Hub 10BASE-T Conectores RJ45 Cables UTP-5 (máx. 100m) Todos los ordenadores comparten los 10 Mb/s Todos los ordenadores conectados al hub pueden colisionar, por eso decimos que todos forman un ‘dominio de colisión’ Ethernet compartida (1990-1995) 10 Mb/s 10 Mb/s 10 Mb/s 10 Mb/s 10 Mb/s
Switch 10/100/1000BASE-T Conectores RJ45 Cables UTP-5 (máx. 100m) Cada ordenador se conecta según la velocidad de su tarjeta Cada ordenador tiene una red ethernet para él solo. No hay colisiones, cada puerto es un dominio de colisión diferente Ethernet conmutada (1995- ) 10 Mb/s 100 Mb/s 10 Mb/s 1000 Mb/s 100 Mb/s
Dominio de colisión Ethernet conmutada/compartida 10 Mb/s 10 Mb/s 10 Mb/s 10 Mb/s 100 Mb/s 100 Mb/s 100 Mb/s 100 Mb/s 10 Mb/s 100 Mb/s 100 Mb/s 100 Mb/s Dominio de colisión Switch 10/100BASE-T Hub 10 Mb/s Hub 100 Mb/s Router
Estructura de la Trama Ethernet La detección de colisiones de Ethernet requiere que las tramas tengan una longitud mínima de 64 bytes. La longitud máxima es de 1518 bytes (1500 bytes de datos más la cabecera y el CRC) El nivel físico añade 20 bytes a la trama ethernet 6 2 6 0-1500 0-46 4 Longitud (bytes) El relleno solo está presente cuando es preciso para llegar al mínimo de 64 bytes 12 Silencio Preám- bulo 8 Trama MAC (64-1518 bytes) Trama física (84-1538 bytes)
Tipos de emisiones en una LAN Unicast: La trama está dirigida a un host de la LAN en particular (en realidad a una interfaz de un host) Multicast: La trama está dirigida a un subconjunto de los hosts de la LAN. El subconjunto puede variar con el tiempo y abarcar todas, una parte o ninguna de las interfaces de la LAN Broadcast (dirección FF:FF:FF:FF:FF:FF): La trama va dirigida a todas las interfaces de la LAN. El broadcast se considera a veces un caso particular de multicast Las direcciones multicast y broadcast no deben aparecer nunca en las tramas como direcciones de origen, solo como direcciones de destino
Direcciones MAC = 0 Dirección Individual (unicast) = 1 Dirección de Grupo (multicast/broadcast) = 0 Dirección Global (administrada globalmente) = 1 Dirección Local (administrada localmente) Parte asignada al fabricante (OUI) Parte específica del equipo Las direcciones se expresan con doce dígitos hexadecimales. No hay un formato estándar para expresarlas, los más habituales son: 00:30:A4:3C:0C:F1 00-30-A4-3C-0C-F1 0030.A43C.0CF1
OUIs Los OUIs (Organizationally Unique Identifiers) los asigna el IEEE a cada fabricante. Cada OUI cuesta actualmente US$ 1650. Puesto que el OUI identifica al fabricante es posible averiguar la marca de una interfaz a partir de su MAC Muchos analizadores de protocolos llevan incorporadas tablas de los OUIs conocidos. Ej.: Wireshark (www.wireshark.org) También se puede consultar por Internet el OUI de una dirección concreta: http://www.8086.net/tools/mac/
Conversación políglota Imaginemos que un grupo de personas mantiene una conversación informal en la que emplean varios idiomas indistintamente. Imaginemos además que todos esos idiomas utilizan las mismas palabras y los mismos fonemas, de modo que no es posible deducir por contexto el idioma utilizado Cada vez que alguien fuera a decir una frase debería primero indicar el idioma que va a utilizar, para evitar malentendidos Podríamos hacer una lista de los idiomas asignándole a cada uno un número. Cuando alguien fuera a decir una frase diría antes un número en inglés indicando el idioma que va a utilizar
Campo Protocolo o ‘Ethertype’ En una LAN Ethernet se puede estar hablando diferentes ‘idiomas’ (protocolos de nivel de red) simultáneamente Para evitar ambigüedades es preciso identificar a que protocolo de red pertenece cada trama. Esto se consigue con un código de cuatro dígitos hexadecimales (dos bytes) llamado ‘Ethertype’ que va en la cabecera de la trama. Ejemplos: IP: 0x0800 ARP: 0x0806 Appletalk: 0x809b Los Ethertypes los registra el IEEE (cada ethertype cuesta US$ 2.500)
Campo Protocolo/longitud de Ethernet Por razones históricas este campo tiene dos posibles significados: Si es mayor que 1536 indica el protocolo de nivel de red al que pertenecen los datos. A este campo se le denomina ‘Ethertype’ Si es igual o menor que 1536 indica la longitud de la trama ehternet. La longitud realmente no hace falta porque siempre se puede deducir sabiendo el final de la trama (detectado por el silencio) Cuando este campo indica la longitud el Ethertype está al principio de los datos, en una cabecera adicional llamada cabecera LLC/SNAP (Logical Link Control/SubNetwork Access Protocol)
6 2 6 0-1500 0-46 4 Trama Ethernet II (DIX): Longitud (bytes) 6 2 6 0-1492 0-38 4 Trama Ethernet IEEE 802.3: Longitud (bytes) 8 Ethertype Diferentes formatos de la trama Ethernet
Puentes Separan redes a nivel MAC Objetivos: Mejorar rendimiento (separan tráfico local) Aumentar seguridad (los sniffers ya no capturan todo el tráfico) Aumentar la fiabilidad (actúan como puertas cortafuegos, un problema ya no afecta a toda la red) Permitir la interoperabilidad entre redes diferentes (Ethernet-WiFi) Mejorar alcance Permitir un mayor número de estaciones
LAN 1 LAN 2 Puente Interfaces en modo promiscuo ? ? Funcionamiento de un puente transparente A B A genera una trama con destino B que el puente recibe por ? El puente busca a B en su tabla de direcciones; como no la encuentra reenvía la trama por ? El puente incluye la dirección de A en su tabla de direcciones asociada a la interfaz ? Cuando B envía una trama de respuesta el puente incluirá la dirección de B en la tabla, asociada a la interfaz ? 5. Más tarde C envía una trama hacia A. El puente la recibe por ? pero no la reenvía por ? pues ya sabe que A está en ?. (Gp:) A?B
(Gp:) B?A
C D (Gp:) C?A
(Gp:) C?A
6. Al ver la dirección de origen de esta trama el puente asocia C con ?. A ? B C ? ?
Formato de una trama MAC 802.x 6 6 4 En muchos casos el protocolo MAC no usa la Dirección de origen para nada La principal (y en la mayoría de los casos la única) utilidad de la dirección MAC de origen es permitir el funcionamiento de los puentes transparentes
Puentes transparentes (IEEE 802.1D) Se pueden utilizar en todo tipo de LANs Funcionan en modo ‘promiscuo’ (lo oyen todo) El puente averigua que estaciones (direcciones MAC) tiene a cada lado, y solo reenvía las tramas que: Van dirigidas a una estación al otro lado, o Tienen un destino desconocido que no aparece en la tabla, o Tienen una dirección de grupo (broadcast o multicast), ya que estas no figuran nunca como direcciones de origen y por tanto no están nunca en la tabla de direcciones La trama reenviada es idéntica a la original (la dirección MAC de origen no se cambia por la de la interfaz del puente). Aunque las interfaces del puente tengan direcciones MAC propias, estas direcciones no aparecen nunca en las tramas reenviadas.
Los puentes transparentes en la arquitectura IEEE 802 802.3: CSMA/CD (Ethernet) 802.1: Puentes Transparentes 802.2: LLC (Logical Link Control) Capa Física Subcapa LLC Subcapa MAC (Media Access Control) 802.1: Gestión 802.1: Perspectiva y Arquitectura 802.10: Seguridad Puente Homogéneo Puente Heterogéneo Puente Homogéneo 802.15: Bluetooth 802.5: Token Ring 802.11: LANs Inalám- bricas 802.16: WiMAX … … … …
A F E B C P 1 ? ? ? ? Red con dos puentes D P 2 Desde el punto de vista de P1 las estaciones C, D, E y F están en la misma LAN, ya que cuando P2 reenvía por ? las tramas de E y F no cambia la dirección MAC de origen 10 Mb/s 10 Mb/s 10 Mb/s 100 Mb/s
Trama recibida sin error en puerto x ¿Puerto de salida = x? Reenviar trama por puerto de salida Reenviar trama por todos los puertos excepto x ¿Dirección de origen encontrada en tabla CAM? Actualizar dirección y contador de tiempo Terminar Añadir dirección de origen a tabla CAM (con número de puerto y contador de tiempo) ¿Dirección de destino encontrada en tabla CAM? Reenvío Aprendizaje Sí No Sí No No Sí Funcionamiento de los puentes transparentes (transparent learning bridges)
Red de campus en los 80 Fac. Física Fac. Química Fac. Biología Serv. Informática 10 Mb/s (Coaxial grueso, 10BASE5) 10 Mb/s (Coaxial Fino, 10BASE2) 10 Mb/s (Coaxial Fino, 10BASE2) 10 Mb/s (Coaxial Fino, 10BASE2) 10 Mb/s (Coaxial Fino, 10BASE2) Backbone de campus
Switches (o conmutadores) LAN Un switch es funcionalmente equivalente a un puente transparente El switch implementa el algoritmo de conmutación de tramas en hardware, mientras que el puente lo hace en software Para ello utiliza chips diseñados específicamente para ello llamados ASICs (Application Specific Integrated Circuit) El switch es mucho más rápido que el puente, puede funcionar a la velocidad nominal de la interfaz, simultáneamente por todas sus interfaces (‘wire speed’) Normalmente los switches tienen muchas más interfaces (4-500) que los puentes (2-6) Hoy en día los puentes no se utilizan
B D C A E F ? ? ? Switch con cuatro interfaces LAN 1 LAN 2 LAN 3 100 Mb/s 10 Mb/s 10 Mb/s G 100 Mb/s ? LAN 4 Dominio de colisión A ? B ? C ? D ? E ? F ? G ? Microsegmentación Transmisión half duplex Transmisión full dúplex
Tabla de direcciones (tabla CAM) La tabla de direcciones MAC de los conmutadores LAN se denomina tabla CAM (Content Addressable Memory) Al cabo de un rato de normal funcionamiento de la red la tabla CAM incluye las direcciones de la mayoría de las estaciones activas de todas las LANs conectadas directa o indirectamente al puente. Las entradas de las tabla CAM tienen un tiempo de vida limitado para permitir la movilidad. Las entradas inactivas se borran pasado un tiempo (típicamente 5 min.) La tabla CAM se mantiene en memoria dinámica y tienen un tamaño limitado (típico 1K-16K direcciones) La tabla es exhaustiva. No existe un mecanismo de sumarización o agrupación de direcciones por rangos ya que normalmente éstas no guardan ninguna relación.
Microsegmentación Si en una LAN se tienen muchos puertos de conmutación se le puede dedicar uno a cada ordenador. Esto se llama microsegmentación. La microsegmentación mejora el rendimiento ya que las tramas van del origen al destino pasando solo por los sitios precisos (salvo posiblemente la primera, que se difundirá por inundación al ser una dirección desconocida) . También mejora la seguridad, pues los sniffers no pueden capturar tráfico que no les incumbe. La microsegmentación ha sido una consecuencia del abaratamiento de los conmutadores en los años 90. Hoy en día la microsegmentación es habitual ya que los hubs casi no se comercializan
Evolución de las redes locales Ethernet Fase 1 (1988): Medio compartido (10 Mb/s) con cable coaxial en topología de bus
Fase 2 (1992): Medio compartido (10 Mb/s) con cable de pares (cableado estructurado) y concentradores (hubs) en topología de estrella
Fase 3 (1996): Medio dedicado (10 Mb/s) con cable de pares y conmutadores en topología de estrella (microsegmentación) Cable coaxial (10BASE5 ó 10BASE2) Cable de pares Cable de pares Hub 10BASE-T Switch 10/100BASE-T
Diagnóstico y resolución de problemas Una parte fundamental del mantenimiento de una red son las tareas de ‘troubleshooting’ (diagnóstico y resolución de problemas). Para esto se suelen utilizar programas analizadores de tráfico, como wireshark (www.wireshark.org). Estos programas requieren a menudo que un host inspeccione el tráfico de otro, monitorizando todo su tráfico pero sin interferir. Los hubs son todavía muy útiles en esta tarea. Pero los hubs sólo van a 10 ó 100 Mb/s Los switches tienen una función denominada ‘port mirroring’ que replica en un puerto el tráfico de otro, dando una funcionalidad equivalente a la de un hub. Pero el port mirroring no está disponible en todos los switches, solo en los caros. En el mercado hay switches baratos cuya tabla CAM tiene 0 entradas, de forma que actúan siempre por inundación, como si fueran hubs. Estos switches son muy útiles cuando se utilizan analizadores
Cliente Servidor Analizador (Wireshark) 1: HUB: En caso de problemas en la comunicación cliente-servidor el analizador captura todo el tráfico de ambos Cliente Servidor Analizador (Wireshark) 2: SWITCH: En este caso el analizador solo captura el tráfico broadcast/multicast, con lo cual normalmente no es posible diagnosticar el problema Cliente Servidor Analizador (Wireshark) C C S S C S C C S S C C S S C S C S 3: SWITCH CON ‘PORT MIRRORING’: Al configurar en el switch port mirroring entre el puerto del cliente (o del servidor) y el del analizador, éste recibe todo el tráfico de la sesión, siendo equivalente al uso de un hub PM Determinación de problemas con un analizador
Tx Rx Conexión de ordenadores mediante un hub El hub se encarga de cruzar el cable Tx de cada ordenador con el Rx de los demás. Los cables son paralelos, el cruce se hace internamente. Cuando A transmite algo por su cable Tx el hub lo reenvía a B y C por los cables Rx de éstos Protocolo CSMA/CD: Si mientras A está transmitiendo le llega algo por su cable Rx entiende que se ha producido una colisión, deja de transmitir inmediatamente y envía por su cable Tx una señal de colisión Tx Rx Hub Tx Rx A B C
Tx Rx Rx Tx Conexión directa de dos ordenadores Cuando solo se conectan dos ordenadores no es necesario usar un hub. Basta con un cable cruzado, es decir un cable que conecta el Tx de un extremo con el Rx del otro. El protocolo CSMA/CD funciona igual que si hubiera un hub: Si A está transmitiendo y mientras recibe algo de B entonces deja de transmitir y envía la señal de colisión. B actúa de la misma manera. El protocolo CSMA/CD obliga a una comunicación half-duplex, aun cuando en este caso el medio físico (el cable UTP) permitiría funcionar en full-duplex, al haber solo dos ordenadores A B
Funcionamiento full-duplex La transmisión full-dúplex requiere desactivar el protocolo CSMA/CD, y por tanto suprime la limitación de alcance que esto imponía (4 km a 10 Mb/s, 400 m a 100 Mb/s). El protocolo MAC simplificado es más sencillo de implementar y más barato que Half Dúplex. El modo full-duplex esta disponible en todos los switches, incluso en los de bajo costo A partir de Gb Ethernet no hay hubs, todo es necesariamente full-dúplex Cuando a un switch le conectamos directamente un ordenador (microsegmentación) funcionan ambos en modo full, si lo conectamos mediante un hub se ponen en modo half (aunque el hub solo tenga conectado un ordenador)
Autonegociación Permite ajustar el funcionamiento de forma automática para utilizar la mejor opción posible. Es similar a la negociación de velocidad en módems. Al enchufarse los equipos negocian la comunicación siguiendo una prioridad La autonegociación en velocidad solo se utiliza en interfaces BASE-T (cable UTP). En las de fibra lo único negociable es el modo dúplex. La autonegociación es opcional, puede estar o no.
Agregación de enlaces (802.3ad) Consiste en repartir el tráfico entre varios enlaces para conseguir mayor capacidad. Ej.: 4 x GE = 4 Gb/s. También se denomina ‘Ethernet trunking’, ‘Etherchannel’ o ‘Port trunking’. Permite aumentar la capacidad y ofrece un crecimiento escalable. También mejora la fiabilidad (si falla una interfaz o un cable el tráfico se envía por el resto) Se suele usar entre conmutadores o en conexiones servidor-conmutador Los enlaces agrupados forman un grupo que se ve como un único enlace. Todos deben ser de la misma velocidad Normalmente no resulta interesante más allá de 4 enlaces (mejor pasar a la siguiente velocidad). No está soportada por los switches baratos
Internet RedIRIS Red UV 2 Enlaces 1000BASE-T Ejemplo de agregación de enlaces Conexión a RedIRIS de la Universidad de Valencia El router principal de conexión a Internet de la UV se une con el POP (Point of Presence) de RedIRIS en la Comunidad Valenciana mediante dos enlaces Gigabit Ethernet
Ataques de nivel 2 Los ordenadores que se conectan a la misma LAN son como personas que viven en la misma casa Es muy difícil protegerse de ataques que provienen de una persona con la que convivimos Del mismo modo es muy difícil conseguir una protección efectiva entre ordenadores que se comunican a nivel 2 Cuando un ordenador en una LAN ha sido atacado hay más posibilidades de que otros ordenadores en esa misma LAN sean atacados a través de él, aunque hayan resistido con éxito el ataque del exterior El ataque que veremos a continuación supone una LAN conmutada. Si la LAN usa hubs los ataques son todavía más fáciles
Tabla CAM (Content Addressable Memory) La tabla CAM se llena a partir de las direcciones de origen de los paquetes. Su capacidad depende del modelo concreto del conmutador, pero suele estar entre 1K y 16K y siempre es limitada. Cuando la tabla CAM se llena el conmutador empieza a descartar direcciones, normalmente empezando por las más antiguas Cuando el conmutador recibe una trama cuya dirección de destino no está en la tabla CAM la difunde por inundación En condiciones normales la tabla CAM no debería llenarse nunca, ya que nunca deberían desplegarse LANs tan grandes que desbordaran la tabla CAM de los conmutadores.
Funcionamiento normal de un conmutador Tráfico A-B Tráfico A-B MAC Puerto A 1 B 2 C 3 C no ve el tráfico A-B 1 2 3 A B C Tabla CAM
Ataque de desbordamiento de MACs Cuando un host envía una trama en una LAN no hay nada que le impida poner la dirección MAC de origen que desee Incluso puede poner una dirección diferente en cada trama. Con un sencillo programa un host puede enviar miles de tramas por segundo con direcciones MAC diferentes, todas falsas De ese modo rápidamente desbordará la tabla CAM de cualquier conmutador A partir de ese momento el conmutador difundirá todo el tráfico por inundación, actuando como si fuera un hub Con un programa de análisis de tráfico (sniffer o similar) el ordenador atacante, o cualquier otro de la red, podrá a partir de ese momento capturar el tráfico de otros ordenadores, incluidas las combinaciones usuario/contraseña utilizadas por los usuarios para acceder a los servicios (por ejemplo para leer el correo)
MAC Puerto A 1 C 3 B 2 Desbordamiento de la CAM, 1/2 C inyecta 130.000 MACs falsas por segundo 1 2 3 A B C Tráfico A-B Tráfico A-B Tabla CAM
Desbordamiento de la CAM, 2/2 1 2 3 A B C MAC Puerto X 3 Y 3 Z 3 ………………… Tráfico A-B Tráfico A-B Tráfico A-B C captura todo el tráfico entre A y B El switch se comporta como un hub Tabla CAM desbordada Tabla CAM
Ataque en toda la LAN Si las tramas ‘envenenadas’ (con direcciones de origen falsas) llevan como destino la dirección broadcast o cualquier dirección inexistente se distribuyen por toda la LAN, con lo que un solo host puede desbordar las tablas CAM de todos los conmutadores El host atacante puede husmear el tráfico de cualquier otro host en la LAN Además el rendimiento de la red disminuye considerablemente, pues todos los puertos reciben todo el tráfico. La red funciona como un medio compartido.
Solución al ataque de desbordamiento de la CAM Algunos conmutadores permiten limitar por configuración el número de direcciones MAC asociadas a cada puerto En ese caso cuando el conmutador recibe por un puerto mas MACs diferentes que las permitidas deshabilita el puerto (lo pone en modo shutdown) En una LAN conmutada (sin hubs) se deberían limitar los puertos de usuario a 1 MAC por puerto. También se pueden configurar en el conmutador las MACs que se permiten en cada puerto, es decir construir de forma estática la tabla CAM. Esto es lo más seguro, pero impide la movilidad de equipos por lo que no suele hacerse
Página anterior | Volver al principio del trabajo | Página siguiente |