PROYECTO DE REDES

LINUX PARA PRINCIPIANTES MANUAL

2008-03-03T07:33:00.001-08:00

(Beginner) C++: Compiling (part 1 - GNU/Linux)

Virus en la Red

2008-02-12T20:30:00.000-08:00

El valor de la información almacenada en una PC requiere un usuario prevenido.
Hasta hace muy poco tiempo, la mayoría de las computadoras personales eran entidades aisladas tanto en las empresas como en el hogar. Con la llegada de Internet y de las redes, comenzaron a surgir preocupaciones por los peligros de la interconexión: los accesos indeseados y otras amenazas externas, como los virus. En esta entrega se analizan algunos de esos riesgos como así también los mitos de la seguridad. Además, se presentan las técnicas básicas para evitar problemas. El objetivo es claro: aprender a proteger la información que se genera y almacena en una computadora, ya que tiene un valor singular para todo usuario.
Las medidas de protección son muy distintas si uno posee una computadora del tipo servidor.

¿Qué son los virus?
Los virus son pequeños programas de computadora que tienen la capacidad de autoduplicarse y parasitar otros programas. Una vez difundidos, los virus se activan bajo determinadas circunstancias y, en general, provocan algún daño o molestia.

Mito
Se pueden difundir peligrosos virus por e-mail capaces de destruir todo su disco rígido. Si recibe un mail con un virus, bórrelo sin siquiera leer el mensaje. Existe un mito muy popular sobre un famoso virus llamado Penpal Grettings o Good Times. Se trata de un mensaje que asegura que de recibir un e-mail con alguno de estos subjects (temas) debe ser borrado inmediatamente sin leerlo, o de lo contrario nos contagiará con un virus.

Verdad
No hay ninguna forma de que un virus se contagie con la simple acción de leer un mensaje de correo electrónico, aunque sí hay formas de contagiarse mediante Internet (ver más adelante).

¿Quién los crea?
Los virus son creados por expertos programadores. Su estrategia de propagación y daño demanda un excelente conocimiento de los lenguajes de programación y los sistemas operativos. Muchas personas se dedican a crear virus para pasar el tiempo, motivos publicitarios denigrantes, robo de identidades, para molestar, y hasta como forma de venganza o simplemente de diversión personal.

¿Cómo se distribuyen?
Los virus se distribuyen al copiar archivos de computadora en computadora, donde -inadvertidamente- también se copia el virus. Esto puede suceder tanto al llevar un archivo del trabajo a casa, por duplicación ilegal de software, como al bajar algún archivo de Internet, la nueva modalidad de los Spam, entre otras razones.

¿Dónde se alojan?
Dado que un virus es un programa, sólo puede infectar otros programas. Esto significa que los archivos de datos (como una foto, una carta o una planilla) no pueden contener virus, con la excepción de los nuevos macro virus.

Los virus están inactivos hasta que son ejecutados (o mejor dicho, hasta que el programa donde se alojan es ejecutado, corrido). A partir de ese momento pueden tomar control de su máquina, quedarse como residentes en la memoria y dedicarse a contagiar y causar daño.

Los macro virus, infectan documentos de Word o planillas Excel. si bien son archivos de datos, pueden contener también órdenes programadas por el usuario llamadas macros, donde puede alojarse el virus.

¿Qué hacen?
Algunos virus son inocentes y no causan daño. Pero otros están preparados para activarse en determinadas circunstancias (por ejemplo: una fecha o una hora) y ejecutar alguna actividad maligna, desde reemplazar todos los "9" por "6" en una planilla de cálculo hasta destruir por completo su disco rígido.

Formas de contagio
Las únicas formas de que un virus ingrese en nuestro sistema a través de Internet son:

Al ejecutarse manualmente un programa bajado de Internet, sin verificarlo previamente. Esto puede suceder de varias formas:

Al bajarse un archivo cualquiera vía Web o FTP (un software, una demostración, un plug-in para el navegador). Muchos sitios FTP, de donde se pueden obtener archivos, garantizan que sus programas están libres de virus aunque esto no siempre es así.

Si le llega un archivo ejecutable infectado como un attach (adosado) de un e-mail y se lo ejecuta sin verificarlo previamente con un antivirus. Es la forma más común de difusión de los llamados macro virus, que pueden acompañar a las cartas de Word o planillas de Excel.

Al ejecutarse en forma automática algún programa infectado de Internet. Esto es especialmente peligroso. Los plug-ins (agregados) que se colocan en su navegador están capacitados para ejecutar automáticamente los archivos que reciben. Por ejemplo, si usted coloca un agregado para ver películas en formato MPEG, cuando baje la película, el agregado correrá el video automáticamente. Para aumentar su seguridad, minimice el uso de agregados y verifique todo archivo que baja de Internet antes de ejecutarlo.

Tipos de Virus

Caballos de Troya

Programas que, enmascarados de alguna forma como un juego o similar, buscan hacer creer al usuario que son inofensivos, para realizar acciones maliciosas en su equipo.Estos troyanos no son virus ni gusanos dado que no tienen capacidad para replicarse por si mismos, pero en muchos casos, los virus y gusanos liberan troyanos en los sistemas que infectan para que cumplan funciones especificas, como, por ejemplo, capturar todo lo que el usuario ingresa por teclado (keylogger).La principal utilización de los troyanos es para obtener acceso remoto a un sistema infectado a través de una puerta trasera. Este tipo de troyano es conocido como Backdoor.

Los virus llamados Caballos de Troya se difunden disfrazados de programas útiles. Por ejemplo, usted puede recibir una nueva versión de su compactador favorito, y en realidad no es tal, sino que se trata de un virus que se hace pasar por un programa útil para que se lo ejecute. Para evitar ser engañado con estos virus, desconfíe de nuevas versiones mejoradas de los programas que no provengan del sitio oficial de la compañía que lo genera.

Gusano de Internet

Historia del Gusano de Internet
Un Worm (gusano) es un programa similar al virus, pero que a diferencia de éste no requiere infectar a otro programa, ya que se difunde en forma autónoma de computadora a computadora.
En noviembre de 1988, Robert Morris, un estudiante norteamericano de la Universidad de Cornell, descubrió un pequeño error en el programa más utilizado para rutear e-mails (sendmail) por toda la Red. Morris aprovechó el error y diseñó un Worm que se copiaba de servidor en servidor, burlando así la seguridad. El Gusano se distribuyó por Internet en pocas horas, causando caos en la mayoría de los grandes sistemas y dejando inactivos los centros de cómputos de casi todas las universidades y centros del gobierno de los Estados Unidos. Dos días después comenzó a repararse el daño, que costó millones de dólares y que demostró cuán frágil era la seguridad de los sistemas en ese entonces.

Los gusanos tienen ciertas similitudes con los virus informáticos, pero también diferencias fundamentales. Un gusano se parece a un virus en que su principal función es reproducirse, pero por el contrario de cómo lo hacen los virus, en lugar de copiarse dentro de otros archivos, un gusano crea nuevas copias de si mismo para replicarse.En síntesis, lo que caracteriza a un gusano es que para reproducirse genera nuevas copias de si mismo dentro del mismo sistema infectado o en otros sistemas remotos, a través de algún medio de comunicación, como bien puede ser internet o una red informática.

Un gusano de internet es un tipo específico de gusano que aprovecha los medios que provee la red de redes para reproducirse a través de ella.Como cualquier gusano, su fin es replicarse a nuevos sistemas para infectarlos y seguir replicándose a otros equipos informáticos, pero lo que lo califica como un gusano de internet es que aprovecha medios como el correo electrónico, IRC, FTP, y otros protocolos específicos o ampliamente utilizados en internet.Los virus informáticos de mayor reproducción hoy en día son justamente aquellos con características de gusanos de internet.

Keylogger

Un "keylogger" se encargará de registrar las pulsaciones de teclado del usuario y de enviarlas al hacker.

Infector de archivos

Existen virus que aprovechan vulnerabilidades y/o funcionalidades de ciertas aplicaciones para replicarse en los archivos que éstas utilizan.

Un ejemplo de esto son aquellos virus capaces de reproducirse en algunas versiones de Adobe Acrobat a través de archivos PDF o imágenes.

El hecho de decir que un virus infecta un archivo significa que el virus copia su código dentro del archivo, de manera que cuando éste sea abierto, la aplicación que lee el archivo, también lea el código del virus y así el mismo pueda reproducirse infectando otros archivos y realizando las acciones para las que esté programado.

Infector de Ejecutables

Es el virus por excelencia; una rutina o programa capaz de infectar otros archivos ejecutables, como los .EXE, .COM y .SCR bajo Windows, incluyendo dentro del código original, las funcionalidades propias del virus.Para infectar otros archivos ejecutables, estos virus copian su contenido dentro de ellos, y los modifican de manera que, cuando el archivo sea abierto por el usuario, o automáticamente si se trata de un proceso, el propio virus también se ejecute.Los primeros virus eran de este tipo, y aún hoy en día son de los más peligrosos, dado que su presencia muchas veces no puede ser detectada si no se cuenta con un antivirus actualizado ya que se esconden dentro de programas normales ya existentes en el sistema.

Macrovirus
Clase de virus que se reproduce aprovechando la posibilidad de programación, normalmente llamada Macros, que tienen documentos de algunos programas.Estos virus se alojan en documentos de Word, planillas de Excel, presentaciones de PowerPoint, archivos de CorelDraw y Visio, y pueden existir macrovirus para todos los documentos no ejecutables de aplicaciones que utilicen Macros o algún lenguaje de programación embebido.Uno de los más famosos macrovirus fue el W97M/Melissa, un virus que, alojándose en documentos de Word, era capaz de reproducirse por correo electrónico.

NewHeur_PE

Denominación utilizada por NOD32 cuando un potencial nuevo virus es detectado por la tecnología heurística.

Polimórfico

Este tipo de virus tienen una cualidad muy importante: pueden cambiar de forma. Pero, ¿qué quiere decir que un programa informático, como un virus, pueda cambiar de forma?Lo que realmente hace el virus es copiarse en memoria, volver a compilarse tras cambiar su estructura interna, tal como nombres de variables, funciones, etc, y volver a compilarse, de manera que una vez creado nuevamente un espécimen del virus, es distinto del original.Existen virus de un polimorfismo avanzado que no sólo cambian variables y funciones sino mucho más, e incluso hay algunos nuevos tipos de virus polimórficos que son llamados metamórficos por su capacidad de cambiarse casi completamente creando una copia nueva de si misma, que puede no ser detectada por la mayoría de los antivirus.Para los fanáticos de los virus informáticos, los polimórficos son uno de los especimenes más interesantes dada su capacidad cameleónica.

Residente

Se denomina un virus residente cuando es capaz de mantenerse en memoria desde el inicio del equipo infectado, ya sea cargándose desde el sector de arranque del mismo o como un servicio del sistema operativo, hasta que el mismo se apaga.Un ordenador infectado por este tipo de virus suele ser difícil de limpiar, dado que en muchos casos requieren que se reinicie el equipo con un disco de arranque (bajo Windows 9x/Me) o con el disco de emergencia (Windows NT/2000/XP) para evitar que se carguen en memoria.

Bomba Lógica

Se trata simplemente de un programa maligno que permanece oculto en memoria y que solo se activa cuando se produce una acción concreta, predeterminada por su creador: cuando se llega a una fecha en concreto (Viernes 13), cuando se ejecuta cierto programa o cierta combinación de teclas, etc.Virus de sobreescrituraSobreescriben en el interior de los archivos atacados, haciendo que se pierda el contenido de los mismos.

Ultimos Virus

Clic en la imagen, para ver detalles.

¿Cómo protegerse?

Un antivirus es un programa diseñado para detectar la infección de virus en otros programas. Existen muchas formas de antivirus, pero la más usual es la que contiene un registro de identificación de todos los virus conocidos (llamada signature) y que busca en la computadora del usuario comparando todo archivo contra estos registros. La mejor prevención es tener un antivirus activo constantemente y chequear todo archivo y mensaje que llegue del exterior.

Principales Compañias de Seguridad Informatica -Antivirus

ALWIL Software

AV-Comparatives

AV-Test.org

AVG Technologies

Avira GmbH

Bit9

BitDefender

Dr. Web, Ltd.

ESET

F-Secure Corporation

G DATA Software

Hispasec Sistemas

International Business Machines Corporation

Kaspersky Lab

McAfee, Inc.

Microsoft Corp.

Norman ASA

Panda Security

PC Tools

Sana Security

Secure Computing

Sophos Plc

Symantec Corporation

Trend Micro Incorporated

Virusbuster Ltd.

Otra manera de protegerse es haciendo una limpieza periodica de cookies, puede utilizar herrmientas como antispyware o cleaners, entre otros.

Teniendo un buen antivirus con firewall incorporado suele ser una buena solucion pero muchas veces nos descuidamos de los puertos o que tan bueno pueda ser el firewall que usamos, para esto otra solucion es tener un firewall personal, y algunas otras herramientas de utilidad.

¿Cómo proteger a los demás?
Si su sistema está libre de virus usted no representará ninguna amenaza para el resto de los cibernautas. Y si recibe un mensaje sobre un virus por e-mail, verifique su autenticidad antes de reenviarlo a todos sus conocidos de la Red. Es una fórmula para detener -entre todos- este tipo de falsos rumores.

Lo que nunca debe usarse como clave
Cualquier palabra o número fácilmente relacionado con el usuario (es lo primero que buscan los hackers): nombre, apodo de la primaria, número de documento, patente del automóvil, fecha de nacimiento, nombre de un hijo, calle donde vive, etc.
Cualquier letra repetida varias veces, como por ejemplo zzzzzzz o 777777.
Cualquier escalera normal, como por ejemplo 1234, abcdef, doremifasol.
Palabras usuales como: Clave, MiClave, TopSecret, Secreto, etc.
Ninguna variante de todo lo anterior escrito al revés.
Nunca usar la misma clave en varios lugares (si alguien averigua una, nada impedirá que acceda al resto de los servicios protegidos con la misma clave).
No escribirla en ninguna parte en la medida de lo posible (nunca en su agenda o billetera).
No compartirla con nadie y, si debe hacerlo (por ejemplo, cuando se va de vacaciones), cámbiela en cuanto pueda.
No almacenarla en un archivo en su disco rígido.
Lo que sí debe usarse como Clave
Dos palabras al azar separadas por un signo raro, como xilofon$rayos-x (elíjalas en un diccionario abriendo páginas al azar).
Una palabra inventada: aluminatividad.
Una cadena de caracteres al azar: YU6790HGJ.
Una frase clave (pass phrase). En lugar de tipear la frase completa, que sería muy molesto, utilice sólo la primera letra de cada palabra. Por ejemplo, si la frase fuera "En casa de herrero, cuchillo de palo", la clave de acceso sería ecdhcdp, una cadena de caracteres difícil de recordar sin la frase.
¡Nunca envíe su clave de acceso a Internet por e-mail!
Uno de los trucos más usados para robar claves de acceso es enviar un mail al usuario como si se tratara de un mensaje originado por el proveedor de servicios. El mail podrá decir algo inocente como "envíe su clave por correo para verificar si su cuenta de Internet funciona correctamente". Si usted comete el error de responder el mensaje, que seguramente estará dirigido a una cuenta de correo falsa, puede que al mes siguiente note un aumento en sus horas de consumo de Internet. Jamás debe enviar ninguna clave de acceso por e-mail. Su proveedor (si realmente se trata de él) posee mecanismos válidos para verificarla sin necesidad de preguntársela.

Sabias que?

El primer sentenciado por delito informático fue en 1988

El 2 de noviembre de 1988, lo que antes era Internet (conocida como ARPAnet) cayó ante el ataque de un gusano que usaba toda la memoria de los ordenadores haciéndolos lentos.
El gusano se propagó por correo electrónico a través de toda la red y llegando a universidades, laboratorios y muchas instituciones en la red. Se tardó varios días en recuperar la actividad de la red y los daños ascendieron a un millón de dólares.
Cuando se apresó a Robert Morris Jr., el juez lo sentenció con tres años de libertad condicional, 400 horas de servicios comunitarios y 10.000 dólares de multa.

Referencias documentales

-Noticias de actualidad en ingles:http://www.cbc.ca/technology/story/2008/02/12/tech-copyright.html

-Enciclopedia Virus, Virus informático A-Z. (2002) Tipos de Virus, Consultado en 12 de enero del 2008 en http://www.enciclopediavirus.com/home/index.php.-Machado, J. (_____). Como se clasifican los virus?. Consultado en 8 de septiembre del 2007 en http://www.perantivirus.com/sosvirus/pregunta/clasific.htm .-Network-Press.Org (_____). Virus informáticos [Clasificación] . Consultado en 8 de septiembre del 2007 en http://www.network-press.org/?virus_informaticos_concepto .-CAFEONLINE MEXICO (2005). Tipos de Virus Informáticos. Consultado en 8 de septiembre del 2007 en http://www.cafeonline.com.mx/virus/tipos-virus.html

Seguridad Informática

2008-01-31T08:44:00.000-08:00

Objetivos:

La Seguridad Informática tiene como objetivo el mantenimiento de la Confidencialidad, Integridad y Disponibilidad de los Sistemas de Información. Es necesario identificar y controlar cualquier evento que pueda afectar negativamente a cualquiera de estos tres aspectos, así como definir e implantar las defensas necesarias para eliminar o reducir sus posibles consecuencias. Para ello, deben utilizarse métodos formales de análisis de riesgos que lo garanticen.
La Seguridad Informática permite compartir los Sistemas de Información de la empresa entre sus empleados, e incluso con terceros, pero garantizando su protección. La Seguridad tiene tres aspectos básicos que son esenciales para el crecimiento del negocio, el cumplimiento de la legalidad vigente y la imagen de la propia empresa

1. CONFIDENCIALIDAD: Protege los Activos de Información contra accesos o divulgación no autorizados.

2. INTEGRIDAD: Garantiza la exactitud de los Activos de Información contra alteración, pérdida o destrucción, ya sea de forma accidental o fraudulenta.

3. DISPONIBILIDAD: Asegura que los Recursos Informáticos y los Activos de Información pueden ser utilizados en la forma y tiempo requeridos. Bajo el punto de vista de Seguridad, la disponibilidad se refiere a su posible recuperación en caso de desastre (Recuperabilidad), y no al concepto de Nivel de Servicio empleado en otras áreas.

Estos aspectos llevan implícitos los conceptos de Propiedad, Depósito y Uso, de los Recursos Informáticos y Activos de Información, que posteriormente se desarrollarán.

La seguridad informática es un objetivo a evaluar y esta directamente relacionado con la calidad y eficacia de un conjunto de acciones y medidas destinadas a proteger y perservar la información de la entidad y sus medios de proceso.

Mantener la protección de la empresa exige un compromiso firme. Puesto que las amenazas, las vulnerabilidades y los requerimientos de la empresa cambian, las políticas de seguridad y los mecanismos adoptados deben ser reevaluados periódica y habitualmente para brindar protección total.

Seguridad Física:
" Un experto es aquel que sabe cada vez más sobre menos cosas, hasta que sabe absolutamente todo sobre nada.. es la persona que evita los errores pequeños mientras sigue su avance inexorable hacia la gran falacia"
Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego tratados); la seguridad de la misma será nula si no se ha previsto como combatir un incendio.
La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma, no.
Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma.
Así, la Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

Tipos de Desastres:

No será la primera vez que se mencione en este trabajo, que cada sistema es único y por lo tanto la política de seguridad a implementar no será única. Este concepto vale, también, para el edificio en el que nos encontramos. Es por ello que siempre se recomendarán pautas de aplicación general y no procedimientos específicos. Para ejemplificar esto: valdrá de poco tener en cuenta aquí, en Entre Ríos, técnicas de seguridad ante terremotos; pero sí será de máxima utilidad en Los Ángeles, EE.UU.

Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en que se encuentra ubicado el centro.

Las principales amenazas que se prevén en la seguridad física son:
1. Desastres naturales, incendios accidentales tormentas e inundaciones.
2. Amenazas ocasionadas por el hombre.
3. Disturbios, sabotajes internos y externos deliberados.
No hace falta recurrir a películas de espionaje para sacar ideas de cómo obtener la máxima seguridad en un sistema informático, además de que la solución sería extremadamente cara.
A veces basta recurrir al sentido común para darse cuenta que cerrar una puerta con llave o cortar la electricidad en ciertas áreas siguen siendo técnicas válidas en cualquier entorno.
A continuación se analizan los peligros más importantes que se corren en un centro de procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevención, reducción, recuperación y corrección de los diferentes tipos de riesgos.
1. Incendios
2. Inundaciones
3. Condiciones Climatológicas
4. Señales de Radar
5. Instalaciones Eléctricas
6. Ergometría

Acciones Hostiles:
1. Robo
2. Fraude
3. Sabotaje

Control de Accesos:

El control de acceso no sólo requiere la capacidad de identificación, sino también asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo, área o sector dentro de una empresa o institución.
1. Utilización de Guardias
2. Utilización de Detectores de Metales
3. Utilización de Sistemas Biométricos
4. Verificación Automática de Firmas (VAF)
5. Seguridad con Animales
6. Protección Electrónica
CONCLUSIONES:

Evaluar y controlar permanentemente la seguridad física del edificio es la base para o comenzar a integrar la seguridad como una función primordial dentro de cualquier organismo.
Tener controlado el ambiente y acceso físico permite:
• disminuir siniestros
• trabajar mejor manteniendo la sensación de seguridad
• descartar falsas hipótesis si se produjeran incidentes
• tener los medios para luchar contra accidentes
Las distintas alternativas estudiadas son suficientes para conocer en todo momento el estado del medio en el que nos desempeñamos; y así tomar decisiones sobre la base de la información brindada por los medios de control adecuados.

Estas decisiones pueden variar desde el conocimiento de las áreas que recorren ciertas personas hasta el extremo de evacuar el edificio en caso de accidentes.

SEGURIDAD LÓGICA:
"Miro a mi alrededor veo que la tecnología ha sobrepasado nuestra humanidad, espero que algún día nuestra humanidad sobrepase la tecnología."
Albert Einstein
Luego de ver como nuestro sistema puede verse afectado por la falta de Seguridad Física, es importante recalcar que la mayoría de los daños que puede sufrir un centro de cómputos no será sobre los medios físicos sino contra información por él almacenada y procesada.
Así, la Seguridad Física, sólo es una parte del amplio espectro que se debe cubrir para no vivir con una sensación ficticia de seguridad. Como ya se ha mencionado, el activo más importante que se posee es la información, y por lo tanto deben existir técnicas, más allá de la seguridad física, que la aseguren. Estas técnicas las brinda la Seguridad Lógica.
Es decir que la Seguridad Lógica consiste en la "aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo."
Existe un viejo dicho en la seguridad informática que dicta que "todo lo que no está permitido debe estar prohibido" y esto es lo que debe asegurar la Seguridad Lógica.

Los objetivos que se plantean serán:
1. Restringir el acceso a los programas y archivos.
2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan.
3. Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto.
4. Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro.
5. Que la información recibida sea la misma que ha sido transmitida.
6. Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.
7. Que se disponga de pasos alternativos de emergencia para la transmisión de información.

CONTROLES DE ACCESO:
Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicación, en bases de datos, en un paquete específico de seguridad o en cualquier otro utilitario.
Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de aplicación y demás software de la utilización o modificaciones no autorizadas; para mantener la integridad de la información (restringiendo la cantidad de usuarios y procesos con acceso permitido) y para resguardar la información confidencial de accesos no autorizados.
Asimismo, es conveniente tener en cuenta otras consideraciones referidas a la seguridad lógica, como por ejemplo las relacionadas al procedimiento que se lleva a cabo para determinar si corresponde un permiso de acceso (solicitado por un usuario) a un determinado recurso. Al respecto, el Nacional Institute for Standard and Technology (NIST) ha resumido los siguientes estándares de seguridad que se refieren a los requisitos mínimos de seguridad en cualquier sistema:
• Identificación y Autentificación
• Roles
• Transacciones
• Limitaciones a los Servicios
• Modalidad de Acceso
• Ubicación y Horario
• Control de Acceso Interno
• Control de Acceso Externo
• Administración

NIVELES DE SEGURIDAD INFORMÁTICA:
El estándar de niveles de seguridad mas utilizado internacionalmente es el TCSEC Orange Book, desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del Departamento de Defensa de los Estados Unidos.
Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el mínimo grado de seguridad al máximo.
Estos niveles han sido la base de desarrollo de estándares europeos (ITSEC/ITSEM) y luego internacionales (ISO/IEC).
Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: así el subnivel B2 abarca los subniveles B1, C2, C1 y el D.
• Nivel D
• Nivel C1: Protección Discrecional
• Nivel C2: Protección de Acceso Controlado
• Nivel B1: Seguridad Etiquetada
• Nivel B2: Protección Estructurada
• Nivel B3: Dominios de Seguridad
• Nivel A: Protección Verificada
LEGISLACIÓN Y DELITOS INFORMÁTICOS:
Ya hemos dejado en claro la importancia de la información en el mundo altamente tecnificado de hoy. También se ha dejado en claro cada uno de los riesgos "naturales" con los que se enfrenta nuestro conocimiento y la forma de enfrentarlos.
El desarrollo de la tecnología informática ha abierto las puertas a nuevas posibilidades de delincuencia antes impensables. La cuantía de los perjuicios así ocasionados es a menudo muy superior a la usual en la delincuencia tradicional y también son mucho más elevadas las posibilidades de que no lleguen a descubrirse o castigarse.
Es propósito de los capítulos siguientes disertar sobre los riesgos "no naturales"; es decir los que se encuadran en el marco del delito. Para ello deberemos dejar en claro, nuevamente, algunos aspectos.

LA INFORMACIÓN Y EL DELITO:
El delito informático implica actividades criminales que los países han tratado de encuadrar en figuras típicas de carácter tradicional, tales como robos, hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotajes. Sin embargo, debe destacarse que el uso de las técnicas informáticas han creado nuevas posibilidades del uso indebido de las computadoras lo que ha creado la necesidad de regulación por parte del derecho.

Se considera que no existe una definición formal y universal de delito informático pero se han formulado conceptos respondiendo a realidades nacionales concretas: "no es labor fácil dar un concepto sobre delitos informáticos, en razón de que su misma denominación alude a una situación muy especial, ya que para hablar de "delitos" en el sentido de acciones típicas, es decir tipificadas o contempladas en textos jurídicos penales, se requiere que la expresión "delitos informáticos" esté consignada en los códigos penales, lo cual en nuestro país, al igual que en otros muchos no han sido objeto de tipificación aún."
TIPOS DE DELITOS INFORMÁTICOS:
La Organización de Naciones Unidas (ONU) reconocen los siguientes tipos de delitos informáticos:
1. Fraudes cometidos mediante manipulación de computadoras
2. Manipulación de los datos de entrada
3. Daños o modificaciones de programas o datos computarizados
DELINCUENTE Y VICTIMA:
1. Sujeto Activo
2. Sujeto Pasivo
LEGISLACIÓN NACIONAL:
En los últimos años se ha perfilado en el ámbito internacional un cierto consenso en las valoraciones político-jurídicas de los problemas derivados del mal uso que se hace de las computadoras, lo cual ha dado lugar a que, en algunos casos, se modifiquen los derechos penales nacionales e internacionales.
La ONU señala que cuando el problema se eleva a la escena internacional, se magnifican los inconvenientes y los delitos informáticos se constituyen en una forma de crimen transnacional.
En este sentido habrá que recurrir a aquellos tratados internacionales de los que nuestro país es parte y que, en virtud del Artículo 75 inc. 22 de la Constitución Nacional reformada en 1994, tienen rango constitucional.
Argentina también es parte del acuerdo que se celebró en el marco de la Ronda Uruguay del Acuerdo General de Aranceles Aduaneros y Comercio, que en su artículo 10, relativo a los programas de ordenador y compilaciones de datos, establece que:
• este tipo de programas, ya sean fuente u objeto, serán protegidos como obras literarias de conformidad con el Convenio de Berna, de julio 1971, para la Protección de Obras Literarias y Artísticas;
• las compilaciones de datos posibles de ser legibles serán protegidos como creaciones de carácter intelectual y que;
• para los casos de falsificación dolosa de marcas de fábrica o de comercio o de piratería lesiva del derecho de autor a escala comercial se establecerán procedimientos y sanciones penales además de que, " los recursos disponibles comprenderán la pena de prisión y/o la imposición de sanciones pecuniarias suficientemente disuasorias" .
LEGISLACIÓN INTERNACIONAL:
• Alemania
• Austria
• Chile
• China
• España
• Estados Unidos
• Francia
• Holanda
• Inglaterra

CONCLUSIÓN:
Legislar la instigación al delito cometido a través de la computadora. Adherirnos, por nuestra parte, a los postulados de la ONU sobre los delitos informáticos, con el fin de unificar la legislación internacional que regule la problemática de la cibernética y su utilización tan generalizada en el mundo.
Desde la Criminología debemos señalar que el anonimato, sumado a la inexistencia de una norma que tipifique los delitos señalados, son un factor criminógeno que favorece la multiplicación de autores que utilicen los medios electrónicos para cometer delitos a sabiendas que no serán alcanzados por la ley.
No solo debe pensarse en la forma de castigo, sino algo mucho más importante como lograr probar el delito. Este sigue siendo el principal inconveniente a la hora de legislar por el carácter intangible de la información.
"Al final, la gente se dará cuenta de que no tiene ningún sentido escribir leyes específicas para la tecnología. El fraude es el fraude, se realice mediante el correo postal, el teléfono o Internet. Un delito no es más o menos delito si se utilizó criptografía (...). Y el chantaje no es mejor o peor si se utilizaron virus informáticos o fotos comprometedoras, a la antigua usanza. Las buenas leyes son escritas para ser independientes de la tecnología. En un mundo donde la tecnología avanza mucho más deprisa que las sesiones del Congreso, eso es lo único que puede funcionar hoy en día. Mejores y más rápidos mecanismos de legislación, juicios y sentencias...quizás algún día."

AMENAZAS HUMANAS :
"Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques."
Art. 12 Declaración Universal de Derechos Humanos, 1948
Este capítulo trata sobre cada uno de los personajes que pueden ser potenciales atacantes de nuestro sistema: el mundo under y el personal perteneciente a la organización.
Será difícil mantener una posición objetiva de la situación global en cuanto a los hackers y las fuerzas de seguridad, ya que siempre he visto marcado mi camino de conocimiento por la curiosidad: principal ingrediente (como veremos) del hacker. Así mismo, siempre me he mantenido en la raya de la legalidad y la ética, siendo prueba de esto el presente documento.
Desde los primeros albores del hacking siempre se ha mantenido una extraña relación entre estos particulares personajes, lo legal, lo ético y lo moral, siendo esta característica, lo que intentan resaltar para esclarecer la diferencia entre cada uno de los clanes existentes en la Red (como se la llama comúnmente en la jerga).
En el presente sólo se tratará de exponer el perfil de la persona encargada de una de las principales, (publicitariamente), si bien no la mayor amenaza que asechan nuestro sistema informático; para luego sí entrar en las formas de ataques propiamente dichos.

PATAS DE PALO Y PARCHES:
1. Carta de presentación
2. La actitud del Hacker
3. Definición de Hacker
4. La conexión Hacker - Nerd
5. Crackers
6. Phreakers
7. Carding - Trashing
8. Desafíos de un Hacker
9. Habilidades básicas en un Hacker
10. ¿Cómo lo Hacen?
11. La Ética del Hacker
12. Manifiesto Hacker
13. Otros habitantes del Ciberespacio

PERSONAL (INSIDERS) :
Hasta aquí se ha presentado al personal como víctima de atacantes externos; sin embargo, de los robos, sabotajes o accidentes relacionados con los sistemas informáticos, el 70% son causados por el propio personal de la organización propietaria de dichos sistemas ("Inside Factor").
Hablando de los Insiders Julio C. Ardita explica que "(...) desde mitad de 1996 hasta 1999 la empresa tuvo dos casos de intrusiones pero en el 2000 registramos siete, de las cuales 5 eran intrusos internos o ex-empleados (...)".
El siguiente gráfico detalla los porcentajes de intrusiones clasificando a los atacantes en internos y externos.

Esto es realmente preocupante, ya que, una persona que trabaje con el administrador, el programador o el encargado de una máquina conoce perfectamente el sistema, sus puntos fuertes y débiles; de manera que un ataque realizado por esa persona podrá ser más directo, difícil de detectar y más efectivo que el que un atacante externo pueda realizar.
Existen diversos estudios que tratan sobre los motivos que llevan a una persona a cometer delitos informáticos contra su organización, pero sean cuales sean, estos motivos existen y deben prevenirse y evitarse. Suele decirse que todos tenemos un precio (dinero, chantaje, factores psicológicos, etc.), por lo que nos pueden arrastrar a robar y vender información o simplemente proporcionar acceso a terceros.
Como ya se ha mencionado los ataques pueden ser del tipo pasivos o activos, y el personal realiza ambos indistintamente dependiendo de la situación concreta.

Dentro de este espectro podemos encontrar:
• Personal Interno
• Ex-Empleado
• Curiosos
• Terroristas
• Intrusos Remunerados
• Recomendaciones

AMENAZAS LÓGICAS - TIPOS DE ATAQUES:

Amenazas Lógicas - Resumen
Los protocolos de comunicación utilizados carecen (en su mayoría) de seguridad o esta ha sido implementada en forma de "parche" tiempo después de su creación.
• Existen agujeros de seguridad en los sistemas operativos.
• Existen agujeros de seguridad en las aplicaciones.
• Existen errores en las configuraciones de los sistemas.
• Los usuarios carecen de información respecto al tema.
Esta lista podría seguir extendiéndose a medida que se evalúen mayor cantidad de elementos de un Sistema Informático.
Las empresas u organizaciones no se pueden permitir el lujo de denunciar ataques a sus sistemas, pues el nivel de confianza de los clientes (ciudadanos) bajaría enormemente.
Los Administradores tienen cada vez mayor conciencia respecto de la seguridad de sus sistemas y arreglan por sí mismos las deficiencias detectadas. A esto hay que añadir las nuevas herramientas de seguridad disponibles en el mercado.
Los "advisories" (documentos explicativos) sobre los nuevos agujeros de seguridad detectados y la forma de solucionarlos, lanzados por el CERT, han dado sus frutos.

TIPOS DE ATAQUES – RESUMEN:
En los primeros tiempos, los ataques involucraban poca sofisticación técnica. Los Insiders (operadores, programadores, proramadore, Data entry) sutilizaban sus permisos para alterar archivos o registros. Los Outsiders ingresaban a la red simplemente averiguando una password válida. A través de los años se han desarrollado formas cada vez más sofisticadas de ataque para explotar "agujeros" en el diseño, configuración y operación de los sistemas.

Son muchos los autores que describen con detalle las técnicas y las clasifican de acuerdo a diferentes características de los mismos. Ante la diversificación de clasificaciones de amenazas y la inminente aparición de nuevas técnicas, para la realización del presente los ataques serán clasificados y categorizados según mi experiencia y conocimiento de cada caso.
Cada uno de los ataques abajo descriptos será dirigido remotamente. Se define Ataque Remoto como "un ataque iniciado contra una maquina sobre la cual el atacante no tiene control (físico)" Esta máquina es distinta a la usada por el atacante y será llamada Víctima.

INGENIERÍA SOCIAL:
Es la manipulación de las personas para convencerlas de que ejecuten acciones o actos que normalmente no realizan para que revele tolo lo necesario para superar las barreras de seguridad. Si el atacante tiene la experiencia suficiente (generalmente es así), puede engañar fácilmente a un usuario (que desconoce las mínimas medidas de seguridad) en beneficio propio. Esta técnica es una de las más usadas y efectivas a la hora de averiguar nombres de usuarios y passwords.
Por ejemplo, suele llamarse a un usuario haciéndose pasar por Administrador del sistema y requerirle la password con alguna excusa convincente. O bien, podría enviarse un mail (falsificando la dirección origen a nombre del Administrador) pidiendo al usuario que modifique su password a una palabra que el atacante suministra. Desde aquí se tendrá el control total de esa estación de trabajo.
Para evitar situaciones de IS es conveniente tener en cuenta estas recomendaciones:
• Tener servicio técnico propio o de confianza.
• Instruir a los usuarios para que no respondan ninguna pregunta sobre cualquier característica del sistema y deriven la inquietud a los responsables que tenga competencia para dar esa información.
• Asegurarse que las personas que llaman por teléfono son quien dicen ser. Por ejemplo si la persona que llama se identifica como proveedor de Internet lo mejor es cortar y devolver la llamada a forma de confirmación.

INGENIERÍA SOCIAL INVERSA
TRASHING (CARTONEO)
ATAQUES DE MONITORIZACIÓN

Este tipo de ataque se realiza para observar a la victima y su sistema, con el objetivo de establecer sus vulnerabilidades y posibles formas de acceso futuro.
Cuando dos procesos establecen una comunicación usan el modelo Cliente/Servidor para establecer la conexión. La aplicación del Servidor "escucha" todo lo que ingresa
Por los puertos.
La identificación del Servidor se efectúa a través de la dirección IP del sistema en el que se ejecuta y del número de puerto del que depende para la conexión. El Cliente establece la conexión con el Servidor a través del puerto disponible para luego intercambiar datos.
La información de control llamada HandShake (saludo) se intercambia entre el Cliente y el Servidor para establecer un dialogo antes de transmitir datos. Los "paquetes" o segmentos TCP tienen banderas que indican el estado del mismo.
El protocolo TCP de Internet, sobre el que se basa la mayoría de los servicios (incluyendo el correo electrónico, el web y el IRC) implica esta conexión entre dos máquinas. El establecimiento de dicha conexión se realiza mediante lo que se llama Three-Way Handshake ("conexión en tres pasos") ya intercambian tres segmentos.

La técnica TCP SYN Scanning, se implementa un scaneo de "media-apertura", dado que nunca se abre una sesión TCP completa. Se envía un paquete SYN (como si se fuera a usar una conexión real) y se espera por la respuesta. Al recibir un SYN/ACK se envía, inmediatamente, un RST para terminar la conexión y se registra este puerto como abierto.
La principal ventaja de esta técnica de escaneo es que pocos sitios están preparados para registrarlos. La desventaja es que en algunos sistemas Unix, se necesitan privilegios de Administrador para construir estos paquetes SYN.

ATAQUES DE AUTENTICACIÓN :
Este tipo de ataque tiene como objetivo engañar al sistema de la víctima para ingresar al mismo. Generalmente este engaño se realiza tomando las sesiones ya establecidas por la víctima u obteniendo su nombre de usuario y password.

DICCIONARIOS
Los Diccionarios son archivos con millones de palabras, las cuales pueden ser passwords utilizadas por los usuarios. Este archivo es utilizado para descubrir dicha password en pruebas de fuerza bruta.
El programa encargado de probar cada una de las palabras encripta cada una de ellas (mediante el algoritmo utilizado por el sistema atacado) y compara la palabra encriptada contra el archivo de passwords del sistema atacado (previamente obtenido). Si coinciden se ha encontrado la clave de acceso al sistema mediante el usuario correspondiente a la clave hallada.
DENIAL OF SERVICE (DOS)
Los protocolos existentes actualmente fueron diseñados para ser empleados en una comunidad abierta y con una relación de confianza mutua. La realidad indica que es más fácil desorganizar el funcionamiento de un sistema que acceder al mismo; así los ataques de Negación de Servicio tienen como objetivo saturar los recursos de la víctima de forma tal que se inhabilita los servicios brindados por la misma.

ATAQUES DE MODIFICACIÓN-DAÑO
Esta categoría se refiere a la modificación desautorizada de los datos o el software instalado en el sistema víctima (incluyendo borrado de archivos). Son particularmente serios cuando el que lo realiza ha obtenido derechos de Administrador o Supervisor, con la capacidad de disparar cualquier comando y por ende alterar o borrar cualquier información que puede incluso terminar en la baja total del sistema. Aún así, si no hubo intenciones de "bajar" el sistema por parte del atacante; el Administrador posiblemente necesite darlo de baja por horas o días hasta chequear y tratar de recuperar aquella información que ha sido alterada o borrada.

ERRORES DE DISEÑO, IMPLEMENTACIÓN Y OPERACIÓN
Muchos sistemas están expuestos a "agujeros" de seguridad que son explotados para acceder a archivos, obtener privilegios o realizar sabotaje. Estas vulnerabilidades ocurren por variadas razones, y miles de "puertas invisibles" son descubiertas (cada día) en sistemas operativos, aplicaciones de software, protocolos de red, browsers de Internet, correo electrónico y todas clase de servicios informático disponible.
Los Sistemas operativos abiertos (como Unix y Linux) tienen agujeros mas conocidos y controlados que aquellos que existen en sistemas operativos cerrados (como Windows©). La importancia (y ventaja) del código abierto radica en miles de usuarios analizan dicho código en busca de posibles bugs y ayudan a obtener soluciones en forma inmediata.

Constantemente encontramos en Internet avisos de nuevos descubrimientos de problemas de seguridad (y herramientas de Hacking que los explotan), por lo que hoy también se hace indispensable contar con productos que conocen esas debilidades, puedan diagnosticarlas y actualizar el programa afectado con el parche adecuado.

IMPLEMENTACIÓN DE ESTAS TÉCNICAS:
Cada una de las técnicas explicadas (y más) pueden ser utilizadas por un intruso en un ataque. A continuación se intentarán establecer el orden de utilización de las mismas, pero siempre remarcando que un ataque insume mucha paciencia, imaginación acumulación de conocimientos y experiencia dada (en la mayoría de los casos) por prueba y error.

¿CÓMO DEFENDERSE DE ESTOS ATAQUES?
La mayoría de los ataques mencionados se basan en fallos de diseño inherentes a Internet (y sus protocolos) y a los sistemas operativos utilizados, por lo que no son "solucionables" en un plazo breve de tiempo.
La solución inmediata en cada caso es mantenerse informado sobre todos los tipos de ataques existentes y las actualizaciones que permanentemente lanzan las empresas desarrolladoras de software, principalmente de sistemas operativos.
PROTECCIÓN:
"Esto es lo que llamamos Criptograma, en el cual el sentido está oculto bajo letras embarulladas a propósito y que, convenientemente dispuestas, formarían una frase inteligible --dijo el profesor--
Una vez conocidas las vulnerabilidades y ataques a las que está expuesto un sistema es necesario conocer los recursos disponibles para protegerlo. Mientras algunas técnicas son evidentes (seguridad física por ejemplo) otras pautas no lo son tanto e incluso algunas pueden ocasionar una sensación de falsa seguridad.
Muchas de las vulnerabilidades estudiadas son el resultado de implementación incorrecta de tecnologías, otras son consecuencias de la falta de planeamiento de las mismas pero, como ya se ha mencionado, la mayoría de los agujeros de seguridad son ocasionados por los usuarios de dichos sistemas y es responsabilidad del administrador detectarlos y encontrar la mejor manera de cerrarlos.
En el presente capítulo, después de lo expuesto y vistas la gran cantidad de herramientas con las que cuenta el intruso, es el turno de estudiar implementaciones en la búsqueda de mantener el sistema seguro.
Siendo reiterativo, ninguna de las técnicas expuestas a continuación representarán el 100% de la seguridad deseado, aunque muchas parezcan la panacea, será la suma de algunas de ellas las que convertirán un sistema interconectado en confiable.

Vulnerar Para Proteger:
Los intrusos utilizan diversas técnicas para quebrar los sistemas de seguridad de una red. Básicamente buscan los puntos débiles del sistema para poder colarse en ella. El trabajo de los Administradores y Testers no difiere mucho de esto. En lo que sí se diferencia, y por completo, es en los objetivos: mientras que un intruso penetra en las redes para distintos fines (investigación, daño, robo, etc.) un administrador lo hace para poder mejorar los sistemas de seguridad.
En palabras de Julio C. Ardita (*): "(...) los intrusos cuentan con grandes herramientas como los Scanners, los cracking de passwords, software de análisis de vulnerabilidades y los exploits(...) un administrador cuenta con todas ellas empleadas para bien, los Logs, los sistemas de detección de intrusos y los sistemas de rastreo de intrusiones".
Al conjunto de técnicas que se utilizan para evaluar y probar la seguridad de una red se lo conoce como Penetration Testing, uno de los recursos más poderosos con los que se cuenta hoy para generar barreras cada vez más eficaces.
Un test está totalmente relacionado con el tipo de información que se maneja en cada organización. Por consiguiente, según la información que deba ser protegida, se determinan la estructura y las herramientas de seguridad; no a la inversa
El software y el Hardware utilizados son una parte importante, pero no la única. A ella se agrega lo que se denomina "políticas de seguridad internas" que cada organización (y usuario) debe generar e implementar.
Firewalls
Quizás uno de los elementos más publicitados a la hora de establecer seguridad, sean estos elementos. Aunque deben ser uno de los sistemas a los que más se debe prestar atención, distan mucho de ser la solución final a los problemas de seguridad.
De hecho, los Firewalls no tienen nada que hacer contra técnicas como la Ingeniería Social y el ataque de Insiders.
Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce la una política de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una que no lo es (por ejemplo Internet).

Access Control Lists (ACL)
Las Listas de Control de Accesos proveen de un nivel de seguridad adicional a los clásicos provistos por los Sistemas Operativos. Estas listas permiten definir permisos a usuarios y grupos concretos. Por ejemplo pueden definirse sobre un Proxy una lista de todos los usuarios (o grupos de ellos) a quien se le permite el acceso a Internet, FTP, etc. También podrán definirse otras características como limitaciones de anchos de banda y horarios.

Wrappers
Un Wrapper es un programa que controla el acceso a un segundo programa. El Wrapper literalmente cubre la identidad de este segundo programa, obteniendo con esto un más alto nivel de seguridad. Los Wrappers son usados dentro de la seguridad en sistemas UNIXs. Estos programas nacieron por la necesidad de modificar el comportamiento del sistema operativo sin tener que modificar su funcionamiento.
Los Wrappers son ampliamente utilizados, y han llegado a formar parte de herramientas de seguridad por las siguientes razones:
• Debido a que la seguridad lógica esta concentrada en un solo programa, los Wrappers son fáciles y simples de validar.
• Debido a que el programa protegido se mantiene como una entidad separada, éste puede ser actualizado sin necesidad de cambiar el Wrapper.
• Debido a que los Wrappers llaman al programa protegido mediante llamadas estándar al sistema, se puede usar un solo Wrapper para controlar el acceso a diversos programas que se necesiten proteger.
• Permite un control de accesos exhaustivo de los servicios de comunicaciones, además de buena capacidad de Logs y auditorias de peticiones a dichos servicios, ya sean autorizados o no.
El paquete Wrapper más ampliamente utilizado es el TCP-Wrappers, el cual es un conjunto de utilidades de distribución libre, escrito por Wietse Venema (co-autor de SATAN, con Dan Farmer, y considerado el padre de los sistemas Firewalls) en 1990.
Consiste en un programa que es ejecutado cuando llega una petición a un puerto específico. Este, una vez comprobada la dirección de origen de la petición, la verifica contra las reglas almacenadas, y en función de ellas, decide o no dar paso al servicio. Adicionalmente, registra estas actividades del sistema, su petición y su resolución.
Algunas configuraciones avanzadas de este paquete, permiten también ejecutar comandos en el propio sistema operativo, en función de la resolución de la petición. Por ejemplo, es posible que interese detectar una posible máquina atacante, en el caso de un intento de conexión, para tener más datos a la hora de una posible investigación. Este tipo de comportamiento raya en la estrategia paranoica, ya vista cuando se definió la política de seguridad del firewall.

Con lo mencionado hasta aquí, puede pensarse que los Wrappers son Firewall ya que muchos de los servicios brindados son los mismos o causan los mismos efectos: u sando Wrappers, se puede controlar el acceso a cada máquina y los servicios accedidos. Así, estos controles son el complemento perfecto de un Firewall y la instalación de uno no está supeditada a la del otro.

DETECCIÓN DE INTRUSOS EN TIEMPO REAL:
La seguridad se tiene que tratar en conjunto. Este viejo criterio es el que recuerda que los sistemas de protección hasta aquí abordados, si bien son eficaces, distan mucho de ser la protección ideal.
Así, debe estar fuera de toda discusión la conveniencia de añadir elementos que controlen lo que ocurre dentro de la red (detrás de los Firewalls).
Como se ha visto, la integridad de un sistema se puede corromper de varias formas y la forma de evitar esto es con la instalación de sistemas de Detección de Intrusos en Tiempo Real, quienes:
• Inspeccionan el tráfico de la red buscando posibles ataques.
• Controlan el registro de los servidores para detectar acciones sospechosas (tanto de intrusos como de usuarios autorizados).
• Mantienen una base de datos con el estado exacto de cada uno de los archivos (Integrity Check) del sistema para detectar la modificación de los mismos.
• Controlan el ingreso de cada nuevo archivo al sistema para detectar Caballos de Troya o semejantes.
• Controlan el núcleo del Sistema Operativo para detectar posibles infiltraciones en él, con el fin de controlar los recursos y acciones del mismo.
• Avisan al administrador de cualquiera de las acciones mencionadas.
Cada una de estas herramientas permiten mantener alejados a la gran mayoría de los intrusos normales. Algunos pocos, con suficientes conocimientos, experiencia y paciencia serán capaces de utilizar métodos sofisticados (u originales) como para voltear el perímetro de seguridad (interna + externa) y serán estos los casos que deban estudiarse para integrar a la política de seguridad existente mayor conocimiento y con él mayor seguridad.

Call Back

Este procedimiento es utilizado para verificar la autenticidad de una llamada vía MODEM. El usuario llama, se autentifica contra el sistema, se desconecta y luego el servidor se conecta al número que en teoría pertenece al usuario.

La ventaja reside en que si un intruso desea hacerse pasar por el usuario, la llamada se devolverá al usuario legal y no al del intruso, siendo este desconectado. Como precaución adicional, el usuario deberá verificar que la llamada-retorno proceda del número a donde llamó previamente.

Sistemas Anti-Sniffers
Esta técnica consiste en detectar Sniffers en el sistema. Generalmente estos programas se basan en verificar el estado de la placa de red, para detectar el modo en el cual está actuando (recordar que un Sniffer la coloca en Modo Promiscuo), y el tráfico de datos en ella.
Gestion de Claves "Seguras"
Si se utiliza una clave de 8 caracteres de longitud, con los 96 caracteres posibles, puede tardarse 2.288 años en descifrarla (analizando 100.000 palabras por segundo). Esto se obtiene a partir de las 96 8 (7.213.895.789.838.340) claves posibles de generar con esos caracteres.
Partiendo de la premisa en que no se disponen de esa cantidad de años para analizarlas por fuerza bruta, se deberá comenzar a probar con las claves más posibles, comúnmente llamadas Claves Débiles.
Seguridad en Protocolos y Servicios
Se ha visto en capítulos anteriores la variedad de protocolos de comunicaciones existentes, sus objetivos y su funcionamiento. Como puede preverse todos estos protocolos tienen su debilidad ya sea en su implementación o en su uso. A continuación se describen los problemas de seguridad más comunes y sus formas de prevención.
Nuevamente no se verán los detalles sobre el funcionamiento de cada uno de ellos, simplemente se ofrecerán las potenciales puertas de entrada como fuentes de ataques que ni siquiera tienen por qué proporcionar acceso a la máquina (como las DoS por ejemplo).
Criptología
La palabra Criptografía proviene etimológicamente del griego Kruiptoz (Kriptos-Oculto) y Grajein (Grafo-Escritura) y significa "arte de escribir con clave secreta o de un modo enigmático" (**).
Aportando luz a la definición cabe aclarar que la Criptografía hace años que dejó de ser un arte para convertirse en una técnica (o conjunto de ellas) que tratan sobre la protección (ocultamiento ante personas no autorizadas) de la información. Entre las disciplinas que engloba cabe destacar la Teoría de la Información, la Matemática Discreta, la Teoría de los Grandes Números y la Complejidad Algorítmica.

Es decir que la Criptografía es la ciencia que consiste en transformar un mensaje inteligible en otro que no lo es (mediante claves que sólo el emisor y el destinatario conocen), para después devolverlo a su forma original, sin que nadie que vea el mensaje cifrado sea capaz de entenderlo.
Inversión
Los costos de las diferentes herramientas de protección se están haciendo accesibles, en general, incluso para las organizaciones más pequeñas. Esto hace que la implementación de mecanismos de seguridad se dé prácticamente en todos los niveles: empresas grandes, medianas, chicas y usuarios finales. Todos pueden acceder a las herramientas que necesitan y los costos (la inversión que cada uno debe realizar) va de acuerdo con el tamaño y potencialidades de la herramienta.
Pero no es sólo una cuestión de costos, los constantes cambios de la tecnología hacen que para mantener un nivel parejo de seguridad, se deba actualizar permanentemente las herramientas con las que se cuenta. Como los intrusos mejoran sus armas y metodologías de penetración de forma incesante, el recambio y la revisión constantes en los mecanismos de seguridad se convierten en imprescindibles. Y éste es un verdadero punto crítico.
Según Testers, "esto es tan importante como el tipo de elementos que se usen". Sin duda, éstos deben ser las que mejor se adapten al tipo de organización. Pero tan importante como eso es el hecho de conocer exactamente cómo funcionan y qué se puede hacer con ellos. "Es prioritario saber los riesgos que una nueva tecnología trae aparejados".
Firewall
Quizás uno de los elementos más publicitados a la hora de establecer seguridad, sean estos elementos. Aunque deben ser uno de los sistemas a los que más se debe prestar atención, distan mucho de ser la solución final a los problemas de seguridad.
De hecho, los Firewalls no tienen nada que hacer contra técnicas como la Ingeniería Social y el ataque de Insiders.
Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce la una política de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una que no lo es (por ejemplo Internet).
Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos:
1. Todo el tráfico desde dentro hacia fuera, y viceversa, debe pasar a través de él.
2. Sólo el tráfico autorizado, definido por la política local de seguridad, es permitido.

Como puede observarse, el Muro Cortafuegos, sólo sirven de defensa perimetral de las redes, no defienden de ataques o errores provenientes del interior, como tampoco puede ofrecer protección una vez que el intruso lo traspasa.
Algunos Firewalls aprovechan esta capacidad de que toda la información entrante y saliente debe pasar a través de ellos para proveer servicios de seguridad adicionales como la encriptación del tráfico de la red. Se entiende que si dos Firewalls están conectados, ambos deben "hablar" el mismo método de encriptación-desencriptación para entablar la comunicación.

ROUTERS Y BRIDGES

Cuando los paquetes de información viajan entre su destino y origen, vía TCP/IP, estos pasan por diferentes Routers (enrutadores a nivel de Red).
Los Routers son dispositivos electrónicos encargados de establecer comunicaciones externas y de convertir los protocolos utilizados en las LAN en protocolos de WAN y viceversa.

En cambio, si se conectan dos redes del tipo LAN se utilizan Bridges, los cuales son puentes que operan a nivel de Enlace.
La evolución tecnológica les ha permitido transformarse en computadoras muy especializadas capaz de determinar, si el paquete tiene un destino externo y el camino más corto y más descongestionado hacia el Router de la red destino. En caso de que el paquete provenga de afuera, determina el destino en la red interna y lo deriva a la máquina correspondiente o devuelve el paquete a su origen en caso de que él no sea el destinatario del mismo.

Los Routers "toman decisiones" en base a un conjunto de datos, regla, filtros y excepciones que le indican que rutas son las más apropiadas para enviar los paquetes.

Tipos de Firewall
1. Filtrado de Paquetes
2. Proxy-Gateways de Aplicaciones
3. Dual-Homed Host
4. Screened Host
5. Screened Subnet
6. Inspección de Paquetes
Este tipo de Firewalls se basa en el principio de que cada paquete que circula por la red es inspeccionado, así como también su procedencia y destino. Se aplican desde la capa de Red hasta la de Aplicaciones. Generalmente son instalados cuando se requiere seguridad sensible al contexto y en aplicaciones muy complejas.
7. Firewalls Personales
Estos Firewalls son aplicaciones disponibles para usuarios finales que desean conectarse a una red externa insegura y mantener su computadora a salvo de ataques que puedan ocasionarle desde un simple "cuelgue" o infección de virus hasta la pérdida de toda su información almacenada.
Políticas de Diseño de Firewalls
Las políticas de accesos en un Firewalls se deben diseñar poniendo principal atención en sus limitaciones y capacidades pero también pensando en las amenazas y vulnerabilidades presentes en una red externa insegura.
Conocer los puntos a proteger es el primer paso a la hora de establecer normas de seguridad. También es importante definir los usuarios contra los que se debe proteger cada recurso, ya que las medidas diferirán notablemente en función de esos usuarios.
Generalmente se plantean algunas preguntas fundamentales que debe responder cualquier política de seguridad:
• ¿Qué se debe proteger?. Se deberían proteger todos los elementos de la red interna (hardware, software, datos, etc.).
• ¿De quién protegerse?. De cualquier intento de acceso no autorizado desde el exterior y contra ciertos ataques desde el interior que puedan preverse y prevenir.
Sin embargo, podemos definir niveles de confianza, permitiendo selectivamente el acceso de determinados usuarios externos a determinados servicios o denegando cualquier tipo de acceso a otros.
• ¿Cómo protegerse?. Esta es la pregunta más difícil y está orientada a establecer el nivel de monitorización, control y respuesta deseado en la organización. Puede optarse por alguno de los siguientes paradigmas o estrategias:
a. Paradigmas de seguridad
• Se permite cualquier servicio excepto aquellos expresamente prohibidos.
• Se prohíbe cualquier servicio excepto aquellos expresamente permitidos. La más recomendada y utilizada aunque algunas veces suele acarrear problemas por usuarios descontentos que no pueden acceder a tal cual servicio.
b. Estrategias de seguridad
• Paranoica: se controla todo, no se permite nada.
• Prudente: se controla y se conoce todo lo que sucede.
• Permisiva: se controla pero se permite demasiado.
• Promiscua: no se controla (o se hace poco) y se permite todo.
• ¿Cuánto costará?. Estimando en función de lo que se desea proteger se debe decidir cuanto es conveniente invertir.

RESTRICCIONES EN EL FIREWALL:
La parte más importante de las tareas que realizan los Firewalls, la de permitir o denegar determinados servicios, se hacen en función de los distintos usuarios y su ubicación:
1. Usuarios internos con permiso de salida para servicios restringidos: permite especificar una serie de redes y direcciones a los que denomina Trusted (validados) . Estos usuarios, cuando provengan del interior, van a poder acceder a determinados servicios externos que se han definido.
2. Usuarios externos con permiso de entrada desde el exterior: este es el caso más sensible a la hora de vigilarse. Suele tratarse de usuarios externos que por algún motivo deben acceder para consultar servicios de la red interna.
También es habitual utilizar estos accesos por parte de terceros para prestar servicios al perímetro interior de la red. Sería conveniente que estas cuentas sean activadas y desactivadas bajo demanda y únicamente el tiempo que sean necesarias.

BENEFICIOS DE UN FIREWALL:
Los Firewalls manejan el acceso entre dos redes, y si no existiera, todos las computadoras de la red estarían expuestos a ataques desde el exterior. Esto significa que la seguridad de toda la red, estaría dependiendo de que tan fácil fuera violar la seguridad local de cada maquina interna.

El Firewall es el punto ideal para monitorear la seguridad de la red y generar alarmas de intentos de ataque, el administrador será el responsable de la revisión de estos monitoreos.
Otra causa que ha hecho que el uso de Firewalls se halla convertido en uso casi imperativo es el hecho que en los últimos años en Internet han entrado en crisis el número disponible de direcciones IP, esto ha hecho que las intranets adopten direcciones sin clase, las cuales salen a Internet por medio de un "traductor de direcciones", el cual puede alojarse en el Firewall.
Los Firewalls también son importantes desde el punto de vista de llevar las estadísticas del ancho de banda "consumido" por el trafico de la red, y que procesos han influido más en ese trafico, de esta manera el administrador de la red puede restringir el uso de estos procesos y economizar o aprovechar mejor el ancho de banda disponible.
Los Firewalls también tienen otros usos. Por ejemplo, se pueden usar para dividir partes de un sitio que tienen distintas necesidades de seguridad o para albergar los servicios WWW y FTP brindados.

LIMITACIONES DE UN FIREWALL
La limitación más grande que tiene un Firewall sencillamente es el hueco que no se tapa y que coincidentemente o no, es descubierto por un intruso. Los Firewalls no son sistemas inteligentes, ellos actúan de acuerdo a parámetros introducidos por su diseñador, por ende si un paquete de información no se encuentra dentro de estos parámetros como una amenaza de peligro simplemente lo deja pasar. Más peligroso aún es que ese intruso deje Back Doors, abriendo un hueco diferente y borre las pruebas o indicios del ataque original.
Otra limitación es que el Firewall "NO es contra humanos", es decir que si un intruso logra entrar a la organización y descubrir passwords o los huecos del Firewall y difunde esta información, el Firewall no se dará cuenta.
El Firewall tampoco provee de herramientas contra la filtración de software o archivos infectados con virus, aunque es posible dotar a la máquina, donde se aloja el Firewall, de antivirus apropiados.
Finalmente, un Firewall es vulnerable, él NO protege de la gente que está dentro de la red interna. El Firewall trabaja mejor si se complementa con una defensa interna. Como moraleja: "cuanto mayor sea el tráfico de entrada y salida permitido por el Firewall, menor será la resistencia contra los paquetes externos. El único Firewall seguro (100%) es aquel que se mantiene apagado" (*)

CRIPTOLOGÍA
Historia
En el año 500 a.C. los griegos utilizaron un cilindro llamado "scytale" alrededor del cual enrollaban una tira de cuero. Al escribir un mensaje sobre el cuero y desenrollarlo se veía una lista de letras sin sentido. El mensaje correcto sólo podía leerse al enrollar el cuero nuevamente en un cilindro de igual diámetro.
Durante el Imperio Romano Julio Cesar empleo un sistema de cifrado consistente en sustituir la letra a encriptar por otra letra distanciada a tres posiciones más adelante. Durante su reinado, los mensajes de Julio Cesar nunca fueron desencriptados.
En el S. XII Roger Bacon y en el S. XV León Batista Alberti inventaron y publicaron sendos algoritmos de encriptación basados en modificaciones del método de Julio César.
Durante la segunda guerra mundial en un lugar llamado Bletchley Park (70 Km al norte de Londres) un grupo de científicos trabajaba en Enigma, la máquina encargada de cifrar los mensajes secretos alemanes.
En este grupo se encontraban tres matemáticos polacos llamados Marian Rejewski, Jerzy Rozycki, Henryk Zygalski y "un joven que se mordía siempre las pieles alrededor de las uñas, iba con ropa sin planchar y era más bien bajito. Este joven retraído se llamaba Alan Turing y había sido reclutado porque unos años antes había creado un ordenador binario. Probablemente poca gente en los servicios secretos ingleses sabía lo que era un ordenador (y mucho menos binario)... pero no cabía duda que sólo alguien realmente inteligente podía inventar algo así, cualquier cosa que eso fuese...
Era mucho más abstracto que todos sus antecesores y sólo utilizaba 0 y 1 como valores posibles de las variables de su álgebra." (*).
Sería Turing el encargado de descifrar el primer mensaje de Enigma y, cambiar el curso de la guerra, la historia y de... la Seguridad Informática actual.

Criptografía
La palabra Criptografía proviene etimológicamente del griego Kruiptoz (Kriptos-Oculto) y Grajein (Grafo-Escritura) y significa "arte de escribir con clave secreta o de un modo enigmático".
Aportando luz a la definición cabe aclarar que la Criptografía hace años que dejó de ser un arte para convertirse en una técnica (o conjunto de ellas) que tratan sobre la protección (ocultamiento ante personas no autorizadas) de la información. Entre las disciplinas que engloba cabe destacar la Teoría de la Información, la Matemática Discreta, la Teoría de los Grandes Números y la Complejidad Algorítmica.

Es decir que la Criptografía es la ciencia que consiste en transformar un mensaje inteligible en otro que no lo es (mediante claves que sólo el emisor y el destinatario conocen), para después devolverlo a su forma original, sin que nadie que vea el mensaje cifrado sea capaz de entenderlo.

El mensaje cifrado recibe el nombre Criptograma

La importancia de la Criptografía radica en que es el único método actual capaz de hacer cumplir el objetivo de la Seguridad Informática: "mantener la Privacidad, Integridad, Autenticidad..." y hacer cumplir con el No Rechazo, relacionado a no poder negar la autoría y recepción de un mensaje enviado.

CRIPTOANÁLISIS

Es el arte de estudiar los mensajes ilegibles, encriptados, para transformarlos en legibles sin conocer la clave, auque el método de cifrado empleado siempre es conocido.

CRIPTOSISTEMA
"Un Criptosistema se define como la quíntupla (m,C,K,E,D) , donde:
• m representa el conjunto de todos los mensajes sin cifrar (texto plano) que pueden ser enviados.
• C Representa el conjunto de todos los posibles mensajes cifrados, o criptogramas.
• K representa el conjunto de claves que se pueden emplear en el Criptosistema.
• E es el conjunto de transformaciones de cifrado o familia de funciones que se aplica a cada elemento de m para obtener un elemento de C . Existe una transformación diferente Ek para cada valor posible de la clave K.
• D es el conjunto de transformaciones de descifrado, análogo a E .
Todo Criptosistema cumple la condición Dk(Ek(m))=m es decir, que si se tiene un mensaje m , se cifra empleando la clave K y luego se descifra empleando la misma clave, se obtiene el mensaje original m." (***)
Algoritmos Simétricos Modernos (Llave Privada)
La mayoría de los algoritmos simétricos actuales se apoyan en los conceptos de Confusión y Difusión vertidos por Claude Shannon sobre la Teoría de la Información a finales de los años cuarenta.
Estos métodos consisten en ocultar la relación entre el texto plano, el texto cifrado y la clave (Confusión); y repartir la influencia de cada bit del mensaje original lo más posible entre el mensaje cifrado (Difusión).
El objetivo del presente no es entrar en detalles de cada uno de los muchos algoritmos existentes, por lo que sólo se dará una idea de su funcionamiento y complejidad.

Algoritmos Asimétricos (Llave Privada-Pública)
Ideado por los matemáticos Whitfield Diffie y Martín Hellman (DH) con el informático Ralph Merkle a mediados de los 70, estos algoritmos han demostrado su seguridad en comunicaciones inseguras como Internet. Su principal característica es que no se basa en una única clave sino en un par de ellas: una conocida (Pública) y otra Privada.
Actualmente existen muchos algoritmos de este tipo pero han demostrado ser poco utilizables en la práctica ya sea por la longitud de las clave, la longitud del texto encriptado generado o su velocidad de cifrado extremadamente largos.
DH está basado en las propiedades y en el tiempo necesario para calcular el valor del logaritmo de un número extremadamente alto y primo.
Autentificación
Se entiende por Autentificación cualquier método que permita garantizar alguna característica sobre un objeto dado. Interesa comprobar la autentificación de:
a. Un Mensaje mediante una firma: se debe garantizar la procedencia de un mensaje conocido, de forma de poder asegurar que no es una falsificación. A este mecanismo se lo conoce como Firma Digital y consiste en asegurar que el mensaje m proviene del emisor E y no de otro.
b. Un Usuario mediante una contraseña: se debe garantizar la presencia de un usuario autorizado mediante una contraseña secreta.
c. Un Dispositivo: se debe garantizar la presencia de un dispositivo válido en el sistema, por ejemplo una llave electrónica.

PGP (Pretty Good Privacy)
Este proyecto de "Seguridad Bastante Buena" pertenece a Phill Zimmerman quien decidió crearlo en 1991 "por falta de herramientas criptográficas sencillas, potentes, baratas y al alcance del usuario común. Es personal. Es privado. Y no es de interés para nadie más que no sea usted... Existe una necesidad social en crecimiento para esto. Es por eso que lo creé.".
Actualmente PGP es la herramienta más popular y fiable para mantener la seguridad y privacidad en las comunicaciones tanto para pequeños usuarios como para grandes empresas.

Esteganografía
Consiste en ocultar en el interior de información aparentemente inocua, otro tipo de información (cifrada o no). El texto se envía como texto plano, pero entremezclado con mucha cantidad de "basura" que sirve de camuflaje al mensaje enviado. El método de recuperación y lectura sólo es conocido por el destinatario del mensaje y se conoce como "separar el grano de la paja".
Los mensajes suelen ir ocultos entre archivos de sonido o imágenes y ser enormemente grandes por la cantidad extra de información enviada (a comparación del mensaje original).
Como puede verse en la siguiente tabla, si se utiliza una clave de 8 caracteres de longitud, con los 96 caracteres posibles, puede tardarse 2.288 años en descifrarla (analizando 100.000 palabras por segundo). Esto se obtiene a partir de las 96^8 (7.213.895.789.838.340) claves posibles de generar con esos caracteres.

Partiendo de la premisa en que no se disponen de esa cantidad de años para analizarlas por fuerza bruta, se deberá comenzar a probar con las claves más posibles, comúnmente llamadas Claves Débiles.

Según demuestra el análisis de +NetBuL (*) realizado sobre 2.134 cuentas y probando 227.000 palabras por segundo:
• Con un diccionario 2.030 palabras (el original de John de Ripper 1.04), se obtuvieron 36 cuentas en solo 19 segundos (1,77%).
Con un diccionario de 250.000 palabras, se obtuvieron 64 cuentas en 36:18
• minutos (3,15%).
Otro estudio (**) muestra el resultado obtenido al aplicar un ataque, mediante un diccionario de 62.727 palabras, a 13.794 cuentas:
• En un año se obtuvieron 3.340 contraseñas (24,22%).
• En la primera semana se descubrieron 3.000 claves (21,74%).
• En los primeros 15 minutos se descubrieron 368 palabras claves (2,66%).
Según los grandes números vistos, sería válido afirmar que: es imposible encontrar ¡36 cuentas en 19 segundos!. También debe observarse, en el segundo estudio, que el porcentaje de hallazgos casi no varía entre un año y una semana.

Tal vez, ¿esto sucedió porque existían claves nulas; que corresponde al nombre del usuario; a secuencias alfabéticas tipo "abcd"; a secuencias numéricas tipo "1234"; a secuencias observadas en el teclado tipo "qwer"; a palabras que existen en un diccionario del lenguaje del usuario?. Sí, estas claves (las más débiles) son las primeras en ser analizadas y los tiempos obtenidos confirman la hipótesis.

Normas de Elección de Claves:
Se debe tener en cuenta los siguientes consejos:
1. No utilizar contraseñas que sean palabras (aunque sean extranjeras), o nombres (el del usuario, personajes de ficción, miembros de la familia, mascotas, marcas, ciudades, lugares, u otro relacionado).
2. No usar contraseñas completamente numéricas con algún significado (teléfono, D.N.I., fecha de nacimiento, patente del automóvil, etc.).
3. Elegir una contraseña que mezcle caracteres alfabéticos (mayúsculas y minúsculas) y numéricos.
4. Deben ser largas, de 8 caracteres o más.
5. Tener contraseñas diferentes en máquinas diferentes. Es posible usar una contraseña base y ciertas variaciones lógicas de la misma para distintas máquinas.
6. Deben ser fáciles de recordar para no verse obligado a escribirlas.
Algunos ejemplos son:
• Combinar palabras cortas con algún número o carácter de puntuación: soy2_yo3
NORMAS PARA PROTEGER UNA CLAVE:
La protección de la contraseña recae tanto sobre el administrador del sistema como sobre el usuario. Al comprometer una cuenta se puede estar comprometiendo todo el sistema.
La siguiente frase difundida en UseNet resume algunas de las reglas básicas de uso de la contraseña: "Un password debe ser como un cepillo de dientes. Úsalo cada día; cámbialo regularmente; y NO lo compartas con tus amigos".
Algunos consejos a seguir:
1. No permitir ninguna cuenta sin contraseña. Si se es administrador del sistema, repasar este hecho periódicamente.
2. No mantener las contraseñas por defecto del sistema. Por ejemplo, cambiar las cuentas de Root, System, Test, Demo, Guest, etc.
3. Nunca compartir con nadie la contraseña. Si se hace, cambiarla inmediatamente.
4. No escribir la contraseña en ningún sitio. Si se escribe, no debe identificarse como tal y no debe identificarse al propietario en el mismo lugar.
5. No teclear la contraseña si hay alguien mirando. Es una norma tácita de buen usuario no mirar el teclado mientras alguien teclea su contraseña.
6. No enviar la contraseña por correo electrónico ni mencionarla en una conversación. Si se debe mencionar no hacerlo explícitamente diciendo: "mi clave es...".
7. No mantener una contraseña indefinidamente. Cambiarla regularmente. Disponer de una lista de contraseñas que puedan usarse cíclicamente (por lo menos 5).
Muchos sistemas incorporan ya algunas medidas de gestión y protección de las contraseñas. Entre ellas podemos citar las siguientes:
1. Número de intentos limitado. Tras un número de intentos fallidos, pueden tomarse distintas medidas:
o Obligar a reescribir el nombre de usuario (lo más común).
o Bloquear el acceso durante un tiempo.
o Enviar un mensaje al administrador y/o mantener un registro especial.
2. Longitud mínima. Las contraseñas deben tener un número mínimo de caracteres (se recomienda 7 u 8 como mínimo).
3. Restricciones de formato. Las contraseñas deben combinar un mínimo de letras y números, no pueden contener el nombre del usuario ni ser un blanco.
4. Envejecimiento y expiración de contraseñas. Cada cierto tiempo se fuerza a cambiar la contraseña. Se obliga a no repetir ciertas cantidad de las anterior. Se mantiene un periodo forzoso entre cambios, para evitar que se vuelva a cambiar inmediatamente y se repita la anterior.
5. Ataque preventivo. Muchos administradores utilizan crackeadores para intentar atacar las contraseñas de su propio sistema en busca de debilidades.

CONTRASEÑAS DE UN SÓLO USO
Las contraseñas de un solo uso (ONE-Time Passwords) son uno de los mecanismos de autentificación más seguros, debido a que su descubrimiento tan solo permite acceder al sistema una vez. Además, en muchas ocasiones se suelen utilizar dispositivos hardware para su generación, lo que las hace mucho más difíciles de descubrir.
Ejemplos de este tipo de contraseñas serian las basadas en funciones unidireccionales (sencillas de evaluar en un sentido pero imposible o muy costoso de evaluar en sentido contrario) y en listas de contraseñas.
Se distinguen tres tipos de contraseñas de un solo uso:
1. Las que requieren algún dispositivo hardware para su generación, tales como calculadoras especiales o tarjetas inteligentes (Token Cards).
2. Las que requieren algún tipo de software de cifrado especial.
3. Las que se basan en una lista de contraseñas sobre papel.
La tarjeta genera periódicamente valores mediante a una función secreta y unidireccional, basada en el tiempo y en el número de identificación de la misma.

El usuario combina el número generado por la tarjeta con su palabra de paso para obtener el password de entrada, lo que le protege en caso de robo o perdida.

Formación y Concienciación en Seguridad de la Información

2008-01-31T08:39:00.000-08:00

En los tiempos que corren no hay empresa (salvo casos particulares de pequeño comercio) que se precie que no use algún tipo de sistema de la información. Hemos sido “invadidos” por las nuevas tecnologías en cuestión de 10 años sin apenas darnos ni cuenta, imponiendo a muchas personas el uso de herramientas que desconocen. Me pongo en el ejemplo de un empleado de una oficina que antes usaba una máquina de escribir para hacer su trabajo y que luego guardaba todos sus documentos en papel en algún rincón de la oficina. Ahora su situación ha cambiado: tiene un ordenador con conexión a internet, tiene correo electrónico, navega por internet y guarda sus documentos más importantes dentro del disco duro del ordenador, pero nadie le ha contado qué es eso de los virus, los troyanos, las actualizaciones de seguridad, el spam, el phishing, la ingeniería social, etc etc etc…¿Problemas?, muchos:

Desconocimiento del usuario de las principales amenzas que “corren” por la red
Falta de formación en las nuevas tecnologías para hacer un correcto uso de las mismas
Falta de concienciación en seguridad de la información
Ignorancia de las consecuencias que puede tener para él y para su empresa la materialización de alguna de las amenazas
Desconocimiento del riesgo que se sufre internamente en las empresas y los problemas de seguridad que podría ocasionar: empleados descontentos, demasiada ambición por crecer en la empresa, problemas personales con otros empleados, envidias, …
Por todo esto se hace indispensable darle a nuestros empleados y usuarios de nuestros sistemas la formación necesaria para que cuando una de estas amenazas se materialice sepan cómo reaccionar.

El primer muro defensivo ante los nuevos riesgos tecnológicos somos nosotros mismos. Si conocemos el problema sabremos cómo solucionarlo, o al menos identificaremos que se trata de una amenaza y que tenemos que avisar al responsable de seguridad.

El otro factor importantísimo es la concienciación, que no es lo mismo que la formación: es más peligroso un usuario sin concienciación que un usuario sin formación. Ejemplo más vistoso: es más peligroso un conductor experto sin concienciación a la hora de llevar una conducción responsable ( y que ponga en peligro no sólo su vida si no las de los demás conductores) que un novato con la “L” que aunque no tiene mucha pericia al volante sabe de los riesgos que hay en la carretera y conduce de forma adecuada. En la informática pasa lo mismo: es más peligroso un usuario con conocimientos informáticos pero que no tiene ninguna prudencia en el uso de su equipo que un usuario sin conocimientos que es consciente de los peligros que acechan al otro lado del monitor.

Para poder acometer con garantías un plan de concienciación hay que tener en cuenta el público al que va dirigido, las circunstancias de la empresa en la que se va a implementar el plan, sucesos de seguridad anteriores que nos valdrán como ejemplo, hablar de medidas se seguridad básicas para usuarios, etc.

Hay muchas documentación al respecto en internet, por ejemplo un documento de ENISA sobre cómo elaborar planes de formación y concienciación, y del que ya hablamos aquí un día.
Referencias:
http://seguridad.crackvan.net/?p=51-Texto orignial.

UNA APLICACION DE BUSINESS INTELLIGENCE (EIS COMERCIAL Y EIS MARKETING) QUE PUEDE SOLUCIONAR LOS PROBLEMAS DE INFORMACIÓN COMERCIAL Y DE MARKETING DE

2008-01-31T08:30:00.000-08:00

Una empresa líder en el sector de venta directa de perfumería a nivel nacional, con más de 1.200 empleados repartidos en dos plantas, necesita acceder fácilmente tanto a la información financiera como comercial, que se encuentra fragmentada y atomizada en hojas excel, para poder tomar decisiones acertadas y a tiempo.
SLa situación de partida

Los principales problemas con los que se enfrentaba esta empresa eran:
Dificultad para acceder a la información
Toma de decisiones fuera de tiempo
Cada área de la empresa analizaba de forma diferente los indicadores del negocio
Falta de datos consolidados
"Islas" de información Excel
Información incompleta y sin jerarquizar
Falta de una herramienta ágil para visualización

Todo ello creaba incoherencias en la toma de decisiones y necesidades muy altas del uso de los recursos del departamento de Tecnologías de la Información, el cual, debido a la necesidad de información de los usuarios, aumentaba en personal, máquinas, y horas extra. Esto provocaba toma de decisiones tardías, debido a:
Imposibilidad de obtener la información en el momento preciso
La información muy relevante estaba "escondida" en distintos pc's de la organización
Los procesos informáticos eran muy lentos debidos a las consultas realizadas por los distintos usuarios, sin orden ni procedimiento.
Además de los problemas tangibles, existían los intangibles:
Descontento de los empleados y tomadores de decisiones por la precariedad de las herramientas de toma de decisiones
Adelanto de la competencia que ya había implantado estas soluciones y poseía una clara ventaja competitiva
Infrautilización de las capacidades de los ejecutivos de la empresa.

La solución propuesta
Utilizando la metodología propia, se diseñó, desarrolló e implementó un Sistema de información Ejecutiva para el Area Comercial y el Area de Marketing. La fuente de la cual fueron extraídos los datos fue el ERP propio en AS/400. La tecnología implementada fue Cognos® Powerplay, Windows e Impromptu Windows como front-end, Impromptu Administrator y PowerPlay Transformation Server para la generación de Cubos.

Se definieron envíos automáticos de información vía email de archivos generados con herramientas BI, y transformados a archivos "pdf" de Acrobat, que se generaban con la nueva información proveniente del sistema de gestión cada día, y eran recibidos en el correo de los distintos usuarios, todo de manera automática. Se elaboraron los cubos necesarios para que los analistas de cada área pudieran elaborar toda una batería de informes, de tal forma que cada día esos informes fueran renovados de manera automática, y estuvieran disponibles para todos los decisores y gestionadores de información de le empresa.

Se implementaron 2 cuadros de mando, operativos para cada una de las áreas, que permitían el control por indicadores de cada área, y daban la posibilidad de ahondar en cada indicador hasta descubrir las causas y composiciones de cada valor en segundos.

Se integraron todas las hojas excel dispersas de la organización, de tal manera que los usuarios las mantenían, pero además integraban toda esta información, (previsiones, gastos, objetivos, etc) con la proveniente del sistema de gestión.
Además, con la navegación de cubos en excel de las herramientas de BI, se dio la posibilidad de que los usuarios acostumbrados a excel, navegaran el cubo desde excel e integraran información.

La metodología
La metodología que se siguió fue la que marca el procedimiento de implantación de Business Intelligence en toda su amplitud.
Análisis previo a la implantación
Asesoramiento en la elección de la aplicación de Business Intelligence más adecuada
Dirección de proyecto de implantación Business Intelligence, (BI).
Análisis y evaluación de la implantación.
Tiempo de implantación: 3 meses.

Resultados

Los resultados principales, medibles y objetivos fueron:
Se logró tener información para la toma de decisiones en tiempo y forma.
Reducción al mínimo del uso de plantillas Excel susceptibles a manipulación o integración de las mismas en los cubos OLAP.
Reducción de horas hombre en la preparación de informes
Liberación del personal de sistemas a tareas más acordes con el área
Incremento de productividad
Mejora en la calidad de datos
Reducción de costos

El ROI de la implantación fue de 5 meses.
Una vez finalizado el proyecto, la organización se encontraba en plena disposición de asumir nuevos retos y consolidar su posición de liderazgo en el mercado, tomando las mejores decisiones con expertos decisores en las áreas clave de negocio y un completo sistema de gestión de la información.

Referencias:

http://www.gestiopolis.com/Canales4/mkt/comoperfume.htm- Texto original.

http://www.improven.com

http://www.enavarroarrobamproven.com

REDES ATM - RESUMEN GENERAL

2008-01-30T23:18:00.002-08:00

La tecnología ATM (Asynchronous Transfer Mode) continúa evolucionando y siendo fuente de interesantes y novedosas propuestas. El desarrollo de avanzados protocolos de comunicaciones es uno de los campos de investigación más activo, con la aspiración de ofrecer el adecuado soporte a las nuevas aplicaciones adaptadas a las clases de servicio nativas ATM. En este contexto son aspectos clave los relativos a los protocolos nativos ATM, así como las características multicast, la escalabilidad y la fiabilidad. Se profundiza en el concepto de protocolo nativo ATM y son introducidos los protocolos más importantes que satisfacen este importante requerimiento (N3, CONGRESS y kStack, entre otros). Es importante destacar también los protocolos de transporte pensados específicamente para la tecnología ATM. La característica multicast (multipoint-to-multipoint) es una de las que más esfuerzo está costando garantizar a ATM, pero existen ya propuestas que permiten la comunicación fiable a elevados anchos de banda y entre múltiples emisores y receptores (SMART, MCMP o MWAX). El artículo concluye con las investigacioness más novedosas en torno a los protocolos ATM como las iniciativas que proponen redes ATM programables o activas (active networks) usando agentes móviles.

1. INTRODUCCIÓN Y MOTIVACIONES

2008-01-30T23:18:00.001-08:00

La actual demanda de aplicaciones relacionadas con información multimedia, como son la video-conferencia, audio-conferencia, video bajo demanda (VoD) o sistemas colaborativos (pizarras compartidas, teletrabajo, telemedicina, etc.) y su coexistencia con aplicaciones más clásicas (bases de datos, transferencias de ficheros, WWW, etc.), requiere tecnologías de comunicaciones capaces de ofrecer elevadas prestaciones. Estas elevadas prestaciones están directamente relacionadas con la calidad de servicio (QoS) y concretamente con conceptos claramente parametrizables como el ancho de banda y la velocidad de transmisión (throughput), el retardo de las transferencias (delay); la variabilidad en el retardo (jitter); la fiabilidad (reliability) de las transmisiones; las características de multidifusión a grupos dispersos de usuarios (multicast) y la posibilidad de gestionar múltiples clases de servicio o flujos de información en redes multiclass.

Para que las nuevas tecnologías en comunicaciones puedan ofrecer estas características es necesario revisar, potenciar y ampliar las actuales arquitecturas, servicios y protocolosde comunicaciones. En los últimos dos o tres años, las investigaciones en el campo de ATM están dado lugar a importantes propuestas cuyo principal objetivo es ofrecer a las aplicaciones demandadas actualmente algunas o todas las características citadas anteriormente.

Presentamos en este trabajo los conceptos y propuestas más novedosas en el contexto de ATM para ayudar al lector interesado en el dinámico, complejo y sofisticado campo de los protocolos de comunicaciones. Realizamos la revisión de algunos de los más importantes conceptos, técnicas, ideas y mecanismos en protocolos de altas prestaciones para redes de tecnología ATM. El principal objetivo de este documento es ofrecer una actualizada visión general, no extensiva ni profunda, de los protocolos propuestos y en desarrollo para dotar a las diversas clases de servicio ATM de las citadas características de calidad de servicio que aporten las potenciales elevadas prestaciones que la tecnología ATM es capaz de ofrecer.

El resto del documento está estructurado de la siguiente forma. La sección 2 revisa el concepto de protocolo nativo centrado en el contexto de las redes ATM. La sección 3 describe las propuestas más interesantes actualmente en materia de protocolos de transporte. El apartado 4 comenta las transferencias multicast como un importante objetivo para una tecnología orientada a la conexión como es ATM. Concluimos en la sección 5 con los campos de investigación abiertos recientemente como son las redes activas y los procolos booster.

2. Historia de ATM

2008-01-30T23:17:00.000-08:00

La primera referencia del ATM (Asynchronous Transfer Mode) tiene lugar en los años 60 cuando un norteamericano de origen oriental perteneciente a los laboratorios Bell describió y patentó un modo de transferencia no síncrono. Sin embargo el ATM no se hizo popular hasta 1988 cuando el CCITT decidió que sería la tecnología de conmutación de las futuras redes ISDN en banda ancha (rec I.121). Para ello, los valedores del ATM tuvieron primero que persuadir a algunos representantes de las redes de comunicaciones que hubieran preferido una simple ampliación de las capacidades de la ISDN en banda estrecha. Conseguido este primer objetivo y desechando los esquemas de transmisión síncronos, se empezaron a discutir aspectos tales como el tamaño de las celdas. Por un lado los representantes de EEUU y algún otro país proponían un tamaño de celdas grande de unos 128 bytes. Sin embargo para los representantes de los países europeos el tamaño ideal de las celdas era de 16 bytes, y señalaban que un tamaño de celda de 128 bytes provocaría retardos inaceptables de hasta 85 ms. Este retardo no permitiría la transmisión de voz con cierto nivel de calidad a la vez que obligaba a instalar canceladores de eco. Después de muchas discusiones y ante la falta de acuerdo, en la reunión del CCITT celebrada en Ginebra en Junio de 1989 se tomó una decisión salomónica: “Ni para unos ni para otros. 48 bytes será el tamaño de la celda”. Para la cabecera se tomó un tamaño de 5 bytes. Un extraño número primo 53 (48+5) sería el tamaño definitivo, en octetos, de las células ATM. Un número que tuvo la virtud de no satisfacer a nadie, pero que suponía un compromiso de todos los grupos de interés y evitaba una ruptura de consecuencias imprevisibles.

3. Principios de funcionamiento

2008-01-30T23:12:00.000-08:00

Con esta tecnología, a fin de aprovechar al máximo la capacidad de los sistemas de transmisión, sean estos de cable o radioeléctricos, la información no es transmitida y conmutada a través de canales asignados en permanencia, sino en forma de cortos paquetes (celdas ATM) de longitud constante y que pueden ser enrutadas individualmente mediante el uso de los denominados canales virtuales y trayectos virtuales.

Figura 1.- Diagrama simplificado del proceso ATM
En la Figura 1 se ilustra la forma en que diferentes flujos de información, de características distintas en cuanto a velocidad y formato, son agrupados en el denominado Módulo ATM para ser transportados mediante grandes enlaces de transmisión a velocidades (bit rate) de 155 o 622 Mbit/s facilitados generalmente por sistemas SDH.
En el terminal transmisor, la información es escrita byte a byte en el campo de información de usuario de la celda y a continuación se le añade la cabecera.
En el extremo distante, el receptor extrae la información, también byte a byte, de las celdas entrantes y de acuerdo con la información de cabecera, la envía donde ésta le indique, pudiendo ser un equipo terminal u otro módulo ATM para ser encaminada a otro destino. En caso de haber más de un camino entre los puntos de origen y destino, no todas las celdas enviadas durante el tiempo de conexión de un usuario serán necesariamente encaminadas por la misma ruta, ya que en ATM todas las conexiones funcionan sobre una base virtual.
PROTOCOLOS NATIVOS ATM

Las aplicaciones nativas ATM están específicamente pensadas para usar la tecnología ATM y para explotar al máximo sus especiales características. Los protocolos nativos se encargan, por tanto, de ofrecer esas características intrínsecas de las redes de tecnología ATM (soporte de QoS, señalización, direccionamiento, etc.) a las aplicaciones nativas ATM (VoD, pizarras compartidas, video-conferencia...). No obstante, existen también activas investigaciones para conseguir soportar sobre redes ATM aplicaciones no nativas ATM desarrolladas para otras tecnologías (IP, Frame Relay, SMDS...).

En [1], el termino native ATM services define servicios ATM específicos disponibles para el software y hardware residentes en dispositivos de usuario UNI ATM. Por consiguiente, el programador de aplicaciones dispone de nuevos servicios entre los que se pueden destacar los siguientes:

* Transferencias de datos (fiables o no) usando la capa ATM y varias capas de adaptación (AALs).

* Disponibilidad de circuitos virtuales conmutados (SVCs) y circuitos virtuales permanentes (PVCs).

* Consideraciones relativas a la gestión de tráfico (clases de servicio, garantías de QoS, etc.).

* Posibilidad de distribución de conexiones y de participación local en la administración de la red (protocolos ILMI y OAM).

El propósito de los servicios nativos ATM es ofrecer el acceso a las clases de servicio o a las características de QoS en redes ATM. Estos servicios nativos también ofrecen soporte a un amplio y heterogéneo rango de flujos con diversas propiedades y requerimientos recomendados en [1] .

Los protocolos de transferencia nativos ATM gestionan la señalización UNI para establecer los SVCs, configurar PVCs y mapear los perfiles de QoS en la correspondiente clase de servicio. Los protocolos nativos también realizan funciones clásicas como las de transporte, mecanismos de control de errores, transferencia de datos, y controles de flujo y de congestión.

En la referencia [1] se especifica la definición semántica de los servicios y consideramos que es útil contrastar esta semántica con las redes ATM actuales que usan TCP como capa de transporte e IP-over-ATM como capa de red, planteamiento, por otro lado, poco adecuado [2] por las siguientes razones:

* Las redes IP no garantizan la QoS extremo-extremo ofrecida por las redes ATM a circuitos individuales. IP multiplexa múltiples conexiones de transporte con distintos requerimientos de QoS en VCs simples.

* TCP no soporta células RM (Resource Management) ABR y por consiguiente no puede usar directamente las garantías de QoS ofrecidas por la red.

* ATM Adaptation Layer 5 (AAL5) realiza labores de checksum para detectar corrupción de datos. TCP también realiza estas labores (redundantes con AAL5) costosas en overhead (cada byte de un paquete debe ser chequeado).

* TCP/IP son la representación de un grupo de protocolos bastante más antiguos que ATM y que ya han experimentado determinados arreglos y evoluciones lo mismo que las aplicaciones que los emplean, lo que acaba dando, en algunos casos, inadecuados comportamientos.

Estos y otros problemas son eliminados usando pilas de protocolos en modo nativo ATM que son revisados en este apartado. La Fig. 1 muestra el modelo de referencia para servicios nativos ATM [1]. Además, las siguientes razones [2] justifican el desarrollo de pilas de protocolos nativos ATM:

* En la actualidad existen muchas aplicaciones pensadas para explotar avanzados servicios usando tecnología ATM y también existen antiguas y no nativas aplicaciones. Este escenario implica cambiar las aplicaciones o proponer nuevas pilas de protocolos nativos ATM.

* La encapsulación consecutiva de paquetes genera problemas de overhead y funciones redundantes como se ha argumentado anteriormente.

* La limitación de recursos en los sistemas finales es otra importante motivación para usar pilas de protocolos nativos y ligeros.

* La QoS ofrecida por el modo nativo es aprovechada por los usuarios para demandar recursos a los proveedores de servicios en redes privadas. Los proveedores de servicios públicos disfrutan también de estas ventajas.

* ATM, RDSI y la telefonía ofrecen un esquema de direccionamiento universal basado en NSAP/E.164 el cual es capaz de enrutar tráfico de forma nativa. Por tanto, aunque ATM dispone de protocolos nativos con direccionamiento intrínceso estructurado y jerárquico, éste no es aprovechado por las aplicaciones que están basadas en IP. El esquema de direccionamiento ATM es una de las principales dificultades en los protocolos propuestos como nativos [2].

ATM Forum ha definido las especificaciones y también existen importantes investigaciones en torno a los protocolos nativos ATM. En esta sección se muestran las propuestas más importantes y actuales en materia de protocolos nativos ATM[2], [7], [8], [9], [10], [11], [12] que, a su vez,están sirviendo de base para nuevas investigaciones.

presentan el diseño, implementación y comportamiento de una pila en modo nativo ATM y contrasta la semántica de su capa de transporte con TCP. Este trabajo es diferente a IP-over-ATM, y justifica el uso de la pila nativa ATM para solventar automáticamente los siguientes problemas:

* IP-over-ATM no ofrece garantía de QoS pues sus aplicaciones sólo "ven" la interfaz IP.

* El núcleo de los sistemas operativos y los sistemas finales son sobrecargados con considerable complejidad pues el subsistema IP-over-ATM debe encargarse de las peticiones de la señalización.

* IP-over-ATM debe emular el routing IP sobre conexiones punto-a-punto de la red ATM lo que supone pagar un elevado precio en prestaciones.

La capa de transporte propuesta en [8] ha sido construida para minimizar el overhead y sacar ventaja de AAL5. Ofrece, entre otras características, la entrega fiable y no fiable de datos con control de flujo. Este protocolo de transporte es ampliado en la sección 5.

[2] presenta N3 (Native Non-broadcasting medium access Networking) un protocolo de transporte ligero y nativo ATM. La pila N3 se ha diseñado para ofrecer avanzados servicios multimedia a comunidades residenciales. El documento describe una arquitectura capaz de ofrecer aplicaciones nativas ATM. La pila de protocolo de transporte N3 se basa en implementaciones previas [8] y, además, aporta otras importantes novedades. Los principales componentes de N3 incluyen una API sockets ATM nativa, un protocolo de transporte ATM y un servicio de nombres ATM (Fig.2).

El protocolo de transporte ATM propuesto en [2] ofrece soporte para tres diferentes tipos de servicio: entrega garantizada (mecanismos de retransmisión), velocidad garantizada (mecanismo leaky bucket) y servicio best-effort. Otro objetivo principal de la pila ATM es su compatibilidad con aplicaciones tradicionales sin necesidad de recompilaciones.

[9] presenta una arquitectura de servicio ATM en modo nativo capaz de ofrecer a las aplicaciones nativas ATM acceso completo a las diversas clases de servicio ATM. Los elementos de la arquitectura propuesta se responsabilizan de las transferencias eficientes de datos sobre ATM, del control de errores extremo-extremo, del control de flujo y congestión de la transferencia de datagramas y de la multiplexación de VCs. La referencia [9] introduce los componentes de la arquitectura, sus funcionalidades y capacidades. Los mayores esfuerzos del protocolo se centran en maximizar la efectividad del rendimiento extremo-extremo en canales de datos que usan la clase de servicio UBR.

La Fig. 3 presenta los elementos de Native Mode Service Architecture donde el Flow Management es el componente más importante. El Flow Management se responsabiliza de manipular los flujos de datos desde y hasta la red vía la interfaz AAL. La segmentación, el reensamblado y el control de errores es también realizada por esta entidad. Para las clases de servicio CBR, VBR y ABR se emplea un sencillo esquema de control llamado Back-Pressure Flow. Para servicios UBR se emplea un control de congestión y de flujo extremo-extremo más complejo.

describe la semántica de una pila de protocolos y explora una nueva arquitectura de protocolo adaptada a la tecnología ATM y a las aplicaciones multimedia. El diseño está basado en tres principios básicos: separación de flujos de control y de datos; minimización del overhead y de la duplicidad de funciones; y acceso de las aplicaciones al nivel ATM con garantías de QoS.

La idea es mezclar el soporte nativo ATM en la estructura existente del protocolo (Fig. 4) que muestra dos caminos separados en el protocolo: la familia nativa ATM y la familia del protocolo IP. Las aplicaciones que tienen acceso transparente a la red ATM usan la familia del protocolo PF_INET. El mapeo de IP en ATM es gestionado por la interfaz de red ATM (IF_ATM) usando el protocolo IP-over-ATM.

La interfaz Native ATM es constituida por la familia de protocolos PF_ATM que es directamente soportada encima del dispositivo de red ATM sobrepasando la capa interfaz de red. El módulo CNTL abre una conexión de señalización con el dispositivo ATM y establece una gestión de las llamadas de mensajes de configuración.

PF_ATM separa flujos de datos y de control para aliviar el límite de comportamiento en las comunicaciones. Esto permite a los mecanismos de control de tráfico ser rápidos y sencillos, mientras los mecanismos de control pueden ser tan complicados como sea necesario. Esta separación permite también que los dispositivos puedan estar en los puntos finales de una conexión.

La interfaz PF_ATM da a las aplicaciones acceso directo a la capa de enlace ATM y extiende las garantías de QoS a los puntos extremos de la comunicación.

Un segundo prototipo[7] es diseñado e implementado con dos objetivos principales en la optimización de la pila nativa ATM:

* Optimizar los caminos de datos entre los adaptadores ATM aprovechando la separación de flujos de control y de datos y la capacidad de gestión de datos específicos de las conexiones de la pila ATM.

* Optimizar el procesamiento de overheads usando una pila de protocolos nativo ATM en lugar de UDP/IP.

[11] introduce CONGRESS (CONnection oriented Group-address RESolution Service), otro eficiente protocolo nativo ATM para la resolución y gestión de direcciones de grupos multicast en una red ATM. El servicio CONGRESS resuelve direcciones de grupo multicast y mantiene los miembros pertenecientes a esos grupos para uso de las aplicaciones. CONGRESS ofrece escalabilidad con su diseño basado en los dos siguientes principios:

* Diseño jerárquico: los servicios del protocolo son ofrecidos a las aplicaciones por múltiples servidores organizados jerárquicamente.

* No inundación: se evita la inundación de la WAN en cada cambio de grupos multicast.

La referencia [12] presenta kStack, una nueva capa de transporte nativa ATM en el espacio de usuario con soporte de QoS. Esta implementación sobre Unix y Windows NT está basada y es compatible con los trabajos originales de Ahuja, Keshav y Saran [8] Native-Mode ATM Stack comentados anteriormente. El protocolo kStack es similar al original, pero se ha modificado sustancialmente en aspectos como su implementacion en el espacio de usuario, se ha ampliado implementando una capa de transporte con QoS y se ha añadido un módulo que monitoria la QoS extremo-a-extremo.

4. Protocolos de transporte para redes ATM

2008-01-30T23:11:00.002-08:00

En los dos o tres últimos años ha habido numerosos e interesante intentos por diseñar protocolos de transporte. La referencia [10] presenta un completo y, ya clásico, resumen de las propuestas más interesantes en materia de protocolos de transporte para redes de alta velocidad (mayoritariamente IP en el artículo). Además, la referencia [13] ofrece una interesante visión de las características más importantes en los protocolos de elevada velocidad. Son estudiadas también diversas arquitecturas de protocolos y varias técnicas de implementación. Los protocolos de transporte de elevada velocidad son fuente de activas investigaciones y están en constante evolución desde hace más de dos décadas, lo que impide ser exhaustivo en este resumen: no citamos todos los protocolos, ni presentamos todos los conceptos ni podemos analizar todas las soluciones.

Uno de los componentes del ámbito de las comunicaciones que ha recibido mayor atención es la capa de transporte, la cuarta capa del OSI-RM de los protocolos de comunicaciones. TCP e ISO TP4 son los dos más populares protocolos de transporte. Pero centrándonos más concretamente en el ámbito de ATM, la literatura presenta varios protocolos de transporte y arquitecturas para redes de alta velocidad revisadas resumidamente a continuación.

[7] ofrece una excelente y didáctica arquitectura de pila de protocolos para aplicaciones multimedia en modo nativo ATM. Esta arquitectura de protocolo ha sido ya descrita brevemente en la sección anterior.

[8] presentan el diseño, implementación y comportamiento de un protocolo situado en la capa de transporte ATM. Esta es una interesante propuesta en la que se puede destacar que la pila ATM está formada por tres entidades principales: aplicación, señalización y transporte.

La siguiente Tabla 1 muestra un conjunto de nueve básicos servicios ortogonales que pueden ser combinados para obtener los requerimientos de determinadas aplicaciones. Actualmente, la capa de transporte referenciada en soporta tres clases de servicio o combinación de servicios. La marca X indica el servicio básico soportado en cada clase de servicio general.

resuelve el problema de soportar HPDC (High Performance Distributed Computing) sobre redes ATM. Los autores sugieren modificaciones en los mecanismos de recuperación de pérdidas del protocolo estándar SSCOP [14] y demuestran que el resultado ofrece baja latencia, eficiente recuperación de células perdidas y es tan robusto como el estándar SSCOP.

PROTOCOLOS MULTIPOINT

El crecimiento de las redes ATM viene motivado, en parte, por la demanda de servicios multimedia para grupos dispersos de usuarios. El tráfico multicast tiene características particulares descritas para ATM en UNI 4.0 [6] y anteriores [5]. La distribución de información punto-a-multipunto (uno-a-muchos) o multipunto-a-multipunto (muchos-a-muchos) es un objetivo básico propuesto por varios protocolos y arquitecturas ATM que ofrecen el soporte multimedia y/o multicast como audio-conferencia, video-conferencia, trabajos colaborativos o VoD.

ATM es aún una tecnología emergente diseñada para ser usada por aplicaciones de datos, audio y video, lo que requiere un buen comportamiento de las transferencias unicast y multicast. User Network Interface (UNI 3.0) para ATM define conexiones punto-a-multipunto, y las conexiones multipunto-a-multipunto sólo pueden ser obtenidas de las dos siguientes formas:

* El primer esquema consiste en configurar N conexiones punto-a-multipunto para conseguir conectar todos los nodos en una topología completamente mallada todos-con-todos. Aunque esta topología ofrece conexiones multipunto-a-multipunto, hay que destacar que no escala bien cuando el número de participantes es elevado.

* Una alternativa al anterior esquema es el uso de un servidor que actúa a modo de raíz en el árbol multipunto. Este método sólo requiere un nodo raíz para almacenar información, pero la desventaja de este método son las potenciales congestiones en el servidor cuando debe encargarse de envíos y retransmisiones de las conexiones multipunto-a-multipunto.

Para solventar las limitaciones de UNI 3.0 y UNI 3.1 [5] que soportan conexiones uno-a-muchos, pero no directamente (nativamente) conexiones muchos-a-muchos, y ofrecer a ATM verdadero servicio multicast, ATM Forum, ITU-T e IETF han realizado varias propuestas al actual mecanismo de señalización ATM (UNI 3.1, UNI 4.0), [4],[5],[6].

Comenzamos destacando la referencia [16] como un reciente trabajo que revisa y compara los protocolos de transporte multicast más importantes en Internet como MTP-2, XTP, RTP, SRM, RAMP, RMTP, MFTP, STORM, etc.. IETF e IRTF (como ITU-T y ATM Forum) también impulsan una importante actividad en este campo. La referencia [16] revisa los más representativos protocolos multicast y los clasifica de acuerdo a la taxonomía de varias características (propagación de datos, mecanismos de fiabilidad, retransmisiones, control de congestión y de flujo, gestión de grupos multicast, etc.). En Internet los mecanismos efectivos de control de congestión son una de las prioridades en las investigaciones de las transferencias multicast fiables. Los mecanismos de seguridad y las técnicas escalables de recuperación de errores son algunos de los aspectos actualmente en estudio en el campo de los protocolos de transporte multicast.

Hasta este punto hemos revisado algunos protocolos de transporte ATM y hemos citado sus más importantes características. En esta sección comentaremos los problemas asociados a las transferencias multicast uno-a-muchos o muchos-a-muchos. Actualmente no existen excesivas propuestas en este importante faceta para ATM, pero vamos a resumir algunas de las más interesantes en los siguientes párrafos.

SMART (shared many-to-many ATM reservations)[3] es un protocolo para controlar un árbol ATM multicast compartido soportando comunicaciones muchos-a-muchos (many-to-many). Esta propuesta tiene importantes características como que: reside completamente en la capa ATM y no requiere ningún servidor; soporta uno o varios VCCs (y también VPCs) cuyo número es libremente configurado y es independiente del número de puntos finales; usa el concepto de bloques de datos como en la clase de servicio ABT y también permite VCCs de las clases CBR, VBR o UBR; el protocolo garantiza que no existen puntos de interrelación en los VCC del árbol; son respetadas las garantías del contrato de tráfico asociado con los VCCs, etc. SMART puede ser entendido como un protocolo completamente distribuido para coordinar la distribución de VPIs/VCIs.

Para solventar las conocidas dificultades debidas al soporte y uso de muchos-a-muchos VCCs, SMART usa el mecanismo de Cell Interleaving (sobre un VCC muchos-a-muchos, las células de datos desde diferentes fuentes pueden llegar intercaladas a un destinatario) y también Demand Sharing (los recursos asignados a conexiones muchos-a-muchos son dinámicamente compartidas entre todas las potenciales fuentes.

El artículo [3] describe el protocolo SMART formal e informalmente, y propone completas pruebas de corrección y un detallado análisis de comportamiento para estudios futuros. También son sugeridas otras investigaciones como son: ofrecer justicia en los accesos a los árboles multicast; investigar las células RM periódicamente para aliviar las congestiones en la red o disminuir el tiempo de acceso del usuario a los árboles de distribución multicast; análisis de las células RM dentro de cada VCC o fuera enviando todas las células RM en un VCC dedicado.

En [17] se presenta MWAX un algoritmo dinámico y escalable para routing multicast en el marco PNNI de redes ATM. Los autores han identificado el problema para conseguir la escalabilidad con protocolos multipunto-a-multipunto y se proponen soluciones para este problema. El artículo describe un esquema jerárquico basado en CBT para incorporar routing multipunto-a-multipunto en PNNI. En el algoritmo los nodos core actúan como participantes pasivos para eliminar la dependencia en la selección de estos nodos. Con un mecanismo de backup se consigue un algoritmo tolerante a fallos en los nodos core, lo cual puede ser fácilmente extendido para incorporar QoS en el routing multicast. El protocolo-algoritmo MWAS es recursivo, esto es, el mismo protocolo es ejecutado en cada nivel de la jerarquía.

SEAM (Scalable and Efficient ATM Multicast) [18] propone una arquitectura escalable, eficiente y multicast multipunto-a-multipunto para redes ATM que usa un sólo VC para un grupo multicast de múltiples emisores y receptores y todo ello sin realizar cambios en la capa AAL5 de ATM. Esta propuesta permite a los grupos multicast aprovechar el soporte de QoS y la escalabilidad del ancho de banda. También realiza aportaciones para conseguir soportar IP multicast sobre redes ATM extensas.

SEAM usa un sólo árbol de distribución compartido para todos los emisores y receptores. Cada grupo multicast tiene un core asociado, el cual se usa como punto focal para todos los mensajes de señalización del grupo. Este trabajo deja abiertas investigaciones referentes a la gestión de tráfico y a la entrega fiable de tráficos multicasting.

Concluimos esta sección destacando MCMP (Multiparty Conference Management Protocol) [19] que, sin estar pensado específicamente para ATM, es un protocolo de nivel sesión/transporte distribuido extremo-extremo y desarrollado para gestión de grupos de aplicaciones de conferencia. MCMP es un conjunto de algoritmos de control distribuido para configuración de conferencias multipunto y gestión de miembros de grupos de usuarios.

Conceptualmente, MCMP reside en el nivel de sesión en el que se establece la infraestructura para activar la transferencia de información entre los participantes en la conferencia. Pero funcionalmente, el protocolo acompasa los niveles de sesión y de transporte pues utiliza directamente servicios del nivel de red. Son destacables las condiciones de corrección (conectividad, validación, unicidad, consistencia y terminación) que deben ser satisfechas una vez que la conferencia ha sido configurada por el algoritmo de configuración de MCMP. El artículo muestra exhaustivas pruebas de corrección para uno de los algoritmos, y también describe la especificación y verificación del protocolo.
5.- Nuevos campos de investigación

En todas las redes existen gran variedad de elementos hardware (switchs, routers, bridges, brouters, hubs, ETDs, etc.) que realizan muy diversas funciones (conmutación, routing, puenteo, controles de congestión y de flujo, garantía de QoS, ejecución de aplicaciones, etc.). En la actualidad la red es mayormente un canal de comunicación para transferir paquetes entre equipos finales (ayudada por los elementos hardware antes citados). Pero también se están realizando importante esfuerzos para equipar a los elementos hardware con elevadas prestaciones aportadas por diversas técnicas software. Esto dota a la red de características activas (active networks) en el sentido de que los elementos hardware que la componen computan, modifican u operan los contenidos de los paquetes y también serán capaces de transferir o propagar código. Por consiguiente, una red activa es una red programable.

[20] es una excelente revisión de este novedoso campo de investigación que discute dos planteamientos en la realización de redes activas, la idea del conmutador programable y la de la cápsula. Una red es activa si en sus árboles de distribución multicast existen nodos activos con capacidad para ejecutar programas y/o capaces de implementar mecanismos de propagación de código. Algunas de las ventajas de los protocolos activos son conseguidas instalando nodos activos en puntos estratégicos de la red.

Otro nuevo concepto es presentado en [21] como una metodología para el diseño de protocolos. Los protocol boosters son una nueva contribución a las redes activas o programables. Una ventaja de los boosters es que pueden ser fácilmente "inyectados" en los sistemas actuales sin provocar cambios en la infraestructura de red.

Por otro lado, [22] propone el concepto de agente de comunicaciones para servicios de comunicaciones multimedia en redes de área extensa. Este papel introduce una arquitectura software orientada a agente y propone el concepto de agente de comunicación para servicio de comunicación multimedia. Los servicios multimedia son expresados como agentes.

Los conceptos como redes activas, protocolos boosters o agentes software han sido propuestos y desarrollados para redes IP, sin embargo, la actividad empieza a notarse en las redes ATM, y la referencia [23] es una de esas recientes investigaciones. Este artículo muestra agentes software móviles usados para implementar operaciones robustas y funciones de mantenimiento en redes ATM. Los agentes desempeñan un rol similar al de las células OAM en ATM estándar, pues son transmitidos entre entidades de control a intervalos regulares usando recursos predefinidos. La diferencia entre los agentes móviles y las células OAM reside en que éstos pueden contener código. Para concluir destacar que la integración del tráfico IP sobre tecnología ATM es también uno de los campos más activos en la actualidad. En esta línea pueden destacarse los siguientes protocolos: IP-over-ATM, IP Switching, Tag Switching, NHRP, MPOA, IMSS, CSR, ARIS AREQUIPA,RED y EPD.

5. ARQUITECTURA DE RDSI-BA (ATM)

2008-01-30T23:11:00.001-08:00

Para reunir los requisitos para vídeo de alta resolución, se necesitan velocidades de unos 150 Mbps. Además para poder ofrecer uno o más servicios interactivos y distribuidos se necesita una velocidad de línea de abonado de unos 600 Mbps. La única tecnología que permite estas velocidades es la fibra óptica. Por tanto la introducción de la RDSI-BA depende del ritmo de introducción del bucle de abonado de fibra. El dispositivo de conmutación debe soportar un amplio rango de velocidades diferentes y de parámetros de tráfico. Por eso se utiliza una tecnología de conmutación de paquetes rápidos que admite fácilmente el protocolo ATM.

Arquitectura funcional
RDSI-BA debe dar soporte a todos los servicios de transmisión a 64 Kbps que son admitidos por RDSI-BE para facilitar la conexión de RDSI-BE a RDSI-BA.
También observamos como el control de RDSI-BA se basa en señalización de canal común. Se usa un SS7 mejorado para admitir capacidades suplementarias de red de mayor velocidad.
En cuanto al protocolo de señalización, dos son los organismos que han definido estándares utilizados en ATM. El ITU-T ( antiguo CCITT ) definió el estándar Q.2391, versión mejorada del Q.391 utilizado en RDSI-BE. Por otro lado, el ATM FORUM ( asociación de fabricantes ) propuso la señalización UNI 3.0, basado precisamente en el Q.2391, que permite la interoperatividad entre distintos fabricantes.
Las diferencias entre Q.391 y Q.2391 son
• En Q.2391 no existe un canal común para la señalización ( canal D ), sino un canal virtual independiente para cada terminal.
• En vez de negociar el acceso a un canal B, se negocia una conexión de canal virtual entre extremos de la comunicación.
CONFIGURACIÓN DE REFERENCIA
Es básicamente la misma que la de RDSI-BE. Se utilizaron los mismos grupos funcionales añadiéndoles el prefijo B- para diferenciarlos. Con los puntos de referencia ocurre lo mismo, son iguales pero con el subíndice B.
Grupos funcionales
-B-NT1: Encargado de mantener las funciones de bajo nivel que conectan, mediante una línea física punto a punto, la red pública con los servicios de usuario. Es trasparente a los protocolos de señalización y al tráfico transportado.
-B-NT2:Realiza las funciones de adaptación a los diferentes medios y topologías. Son funciones suyas la señalización, adaptación y la multiplexación /demultiplexación de celdas.
-B-TE1: Es un equipo de usuario que soporta las interfaces y los protocolos definidos para RDSI-BA. Se conecta a los punto SB y TB.
-B-TE2: Es un equipo de usuario con una interfaz no estandarizada por la RDSI-BA. Se conecta al punto RB.
-B-TA: Adaptador que permite a los terminales B-TE2 conectarse a una RDSI-BA.
Puntos de referencia
Son los mismos que los de RDSI-BE con el subíndice B, aunque sólo se estandarizaron SB y TB. El punto RB se puede considerar dentro de este conjunto y permite conectar los dispositivos que acceden a través de los adaptadores de terminal de banda ancha ( B-TA ).
ESTRUCTURA DE LA TRANSMISIÓN
En términos de velocidades disponibles para abonados, se definen tres servicios de transmisión
• Servicio Full-duplex a 155´52 Mbps.
• Servicio asimétrico: Abonado-red a 155´52 Mbps y Red-abonado a 622´08 Mbps.
• Servicio Full-duplex a 622´08 Mbps.
La velocidad de 155´52 Mbps puede ya admitir todos los servicios de RDSI-BA. A esta velocidad se pueden incluir uno o varios canales de vídeo, por tanto, el servicio full-duplex a 155´52 Mbps será el servicio RDSI-BA más usado. La velocidad de 622´08 Mbps se necesita para gestionar la distribución de vídeo múltiple ( Videoconferencias simultáneas múltiples ). El abonado que quiera acceder a estos servicios utilizará el servicio asimétrico, dejando el servicio full-duplex a 622´08 Mbps para los suministradores de distribución de vídeo.
PROTOCOLO
El hecho de utilizar ATM en RDSI-BA marca la diferencia en los protocolos de RDSI-BA y RDSI-BE. En efecto, aunque RDSI-BA debe admitir aplicaciones en modo de circuito, estas se realizarán sobre un mecanismo de transporte basado en paquetes, por tanto, podemos decir que RDSI será una red de conmutación de paquetes ya que contiene servicios de banda ancha.
Plano de usuario: Proporciona al usuario transferencia de información, contemplando el control de flujo y control de errores.
Plano de control: Realiza control de llamadas y control de conexión (establecimiento, liberación, etc...).
Plano de gestión: Coordinan todos los planos y controla los recursos que residen en sus entidades de protocolo.
Estos planos se dividen en capas, como muestra la figura anterior, y estas capas se dividen a su vez en subcapas. En la tabla siguiente se contemplan las subcapas existentes y se indican las funciones que realizan cada una de ellas.
INTERCONEXIONES RDSI-BE<>RDSI-BA
Como cualquier red que desee tener aceptación en la industria, un objetivo prioritario es la interconexión con las redes existentes. El caso de la RDSI-BA y su relación con su predecesora, la RDSI-BE, no va a ser una excepción: cuando la RDSI-BA esté comercialmente disponible como servicio público, la RDSI-BE dispondrá de una base instalada considerable y unas infraestructuras relativamente recientes.
Las interconexiones se realizarán, en principio, con gateways entre las dos redes conectadas en cualesquiera de los grupos funcionales LE o TE del modelo de configuración de referencia. La interconexión estará limitada a las facilidades que ambas tengan en común. Por ejemplo, supongamos una conferencia entre un videoteléfono de alta definición conectado a RDSI-BA y un videoteléfono de la RDSI-BE. Es evidente que la resolución de la conexión será la de la RDSI-BE.

6. Jerarquía Digital Sincrónica (SDH)

2008-01-30T23:04:00.000-08:00

Synchronous Digital Hierarchy (Jerarquía Digital Sincrónica) es un estándar internacional para redes ópticas de telecomunicaciones de alta capacidad. Un sistema de transporte digital sincrónico diseñado para proveer una infraestructura más sencilla, económica y flexible para redes de telecomunicaciones.
Esencialmente, es un protocolo de transporte basado en la existencia de una referencia temporal común (Reloj primario), que multiplexa diferentes señales dentro de una jerarquía común flexible, y gestiona su transmisión de forma eficiente a través de fibra óptica, con mecanismos internos de protección. Debido a que todos los terminales de la red disponen de una referencia de reloj estable, no es necesario ningún tipo de bits de relleno o de trama durante el multiplexado de señales.
SDH es normalmente considerado un protocolo de la capa física de transporte, y como tal, actúa como portador de tráfico en forma de paquetes de información como ser voz, video, multimedia, paquetes de datos como los que genera ATM, IP, o de aplicaciones tales como PDH.
Para ello, su papel es, esencialmente gestionar la utilización de la infraestructura de fibra, lo que significa gestionar el ancho de banda eficientemente mientras porta varios tipos de tráfico, también detectar fallos y recuperar de ellos la transmisión de forma transparente para las capas superiores.
Origen del SDH
Los sistemas de transmisión síncronos han sido desarrollados a partir de la necesidad de los operadores en solucionar principalmente los problemas que son enumerados a continuación:
a) desplegar redes flexibles y resistentes,
b) definir interfaces estándar entre equipamientos de diferentes fabricantes,
c) facilitar interconexión de redes entre jerarquías de transmisión de Norte América y Europa.
El estándar culminó en 1989 en las recomendaciones de la ITU-T G.707, G.708, y G.709 que definen la Jerarquía Digital Síncrona.
Las recomendaciones definen un número de tasas básicas de transmisión que se pueden emplear en SDH. La primera de estas tasas es 155.52 Mbps, normalmente referidas como un STM-1 (donde STM significa Módulo de Transporte Síncrono). Mayores tasas de transmisión como el STM-4, el STM-16, y el STM-64 (622.08 Mbps, 2488.32 Mbps y 9953.28 Mbps respectivamente) están también definidas.
Las recomendaciones definen una estructura de multiplexación en donde una señal STM-1 transporta o acomoda un número de señales de menor tasa de transmisión, como ser señales PDH de todos los niveles, con el objetivo de transportar las antiguas tramas en la nueva, empaquetándolas en un área de su carga útil (payload), utilizando un proceso multipaso en un número diferente de estructuras.
Ventajas:
a) Operaciones de multiplexión y demultiplexión más sencillas y flexibles, permitiendo extraer e insertar circuitos sin tener que desmontar la señal y utilizando un simple multiplexor, y que permite una rápida provisión de servicios punto a punto a petición.
b) Fácil de migrar hacia órdenes superiores de multiplexación, ya que emplean la misma filosofía de trabajo.
c) La provisión de la capacidad de gestión de la red es definida en el estándar.
d) Las cabeceras permiten mejorar los procedimientos de operación, administración y mantenimiento de la red (OAM).
e) Administración y transporte de una gran variedad de servicios de ancho de banda fijo como son las señales de tráfico PDH a 2 Mbps, 34 Mbps y 140 Mbps, G.702, ATM, Interfaces Ethernet que toman datos IP o datos provenientes de LAN, Interfaces de voz analógicas, Interfaces RDSI/ADSL.
f) Cuenta con mecanismos integrados de protección, con re-enrutamiento automático del tráfico sin interrupción del servicio
g) Define una interfaz eléctrica y óptica estandarizada y abierta para permitir la interconexión con otros equipos.

Características de la red de transporte SDH:
a) Multiplexión digital: Las señales de comunicaciones analógicas son portadas en formato digital sobre la red. El tráfico digital puede ser portado mucho más eficientemente y permite monitorización de errores, para propósitos de calidad.
b) Fibra óptica: Éste es el medio físico comúnmente utilizado en las redes de transporte actuales, debido a su mayor capacidad de portar tráfico, lo que conduce a una disminución de los costes asociados al transporte de tráfico.
c) Esquemas de protección: Éstos han sido estandarizados para asegurar la disponibilidad del tráfico. En eventuales fallas o roturas de fibra, el tráfico podría ser conmutado a una ruta alternativa, de modo que el usuario final no sufriera disrupción alguna en el servicio.
d) Topologías en anillo: Éstas están siendo desplegadas cada vez en mayor número, debido a eventuales pérdidas de enlace, hay un camino de tráfico alternativo por el otro lado del anillo, minimizando el número de enlaces y cantidad de fibra óptica desplegada en la red.
e) Gestión de red: La gestión de estas redes desde un único lugar remoto es una prestación importante para los operadores. Se ha desarrollado software que permite gestionar todos los nodos y caminos de tráfico desde un único computador. Un operador puede gestionar una variedad grande de funciones tales como el aprovisionamiento de la capacidad respondiendo a la demanda de clientes y la monitorización de la calidad de una red.
f) Sincronización: Operadores de red deben proporcionar temporización sincronizada a todos los elementos de la red para asegurarse que la información que pasa de un nodo a otro no se pierda. La sincronización se está convirtiendo en un punto crítico, proveyendo a SDH un camino ideal de filosofía de red.

PROTOCOLO ATM:

El protocolo ATM consiste de tres niveles o capas básicas (Ver figura No 3).

CAPA FÍSICA
La primera capa llamada (Physical Layer), define los interfases físicos con los medios de transmisión y el protocolo de trama para la red ATM es responsable de la correcta transmisión y recepción de los bits en el medio físico apropiado. A diferencia de muchas tecnologías LAN como Ethernet, que especifica ciertos medios de transmisión, (10 base T, 10 base 5, etc.) ATM es independiente del transporte físico. Las celdas ATM pueden ser transportadas en redes SONET (Synchronous Optical Network), SDH (Synchronous Digital Hierarchy), T3/E3, TI/EI o aún en modems de 9600 bps. Hay dos subcapas en la capa física que separan el medio físico de transmisión y la extracción de los datos:
La subcapa PMD (Physical Medium Depedent) tiene que ver con los detalles que se especifican para velocidades de transmisión, tipos de conectores físicos, extracción de reloj, etc., Por ejemplo, la tasa de datos SONET que se usa, es parte del PMD. La subcapa TC (Transmission Convergence) tiene que ver con la extracción de información contenida desde la misma capa física. Esto incluye la generación y el chequeo del Header Error Corrección (HEC), extrayendo celdas desde el flujo de bits de entrada y el procesamiento de celdas "idles" y el reconocimiento del límite de la celda. Otra función importante es intercambiar información de operación y mantenimiento (OAM) con el plano de administración.

CAPA ATM
La segunda capa es la capa ATM. Ello define la estructura de la celda y cómo las celdas fluyen sobre las conexiones lógicas en una red ATM, esta capa es independiente del servicio. El formato de una celda ATM es muy simple. Consiste de 5 bytes de cabecera y 48 bytes para información.
Las celdas son transmitidas serialmente y se propagan en estricta secuencia numérica a través de la red. El tamaño de la celda ha sido escogido como un compromiso entre una larga celda, que es muy eficiente para transmitir largas tramas de datos y longitudes de celdas cortas que minimizan el retardo de procesamiento de extremo a extremo, que son buenas para voz, vídeo y protocolos sensibles al retardo. A pesar de que no se diseñó específicamente para eso, la longitud de la celda ATM acomoda convenientemente dos Fast Packets IPX de 24 bytes cada uno.
Los comités de estándares han definido dos tipos de cabeceras ATM: los User-to-Network Interface (UNI) y la Network to Network Interface (UNI). La UNI es un modo nativo de interfaz ATM que define la interfaz entre el equipo del cliente (Customer Premises Equipment), tal como hubs o routerss ATM y la red de área ancha ATM (ATM WAN). La NNI define la interfase entre los nodos de la redes (los switches o conmutadores) o entre redes. La NNI puede usarse como una interfase entre una red ATM de un usuario privado y la red ATM de un proveedor público (carrier). Específicamente, la función principal de ambos tipos de cabeceras de UNI y la NNI, es identificar las "Virtual paths identifiers" (VPIS) y los "virtual circuits" o virtual channels"(VCIS) como identificadores para el ruteo y la conmutación de las celdas ATM.
La capa de adaptación de ATM:
La tercer capa es la ATM Adaptation Layer (AAL). La AAL juega un rol clave en el manejo de múltiples tipos de tráfico para usar la red ATM, y es dependiente del servicio. Especificamente, su trabajo es adaptar los servicios dados por la capa ATM a aquellos servicios que son requeridos por las capas más altas, tales como emulación de circuitos, (circuit emulation), vídeo, audio, frame relay, etc. La AAL recibe los datos de varias fuentes o aplicaciones y las convierte en los segmentos de 48 bytes. Cinco tipos de servico AAL están definidos actualmente.

7. ATM EN LAS REDES DE AREA LOCAL

2008-01-30T22:48:00.000-08:00

En las redes actuales, podemos encontrar los siguientes y principales problemas a partir de la aparición de nuevos equipos más y más potentes:
• Transferencia de datos muy grandes (del orden de Gigabytes)
• Tráfico de red en aumento.
Ante estos problemas, la solución que los administradores de las redes buscan es la ampliación del ancho de banda, lo cual tiene el inconveniente de que no todas las aplicaciones necesitan el mismo ancho de banda, con lo que la asignación fija de un ancho de banda determinado provoca el desaprovechamiento de tan preciado recurso, ya que no todas las aplicaciones necesitan el mismo ancho de banda continuamente, sino que existen picos de información.
Para solucionar este problema aparece el Modo de transmisión asíncrona, ATM , cuyas principales características (según sus proveedores) son:
• Velocidades de ancho de banda mayores de 1Gbps.
• Garantías para desarrollar aplicaciones multimedia.
• Capacidad para diferentes tecnologías de acceso (Ethernet, Frame Relay o FDDI)
A partir de 1996 existen en el mercado nuevos productos y servicios ATM para redes de área local y extendida. Estos productos van desde adaptadores de 25'6 Mbps a conmutadores con puertos Ethernet incorporados.
Sin embargo no será hasta 1998 cuando aparezcan nuevos productos software y hardware que permitan pasar de una red normal a la infraestructura ATM, debido al alto coste de reemplazamiento de lo que sería la espina dorsal de las redes por los equipos ATM.

SOLUCIONES ATM A LOS
“CUELLO DE BOTELLA”

Las redes de área local utilizadas tradicionalmente poseen las siguientes características:
• Utilizan tecnologías “store and forward”.
• Utilizan encaminadores no orientados a la conexión.
De este modo,cuando un usuario desea enviar datos a otro usuario,no existe un circuito específico, sino que se intenta aprovechar al máximo el ancho de banda de la red para esa aplicación.
Así, cuando existen problemas de congestión, debido al aumento del volumen de tráfico en la red, el rendimiento de la red disminuye influyendo en las aplicaciones de todos los usuarios, ya que podemos indicar que el ancho de banda se considera como un servicio compartido, es decir, todo el ancho de banda es compartido por todos los usuarios.
ATM cambia radicalmente de filosofía, en cuanto que se basa en la comunicación orientada a la conexión, permitiendo conexiones más fiables entre los usuarios, y principalmente, permitiendo un mejor ancho de banda, ya que para cada tipo de aplicación se `reserva' una cantidad de ancho de banda según el tipo que sea. De esta manera, aplicaciones como el Correo Electrónico usará un ancho de banda acorde con el tráfico de información que cursa, muy diferente al de una aplicación del tipo Multimedia.
De este modo al reservar el ancho de banda de un circuito virtual, nada de lo que puede ocurrir en el resto de la red durante el transcurso de nuestra comunicación podrá repercutir en la calidad de la misma.

COMO INTEGRAR ATM CON LO YA EXISTENTE

El mejor método para pasar de una red convencional a ATM consiste en proporcionar ATM en primer lugar a aquellos grupos que necesiten un mayor uso de los recursos de la red. Esto se realiza mediante tarjetas adaptadoras ATM, que se conectarán con el resto de tarjetas de red mediante puentes. Estas tarjetas no suponen un gran desembolso económico para la empresa o el cliente, y permite introducir ATM de una manera suave, sin romper con lo ya establecido.
El problema que nos podemos encontrares que hemos pasar de unas tecnologías y protocolos que estaban pensados para unos requisitos específicos, como por ejemplo, Ethernet, a una red como ATM, cuya principal característica es que es asíncrona, además de utilizar comunicaciones orientadas a la conexión.

ATM es capaz de garantizar de que cada protocolo tenga unas determinadas características con las que le sea posible ofrecer los servicios que normalmente ofrece a sus usuarios. Esto lo hace dando para cada tipo de protocolo existente en esa red un circuito virtual ( LANE ) con unas características adecuadas a ese protocolo. De este modo, cualquiera aplicación que utilice cualquier tipo de protocolo existente en el mercado, será capaz de acceder a la red ATM, con todas las ventajas que esta ofrece al usuario.

ATM también permite conexiones vía satélite a través de Comsat World Services, que ofrece dos niveles de servicio.

• Uno de ancho de banda medio y alto para empresas públicas de telecomunicaciones.
• Otro ancho de banda para clientes con redes multinacionales.
•
Estos servicios emplean terminales VSAT que son estaciones terrestres móviles, que son capaces de manejar enlaces de alta capacidad con los satélites del sistema fijo Intelsat.
De este modo, será posible establecer comunicaciones de videoconferencia y multimedia en tiempo real entre dos lugares opuestos del globo, con el consiguiente beneficio para la empresa.

EL FUNCIONAMIENTO DE ATM

La palabra clave en ATM es conexiones, ya que en ATM cuando se envían datos dos usuarios, se establece un circuito virtual que conecta al usuario directamente con el usuario remoto (algo parecido a lo que hace la red telefónica), mientras que las tecnologías de red actuales (FDDI, Token Ring, Ethernet) lo que hacen es unir al usuario con la red, pero no con el usuario destino.

Las ventajas de ATM ( Orientado a la conexión) frente al resto de redes son las siguientes:
Lo que se define como “calidad de servicio”, esto es, ATM mantiene el ancho de banda de una comunicación sin que el resto del tráfico que haya por la red influya lo más mínimo, porque se negocia en la conexión el ancho de banda que se va a utilizar según la aplicación.
La “calidad de servicio” es negociable, contando las especificaciones de ATM con diferentes niveles de servicio. Algunos de ellos son:

• “Velocidad de bits disponible” (ABR). ATM ofrece un ancho de banda, pero no garantiza que en esa conexión no haya interrupciones. Recomendado para transferencia de archivos.
• “Velocidad de bits constante” (CBR). ATM ofrece un ancho de banda, y en este caso lo garantiza durante toda la sesión. Es muy recomendado si se utilizan videoconferencias.
Proporciona un ancho de banda que va desde 25'6 Mbps a 1 Gbps dependiendo de las necesidades.

• • ATM es una tecnología que puede soportar cualquier tipo de datos (voz, texto, imagen ...) en cualquier tipo de red (LAN o WAN).

LOS PROBLEMAS DE ATM

El principal problema que se encuentran las empresas para instalar ATM es el económico. El alto precio de las tarjetas adaptadoras (varían entre 40.000 y 140.000) impiden que las empresas opten por esta tecnología de red, ya que la mayoría de las redes ni siquiera han sido amortizadas.
Otro inconveniente es que hasta mediados de 1995 no existía ningún estándar que especificase cómo se debía pasar de una red clásica a una red ATM, por lo que las empresas que optaban por el cambio a ATM debían realizar un cambio brusco de su red anterior a ATM, con el consiguiente desembolso económico.
Además, mientras ATM se ha ido desarrollando, han ido surgiendo tecnologías paralelas que ofrecen altas velocidades en la transmisión de datos y con un precio más asequible.
o
• Ethernet y Token Ring clásicas usando concentradores. Pueden ofrecer un ancho de banda suficiente para realizar transmisiones multimedia, con límites de 10 y 16 Mbps respectivamente.
• 100VG-AnyLAN: Ofrece una velocidad de entre 10 y 100Mbps y ancho de banda dedicado.
o
• Fast Ethernet: Ofrece velocidad de entre 10 y 100Mbps, pero no ofrece ancho de banda dedicado.

PROGRAMACIÓN EN ATM
Los programas diseñados para ATM deberán manejar datos en tiempo real, además suministrar datos rápidamente a otros ordenadores y todo esto compartiéndolo con señales concurrentes de audio y vídeo, además de ir informando a la red de la prioridad de lo que se envía, así como del ancho de banda requerido.
La programación de estas nuevas aplicaciones es muy complicado para los programadores, ya que no existen todavía las necesarias API´s que les permitan olvidarse del problema de la implementación física y ocuparse únicamente de la programación.

Actualmente no existe una aplicación de este tipo, siendo lo que más se aproxima a esta es Winsock 2.0. Otra aplicación parecida es LANE, proporcionada por la propia ATM, que proporciona una interfaz de MAC para IPx no ATM, NetBEUI.

También existe un protocolo IP que adapta redes TCP/IP a ATM, denominado IP sobre ATM.
Winsock 2.0.

• • Para ser compatible con la versión 1.1. incluye las llamadas Winsock que permiten establecer enlaces, enviar y recibir datos por los enlaces y eliminarlos cuando la comunicación haya finalizado.

• • Para ATM, Winsock 2.0. permite la calidad de servicio, con lo que las aplicaciones pueden negociar el nivel de servicio para un determinado ancho de banda así como prioridades y agrupaciones de socket (conexiones).
• Emulación de Red de Área Local (LANE).

LANE intenta que las aplicaciones que actualmente existen trabajan sobre ATM. Esto lo hace ofreciendo un nivel de servicio MAC complementario al que poseen los concentradores en las LAN.

La capacidad de servicio MAC permite la utilización de los distintos protocolos de comunicación y los controladores existentes.

La desventaja que tiene es que LANE no mejora la calidad de servicio, por lo que no aprovecha ATM al máximo.

LANE también especifica como han trabajado sobre redes ATM las tres características de la norma IEEE 802 (transmisión sin conexión, teleenvío /multienvío de mensajes y direcciones MAC unidas fisicamente).

LANE posee un protocolo de resolución de direcciones que se encarga de relacionar una dirección ATM con una dirección MAC, construyendo el circuito virtual entre los extremos. Para teleenvío / multienvío de mensajes LANE dirige circuitos punto a punto y punto a multipunto salientes.

LANE también define el formato de los paquetes ATM para que ésta trabaje como otra capa física y además, cómo un adaptador ATM en un terminal pueda trabajar como una intefaz lógica con otro protocolo en ese terminal.
IP sobre ATM.

Ha sido necesario especificar cómo colocar paquetes IP en unidades de datos de protocolo y convertirlos en celdas ATM para poder obtener esta aplicación, debido a que IP no reconoce los protocolos de MAC. Ésta es la técnica que se conoce como encapsulamiento.
Estas especificaciones a las que hemos hecho referencia son las siguientes:
• RFC 1483. Define la encapsulación de datagramas IP.
• RFC 1577. Especifica cómo trabajar con direcciones IP en ATM.

Ambas especificaciones tratan ATM, no como lo hace LANE (adaptación de un tipo de aplicaciones hacia ATM), sino como una sustitución de los nodos IP actuales.
IP sobre ATM trabaja mejor que LANE en cuanto a paquetes de datos más grandes y tráfico unidireccional, mientras que es menos eficiente en cuanto al tráfico multidireccional.

ATM Y EL TELETRABAJO.

Cada vez son más las personas que necesitan realizar su trabajo desde un lugar externo a su puesto de trabajo, gracias a la proliferación de los ordenadores portátiles.
Actualmente, la gran mayoría de las centrales telefónicas ya son digitales, lo cual significa que la mayoría de los conmutadores de las oficinas centrales son también digitales, permitiendo un mejor intercambio de datos en las redes.
Existen dos tipos de tecnologías digitales:
o
• DSL (Línea Digital de Abonados). Se está implantando y permite mejorar el rendimiento de la línea en las transmisiones de voz y datos, las cuales son las necesidades más demandadas.
• RDSI, cuyo uso se extiende rápidamente. Posee una velocidad de transmisión mínima de 64Kbps, además de ofrecer hasta 2 tipos de comunicación simultánea.
ATM permite la conexión con estos dos tipos de tecnologías usando las líneas telefónicas que existen en la actualidad, y manteniendo la alta velocidad en la comunicación que ofrece en sus características.

8. REDES LAN EN AMBIENTE ATM

2008-01-30T20:16:00.000-08:00

Hay una fuerte tendencia a que las actuales redes locales (LAN) con sus protocolos y topologías existentes operen dentro de las tecnologías de Banda Ancha para manejo de servicios multimedia y muchos otros servicios conmutados que demandan una red inteligente con gran ancho de banda.
La Red Digital de Servicios Integrados de Banda Ancha con Modo de Transferencia Asíncrona BISDN/ ATM es la más aplicable a estos servicios conmutados.
Las empresas fabricantes de redes invierten muchos recursos para la investigación y el desarrollo de esta tecnología. Se habla ya de interconexiones ATM/LAN como una realidad. En el Ecuador se están proyectando anillo de fibra óptica para Quito y Guayaquil, que alimentarán nodos de ATM. En algunas ciudades importantes ya existen estos nodos que pueden permitir la integración de muchas redes LAN en este ambiente de banda ancha con gran capacidad de inteligencia.
Redes de Area Local ATM: el esfuerzo más significativo es usar ATM como el medio físico para los protocolos y las aplicaciones existentes de redes LANs. Las estaciones terminales son
conectadas a conmutadores hubs ATM locales con topología de estrella, usando canales virtuales ATM que transportan los paquetes de datos entre las estaciones, según la figura 1.

Este método es descrito en los documentos de estándares de Internet, publicados como RFC 1577 (Request For Comment 1577), que trata de los Protocolos de Internet (IP) clásicos y de los Protocolos con Capacidad de Dirección ARP (Address Resolution Protocol) junto con la serie TCP/IP (Transmision Control Protocol/Internet Protocol) para redes Ethernet comunes, que pueden ser usadas como protocolos de redes sobre interfaces de ATM.
Las estaciones de trabajo se organizan en subredes lógicas con el protocolo de Internet LIS (Logical IP Subnets), con un número simple de subred IP y una máscara de dirección. Dentro de cada LIS las estaciones pueden enviar paquetes a cualquier otra estación. Para enviar los paquetes fuera de la subred lógica LIS se debe usar un enrutador (router).

Capacidad de Dirección de ATM: las redes ATM son orientadas a la conexión, a diferencia
de la mayoría de las redes LAN que usan transferencia de datos sin conexión hacia una arquitectura fija. Entonces la estación debe estar habilitada a encontrar la dirección ATM de la estación de destino y crear un canal virtual para la transmisión de los datos.

En los protocolos IP clásicos, sobre ATM, se realiza la búsqueda de la dirección del destinatario usando el protocolo con capacidad de dirección ARP para ATM (ó ATMARP). Los protocolos ARP tradicionales permiten encontrar una dirección de hardware en control de acceso al medio ó MAC (Media Access Control) para una dirección dada de IP. Así mismo, se usa un ARP Inverso (INARP) para encontrar la propia dirección de IP de origen. Este modelo es extendido para ATMARP y para InATMARP, considerando una dirección ATM como una dirección de hardware. En un ambiente de conexión virtual permanente (PVC) se usa una configuración manual para establecer los canales virtuales entre cada par de estaciones dentro de la subred lógica LIS. Cada estación usa el protocolo con capacidad de dirección inversa InATMARP para determinar a cual dirección IP está conectada. Se envía un mensaje de pedido con la dirección del IP de la estación A: El mensaje de respuesta contiene la dirección IP del receptor B. La figura 2 muestra la operación del protocolo InATMARP sobre conexiones virtuales permanentes.

En un ambiente de conexión virtual conmutada (SVC), la señalización del interface de usuario con la red conmutada establece los canales virtuales entre las estaciones A y B. Un servidor ATMARP se usa para manejar la tabla de ATM y el par de direcciones I P para cada estación en la subred lógica LIS. Este servidor se localiza en una dirección ATM bien conocida, que se configura manualmente con cada estación cliente de la subred LIS.
Cuando un cliente A establece una conexión al servidor ATMARP, el servidor emite un pedido
(request) para determinar la dirección IP del cliente A. Este servidor usa la respuesta (reply) para construir y validar su tabla de direcciones. Si el cliente A necesita enviar un paquete al cliente B, y si A no tiene dirección ATM de B, entonces A debe enviar un pedido ATMARP al servidor, el cual envía la dirección ATM de B como respuesta. Entonces el cliente A utiliza esta dirección para crear el camino virtual usando el mensaje de señalización SETUP. La figura 3 ilustra estos tres pasos para el establecimiento de una conexión virtual conmutada.
El cliente A no siempre tiene que preguntar la dirección de B al servidor, si tiene un canal virtual VC abierto hacia B, o si tiene su propia tabla de direcciones construida en base a respuestas anteriores dadas por el servidor.
Las entrads en la tabla de direcciones del servidor son invalidadas si la conexión ha sido cerrada por más de 20 minutos. Las conexiones abiertas son revalidadas enviando pedidos InATMARP en el canal virtual cada 20 minutos.

Formato de paquete: hay dos métodos para el encapsulado de Paquetes en los Protocolos de
Internet IP clásicos sobre ATM. Cuando se transmiten paquetes IP y ATMARP sobre un simple canal virtual, el protocolo debe ser identificado per un campo de encabezado adicional en cada paquete. De forma alternativa se puede usar multiplexación de los canales virtuales VC con un canal virtual diferente para cada tipo de protocolo. Esta técnica se llama también "encapsulación nula". Los paquetes son encapsulados usando IEEE 802.2 LLC/SNAP, como se describe en los documentos RFC 1483: "Encapsulación de Multiprotocolo sobre la capa de adaptación ATM de nivel
5: AAL-5". Este método requiere de un encabezado de 8 bytes para cada paquete. El encabezado está compuesto per 3 bytes para el LLC (Logical Link Control ó Control de enlace lógico), que identifica que punto de conexión de la subred continúa. El campo SNAP (Sub-Network Attachment Point ó Punto de Conexión de Subred) está compuesto de 3 bytes para el Identificador Unico Organización (OUI) y de 2 bytes para el Identificador del Protocolo (PID) definido por el OUI. El valor OUI: 00-00-00 indica que el PID está en una red tipo Ethernet, y el valor OUI 08-00 significa que el paquete siguiente es un IP; por ejemplo, el valor 08-06 marca que el siguiente paquete es un protocolo con capacidad de direccionamiento ARP.

La figura 4 muestra el encapsulado y la segmentación de un paquete IP a una secuencia de celdas ATM.

Prueba del IP clásico sobre ATM: el Protocolo de Internet IP clásico sobre ATM es relativamente simple, pero las implementaciones deben ser probadas para asegurar una correcta operación e interoperabilidad entre los proveedores de los sistemas. Los procedimientos de encapsulado pueden verificarse simplemente decodificando las tramas capturadas en el enlace ATM. Los encabezados de control del enlace lógico y del punto de conexión de la subred (LLC/SNAP) deberían tener la forma:
AA-AA-03-00-00-00-08-00 para los paquetes de Protocolos de Internet IPs.
La codificación correcta de los paquetes ATMARP es un poco más complicada, ya que el formato del paquete es una modificación del protocolo tradicional ARP. Un punto de interpretación diferente está en como se codifican las direcciones desconocidas. Los paquetes ATMARP tienen una longitud de campo para cada dirección de las estaciones A y B.
Una petición de mensaje podría codificar el campo de la dirección desconocida del cliente B en
una de las dos formas siguientes:
1. Longitud cero y ausencia del campo de dirección.
2. Longitud correcta (por ejemplo 4 bytes para las direcciones IP, y 20 bytes para las direcciones ATM) y, una dirección cero (ejemplo: 0.0.0.0) para IP.
Este tema surgió en las sesiones de pruebas de interoperabilidad de multimarcas conducidas en la Universidad de New Hampshire en Febrero de 1995, y se consulta en el pedido de comentarios de los estándares de Internet RFC 1.577. Las diferentes discusiones entre varios fabricantes concluyen que los mensajes deberían estar codificados usando el último método, pero que los mensajes recibidos puedan usar cualquier codificación que sea interpretada correctamente. Luego de esto, será
propuesta una actualización de la RFC 1.577, de modo que la longitud del campo de direcciones pueda ser interpretada como el número de bytes de dirección a proponerse, en un buffer de longitud fija de 20 ó de 4 bytes. Esto tiene una consecuencia muy significativa en la interoperabilidad ya que las implementaciones de la longitud del campo de direcciones, no la longitud de la dirección determinará el tamaño del buffer o de la memoria temporal requerida.
Otra característica de interoperabilidad que se debe considerar es cómo codificar la respuesta del protocolo con capacidad de dirección, para manejar el reconocimiento negativo ARP-NAK (negative AcKnowledgement). Este mensaje es una nueva extensión para el NTMARP, que indica que la dirección requerida no se puede encontrar. En los protocolos ARP tradicionales, la estación que pregunta esperaría por una respuesta del ARP de la dirección de destino durante un tiempo (time out) antes de considerar como un error la falta de respuesta.
El RFC 1577 establece que el servidor simplemente devuelve una copia del mensaje de pedido, pero con el código de operación cambiando de 1 (pedido de ARP) a 10 (No Reconocimiento de ARP).

Este procedimiento es contrario a una respuesta normal, donde los campos de las direcciones de A y B son cambiadas. Deben escogerse algunas implementaciones para codificar un mensaje de respuesta con direcciones cambiadas, e insertar bien el código de operación para leer exitosamente la dirección. Puede haber problemas en las implementaciones que verifiquen los campos del mensaje ATMARP según el intento inicial del RFC 1577.
Las pruebas de funcionamiento del protocolo de un cliente ó del servidor pueden ser optimizadas utilizando un probador de protocolos para simular un extremo de la conexión. Por ejemplo, el probador puede iniciar la conexión hacia el servidor y responder al pedido inicial de InARP, ó enviar un pedido de ARP usando direcciones diferentes de IP, conocidas o desconocidas. Las respuestas (ARP ó ARPNAK) deberían corresponder a la tabla de direcciones del servidor, que pueden ser examinadas por un terminal conectado al dispositivo.

Resultados de desempeño: Una consideración importante para las implementaciones de la
RFC 1577 es la aplicación final del desempeño. El desempeño es un término relativo, y depende de muchos factores, entre ellos la tasa de transmisión (con o sin congestión), de las implementaciones del protocolo y de la arquitectura del sistema.
El desempeño del protocolo del control de transmisión TCP depende del llamado "Producto de
Ancho de Banda - Retardo". Simplemente indica el ancho de banda multiplicado por el tiempo de retardo en la transmisión de los datos a través del enlace completo. Per ejemplo, la capacidad de un proceso de comunicaciones de un TCP (Pipe) para un canal virtual de 10 Mb/s con un retardo total de 15 ms es de 18.750 bytes. El tamaño de la ventana del TCP corresponde al total de los datos no reconocidos que pueden ser manejados correctamente, y
deberían ser el menos de ese tamaño para lograr un máximo resultado en la transmisión de los
datos comunicados.
El retardo total puede ser medido sobre una conexión por medio del programa conocido como
"ping". Esta herramienta de redes envía paquetes de Eco (ICMP ó Internet Control Message
Protocol) a la dirección. IP de destino y examina la respuesta del paquete Eco desde esa dirección una marca de tiempo de salida, con una precisión de 1 microsegundo, se inserta en el paquete de Eco y se resta del tiempo de la respuesta del Eco recibido para calcular el tiempo de retardo total.
Esta técnica toma en cuenta el tiempo procesamiento del software a cada extremo.
Estas pruebas, llamadas pruebas “ping", podrían ser usadas para medir a groso modo el tiempo de conexión del Setup. El ping inicial puede ser significativamente más largo que los pings remanentes
en un ambiente de canal virtual conmutado SVC, ya que la dirección ATM puede requerir ser obtenida desde el servidor de ATMARP, y el canal virtual debe estar establecido. En este caso, una medición del retardo en la conexión del setup debe hacerse con un probador de protocolo monitoreando la Iínea, como el HPJ2302B: AN LAN E1/ATM Internet Advisor.

TPC sobre redes de alto desempeño: regresando al tema el producto entre el ancho de banda y el retardo podemos observar que cuando el ancho de banda se incrementa, el tamaño de la ventana debe incrementarse para asegurar una máxima calidad de transmisión. El tamaño de la ventana del TPC se forza de un campo de 16 bits a uno de 65.536 bytes. Por lo tanto, la calidad del enlace también se limita, a menos que el tiempo de retardo se reduzca.
Si podemos usar una ventana de tamaño grande para el TCP, lo que significa que podemos tener más datos desconocidos en el proceso de comunicaciones (pipe), y si un paquete se pierde, el TCP borrará normalmente los paquetes desconocidos como parte de su proceso de recuperación. Con una ventana grande, puede lograrse una calidad aceptable en la transmisión. En una red de ATM, la pérdida de una simple celda ocasionaría la pérdida de un paquete en la capa de adaptación ATM (AAL-5); y, el efecto aumentaría el tamaño del protocolo. Una herramienta
para medir el desempeño del protocolo de control de transmisión TCP es el "ttcp", que pera como una fuente de tráfico de TCP en una estación UNIX y actúa como un host ó dispositivo inteligente conectado a la red y mide la eficiencia del enlace que una aplicación podría experimentar. Los diseñadores de redes deberían permitir un ajuste fino de los parámetros configurables del TPC para optimizar la eficiencia del enlace. Un diseñador puede también necesitar la medida de la calidad del enlace, para la aplicación, cuando los errores se introducen en el nivel de ATM.

Un emulador de los deterioros de la red puede insertarse entre los hosts de IP para introducir
errores tales como retardo y pérdida de celdas, como se muestra en la figura 5.
Esta técnica es un modelo de lo que puede pasar cuando los elementos de la red llegan a estar
congestionados. Los resultados del "ttcp" pueden ser usados para diferentes niveles de deterioro, para cuantificar la calidad de servicio necesaria para satisfacer los requerimientos de la aplicación a implementarse.

Algunos experimentos han mostrado que hay un punto en el cual los deterioros de la red causan que el desempeño del TCP caiga dramáticamente. La correlación inicial, entre la pérdida de la celda y la eficiencia en la transmisión del paquete alcanza un valor luego del cual la aplicación llega a ser virtualmente inusable, a pesar de que un significado monto de los datos de la celda sean recibidos correctamente.

El siguiente paso: el IP clásico sobre ATM es una solución eficiente para aplicaciones de
paquetes de datos en un Area local, pero no soporta redes WAN eficientemente. Los paquetes
destinados a direcciones que están fuera de la subred lógica LIS deben ser enrutados, requiriendo un encabezado extra y añadiendo un retardo con cada enrutador.
Esta deficiencia está siendo tratada dentro del IP, sobre el Grupo de Trabajo de ATM, en donde el siguiente protocolo de enrutamiento conocido como NHRP (Next Hop Routing Protocol) ha sido propuesto para reemplazar el ATMARP. Los pedidos de dirección que no han sido resueltos en la subred lógica local LIS pasan a servidores adicionales en otras subredes LIS. Entonces, la dirección ATM de destino retorna y se crea un canal virtual a través de la red. Este enfoque resuelve el problema de retardo, pero puede originar un retardo significativo en el setup o disposición del sistema.
Algunos fabricantes están tratando las limitaciones del TCP en redes de alta velocidad con nuevas opciones, descritas en el RFC 1323: "Extensiones de TCP para Alto Desempeño". Además, usan algunos algoritmos para retransmisión y recuperación más rápidas, que alivian los efectos de las pérdidas de paquetes con ventanas grandes.

Emulación de LANs: mientras que el IP clásico sobre ATM es usado para traer el ATM a las redes de Area local, no permite direccionar bien el conjunto de tecnologías LAN existente. Se necesitan paquetes para ser enrutados entre los diferentes tipos de redes, siendo el IP el único protocolo soportado.

El Foro de ATM reconoció que la interoperabilidad con las redes LAN y las aplicaciones existentes es muy importante para la aceptación de ATM en el mercado. El subgrupo de trabajo para Emulación de LANs definió inicialmente un servicio que emula las características de las redes LAN existentes. Esta emulación tiene lugar en la capa del MAC (Media Access Control), de modo que la red ATM mire efectivamente como a una red LAN tradicional a la aplicación determinada. Un amplio rango de protocolos (tales como el NETBIOS, el IPX y el Appletalk) operaran sobre este interface. El resultado final es que una simple red de Area local puede ser compuesta de segmentos ATM y de segmentos con varias topologías LAN. Al momento, pueden ser emuladas las tecnologías Ethernet y Token-Ring.
La figura 6 muestra una pequeña red con dos LANs emuladas (ELANs).

La mayor diferencia entre las redes LANs y las redes ATM es que las ATM son orientadas a conexión, mientras que las LAN usan un medio comparativo para conectar sus terminales. Los protocolos LAN envían paquetes de datos a todas las estaciones de la red, para que sean recibidos por los destinatarios direccionados y sean ignorados por las demás estaciones.
Una emulación de ATM de este funcionamiento requiere la habilidad de emitir paquetes hacia
múltiples destinos.

Arquitectura de Emulación de LANs: hay varios componentes en la arquitectura de Emulación de LANS. Algunos clientes de emulación de LANs (LECs ó Lan Emulation Clients) se comunican con un servicio de emulación de LANs a través de un interface de red para usuario de emulación LAN (LUNI ó Lan Emulation User to Network Interface). Cada estación terminal ATM es asociada con un LEC ó cliente de emulación de LAN. Esta asociación incluye el interface ATM con el puente hacia la red LAN. El LEC es responsable de proveer la emulación de la capa MAC para niveles mayores de protocolo. El servicio de emulación de LANs por si mismo tiene 3 componentes:
· El servidor de Emulación de LANs (LES ó Lan Emulation Server): responsable de la resolución de la dirección desde los MACs hasta las direcciones de los ATM.
Servidor de Emisión y de Dirección Desconocida (BUS ó Broadcast and Unknown Server): usado para el avance de las tramas desde el cliente de emulación de Lan LEC hacia las direcciones emitidas. Se usa también para enviar una emisión única de tramas a todos los clientes, antes de que se conozca la dirección de destino.
Servidor de Configuración para Emulación de LANs (LECS ó Lan Emulation Configuration Server): Usado por los clientes para su configuración inicial.
La arquitectura del sistema permite a estos componentes estar distribuidos entre varios dispositivos físicos.

Estos tres componentes se comunican entre ellos a través de varios canales en los interfaces de red para usuarios. Algunos de estos canales virtuales son unidireccionales, otros pueden ser implementados como punto a multipunto. La figura 7 muestra las conexiones entre los componentes de emulación de LANs:

Formato de Paquete: los paquetes de Emulación de LANs son codificados usando un formato
nuevo de trama. El Foro de ATM escogió no usar el método de encapsulado LLC/SNAP (Logic Link Control/ SubNetwork Attachment Point) para las tramas IEEE 802.3 de Ethernet ó IEEE 802.5 de Token Ring, conforme a lo descrito en el RFC 1483. En lugar de estos arreglos de entramado, el formato de paquete se definió de modo que compartan un encabezado común inicial entre los paquetes de control y de datos.
Los paquetes de datos empiezan con un campo de 16 bits que identifican al cliente LEC envía los datos. Este valor debe ser menor que OxFF00, ya que se usa para identificar los paquetes de control.
Los paquetes de datos de Ethernet tienen un encabezado diferente que para los de Token Ring. El Token Ring es un protocolo fuente enrutado, que permite también enrutar la información contenida en el encabezado del paquete. Adicionalmente, el ordenamiento de los 48 bits de la dirección del MAC (Media Access Control) es diferente, ya que el Ethernet transmite primero el bit menos significativo y el
Token Ring el más significativo.

Operación de la Emulación de LANs: los protocolos de Emulación de LANs son complejos de
modo que se resumirán a continuación sus pasos de operación:
_
1. Inicialización del Cliente: El cliente LEC debe ser inicializado antes de que pueda enviar los datos a otros LECs. La inicialización empieza cuando el LEC hace una conexión al servidor de configuración LECS. Primero trata de conseguir la dirección ATM para el servidor LECS con un pedido de interface provisional de manejo local (ILMI ó Interim Local Management Interface). Si éste falla, se usara una dirección bien conocida de ATM. El cliente LEC entonces intenta arreglar un canal virtual conmutado SVC bidireccional para esta dirección. Si otra vez falla, el cliente LEC usará un canal virtual permanente PVC como último recurso.
Una vez que ha sido establecida esta conexión de Configuración Directa, el cliente LEC envía su dirección ATM en un mensaje de pedido de configuración al servidor LECS. Este servidor de
configuración contesta con la dirección del servidor de Emulación de LANs ó LES y con el nombre y tipo de red LAN emulada (Ethernet o Token Ring). Algunos parámetros adicionales de configuración (como valores de contador o de tiempo) pueden también formar el mensaje de respuesta del servidor de configuración de las redes de LAN emuladas.
El siguiente paso del cliente LEC es establecer la conexión de Control Directo con el servidor LES. Este canal virtual conmutado SVC es usado para enviar un pedido del cliente LEC para unir la red LAN emulada. Si la conexión es exitosa el servidor LES retornará un identificador único del LEC (LECID) que será incluido en el control futuro y en el envío de los paquetes de datos por parte del cliente. El servidor LES tiene la opción de responder al cliente en la conexión de Control Directo, ó a través de una conexión de Control Distribuido punto multipunto unidireccional a todos los clientes LECs servidos por LES. La figura 8 muestra los pasos de inicialización para unir un cliente LEC en una red LAN emulada (ELAN).

2. Registro y Resolución de la Dirección: cada cliente LEC debe registrar la dirección (ó
direcciones) del control de acceso al medio MAC que representa, en el servidor LES. Este
servidor construye una tabla de direcciones de ATM (pares de direcciones de MACs que usa para responder a los pedidos de resolución de dirección que hará el cliente LEC luego). Este
protocolo es similar al ARP (Address Resolution Protocol) que se usa en las arquitecturas
clásicas de IP sobre ATM, como se vio en la primera parte de este artículo.
Una diferencia clave está en que si el servidor no puede responder al pedido, sí puede decidir el envío del pedido al cliente registrado en esa MAC, ó puede enviar el pedido a todos los clientes a través de la conexión punto - multipunto de Control Distribuido. El cliente que representa la dirección del MAC responderá al cliente que pregunta, enviándole la dirección ATM correspondiente.
_
3. Transferencia de Datos: es este punto, un canal virtual conmutado SVC de Datos Directos
puede ser inicializado entre dos clientes. El encabezado de emulación de la LAN es reclamado
por la trama de control de acceso al medio, y el paquete de datos se envía de cliente a cliente.
Normalmente, cada conexión de Datos Directos termina. Si no se envían paquetes entre los clientes por más de 20 minutos, el canal virtual conmutado se desconecta. Una conexión nueva puede ser establecida entre estos clientes si es necesaria más tarde.
Hay otra alternativa para enviar datos a un cliente. El servidor de emisión y de dirección
desconocida (BUS) puede ser usado para enviar datos a una dirección x antes de recibir una
respuesta. Cada cliente debe establecer una conexión de envío de multiemisión (Multicast Send) hacia el servidor de emisión BUS, que pone al cliente en una conexión unidireccional punto multipunto (Multicast Forward) para los datos de retorno. El cliente obtiene la dirección de ATM del BUS enviando un pedido ARP al servidor, usando la dirección del MAC de emisión (todos "unos").
Cuando el cliente envía un paquete al servidor de emisión BUS, este lo distribuye a todos los
clientes LECS. La dirección de destino en el paquete de datos determina cuál LEC lo procesará.
La figura 9 ilustra la operación del servidor de emisión de dirección desconocida (BUS).

4. Dificultades de implementación: la emulación de las redes LAN es un tema candente para
muchos fabricantes, pero esto conlleva un complejo juego de protocolos. En consecuencia, esta ligada a una implementación difícil. Se han estimado que el software de los servidores de
emulación de LANs toma cerca de 50.000 líneas de códigos en C, y que la implementación de los clientes es del orden de las 20.000 líneas. Como se puede apreciar, la corrección de estos
componentes es una tarea muy admirable y digna de los pacientes diseñadores de software.
Hay algunos puntos posibles de falla en el proceso del protocolo. Hay que tener cuidado para
asegurar que el cliente y el servidor permanezcan sincronizados, aún cuando otros sistemas fallen (como la señalización). Podrían haber problemas imprevistos, tales como condiciones diferentes entre los pesos del proceso de configuración.

5. Desafíos de las pruebas: los componentes de prueba de la emulación de redes LAN pueden ser caracterizados en diferentes niveles. Las pruebas de la capa física y de ATM pueden ser hechas en un dispositivo como un puente. Por ejemplo, el tiempo de espera para el acceso a la red a través del puente, puede ser medido capturando una marca de tiempo en el paquete Ethernet en un lado del puente, y correlacionándolo con la marca de tiempo del paquete capturado en el lado ATM. Se requiere una base de tiempo común entre los dos interfaces físicos. La interoperabilidad entre los protocolos es un tema para la emulación de LANs, ya que muchos fabricantes producen equipos para clientes y servidores. Los fabricantes de los clientes de redes LAN emuladas demandan muchas implementaciones en los servidores. Las pruebas de interoperabilidad y de compatibilidad serán definidas por la Emulación de las redes LAN. Por ahora, los grupos de pruebas de calidad desarrollados, observan manualmente las comunicaciones cliente – servidor para concordar con las especificaciones.

Resumen: se prestaron dos tecnologías para adaptar el modo de transferencia asíncrono ATM a la red de área local LAN. Algunos de los problemas y temas más complicados de estas tecnologías han sido brevemente mencionados. Las herramientas de prueba para explorar estas áreas de comunicación de datos son resumidas en los analizadores de protocolos, algunos con capacidad de emulación de terminales, que permiten realizar pruebas del tráfico en servicio, generan tráfico dentro
de una integración total de redes LAN, WAN y ATM.
El equipo que actualmente está capacitado para atender todos los requerimientos indicados, con nuevas y potentes capacidades para FDDI (Interface digital de fibra distribuida), ATM, Ethernet conmutada y perfiles estadísticos de LAN y WAN es la serie Agilent Advisor, para análisis de protocolos y monitoreo de problemas de redes.