentear todo el tráfico restante.
ü
Los brouters pueden:
ü
Encaminar protocolos encaminables
seleccionados.
ü Actuar de bridge entre protocolos no
encaminables.
ü Proporcionar un mejor coste y
gestión de interconexión que el que proporcionan los bridges y routers por
separado.
ü Brouters
ofrecen todas las ventajas de los routers para protocolos de router, y todas
aquellas de los bridges para protocolos de bridge.
ü Pensando
que ellos son los sistemas más complejos de instalar, proporcionan el más alto
grado de flexibilidad, lo que los hace ideales para rápidos cambios o
expansiones de la red.
1.1.6
GATEWAYS
Un gateway es un equipo que permite interconectar
redes con protocolos y arquitecturas completamente diferentes a todos los
niveles de comunicación. La traducción de las unidades de información reduce
mucho la velocidad de transmisión a través de estos equipos.
CARACTERISTICAS
Ø Operan
en los niveles más altos del modelo de referencia OSI
Ø realizan
conversión de protocolos para la interconexión de redes con protocolos de alto
nivel diferentes.
Ø Los
gateways incluyen los 7 niveles del modelo de referencia OSI, y aunque son más
caros que un bridge o un router, se pueden utilizar como dispositivos universales en
una red corporativa compuesta por un gran número de redes de diferentes tipos.
Ø Los
tipos de Gateways son:
Sistema que permite a los usuarios de computadoras personales acceder a
grandes ordenadores (mainframes) asíncronos a través de un servidor de comunicaciones, utilizando líneas
telefónicas conmutadas o punto a punto. Generalmente están diseñados para una
infraestructura de transporte muy concreta, por lo que son dependientes de la
red.
Permite la conexión a grandes computadoras con arquitectura de
comunicaciones SNA (System Network Architecture, Arquitectura de
Sistemas de Red), actuando como terminales y
pudiendo transferir archivos o listados de impresión.
Estos gateways proporcionan servicios de comunicaciones con el exterior
vía RAL o WAN y también funcionan como interfaz de cliente proporcionando los
servicios de aplicación estándares de TCP/IP.
Son similares a los asíncronos; la diferencia está en que se accede a
los servicios a través de redes de conmutación de paquetes X.25.
Los servidores de Fax proporcionan la posibilidad de enviar y recibir
documentos de fax.
Ø Los
gateways interconectan redes heterogéneas; por ejemplo, pueden conectar un
servidor Windows NT de Microsoft a una Arquitectura de red de los sistemas IBM
(SNA).
Ø
Un gateway
utiliza los datos de un entorno, desmantela su pila de protocolo anterior y
empaqueta los datos en la pila del protocolo de la red destino. Para
procesar los datos, el gateway:
- Desactiva los datos de llegada
a través de la pila del protocolo de la red.
- Encapsula los datos de salida
en la pila del protocolo de otra red para permitir su transmisión.
IMAGEN REFERENTE A UNA RED WAN
1.1.7 TUNELIZACION
DE PROTOCOLOS
Un protocolo tunelizado es un
protocolo de red que encapsula un protocolo de sesión dentro de otro. El
protocolo A es encapsulado dentro del protocolo B, de forma que el primero
considera al segundo como si estuviera en el nivel de enlace de datos. La técnica
de tunelizar se suele utilizar para trasportar un protocolo determinado a
través de una red que, en condiciones normales, no lo aceptaría. Otro usos de
la tunelización de protocolos es la creación de diversos tipos de redes
privadas virtuales.
tunel SSH
El protocolo SSH (secure shell) se utiliza con frecuencia para tunelizar
tráfico confidencial sobre Internet de una manera segura. Por ejemplo, un
servidor de ficheros puede compartir archivos usando el protocolo SMB (Server
Message Block), cuyos datos no viajan cifrados. Esto permitiría que una tercera
parte, que tuviera acceso a la conexión (algo posible si las comunicaciones se
realizan en Internet) pudiera examinar a conciencia el contenido de cada
fichero trasmitido.
Para poder montar el sistema de archivo de forma segura, se establece
una conexión mediante un tunel SSH que encamina todo el tráfico SMB al servidor
de archivos dentro de una conexión cifrada SSH. Aunque el protocolo SMB sigue
siendo inseguro, al viajar dentro de una conexión cifrada se impide el acceso
al mismo.
Por ejemplo, para connectar con un servidor web de forma segura,
utilizando SSH, haríamos que el Cliente (informatica) web, en vez de conectarse
al servidor directamente, se conecte a un cliente SSH. El cliente SSH se
conectaría con el servidor tunelizado, el cual a su vez se conectaría con el
servidor web final. Lo atractivo de este sistema es que hemos añadido una capa
de cifrado sin necesidad de alterar ni el cliente ni el servidor web.
CARACTERISTICAS
Tunelizar para evitar un
Cortafuegos
La técnica de tunelizar puede ser usada también para evitar o
circunvalar en cortafuegos. Pare ello, se encapsula el protocolo bloqueado en
el cortafuegos dentro de otro permitido, habitualmente HTTP.
TUNELES
El túnel es un método por el cual se hace uso de una red intermedia para
transferir datos de un extremo a otro. Los paquetes que se transmiten se
encapsulan sobre otro encabezado correspondiente al protocolo de túnel, este
nuevo encabezado contiene la información necesaria para que el paquete atravesando
la red intermedia llegue al destino correspondiente, una vez llegados a destino
son desencapsulados y dirigidos al destino final. Un túnel es un canal virtual,
configurado entre dos sistemas remotos que se encuentran en diferentes redes,
sobre una conexión real que involucra más de un nodo intermedio.
La técnica de “tunneling” consiste en encapsular un mensaje de un
protocolo dentro de sí mismo aprovechando ciertas propiedades del paquete
externo con el objetivo de que el mensaje sea tratado de forma diferente a como
habría sido tratado el mensaje encapsulado. De esta forma un paquete puede
“saltar” la topología de una red. Por ejemplo, un túnel puede ser usado para
evitar un firewall (con los peligros consecuentes de esta decisión). Esta es
una consideración a tener en cuenta al configurar un túnel.
El túnel es creado encapsulando un protocolo de red dentro de los
paquetes del mismo protocolo, que serán llevados por la red real.
Adicionalmente, el paquete encapsulado es encriptado por el emisor, en acuerdo
con el receptor (el sistema que se encuentra en del otro lado del túnel) de
manera que sólo ambos extremos puedan acceder a los datos transportados. Éste
tipo de comunicación solo es posible si el protocolo soporta esta facilidad,
denominada modo túnel. La otra modalidad posible, modo transporte, provee
protección sólo para protocolos de la capa superior.
De esta forma, el túnel es simplemente la ruta que toman los paquetes
encapsulados (y encriptados), dentro de un paquete del mismo protocolo, entre
las dos redes. Un atacante puede interceptar los mensajes que viajen por el
túnel, pero los datos encapsulados están encriptados y solo pueden ser
recuperados por el destinatario final. En el sistema de destino, el mensaje
encapsulado es extraído del paquete recibido, desencriptado, y reinyectado en
la red a la que pertenece el receptor (en el caso de un gateway).
Con el uso en modo túnel, el encabezado IP interno (encapsulado) es
encriptado, ocultando la identidad del destinatario y del origen del tráfico.
Los mismos servicios pueden ofrecerse a un usuario móvil al cual se asigna un
IP dinámicamente para una conexión de conexión telefónica: se establece un
canal en modo túnel al firewall del ISP funcionando como un gateway de
seguridad. En relación con una conexión o canal seguro, cabe introducir un
concepto importante: el de Asociación de Seguridad (Security Asociation - SA).
Una asociación de seguridad (AS) es una instancia de una política de seguridad
junto con componentes claves. Las SAs son identificadas de forma única por una
dirección de destino, un protocolo de seguridad y un índice de parámetros de
seguridad o SPI (un conjunto de atributos se seguridad).
Las SAs son independientes entre ellas. Una conexión de datos protegida
necesita un conjunto de SAs, una por cada dirección y protocolo. Las SAs pueden
actuar en una dirección o en ambas. Una SA en modo túnel es una SA aplicada a
un túnel, por ejemplo, un túnel IP.
Siempre que en una asociación de seguridad esté involucrado un gateway
de seguridad, dicha SA debe operar en modo túnel; de otra forma, si sólo están
involucrados sistemas finales (o gateways de seguridad que no actúen como tales
–no transporte tráfico de datos, por Ej. comandos SNMP para administración de
red–), puede operar también en modo transporte. Por esto, un sistema final (un
host) también debe soportar ambos modos de operación, transporte y túnel (ya
que puede comunicarse con un gateway, que operará en modo túnel).
Las características más importantes de los protocolos que soportan “tunneling”
son encriptado de datos, autenticación, autorización e integridad de datos;
muchas de estas características son posibles gracias al encriptado completo del
paquete encapsulado.
Una distinción a destacar es que el hecho de que un paquete esté encapsulado
en otro no implica que esté encriptado, tampoco lo inverso. De esta forma se
obtienen distintos beneficios que responden a necesidades y conveniencias
específicas.
En los protocolos de capa 2 (PPTP, L2F, L2PF) el túnel se negocia por
ambos extremos de la conexión a la hora de la creación del mismo así también la
asignación de direcciones o los parámetros de encriptación y/o de compresión.
