Interconnexió d’equips i xarxes
En aquesta unitat estudiarem:
• Els protocols d’accés des de i cap a la xarxa
WAN externa.
• Els paràmetres de configuració en enrutadors i servidors proxy.
• La tecnologia d’una xarxa perimetral.
Xarxes
Locals
Unitat 6 – Interconnexió d’equips i xarxes
2
Els ordenadors no són entitats aïllades, i les xarxes tampoc. De la mateixa manera que
Els ordinadors es relacionen entre sí emprant xarxes d’àrea local, aquestes poden
Interconnectar-se mitjançant altres xarxes d’àmbit major: les xarxes d’àrea extensa.
Sovint, es segmenta la xarxa d’àrea local corporativa creant diverses subxarxes i
Interconnectant-les entre sí emprant dispositius específics.
1. Accés a les xarxes WAN
Les xarxes WAN no solen connectar directament nodes, sinó que interconnecten
Xarxes. El més específic d’elles és que les línies que solen emprar són públiques i els
Protocols de comunicació que requereixen han de tenir present la seguretat d’una
Manera especial.
1.1. Protocols d’accés remot
La importància que tenia l’adaptador de xarxa i els protocols de nivell 1 i 2 per a les
Xarxes d’àrea local la tenen ara els protocols d’accés remot per a les xarxes WAN.
A. Protocol PPP
Sota la denominació PPP (Point to Point Protocol, protocol punt a punt) es dessigna un
Conjunt de protocols que permeten l’accés remot per a l’intercanvi de trames i
Autenticacions en un entorn de xarxa de múltiples fabricants.
Un client PPP pot efectuar cridades i, per tant, establir connexions a qualsevol servidor
Que acompleixi les especificacions PPP. L’arquitectura PPP permet que els clients
Puguin executar qualsevol combinació dels protocols NetBeui, IPX i TCP/IP, incloses
Les interfícies NetBIOS i sockets de xarxa.
A més del simple transport de dades, facilita dues funcions importants:
• Autenticació: generalment mitjançant una clau d’accés.
• Assignació dinàmica d’IP. S’assigna una direcció IP a cada client en el
Moment en que es connecten al proveïdor. La direcció IP es conserva fins que
Finalitza la connexió per PPP. Posteriorment, pot ser assignada a un altre client. Xarxes Locals
Unitat 6 – Interconnexió d’equips i xarxes
3
El funcionament d’aquest protocol consta de les següents fases:
1. Establiment de la connexió.
Una computadora contacta amb l’altra i negocien els
Paràmetres relatius a l’enllaç emprant el protocol LCP, que
Recoia el mètode d’autenticació a emprar, la mida dels
Datagrames...
2. Autenticació.
No és una fase obligatòria. Existeixen dos protocols: PAP i CHAP.
La diferència és que el segon envia la clau d’accés xifrada.
3. Configuració de xarxa.
Es negocien paràmetres depenents del protocol de xarxa que
S’estigui emprant. Per a confiurar un protocol de xarxa s’empra
El protocol NCP corresponent.
4. Transmisió.
S’envia i es rep la informació de xarxa. LCP s’encarrega de
Comprovar que la línia estigui activa durant períodes
D’inactivitat.
5. Finalització.
La connexió es pot finalitzar en qualsevol moment i per qualsevol
Motiu. Xarxes Locals
Unitat 6 – Interconnexió d’equips i xarxes
4
B. Protocol SLIP
SLIP (Serial Line Internet Protocol, protocol Internet per a línia sèrie) és un protocol
Estàndard emprat des de fa temps en sistemes UNIX que permet la connexió remota a
Través de línies sèrie emprant el protocol IP. Els servidors d’accés remot segueixen
Contemplant el protocol SLIP per compatibilitat, encara que està essent desplaçat per
PPP,
Els tipus d’SLIP són:
• SLIP dinàmic: La direcció assignada dinàmicament pel servidor és temporal, i
Dura únicament el temps que duri la connexió.
• SLIP estàtic: el servidor del proveïdor d’accés a Internet assigna una direcció
Permanent a l’ordinador per a l’ús en totes les sessions.
Les deficiències identificades en aquest protocol són:
1. Direccionament: Per a l’enrutament, els dos hosts necessiten conèixer la direcció
IP de l’altre extrem.
2. Identificació de tipus: tan sols pot emprar un únic protocol simultàniament, fet
Que resulta un inconvenient a les actuals màquines multiprotocol.
3. No gaudeix de cap sistema de detecció i correcció d’errors.
4. No gaudeix de cap mecanisme de compresió, per tal de reduïr el temps necessari
De transmisió d’un paquet atesa la baixa velocitat de línia.
Així doncs, diem que SLIP ha quedat obsolet perquè PPP brinda les següents
Avantatges:
1. Permet la connexió tant mitjançant línies síncrones com asíncrones.
2. Permet l’assignació dinàmica de direccions IP en ambdós extrems de la línia.
3. Permet el transport de diversos protocols de xarxa sobre ell (SLIP només permet
IP).
4. Implementa un mecanisme de control de xarxa NCP.
El protocol PPP es pot emprar també per a crear Xarxes Privades Virtuals, tant xifrades
Com no xifrades. Xarxes Locals
Unitat 6 – Interconnexió d’equips i xarxes
5
C. El protocol de tunelització PPTP
PPTP (Point to Point Transport Protocol) és un protocol que encapsula els paquets
Procedents de les xarxes d’àrea local de manera que es fan transparents als
Procediments de xarxa emprats en les xarxes de transport de dades.
Les seves comunicacions són xifrades i és bastant popular en xarxes privades
Virtuals, atès que Microsoft incorporà un servidor i un client PPTP a partir de Windows
NT, quelcom també semblant en el món Linux.
Per exemple, dues xarxes IPX poden crear un túnel PPTP a través d’Internet, de manera
Que es crea una xarxa virtual emprant Internet (xarxa IP) com a mitjà de transport, però
Intercanviant-se paquets IPX tranparentment.
Vulnerabilitat
La seguretat de PPTP ha estat completament rompuda i les instal·lacions amb PPTP
Haurien de ser retirades o actualitzades a una altra tecnologia de VPN.
La utilitat ASLEAP pot obtenir claus de sessions PPTP i desxifrar el tràfic de la VPN.
Els atacs a PPTP no poden ser detectats pel client o el servidor.
L’errada de PPTP és causat per errors de disseny en la criptografia en alguns dels
Protocols i per les limitacions de la longitud de la clau. Xarxes Locals
Unitat 6 – Interconnexió d’equips i xarxes
6
1.2. Serveis d’accés remot
El servei d’accés remot (RAS, Remote Access Service) connecta equips remots,
Possiblement mòbils, amb xarxes corporatives. És a dir, permet les connexions
D’equips distants de la xarxa d’àrea local, habilitant els mateixos serveis per a aquests
Usuaris remots que els que posseeixen els usuaris presentats localment. Per tant,
RAS és un encaminador software multiprotocol amb capacitat d’autenticació i
Encriptació de les dades transmitides.
A. Escenari de connexió RAS
El servei d’accés remot té una part de client (qui es connecta) i una altra de servidor
(lloc al qual es connecta el client). Són possibles connexions punt a punt a través de
Mòdems analògics, xarxes X.25, RDSI, ADSL i inclús RS-232-C. A més, és possible la
Connexió entre el client i el servidor a través d’Internet de manera transparent a la
Xarxa, emprant el protocol de túnel PPTP.
RAS és capaç d’encaminar tres protocols de LAN: IPX, TCP/IP i NetBeui, atès que
Freqüentment empra PPP com a transport i aquest pot encapsular els tres protocols
De LAN. Per tant, qualsevol client que empra al manco algun d’aquests tres protocols
Pot realitzar una connexió via RAS cap a una xarxa que executi aquests mateixos
Protocols.
És possible configurar el servei RAS per tal que el client tengui accés a tota la xarxa o
Exclusivament al servidor RAS.
Quan el client es connecta a través de NetBeui, no hi ha gaire a configurar, atès que
NetBeui és un protocol per a xarxes planes l’únic element del qual a configurar és el
Nom NetBIOS.
Si un client RAS es connecta via TCP/IP, necessitarà una direcció IP compatible amb
La xarxa a la qual intenta connectar-se. L’habitual és que el servidor RAS li assigni
Dinàmicament una direcció que emprarà mentres duri la connexió.
Per al client RAS, tot el procediment de xarxa és transparent. A través de les
Interfícies de xarxa apropiades com NetBIOS o sockets, les seves aplicacions de xarxa
Funcionaran perfectament des de la seva posició remota com si estiguessin en la mateixa
Xarxa d’àrea local. Xarxes Locals
Unitat 6 – Interconnexió d’equips i xarxes
7
2. L’encaminador
Els encaminadors, enrutadors o routers són dispositius software o hardware que es
Poden configurar per a encaminar paquets entre els seus distints ports de xarxa
Emprant la direcció lògica corresponent a la Internet (subxarxa), per exemple, la seva
Direcció IP.
2.1. Característiques generals
L’encaminador interconnecta xarxes d’àrea local operant en el nivell 3 d’OSI. El
Rendiment dels enrutadors és menor que el dels commutadors atès que han de gastar
Menys temps del procés en analitzar els paquets del nivell de xarxa que li arriben.
No obstant això, permeten una organització molt flexible de la interconnexió de les
Xarxes.
Cada enrutador encamina un o més protocols. La condició que ha d’imposar-se al
Protocol és que sigui enrutable, perquè no tot protocol es pot encaminar. Els routers
Comercials solen tenir capacitat per a encaminar els protocolsmés emprats, tots ells de
Nivell 3: IP, IPX, AppleTalk, DECnet, XNS, etc.
Els routers confeccionen una taula d’encaminament on es registren quins nodes i
Xarxes són assolibles per cada un dels seus ports de sortida. És a dir, la taula descriu
La topologia de la xarxa. Xarxes Locals
Unitat 6 – Interconnexió d’equips i xarxes
8
Una primera classificació dels algorismes emprats pels encaminadors per a realitzar la
Seva funció seria la següent:
• Algorismes d’encaminament estàtic.
Requereixen que la taula d’encaminament sigui programada per l’administrador de
La xarxa. Careixen de capacitat per a aprendre la topologia de la xarxa per si
Mateixos.
• Algorismes d’encaminament adaptatiu.
Són capaces d’aprendre per sí mateixos la topologia de la xarxa. Per tant, són molt
Més flexibles que els encaminadors estàtics, encara que el seu rendiment és menor.
Les característiques fonamentals dels encaminadors es poden resumir en que:
• Interpreten les direccions lògiques de capa 3, enlloc de les direccions MAC de
Capa d’enllaç, com fan els ponts als commutadors.
• Són capaces de canviar el format de la trama, atès que operen en un nivell
Superior a la mateixa.
• Posseeixen un elevat nivell d’intel·ligència i poden manejar distints protocols
Prèviament establerts.
• Proporcionen seguretat a la xarxa atès que es poden configurar per a restringir
Els accessos a la xarxa mitjançant filtrat.
• Redueixen la congestió de la xarxa aïllant el tràfic i els dominis de col·lisió en
Les distintes subxarxes que interconnecten. Per exemple, un router TCP/IP pot
Filtrar els paquets que li arriben emprant les màsqueres IP. Xarxes Locals
Unitat 6 – Interconnexió d’equips i xarxes
9
2.2. Protocols d’enrutament
Cada enrutador segueix un o diversos protocols d’enrutament a l’hora de prendre
Decisions envers quin serà el següent bot en la xarxa per a cada paquet. Els protocols
Més comuns són RIP, OSPF i BGP.
RIP, Routing Information Protocol
És un algorisme de tipus vector apropiat per a l’encaminament en xarxes IP petites.
Empra el port UDP nombre 520 per a l’intercanvi de la informació d’enrutament amb
Altres enrutadors, que es calcula com el còmput de bots de xarxa necessaris per tal que
Un paquet donat assoleixi el seu destí.
OSPF, Open Shortest Path First
Es caracteritza pel fet que l’enviament del paquet sempre es realitza per la ruta més
Curta de totes les disponibles.
BGP, Border Gateway Protocol
És un protocol de frontera exterior, és a dir, s’executa en els encaminadors que formen
El perímetre de la xarxa i faciliten extraordinàriament l’intercanvi de rutes amb els
Encaminadors exteriors, típicament propietat dels proveïdors d’Internet. BGP empra el
Port TCP nombre 179. Xarxes Locals
Unitat 6 – Interconnexió d’equips i xarxes
10
2.3. Configuració de l’enrutament
Cada node d’una xarxa IP ha de tenir configurats els seus paràmetres de xarxa. Des del
Punt de vista de l’enrutament, el paràmetre més significatiu és la porta per defecte.
A. Rutes de protocol IP
Quan l’emissor i el receptor d’un paquet IP es troben en la mateixa xarxa lògica no hi ha
Problemes de comunicació perquè l’emissor sap que el receptor està en la seva mateixa
Xarxa mitjançant ARP i, per tant, tot el que ell descrigui en la xarxa serà llegit pel
Receptor.
No obstant això, quan emissor i receptor estan en distintes subxarxes, és molt
Possible que l’emissor no sàpiga que ha de fer per a que el paquet arribi al seu
Destí.
Una ruta és la direcció IP d’un node (router) que té suficient intel·ligència electrònica
(algorismes d’enrutament) per tal de sabre què fer amb un paquet IP que ha rebut d’un
Node de la xarxa amb l’objectiu que arribi al seu destí, o al manco sabre a qui pot
Enviar-se’l per tal que ho resolgui en el seu nom, és a dir, que una ruta és un
Apuntador IP a un encaminador. El router decideix quina línia de transmisió emprar
Per a assolir el seu objectiu.
Quan s’empren els serveis d’una ruta per defecte i la direcció del paquet no pot ser
Resolta, es retornarà un missatge al node emissor indicant-li que el node o la xarxa a la
Qual es destina el paquet IP és inassolible.
Ruta per defecte o default gateway: és ruta a la qual s’envia un paquet quan cap altra
Ruta és apropiada per a allò, amb la confiança que el router al qual apunta sàpiga com
Distribuïr el paquet.
En el món TCP/IP, especialment sobre Linux, trobarem que se li anomena gateway,
Malgrat que el terme formalment significa, segons la terminologia OSI, una màquina de
Nivell superior al nivell 4. Xarxes Locals
Unitat 6 – Interconnexió d’equips i xarxes
11
Les rutes de qualsevol node, i especialment les d’un encaminador, estan recollides en
Una o diverses taules d’encaminament que són emprades pel serveis d’enrutament de
Xarxa per a determinar els camins que han de seguir els paquets IP per a assolir el seu
Destí.
Les rutes poden tenir atributs; per exemple, poden ser dinàmiques, si es creen
Automàticament en quant varia l’estructura de la xarxa mitjançant apertura de
Connexions, i estàtiques o persistents, si es creen en temps d’arrancada del sistema de
L’enrutador.
B. Configuració de la taula de rutes
No totes les taules de rutes són iguals, depenen del sistema operatiu en el qual operen;
No obstant això, la majoria de les taules de rutes tenen els següents atributs:
• Destí de xarxa. Nom de la xarxa que es pretén assolir.
• Màscara de xarxa. Defineix la màscara de xarxa del destí.
• Porta d’accés. És la direcció IP del router (gateway o porta d’accés) que ha de
Ser capaç de resoldre els paquets que es dirigeixin a aquest destí de xarxa.
• Interfície. És la direcció IP o el nom d’interfície de xarxa que la posseeix pel
Qual cal enviar els paquets de dades per a assolir la porta d’accés.
• Mètrica. És un paràmetre que defineix, en sentit figurat, el cost d’enviar el
Paquet a la xarxa destinatària a través de la porta d’accés.
En Linux, el sistema de creació de noves rutes és semblant a l’anterior de Windows. En
Aquest cas s’empra l’ordre “ip route add”, que també admet molts calificadors. Com
Sempre, la recomenació habitual quan s’empra Linux és consultar l’ajuda del
Distribuïdor de software o l’ajuda de l’odre per a conèixer amb precisió els paràmetres
Que admet i la seva forma d’ús.
Si el node local tengués la direcció 192.168.1.254, i executem en Linux l’ordre:
Ip route add –net 192.168.201.0/24 gw 192.168.1.254 dev eth0
Hem declarat que la interfície per on s’assoleix el router és eth0. Xarxes Locals
Unitat 6 – Interconnexió d’equips i xarxes
12
2.4. Interconnexió d’encaminadors
Un encaminador resol les rutes dels paquets el destí del qual es troba en alguna de les
Interfícies de xarxa que posseeix o bé delega aquesta funció en un altre encaminador
Pròxim.
És evident que l’enrutador corporatiu no pot tenir una interfície de xarxa per a
Cada possible xarxa de destí, per la qual cosa no seria capaç de resoldre el destí de la
Major part dels paquets.
Per a solucionar això, els enrutadors es configuren establint relacions d’uns amb altres.
El nexe lògic d’uníó entre dos encaminadors són les entrades de la taula de rutes en la
Qual es fan referència entre sí.
D’aquesta manera, quan un router rep un paquet, consulta la seva taula de rutes per tal
D’averiguar si és capaç de resoldre el destí. Si no troba la direcció en la seva taula de
Rutes, aleshores encamina el paquet cap a un encaminador d’ordre superior
Confiant en que ell sí el sàpiga resoldre. Xarxes Locals
Unitat 6 – Interconnexió d’equips i xarxes
13
3. Els tallafocs
Obrir la pròpia xarxa d’àrea local al món exterior
D’Internet, que és absolutament públic i majoritàriament
Incontrol·lat, pot ser perillós per a l’organització, atès
Que poden produïr-se accessos no dessitjats des de
L’exterior, des dels de simples curiosos fins als procedents
D’espionatge de la competència.
3.1. Característiques generals
És convenient que les organitzacions restringeixin els accessos a la seva xarxa des de
L’exterior. Per això s’instal·la en el perímetre de la xarxa un node especial anomenat
Tallafocs o firewall que s’encarrega de limitar els accessos en ambdues direccions,
Fent invisible la xarxa d’àrea local des de l’exterior o restringint els accessos des de dins
Cap a fora.
En general, un tallafocs ha de proporcionar tant seguretat en els accessos com
Transparència en l’enviament de dades.
Hi ha tallafocs que operen en molts distints nivells de l’arquitectura OSI. Així, un
Tallafocs que operi en nivells baixos, serà més fàcilment configurable però menys
Flexible. Per exemple, una vegada que s’ha establert la connexió lícitament, la misió del
Tallafocs s’extingeix. No obstant això, altres firewalls operen en els nivells superiors i
Investiguen en l’interior de cada paquet de dades, la qual cosa els fa més lents però més
Extraordinàriament flexibles.
Els tallafocs solen configurar-se mitjançant polítiques o regles que s’estableixen en
Funció de l’origen, del destí i del protocol emprat. Per defecte, un tallafocs tanca tota
Comunicació. És l’administrador de xarxa qui ha d’anar obrint els diferents ports
De comunicació i habilitant els fluxes de transport permesos.
A més, si el tallafocs opera en un nivell elevat, pot incloure noves funcionalitats, per
Exemple, en l’admisió de correu electrònic a través del port 25 pot analitzar-se el
Contingut per a explorar si el missatge incorpora algun virus.
Quan un equip connectat a la xarxa perd la seva connexió, el primer que s’ha de fer és
Comprovar el sistema de cablejat però, immediatament després, haurem de sospitar del
Tallafocs de l’equip, que pot estar impedint les connexions des de o cap a l’exterior de
L’equip per un error en la configuració de les polítiques d’accés a la xarxa. Xarxes Locals
Unitat 6 – Interconnexió d’equips i xarxes
14
3.2. Zones desmilitaritzades
Una xarxa desmilitaritzada o DMZ (Demilitarized Zone) és una xarxa composada per
Un o més ordenadors que, en la instal·lació de xarxa, es situen lògicament entre la
Xarxa corporativa, que es suposa segura, i Internet, que és insegura. Els serveis
Típics que s’ubiquen en una DMZ són servidors web, ftp, de correu i DES.
Existeixen moltes possibilitats per a la construcció d’una DMZ. Aquí ens fixarem en
Algunes d’elles, però totes han d’acomplir la seva principal misió, que consisteix en que
Es proporcionin serveis públics a Internet sense comprometre la seguretat de les
Dades allotjades en la xarxa corporativa.
En el primer model de DMZ exposat, tant la xarxa corporativa com la DMZ es
Connecten a Internet a través d’un router. La protecció de la DMZ resideix en la
Protecció de cada un dels servidors més el filtrat que pugui realitzar l’encaminador.
No obstant això, la xarxa corporativa queda protegida per un tallafocs. Cap connexió
Procedent d’Internet ha d’assolir la xarxa corporativa, atès que tota la informació
Disponible per a Internet ha de residir en la DMZ. Xarxes Locals
Unitat 6 – Interconnexió d’equips i xarxes
15
En el segon model, tant la xarxa corporativa com la DMZ queden protegides pel
Tallafocs. Aquesta configuració, que és la més comuna, requereix que el tallafocs tengui
Definida una tercera xarxa per a la construcció de la DMZ. El filtrat de les connexions
Serà molt més restrictiu en la xarxa corporativa que en la DMZ.
En el tercer model que estudiarem, l’arquitectura de la xarxa es complica. En aquest cas,
La DMZ queda tancada entre dos tallafocs. Òbviament és la configuració més segura,
Però també la més costosa.