Tipus de xarxes

Interconnexió d’equips i xarxes En aquesta unitat estudiarem: • Els protocols d’accés des de i cap a la xarxa
WAN externa. • Els paràmetres de configuració en enrutadors i servidors proxy. • La tecnologia d’una xarxa perimetral.

Xarxes

Locals Unitat 6 – Interconnexió d’equips i xarxes 2 Els ordenadors no són entitats aïllades, i les xarxes tampoc. De la mateixa manera que Els ordinadors es relacionen entre sí emprant xarxes d’àrea local, aquestes poden Interconnectar-se mitjançant altres xarxes d’àmbit major: les xarxes d’àrea extensa. Sovint, es segmenta la xarxa d’àrea local corporativa creant diverses subxarxes i Interconnectant-les entre sí emprant dispositius específics. 1. Accés a les xarxes WAN Les xarxes WAN no solen connectar directament nodes, sinó que interconnecten Xarxes. El més específic d’elles és que les línies que solen emprar són públiques i els Protocols de comunicació que requereixen han de tenir present la seguretat d’una Manera especial. 1.1. Protocols d’accés remot La importància que tenia l’adaptador de xarxa i els protocols de nivell 1 i 2 per a les Xarxes d’àrea local la tenen ara els protocols d’accés remot per a les xarxes WAN. A. Protocol PPP Sota la denominació PPP (Point to Point Protocol, protocol punt a punt) es dessigna un Conjunt de protocols que permeten l’accés remot per a l’intercanvi de trames i Autenticacions en un entorn de xarxa de múltiples fabricants. Un client PPP pot efectuar cridades i, per tant, establir connexions a qualsevol servidor Que acompleixi les especificacions PPP. L’arquitectura PPP permet que els clients Puguin executar qualsevol combinació dels protocols NetBeui, IPX i TCP/IP, incloses Les interfícies NetBIOS i sockets de xarxa. A més del simple transport de dades, facilita dues funcions importants: • Autenticació: generalment mitjançant una clau d’accés. • Assignació dinàmica d’IP. S’assigna una direcció IP a cada client en el Moment en que es connecten al proveïdor. La direcció IP es conserva fins que Finalitza la connexió per PPP. Posteriorment, pot ser assignada a un altre client. Xarxes Locals Unitat 6 – Interconnexió d’equips i xarxes 3 El funcionament d’aquest protocol consta de les següents fases: 1. Establiment de la connexió. Una computadora contacta amb l’altra i negocien els Paràmetres relatius a l’enllaç emprant el protocol LCP, que Recoia el mètode d’autenticació a emprar, la mida dels Datagrames... 2. Autenticació. No és una fase obligatòria. Existeixen dos protocols: PAP i CHAP. La diferència és que el segon envia la clau d’accés xifrada. 3. Configuració de xarxa. Es negocien paràmetres depenents del protocol de xarxa que S’estigui emprant. Per a confiurar un protocol de xarxa s’empra El protocol NCP corresponent. 4. Transmisió. S’envia i es rep la informació de xarxa. LCP s’encarrega de Comprovar que la línia estigui activa durant períodes D’inactivitat. 5. Finalització. La connexió es pot finalitzar en qualsevol moment i per qualsevol Motiu. Xarxes Locals Unitat 6 – Interconnexió d’equips i xarxes 4 B. Protocol SLIP SLIP (Serial Line Internet Protocol, protocol Internet per a línia sèrie) és un protocol Estàndard emprat des de fa temps en sistemes UNIX que permet la connexió remota a Través de línies sèrie emprant el protocol IP. Els servidors d’accés remot segueixen Contemplant el protocol SLIP per compatibilitat, encara que està essent desplaçat per PPP, Els tipus d’SLIP són: • SLIP dinàmic: La direcció assignada dinàmicament pel servidor és temporal, i Dura únicament el temps que duri la connexió. • SLIP estàtic: el servidor del proveïdor d’accés a Internet assigna una direcció Permanent a l’ordinador per a l’ús en totes les sessions. Les deficiències identificades en aquest protocol són: 1. Direccionament: Per a l’enrutament, els dos hosts necessiten conèixer la direcció IP de l’altre extrem. 2. Identificació de tipus: tan sols pot emprar un únic protocol simultàniament, fet Que resulta un inconvenient a les actuals màquines multiprotocol. 3. No gaudeix de cap sistema de detecció i correcció d’errors. 4. No gaudeix de cap mecanisme de compresió, per tal de reduïr el temps necessari De transmisió d’un paquet atesa la baixa velocitat de línia. Així doncs, diem que SLIP ha quedat obsolet perquè PPP brinda les següents Avantatges: 1. Permet la connexió tant mitjançant línies síncrones com asíncrones. 2. Permet l’assignació dinàmica de direccions IP en ambdós extrems de la línia. 3. Permet el transport de diversos protocols de xarxa sobre ell (SLIP només permet IP). 4. Implementa un mecanisme de control de xarxa NCP. El protocol PPP es pot emprar també per a crear Xarxes Privades Virtuals, tant xifrades Com no xifrades. Xarxes Locals Unitat 6 – Interconnexió d’equips i xarxes 5 C. El protocol de tunelització PPTP PPTP (Point to Point Transport Protocol) és un protocol que encapsula els paquets Procedents de les xarxes d’àrea local de manera que es fan transparents als Procediments de xarxa emprats en les xarxes de transport de dades. Les seves comunicacions són xifrades i és bastant popular en xarxes privades Virtuals, atès que Microsoft incorporà un servidor i un client PPTP a partir de Windows NT, quelcom també semblant en el món Linux. Per exemple, dues xarxes IPX poden crear un túnel PPTP a través d’Internet, de manera Que es crea una xarxa virtual emprant Internet (xarxa IP) com a mitjà de transport, però Intercanviant-se paquets IPX tranparentment. Vulnerabilitat La seguretat de PPTP ha estat completament rompuda i les instal·lacions amb PPTP Haurien de ser retirades o actualitzades a una altra tecnologia de VPN. La utilitat ASLEAP pot obtenir claus de sessions PPTP i desxifrar el tràfic de la VPN. Els atacs a PPTP no poden ser detectats pel client o el servidor. L’errada de PPTP és causat per errors de disseny en la criptografia en alguns dels Protocols i per les limitacions de la longitud de la clau. Xarxes Locals Unitat 6 – Interconnexió d’equips i xarxes 6 1.2. Serveis d’accés remot El servei d’accés remot (RAS, Remote Access Service) connecta equips remots, Possiblement mòbils, amb xarxes corporatives. És a dir, permet les connexions D’equips distants de la xarxa d’àrea local, habilitant els mateixos serveis per a aquests Usuaris remots que els que posseeixen els usuaris presentats localment. Per tant, RAS és un encaminador software multiprotocol amb capacitat d’autenticació i Encriptació de les dades transmitides. A. Escenari de connexió RAS El servei d’accés remot té una part de client (qui es connecta) i una altra de servidor (lloc al qual es connecta el client). Són possibles connexions punt a punt a través de Mòdems analògics, xarxes X.25, RDSI, ADSL i inclús RS-232-C. A més, és possible la Connexió entre el client i el servidor a través d’Internet de manera transparent a la Xarxa, emprant el protocol de túnel PPTP. RAS és capaç d’encaminar tres protocols de LAN: IPX, TCP/IP i NetBeui, atès que Freqüentment empra PPP com a transport i aquest pot encapsular els tres protocols De LAN. Per tant, qualsevol client que empra al manco algun d’aquests tres protocols Pot realitzar una connexió via RAS cap a una xarxa que executi aquests mateixos Protocols. És possible configurar el servei RAS per tal que el client tengui accés a tota la xarxa o Exclusivament al servidor RAS. Quan el client es connecta a través de NetBeui, no hi ha gaire a configurar, atès que NetBeui és un protocol per a xarxes planes l’únic element del qual a configurar és el Nom NetBIOS. Si un client RAS es connecta via TCP/IP, necessitarà una direcció IP compatible amb La xarxa a la qual intenta connectar-se. L’habitual és que el servidor RAS li assigni Dinàmicament una direcció que emprarà mentres duri la connexió. Per al client RAS, tot el procediment de xarxa és transparent. A través de les Interfícies de xarxa apropiades com NetBIOS o sockets, les seves aplicacions de xarxa Funcionaran perfectament des de la seva posició remota com si estiguessin en la mateixa Xarxa d’àrea local. Xarxes Locals Unitat 6 – Interconnexió d’equips i xarxes 7 2. L’encaminador Els encaminadors, enrutadors o routers són dispositius software o hardware que es Poden configurar per a encaminar paquets entre els seus distints ports de xarxa Emprant la direcció lògica corresponent a la Internet (subxarxa), per exemple, la seva Direcció IP. 2.1. Característiques generals L’encaminador interconnecta xarxes d’àrea local operant en el nivell 3 d’OSI. El Rendiment dels enrutadors és menor que el dels commutadors atès que han de gastar Menys temps del procés en analitzar els paquets del nivell de xarxa que li arriben. No obstant això, permeten una organització molt flexible de la interconnexió de les Xarxes. Cada enrutador encamina un o més protocols. La condició que ha d’imposar-se al Protocol és que sigui enrutable, perquè no tot protocol es pot encaminar. Els routers Comercials solen tenir capacitat per a encaminar els protocolsmés emprats, tots ells de Nivell 3: IP, IPX, AppleTalk, DECnet, XNS, etc. Els routers confeccionen una taula d’encaminament on es registren quins nodes i Xarxes són assolibles per cada un dels seus ports de sortida. És a dir, la taula descriu La topologia de la xarxa. Xarxes Locals Unitat 6 – Interconnexió d’equips i xarxes 8 Una primera classificació dels algorismes emprats pels encaminadors per a realitzar la Seva funció seria la següent: • Algorismes d’encaminament estàtic. Requereixen que la taula d’encaminament sigui programada per l’administrador de La xarxa. Careixen de capacitat per a aprendre la topologia de la xarxa per si Mateixos. • Algorismes d’encaminament adaptatiu. Són capaces d’aprendre per sí mateixos la topologia de la xarxa. Per tant, són molt Més flexibles que els encaminadors estàtics, encara que el seu rendiment és menor. Les característiques fonamentals dels encaminadors es poden resumir en que: • Interpreten les direccions lògiques de capa 3, enlloc de les direccions MAC de Capa d’enllaç, com fan els ponts als commutadors. • Són capaces de canviar el format de la trama, atès que operen en un nivell Superior a la mateixa. • Posseeixen un elevat nivell d’intel·ligència i poden manejar distints protocols Prèviament establerts. • Proporcionen seguretat a la xarxa atès que es poden configurar per a restringir Els accessos a la xarxa mitjançant filtrat. • Redueixen la congestió de la xarxa aïllant el tràfic i els dominis de col·lisió en Les distintes subxarxes que interconnecten. Per exemple, un router TCP/IP pot Filtrar els paquets que li arriben emprant les màsqueres IP. Xarxes Locals Unitat 6 – Interconnexió d’equips i xarxes 9 2.2. Protocols d’enrutament Cada enrutador segueix un o diversos protocols d’enrutament a l’hora de prendre Decisions envers quin serà el següent bot en la xarxa per a cada paquet. Els protocols Més comuns són RIP, OSPF i BGP. RIP, Routing Information Protocol És un algorisme de tipus vector apropiat per a l’encaminament en xarxes IP petites. Empra el port UDP nombre 520 per a l’intercanvi de la informació d’enrutament amb Altres enrutadors, que es calcula com el còmput de bots de xarxa necessaris per tal que Un paquet donat assoleixi el seu destí. OSPF, Open Shortest Path First Es caracteritza pel fet que l’enviament del paquet sempre es realitza per la ruta més Curta de totes les disponibles. BGP, Border Gateway Protocol És un protocol de frontera exterior, és a dir, s’executa en els encaminadors que formen El perímetre de la xarxa i faciliten extraordinàriament l’intercanvi de rutes amb els Encaminadors exteriors, típicament propietat dels proveïdors d’Internet. BGP empra el Port TCP nombre 179. Xarxes Locals Unitat 6 – Interconnexió d’equips i xarxes 10 2.3. Configuració de l’enrutament Cada node d’una xarxa IP ha de tenir configurats els seus paràmetres de xarxa. Des del Punt de vista de l’enrutament, el paràmetre més significatiu és la porta per defecte. A. Rutes de protocol IP Quan l’emissor i el receptor d’un paquet IP es troben en la mateixa xarxa lògica no hi ha Problemes de comunicació perquè l’emissor sap que el receptor està en la seva mateixa Xarxa mitjançant ARP i, per tant, tot el que ell descrigui en la xarxa serà llegit pel Receptor. No obstant això, quan emissor i receptor estan en distintes subxarxes, és molt Possible que l’emissor no sàpiga que ha de fer per a que el paquet arribi al seu Destí. Una ruta és la direcció IP d’un node (router) que té suficient intel·ligència electrònica (algorismes d’enrutament) per tal de sabre què fer amb un paquet IP que ha rebut d’un Node de la xarxa amb l’objectiu que arribi al seu destí, o al manco sabre a qui pot Enviar-se’l per tal que ho resolgui en el seu nom, és a dir, que una ruta és un Apuntador IP a un encaminador. El router decideix quina línia de transmisió emprar Per a assolir el seu objectiu. Quan s’empren els serveis d’una ruta per defecte i la direcció del paquet no pot ser Resolta, es retornarà un missatge al node emissor indicant-li que el node o la xarxa a la Qual es destina el paquet IP és inassolible. Ruta per defecte o default gateway: és ruta a la qual s’envia un paquet quan cap altra Ruta és apropiada per a allò, amb la confiança que el router al qual apunta sàpiga com Distribuïr el paquet. En el món TCP/IP, especialment sobre Linux, trobarem que se li anomena gateway, Malgrat que el terme formalment significa, segons la terminologia OSI, una màquina de Nivell superior al nivell 4. Xarxes Locals Unitat 6 – Interconnexió d’equips i xarxes 11 Les rutes de qualsevol node, i especialment les d’un encaminador, estan recollides en Una o diverses taules d’encaminament que són emprades pel serveis d’enrutament de Xarxa per a determinar els camins que han de seguir els paquets IP per a assolir el seu Destí. Les rutes poden tenir atributs; per exemple, poden ser dinàmiques, si es creen Automàticament en quant varia l’estructura de la xarxa mitjançant apertura de Connexions, i estàtiques o persistents, si es creen en temps d’arrancada del sistema de L’enrutador. B. Configuració de la taula de rutes No totes les taules de rutes són iguals, depenen del sistema operatiu en el qual operen; No obstant això, la majoria de les taules de rutes tenen els següents atributs: • Destí de xarxa. Nom de la xarxa que es pretén assolir. • Màscara de xarxa. Defineix la màscara de xarxa del destí. • Porta d’accés. És la direcció IP del router (gateway o porta d’accés) que ha de Ser capaç de resoldre els paquets que es dirigeixin a aquest destí de xarxa. • Interfície. És la direcció IP o el nom d’interfície de xarxa que la posseeix pel Qual cal enviar els paquets de dades per a assolir la porta d’accés. • Mètrica. És un paràmetre que defineix, en sentit figurat, el cost d’enviar el Paquet a la xarxa destinatària a través de la porta d’accés. En Linux, el sistema de creació de noves rutes és semblant a l’anterior de Windows. En Aquest cas s’empra l’ordre “ip route add”, que també admet molts calificadors. Com Sempre, la recomenació habitual quan s’empra Linux és consultar l’ajuda del Distribuïdor de software o l’ajuda de l’odre per a conèixer amb precisió els paràmetres Que admet i la seva forma d’ús. Si el node local tengués la direcció 192.168.1.254, i executem en Linux l’ordre: Ip route add –net 192.168.201.0/24 gw 192.168.1.254 dev eth0 Hem declarat que la interfície per on s’assoleix el router és eth0. Xarxes Locals Unitat 6 – Interconnexió d’equips i xarxes 12 2.4. Interconnexió d’encaminadors Un encaminador resol les rutes dels paquets el destí del qual es troba en alguna de les Interfícies de xarxa que posseeix o bé delega aquesta funció en un altre encaminador Pròxim. És evident que l’enrutador corporatiu no pot tenir una interfície de xarxa per a Cada possible xarxa de destí, per la qual cosa no seria capaç de resoldre el destí de la Major part dels paquets. Per a solucionar això, els enrutadors es configuren establint relacions d’uns amb altres. El nexe lògic d’uníó entre dos encaminadors són les entrades de la taula de rutes en la Qual es fan referència entre sí. D’aquesta manera, quan un router rep un paquet, consulta la seva taula de rutes per tal D’averiguar si és capaç de resoldre el destí. Si no troba la direcció en la seva taula de Rutes, aleshores encamina el paquet cap a un encaminador d’ordre superior Confiant en que ell sí el sàpiga resoldre. Xarxes Locals Unitat 6 – Interconnexió d’equips i xarxes 13 3. Els tallafocs Obrir la pròpia xarxa d’àrea local al món exterior D’Internet, que és absolutament públic i majoritàriament Incontrol·lat, pot ser perillós per a l’organització, atès Que poden produïr-se accessos no dessitjats des de L’exterior, des dels de simples curiosos fins als procedents D’espionatge de la competència. 3.1. Característiques generals És convenient que les organitzacions restringeixin els accessos a la seva xarxa des de L’exterior. Per això s’instal·la en el perímetre de la xarxa un node especial anomenat Tallafocs o firewall que s’encarrega de limitar els accessos en ambdues direccions, Fent invisible la xarxa d’àrea local des de l’exterior o restringint els accessos des de dins Cap a fora. En general, un tallafocs ha de proporcionar tant seguretat en els accessos com Transparència en l’enviament de dades. Hi ha tallafocs que operen en molts distints nivells de l’arquitectura OSI. Així, un Tallafocs que operi en nivells baixos, serà més fàcilment configurable però menys Flexible. Per exemple, una vegada que s’ha establert la connexió lícitament, la misió del Tallafocs s’extingeix. No obstant això, altres firewalls operen en els nivells superiors i Investiguen en l’interior de cada paquet de dades, la qual cosa els fa més lents però més Extraordinàriament flexibles. Els tallafocs solen configurar-se mitjançant polítiques o regles que s’estableixen en Funció de l’origen, del destí i del protocol emprat. Per defecte, un tallafocs tanca tota Comunicació. És l’administrador de xarxa qui ha d’anar obrint els diferents ports De comunicació i habilitant els fluxes de transport permesos. A més, si el tallafocs opera en un nivell elevat, pot incloure noves funcionalitats, per Exemple, en l’admisió de correu electrònic a través del port 25 pot analitzar-se el Contingut per a explorar si el missatge incorpora algun virus. Quan un equip connectat a la xarxa perd la seva connexió, el primer que s’ha de fer és Comprovar el sistema de cablejat però, immediatament després, haurem de sospitar del Tallafocs de l’equip, que pot estar impedint les connexions des de o cap a l’exterior de L’equip per un error en la configuració de les polítiques d’accés a la xarxa. Xarxes Locals Unitat 6 – Interconnexió d’equips i xarxes 14 3.2. Zones desmilitaritzades Una xarxa desmilitaritzada o DMZ (Demilitarized Zone) és una xarxa composada per Un o més ordenadors que, en la instal·lació de xarxa, es situen lògicament entre la Xarxa corporativa, que es suposa segura, i Internet, que és insegura. Els serveis Típics que s’ubiquen en una DMZ són servidors web, ftp, de correu i DES. Existeixen moltes possibilitats per a la construcció d’una DMZ. Aquí ens fixarem en Algunes d’elles, però totes han d’acomplir la seva principal misió, que consisteix en que Es proporcionin serveis públics a Internet sense comprometre la seguretat de les Dades allotjades en la xarxa corporativa. En el primer model de DMZ exposat, tant la xarxa corporativa com la DMZ es Connecten a Internet a través d’un router. La protecció de la DMZ resideix en la Protecció de cada un dels servidors més el filtrat que pugui realitzar l’encaminador. No obstant això, la xarxa corporativa queda protegida per un tallafocs. Cap connexió Procedent d’Internet ha d’assolir la xarxa corporativa, atès que tota la informació Disponible per a Internet ha de residir en la DMZ. Xarxes Locals Unitat 6 – Interconnexió d’equips i xarxes 15 En el segon model, tant la xarxa corporativa com la DMZ queden protegides pel Tallafocs. Aquesta configuració, que és la més comuna, requereix que el tallafocs tengui Definida una tercera xarxa per a la construcció de la DMZ. El filtrat de les connexions Serà molt més restrictiu en la xarxa corporativa que en la DMZ. En el tercer model que estudiarem, l’arquitectura de la xarxa es complica. En aquest cas, La DMZ queda tancada entre dos tallafocs. Òbviament és la configuració més segura, Però també la més costosa.