Capa de Enlace de Datos

Transcripción

1 Capa de Enlace de Datos Introducción NOTA: Lo que vamos a estudiar a continuación parte de la base de que vamos a separar para su estudio la capa de acceso a la red (también llamada de interfase de red) de la tecnología TCP/IP en las dos capas del modelo OSI cuyas funcionalidades abarca, la capa física y la de enlace de datos. Es mejor así tanto a nivel pedagógico como funcional, ya que en TCP/IP ambas capas llegan a confundirse en ciertos aspectos. La capa de enlace de datos es la responsable del intercambio de datos entre un host cualquiera y la red a la que está conectado, permitiendo la correcta comunicación y trabajo conjunto entre las capas superiores (Internet, transporte y aplicación) y el medio físico de transporte de datos. La capa de enlace de datos proporciona sus servicios a la capa de Internet, suministrando un tránsito de datos confiable a través de un enlace físico. Cuando la conexión entre dos máquinas es punto a punto, como en el caso de que ambas pertenezcan a la misma red, la capa de enlace de datos es la encargada de la transmisión y direccionamiento de datos entre los dos host que se comunican, ocupándose de que éstos se envíen con seguridad y sin errores de transmisión a través del medio físico (cableado de cobre, de fibra óptica, mediante ondas, etc.). En otro tipo de conexiones no puede realizar este cometido, siendo entonces las capas superiores las encargadas del mismo. La capa de enlace de datos es la encargada pues de la transmisión y direccionamiento de datos entre host situados en la misma red, mientras que la capa de internet (o interred) es la encargada de la transmisión y direccionamiento de datos entre host situados en redes diferentes. Para ello, se encarga del direccionamiento físico, la notificación de errores, la topología de la red, el acceso a la red, la formación y entrega ordenada de tramas y el control de flujo en la transmisión de éstas. Con ello consigue convertir el medio físico de transmisión en un medio libre de errores (recordemos que la capa física se ocupa tan sólo del envío de bits transformados en señales, pero no controla si hay errores en la transmisión). Las principales funciones de la capa de enlace de datos son: Establecer los medios necesarios para una comunicación confiable y eficiente entre dos máquinas pertenecientes a una misma red. Recoger los paquetes creados en la capa de internet y añadirles unas secuencias especiales de bits al principio y al final de los 1

2 mismos, creando con ello unas unidades específicas de datos, denominadas tramas o marcos, que suelen ser de unos cientos de bytes. Las sucesivas tramas son luego transformadas en trenes de bits, que son entregados a la capa física para su transmisión. Sincronizar el envío de las tramas, transfiriéndolas de una forma confiable libre de errores. Para detectar y controlar los errores se añaden bits de paridad, se usan CRC (Códigos Cíclicos Redundantes) y envíos de acuses de recibo positivos y negativos, y para evitar tramas repetidas se usan números de secuencia en ellas. Enviar los paquetes de nodo a nodo, ya sea usando un circuito virtual o como datagramas. Controlar la congestión de la red. Regular la velocidad de tráfico de datos. Controlar el flujo de tramas mediante protocolos que evitan que una máquina envíe tramas sin la autorización explícita del receptor, sincronizando así su emisión y recepción. Controlar el enlace lógico y el acceso al medio (soportes físicos de la red). Subcapas LLC y MAC En la actual tecnología TCP/IP, el estándar más aceptado para la capa de enlace de datos (recordemos: como parte constituyente de la capa de acceso a la red) es el definido por la IEE, que diferencia en ella dos subcapas independientes: Subcapa de enlace lógico (LLC). Permite que parte de la capa de enlace de datos funcione independientemente de las tecnologías existentes, proporcionando versatilidad a los servicios de los protocolos de la capa de internet que está sobre ella, mientras se comunica de forma efectiva con las diversas tecnologías que están 2

3 por debajo. Participa en el proceso de encapsulamiento de datos (creación de las tramas), agregando a los paquetes originados en la capa de internet dos componentes de direccionamiento: el Punto de Acceso al Servicio Destino (DSAP) y el Punto de Acceso al Servicio Fuente (SSAP). Luego, los paquetes son enviados a la subcapa MAC para que la tecnología específica requerida (EtherNet, Token-Ring, etc) le añada los restantes datos necesarios, finalizando el proceso de encapsulamiento. Por último, administra la comunicación entre los dispositivos de red. LLC se define en la especificación IEEE 802.2, soportando tanto servicios orientados a conexión como servicios no orientados a conexión, utilizados por los protocolos de las capas superiores. IEEE define una serie de campos en las tramas de la capa de enlace de datos que permiten que múltiples protocolos de las capas superiores compartan un solo enlace de datos físico. Subcapa de control de acceso al medio (MAC), que se ocupa de los protocolos (conocidos con el nombre de Control de Acceso al Medio o protocolos MAC) que sigue una máquina para acceder a los medios físicos, fijando así cuál de los host puede transmitir datos en una red en la que varios host pueden estar intentando transmitir al mismo tiempo. La capa de enlace de datos fue diseñada originalmente para enlaces punto a punto, en los cuales hay que aplicar un control de flujo para el envío continuo de grandes cantidades de información. Pero cuando surgieron las redes de difusión, en las que muchas máquinas comparten un mismo medio de transmisión, fue necesario diseñar la subcapa de acceso al medio para determinar quién puede acceder al medio en cada momento y cómo sabe cada máquina que un mensaje es para ella. La subcapa de control de acceso al medio maneja diferentes protocolos, que pueden ser: Determinísticos. En ellos cada host espera su turno para transmitir. Un ejemplo de este tipo de protocolos es Token Ring, en el que por la red circula una especie de paquete especial de datos, denominado token, que da derecho al host que lo posee a transmitir datos, mientras que los demás deben esperar a que quede el token libre. No determinísticos. Basan en el sistema de "escuchar y transmitir". Un ejemplo de este tipo de protocolos es el usado en las redes Ethernet, en las que cada máquina "escucha" el medio para ver cuando no hay ninguna otra transmitiendo, momento en el que transmite sus datos. 3

4 Para realizar todas estas funciones, la capa de enlace de datos se basa en un componente físico fundamental, la tarjeta de red. Protocolos de control de acceso al medio Los principales protocolos de la capa de acceso al medio son los conocidos en conjunto como estándares 802, creados por el IEEE (Instituto de Ingenieros Eléctricos y Electrónicos), dentro de los cuales destacan los IEEE y IEEE El protocolo IEEE es específico de las redes Ethernet, en las que todas las máquinas comparten el mismo canal de comunicación y tienen la misma prioridad para transmitir, por lo que sólo una de ellas puede transmitir en cada momento (aunque más de una puede recibir datos). En las redes Ethernet, cuando un host envía un mensaje a otro, éste es enviado al medio común de transmisión, siendo recibido por todas las máquinas conectadas al mismo. Sólo el host destino identifica el mensaje como suyo y lo procesa, mientras que el resto simplemente lo ignora. Además, el host emisor no recibe ninguna confirmación de que el mensaje ha llegado a su destino, por lo que la capa de enlace de datos no sabe si los paquetes que envía se están recibiendo o se están perdiendo. Es en este caso la capa de transporte, usando el protocolo TCP, la encargada de verificar si los paquetes de datos han llegado correctamente a su destino. El protocolo de comunicación usado en las redes Ethernet es el CSMA/ CD (Carrier Sense Multiple Access / Collision Detect) que, como su propio nombre indica permite un acceso múltiple a los medios con detección de portadora y detección de colisiones. Su funcionamiento es muy simple, y deriva del protocolo Aloha, que se creó para controlar de alguna manera las primeras comunicaciones por radio que se implementaros en las islas Hawai. Cuando un host quiere transmitir, primero escucha el canal (es decir, detecta si existe una onda portadora en el medio) y si está libre, transmite. En caso contrario, espera un tiempo y vuelve a intentarlo. En caso de que intenten transmitir dos host a la vez se produce una colisión, destruyéndose la información transmitida por ambos. La colisión es detectada no sólo por los host implicados, sino también por todos los demás conectados al medio, que interrumpen las transmisiones, iniciándose en todos ellos unos temporizadores aleatorios encargados de determinar la próxima vez que cada host puede volver a intentar la transmisión. Si cuando alguno de ellos vuelve a transmitir se produce una nueva colisión, se repite el proceso, pero ahora los temporizadores se aumentan al doble del tiempo anterior. De esta forma,se va reduciendo la probabilidad de que se produzcan nuevas colisiones. 4

5 El que se produzcan colisiones usando este protocolo no quiere decir que no sea efectivo. De hecho, es uno de los más simples y que da mejores resultados, hasta el punto que las redes Ethernet son las más usadas en la actualidad para ámbitos locales. Como valor general, si se pasa del 1% de colisiones y/o 15% de utilización de cable podemos decir que la red está saturada. Las redes Ethernet pueden transmitir datos a velocidades de 10 Mbps, 100 Mbps y 1 Gbps. Por su parte, el protocolo IEEE trabaja sobre las redes Token Ring, desarrolladas por la empresa IBM. Estas redes siguen una topología lógica de anillo (física de estrella), con enlaces punto a punto entre cada host y su anterior y siguiente en el anillo. Por el anillo circula un mensaje especial, denominado token, que determina qué máquina puede transmitir en cada instante. Cuando un host desea transmitir un mensaje comprueba que existe un token circulando y espera a que quede libre, momento en que lo recoge y lo marca como reservado, añadiéndole además un valor de prioridad de mensaje. Entonces, envía el mensaje y el token al medio, con lo que ninguna otra máquina podrá transmitir hasta que el mensaje llegue completo al host destino. Cuando esto sucede, el host destino devuelve el token al host emisor, que con ello sabe que el mensaje ha llegado correctamente, con lo que marca el token como libre y lo vuelve a soltar al medio, para que otra máquina puede recogerlo y empezar a transmitir. Para evitar que un mensaje dirigido a un host no accesible u operativo origine que un token quede vagando indefinidamente por el medio, con lo que los demás host no podrían transmitir, los tokens tienen una vida máxima determinada. Si en ese tiempo no es recogido por el host destino, simplemente se destruye. Las redes Token Ring utilizan además una maquina especial, cuya misión es la de supervisar el funcionamiento del anillo, vigilando en cada momento el buen funcionamiento del token y retirando del anillo las tramas defectuosas o que no encuentran su destinatario. El uso de tokens en estas redes garantiza que sólo un host pueda transmitir por vez, con lo que se evitan las colisiones, pero a cambio un host debe esperar a veces bastante tiempo a tener el token para empezar a transmitir. En redes pequeñas o medianas con tráfico de datos pesado Token Ring es más eficiente que Ethernet, pero a pesar de ello la tecnología Token Ring ha quedado prácticamente en el olvido, siendo usadas en la actualidad aquellas que ya estaban montadas. Las redes Token Ring de IBM pueden funcionar a 4 Mbps o a 16 Mbps, utilizando cable par trenzado o cable coaxial, debiéndose configurar todos los host con la misma velocidad para que funcione correctamente la red. 5

6 Tarjetas de red El componente físico fundamental de la capa de enlace de datos es la tarjeta de red, también denominada NIC (Network Interface Card). Normalmente se encuentra situada en la parte trasera de los ordenadores, siendo conectada al medio físico de transmisión mediante conectores RJ-45. La tarjeta de red es la interfase de hadware entre una máquina en red y el medio de transmisión físico por el que se transporta la información de un lugar a otro. Es la encargada de llevar los datos a y desde la memoria RAM y de controlar el flujo de datos de entrada y salida del cableado de la red. El protocolo utilizado en la capa de enlace de datos viene determinado por la tarjeta de red, existiendo tarjetas de red específicas para redes EtherNet y tarjetas específicas para redes Token-Ring, por ejemplo, siendo incompatibles entre ellas. Cada tarjeta de red posee un número identificador único, grabado en la memoria ROM de la misma por el fabricante, que se denomina dirección física o dirección de Control de Acceso al Medio (MAC), que identifica de forma unívoca al ordenador que la posee. Cuando se arranca una máquina, la dirección MAC se copia en la memoria RAM, para tenerla siempre a mano. La dirección física está formada por 32 bits, que se representan por medio de 6 bytes hexadecimales, del tipo D-1A-12-35, de los cuales los 3 primeros (24 bits), denominados Identificador Organicional Unico (UOI), son asignados a cada fabricante concreto, y los 3 últimos (24 bits) los asigna el propio fabricante de forma secuencial (número de serie). 6

7 No existen dos tarjetas de red con la misma dirección MAC, por lo que la misma se puede usar (y así se hace) para identificar en una red a la máquina en la que está instalada. El gran problema de estas direcciones es que están conformadas como un sistema de direccionamiento plano, sin ninguna jerarquía, por lo que la tarjeta de número D-1A no nos dice nada ni de la máquina que la tiene instalada ni de la red en que se encuentra, ni tiene relación alguna con la ubicación de la máquina de número de tarjeta D-1A Digamos que es un sistema de identificación análogo al del D.N.I. español, en el que el número del mismo no dice nada de la persona poseedora del documento. Paras ver el número de la tarjeta de red de vuestra máquina basta con abrir una consola del sistema y teclear en ella el comando ipconfig /all, con lo que obtendréis un resultado similar al de la siguiente imagen: Como véis en la imagen, aparte de obtener datos como el nombre de la máquina (alia), el grupo de trabajo al que pertenece (terno.local), su dirección IP interna ( ) y su máscara de red ( ), tenemos también la marca y modelo de la tarjeta de red (3Com EtherLink XL 10/100 PCI TX NIC) y su número/dirección física ( A1-37-EF). Creación de tramas 7

8 Una vez que los datos procedentes de las capas superiores son enpaquetados en datagramas en la capa de internet, son transferidos a la capa de enlace de datos para su procesamiento y posterior transmisión al medio físico. Para que estos datos se puedan enviar de forma correcta hasta el destinatario de los mismos hay que darles un formato adecuado para su transmisión por los medios físicos, incluyéndoles además algún mecanismo de identificación de ambos host (emisor y receptor) para que la transferencia quede perfectamente identificada. Esto lo consigue la Capa de Enlace de Datos disponiendo los datagramas en forma de tramas. Una trama está formada por un campo central de datos, en el que se coloca cada datagrama recibido de la capa de internet, y otra serie de campos con utilidad variada. En general, el aspecto de una trama y el significado de los diferentes campos es el que sigue: inicio de trama dirección longitud/tipo datos FCS fin de trama Campo de inicio de trama: secuencia de bytes de inicio y señalización, que indica a las demás máquinas en red que lo que viene a continuación es una trama. Campo de dirección: secuencia de 12 bytes que contiene información para el direccionamiento físico de la trama, como las direcciones MAC del host emisor y del host destinatario de la trama. Campo longitud/tipo: en algunas tecnologías de red existe un campo longitud, que especifica la longitud exacta de la trama, mientras que en otros casos aquí va un campo tipo, que indica qué protocolo de las capas superiores es el que realiza la petición de envío de los datos. También existen tecnologías de red que no usan este campo. De existir, ocupa 2 bytes. Campo de datos: campo de 64 a 1500 bytes, en el que va el paquete de datos a enviar. Este paquete se compone de dos partes fundamentales: el mensaje que se deséa enviar y los bytes encapsulados que se deséa que lleguen al host destino. Además, se añaden a este campo unos bytes adicionales, denominados bytes de relleno, con objeto que que las tramas tengan una longitud mínima determinada, a fin de facilitar la temporización. Campo FCS: o campo de secuencia de verificación de trama, de 4 bytes, que contiene un número calculado mediante los datos de la trama, usado para el control de errores en la 8

9 transmisión. Cuando la trama llega al host destino, éste vuelve a calcular el número contenido en el campo. Si coinciden, da la trama por válida; en caso contrario, la rechaza. Generalmente se usan el método Checksum (suma de bits 1), el de paridad (números de bits 1 par o impar) y el Control de Redundancia Cíclico (basado en polinomios construidos a partir de los bits de la trama) para este fin. Campo de fin de trama: aunque mediante los campos inicio de trama y longitud se puede determinar con precisión dónde acaba una trama, a veces se incluye en este campo una secuencia especial de bytes que indican a los host que escuchan en red el lugar donde acaba la trama. Direccionamiento físico Como hemos visto, la capa de enlace de datos se encarga de determinar qué máquinas se están comunicando entre sí, cuándo comienza y termina esta comunicación, qué host tiene el turno para transmitir y qué errores se han producido en la transmisión. Ahora bien cómo se produce esta comunicación entre dos host de una misma red?. La respuesta es mediante el direccionamiento físico, basado en los números de las trajetas de red de ambos host (direcciones físicas). Cuando el host A deséa enviar una trama al host D, introduce en el campo "dirección" de la trama tanto su dirección física como la del host destino y, una vez que queda el medio libre, las transmite al mismo. Todos los host conectados a la misma red tienen acceso a la trama. La capa de enlace de datos de cada host analiza las tramas que circulan por la red y compara la dirección física de destino de las mismas con la suya propia. Si coinciden, toma la trama y la pasa a las capas superiores; si no, la rechaza. 9

10 De esta forma, solo el host destino recoge la trama a él dirigida, aunque todos los host de la misma red tienen acceso a todas las tramas que circulan por la misma. Si el host D desea mandar alguna respuesta al host A, el proceso se invierte. Protocolo ARP Una vez que un paquete llega a una red local mediante el ruteo IP, el encaminamiento necesario para la entrega del mismo al host destino se debe realizar forzosamente mediante la dirección MAC del mismo (número de la tarjeta de red), por lo que hace falta algún mecanismo capaz de transformar la dirección IP que figura como destino en el paquete en la dirección MAC equivalente, es decir, de obtener la relación dirección lógica-dirección física. Esto sucede así porque las direcciones Ethernet y las direcciones IP son dos números distintos que no guardan ninguna relación entre ellos. De esta labor se encarga el protocolo ARP (Protocolo de Resolución de Direcciones), que en las LAN equipara direcciones IP con direcciones Ethernet (de 48 bits) de forma dinámica, evitando así el uso de tablas de conversión. Mediante este protocolo una máquina determinada (generalmente un router de entrada a la red o un swicht) puede hacer un broadcast mandando un mensaje, denominado petición ARP, a todas las demás máquinas de su red para preguntar qué dirección local pertenece a alguna dirección IP, siendo respondido por la máquina buscada mediante un mensaje de respuesta ARP, en el que le envía su dirección Ethernet. Una vez que la máquina peticionaria tiene este dato envía los paquetes al host destino usando la direción física obtenida. 10

11 El protocolo ARP permite pués que un host encuentre la dirección física de otro dentro de la misma red con sólo proporcionar la dirección IP de su objetivo. La información así obtenida se guarda luego en una tabla ARP de orígenes y destinos, de tal forma que en los próximos envíos al mismo destinatario no será ya necesario realizar nuevas peticiones ARP, pués su dirección MAC es conocida. ARP es pués un protocolo de bajo nivel que oculta el direccionamiento de la red en las capas inferiores, permitiendo asignar al administrador de la red direcciones IP a los host pertenecientes a una misma red física. Los mensajes de petición ARP (ARP request) contienen las direcciones IP y Ethernet del host que solicita la información, junto con la dirección IP de la máquina destino. Los mensajes de respuesta ARP (ARP reply) son creados por el ordenador propietario de la IP buscada, que rellena el campo vacío con su dirección Ethernet y lo envía directamente al host que cursó la solicitud. Cuando el host origen recibe la respuesta ARP y conoce la dirección física del host destino introduce esos datos en una tabla especial alojada en su caché, y lo mismo va haciendo con cada una de las parejas dirección IP-dirección física que utiliza en sus diferentes comunicaciones con otros host. Y no sólo eso; como las peticiones ARP se realizan por multidifusión, cada vez que pasa ante él un mensaje de respuesta ARP extráe del mismo la pareja IP-MAC y la incorpora a su tabla. De esta forma se va construyendo la tabla dinámicamente. En sucesivas comunicaciones entre ambos host ya no será preciso realizar una nueva petición ARP, ya que ambos host saben las direcciones del otro. Estas tablas se denominan tablas ARP o caché ARP, y son fundamentales para el funcionamiento y rendimiento óptimo de una red, pués reducen el tráfico en la misma al evitar preguntas ARP innecesarias. tabla ARP 11

12 dirección IP dirección física A-C5-42-FD C-2A-48-A D-F A7-93 Las tablas ARP son necesarias para poder dirigir tramas en una red, ya que las direcciones IP y las direcciones de las tarjetas de red son independientes, y no tienen ninguna equivalencia entre ellas, siendo necesario entonces algún método para poder obtener la equivalencia entre ambas. De forma general, cuando una máquina desea comunicarse con otra a partir de su IP, lo primero que hace es mirar en su tabla ARP si tiene la dirección física asociada a esa dirección lógica. Si es así, envía directamente los paquetes al host destino. Si no encuentra la entrada adecuada en la tabla, lanza una petición ARP multidifusión a todos los host de su red, hasta encontrar respuesta, momento en el que incorpora la nueva entrada en su tabla ARP y envía los paquetes al destino. Si la máquina destino no existe, no habrá respuesta ARP alguna. En estos casos, el protocolo IP de la máquina origen descartará las tramas dirigidas a esa dirección IP. Cuando un host realiza una petición ARP y es contestado, o cuando recibe una petición o trama, actualiza su tabla ARP con las direcciones obtenidas. Estas entradas en la tabla tienen un tiempo de vida limitado, con objeto de no sobrecargar la tabla con datos innecesarios, que suele ser de unos 20 minutos. Si queréis ver la tabla ARP de vuestra máquina, tan sólo tenéis que abrir la consola del sistema y escribir el comando "arp -a". Si no encontráis entradas, abrid el navegador y hacer una petición HTTP a cualquier página web. Si volvéis a introducir en la consola el camando os aparecerá la entrada ARP del router o proxy que uséis para salir a Internet. En mi caso he obtenido la siguiente entrada: En la misma, Interfaz corresponde a mi máquina, es la IP del router de salida a Internet, y ea-2b-10-fd es la dirección física del router. Una pregunta que os podéis hacer muchos de vosotros es la siguiente: 12

13 Porqué se envían las tramas en una red mediante ARP y las direcciones físicas, si existen el protocolo IP y las direcciones lógicas, de caracter más general?. La respuesta es que existen tecnologías de red que no usan la pila de protocolos TCP/IP, y que por lo tanto no manejan direcciones IP como base de enrutamiento general, por lo que debe haber algo que permita una técnica común de envío de tramas una vez llegadas a la red destino. Y este algo son las direcciones de las tarjetas de red de los host. Otra pregunta posible es: Cómo se pueden comunicar entonces dos máquinas pertenecientes a redes o subredes diferentes, si la máquina destino no "oye" la petición ARP de la máquina origen?. Bien, pués es posible porque cuando un host realiza una petición ARP y no encuentra respuesta, envía la trama al router que tiene configurado como "gateway por defecto", siendo éste el encargado de transmitir la trama al exterior, hacia otros routers, enviando las tramas con la dirección IP del host destino y con su propia dirección física, proceso que continúa hasta que la trama llega al router perteneciente a la red en la que se encuentra el host destino. Entonces éste hace una petición ARP, obtiene la dirección física del host final y le envía la trama. Y una última pregunta: Cómo se entregan las tramas cuando me conecto mediante un modem y mi proveedor de Internet? Bueno, pués es conexiones a dial-up, como las que hacemos a través de la línea telefónica, no es necesaria tarjeta de red alguna (en realidad pertenecemos a una red virtual, siendo los modem una especie de tarjetas de red virtuales), por lo que los paquetes se entregan directamente por medio de la dirección IP dinámica que nos asigna el proveedor en cada conexión y usando para ello el protocolo PPP. ARP Proxi.- En muchas redes, para evitar el proceso de peticiones ARP sin respuesta, se usa el protocolo denominado ARP Proxi, en el que el router de salida recoge todas las peticiones ARP que circulan por la red y observa si la IP destino pertenece a un host de la misma o a un host de otra red. En el primer caso deja pasar la petición, para que séa respondida por la máquina destino, pero en el segundo caso es él el que responde directamente a la máquina peticionaria con su propia dirección física, para posteriormente enrutar las tramas hacia la red destino. RARP (ARP por Réplica).- Otro protocolo relacionado con ARP es el RARP, que permite que una máquina que acaba de arrancar o sin disco pueda encontrar su 13

14 dirección IP desde un servidor. Para ello utiliza el direccionamiento físico de red, proporcionando la dirección hardware física (MAC) de la máquina de destino para identificar de manera única el procesador, transmitiendo por difusión la solicitud RARP. Una vez que la máquina obtiene su dirección IP la guarda en memoria, y no vuelve e usar RARP hasta que no se inicia de nuevo. Al igual que ocurre con casi todos los protocolos de comunicaciones, y en concreto TCP/IP, el protocolo ARP puede ser usado por un posible atacante para objetivos no deseados. Una de las técnicas más usadas en este sentido es la conocida como ARP Spoofing que,como su nombre indica, consiste el el uso del protocolo para hacerse pasar por quién no se es en realidad, es decir, para suplantar a otra persona o máquina. Básicamente consiste en enviar a la máquina objetivo del ataque un paquete con la dirección IP que queremos suplantar pero con la dirección física de nuestra tarjeta de red. En este caso, la máquina objetivo guardará la entrada ARP en su tabla caché, y a partir de ese momento todos los paquetes que envíe a la dirección IP suplantada llegarán a la máquina del atacante, y no a su legítimo destinatario. Este ataque dura aproximadamente unos 20 minutos (varía según el sistema operativo de la máquina atacada), que es el tiempo que se guardan las entradas en las tablas ARP. La pregunta que ahora os haréis es: Cómo podemos enviar a una máquina un paquete falseado?. Bien, pués existen diferentes programas circulando por Internet que precisamente hacen esto, como arp-fun, que son fácilmente asequibles a cualquiera que los busque. Estos ataques es posible realizarlos solo en el caso de redes LAN, ya que en cuanto nos encontremos con conexiones dial-up (modems, por ejemplo) no existen tarjetas de red a las que redireccionar. Además, las nuevas tarjetas de red hacen una actualización de las tablas ARP caché en intervalos muy cortos (unos cinco minutos), por lo que el ataque es de duración muy limitada. Existen también programas específicos para controlar estos ataques, como ARPwatch, que observan los cambios que se producen en las entradas IP/Ethernet, enviando un correo al administrador de la red si aprecian cambios incorrectos. Seguridad y ARP.- Snifers.- Hemos visto antes como las tramas enviadas por un host cualquiera viajan por toda su red hasta el host destino. Todos los host tienen acceso a todas las tramas, pero solo aquel cuya dirección física coincida con la especificada en la cabecera de la trama como destino 14

15 de la misma recoge la trama y la pasa a las capas superiores para su proceso. Ahora bien. Imaginemos una tarjeta de red "trucada" de tal forma que admita todas las tramas que pasan por el medio físico, sean o no dirigidas al host que la incorpora. Entonces, dicho host puede capturar toda la información que circule por su red, atentando de forma grave contra la seguridad de la misma. Una tarjeta de red en estas condiciones se dice que está "configurada en modo promiscuo" (promiscous mode). Existen tarjetas que ya vienen configuradas en este modo, pero lo normal es que la promiscuidad de una trajeta se implemente por software, usando unos programas especiales conocidos como snifers. La misión de un snifer es pués capturar todas las tramas que pasan a través de una tarjeta de red. Generalmente los snifers se configuran para capturar tan solo las tramas (paquetes) dirigidos a unos puertos determinados (que suelen ser el 21, el 23, el 110 y el 143), ya que si no la carga que soportarían sería excesiva. Además, algunos de ellos están diseñados para "grabar" estas tramas durante un cierto periodo de tiempo (unos segundos) y almacenarlos luego en un fichero log, que puede ser estudiado posteriormente con toda tranquilidad por el atacante. Los snifers son muy peligrosos en una red, ya que muchas de las claves introducidas por los usuarios viajen sin encriptar y sin ningún otro tipo de protección, por lo que el atacante puede hacerse con claves de todo tipo, desde claves de usuario de acceso a Telnet hasta claves de Administrador. Detectar la presencia de un snifer actuando es relativamente fácil, siempre que se tenga acceso físico al equipo afectado; basta con observar los procesos en marcha en el mismo, existiendo programas especiales para detectar su presencia en una red. Por ello, los creadores de snifer cada día se afanan en ocultar su actuación, basándose en diferentes técnicas, como el uso conjunto de troyanos que borran las huellas del snifer. Un snifer no es de por si un programa malicioso, si no el uso que se le da (como ocurre con la mayoría del software hack). Así, el uso de snifers puede ser una herramienta de grán ayuda para un administrador de red, ya que le permite monitorizar las tramas que están circulando por la misma, los mensajes de información y error que se generan, la actividad de la red. Existen aplicaciones muy buenas para esta labor, como Lan-Inspector (de VisLogic). La forma más segura de evitar el uso de snifers indeseados es usar tarjetas de red especialmente diseñadas para ello, que no aceptan el modo promiscuo. Otra de las formas es configurando la red en una topología de estrella o de estrella extendida y situando en el centro de cada nodo un hub "inteligente" o un switch, capaces de examinar el encabezado de cada trama y enviarla tan solo al host destinatario. 15

16 1. Cuál es la mejor forma de evitar ataques por snifers en una red? - No enviar datos importante por la red - Usar SW especializado que vigile las entradas en las tablas ARP. - Usar tarjetas de red especialmente diseñadas que no acepten el modo promiscuo. - Usar un firewal que proteja la red de intrusiones 2. Qué subcapa se encarga de independizar los protocolos superiores de las tecnologías físicas de la red? - Punto de acceso al Servicio Destino (DSAP) - Punto de acceso al Servicio Fuente (SSAP) - Subcapa de control de Acceso al Medio (MAC) - Subcapa de enlace lógico (LLC) 3. Para la comunicación entre máquinas de dos redes diferentes se utilizan: - Las direcciones físicas MAC - Las direcciones logicas IP 4. Como se configura la tarjeta de red de un snifers? - En modo avanzado - En modo espia - En modo normal - En modo promiscuo 5. Qué protocolo estándar se refiere a las redes Ethernet? - IEEE IEEE IEEE IEEE La dirección física esta formada por: - 16 bits - 32 bits - 48 bits - 64 bits 16

17 7. Cuales son las misiones principales de las tarjetas de red? - Asignar a cada trama que se envia un numero secuencial que permita su posterior identificación y reemsamblar las tramas ordenadamente en su destino. - Controlar en cada momento el numero de host que están transmitiendo, detectar las colisiones y reenviar de nuevo los paquetes perdidos o con error. - Llevar los datos a y desde la memoria RAM y de controlar el flujo de datos de entrada y salida del cableado de la red. - Ocuparse de los voltajes de transmisión de los bits y de detectar posibles atenuaciones en la red 8. Para evitar errores en el envio de tramas se utilizan: - Acuses de recibo positivos y negativos - Bits de paridad - Códigos ciclicos redundantes 9. Qué datos imprescindibles para el envio van en el campo de dirección de una trama? - Direcciones MAC del host emisor y del host destino - Direcciones MAC e IP del host destino - Direcciones MAC e IP del host emisor - Direcciones MAC e IP del host emisor y del host destino 10. Qué comando hay que escribir en la consola del sistema Windows para visualizar la tabla ARP de nuestra máquina? arp a ping arp rarp a tracer arp 11. Cuantos host pueden tranmitir a la vez al medio en una red Ethernet? Dos, el emisor y el receptor Todos los host de la red Tres, el emisor, el receptor y el servidor de la red Uno, el emisor 17

18 18