Infraestructuras para el desarrollo e implantación de aplicaciones de red escalables. Adolfo Albaladejo Blázquez 1, Juan Antonio Gil Martínez-Abarca 2 1 Departamento de Física, Ingeniería de Sistemas y Teoría de la Señal adolfo@dfists.ua.es 2 Departamento de Tecnología Informática y Computación, gil@eps.ua.es Resumen. El desarrollo e implantación de grandes aplicaciones y, en especial, las de gestión de redes informáticas, exige entornos de trabajo, infraestructuras y tecnologías de servicio con altos niveles de calidad, fiabilidad y escalabilidad. Con estos objetivos de aplicación, la infraestructura tecnológica en la que éstas se basan debe ser lo suficientemente flexible para que permita dichas características, sin olvidarnos de otros factores como la disponibilidad y el rendimiento. Así, el primer paso deberá consistir en el análisis de las posibles infraestructuras tecnológicas existentes y elegir la más adecuada a nuestras necesidades. En el presente documento se realiza una presentación de las tecnologías de red, sistemas y seguridad que nos permitirán el desarrollo de soluciones escalables con alta disponibilidad, rendimiento y fiabilidad. Introducción El desarrollo de aplicaciones de red y el sistema de información subyacente conlleva una serie de infraestructuras que deben analizarse pormenorizadamente para que su elección no afecte de forma negativa a la aplicación y al sistema desarrollado. Los aspectos más importantes que se deben cubrir son: autenticación, tecnología de red y tecnologías para el almacenamiento de información, la alta disponibilidad y el equilibrado de carga. Con el auge de las aplicaciones informáticas en red otro aspecto que está cobrando importancia es el de la seguridad, en concreto, la disponibilidad de los servicios y la identificación y autenticación de los usuarios, ya sean usuarios de aplicaciones, sistemas o redes. Por ello, la elección de las tecnologías apropiadas para la implementación de un sistema seguro de altas prestaciones conlleva el análisis, en todos los niveles OSI, de las tecnologías existentes, para aplicar la configuración que se considere más adecuada a las necesidades. Además, por motivos de aprovechamiento de la tecnología existente y reducción de TOC, también está cobrando importancia las tecnologías de servidores Blade y servidores virtuales [19].
Tecnologías de red Para el desarrollo de grandes aplicaciones de red escalables basadas en el conjunto de especificaciones J2EE, la infraestructura tecnológica de red en la que se basan debe ser lo suficientemente flexible y ajustada a las necesidades que permita alcanzar los objetivos de escalabilidad, disponibilidad, seguridad, rendimiento y fiabilidad que se le presuponen. Es por ello que se debe realizar un análisis exhaustivo de las distintas tecnologías de red existente y elegir, y configurar adecuadamente, la que más se ajuste a las necesidades previstas. Los principales objetivos de cualquier tecnología de red son [2]: eficiencia en la transmisión, seguridad y alta disponibilidad. En la presente sección se va a analizar tecnologías de seguridad y configuración de red, dejando la alta disponibilidad para la siguiente sección. Nivel de enlace Para la creación y configuración de redes privadas, existen en la actualidad dos protocolos de nivel de enlace que adquieren el protagonismo principal para la implantación de redes privadas aprovechando la presencia de infraestructuras de red. Redes virtuales de área local (VLAN) Hasta principios de los noventa las grandes redes se desarrollaban, incluso a nivel de redes nacionales, basándose únicamente en el uso de conmutadores y puentes. Entre las grandes virtudes de los puentes y los conmutadores están su transparencia y sencillez de manejo siendo posible realizar redes complejas, incluso con enlaces WAN si se utilizan puentes remotos, sin tener que configurar ningún router. Sin embargo había dos inconvenientes serios: El exceso de propagación del tráfico broadcast y multicast ya que generalmente los protocolos orientados a redes locales utilizan estas tramas para anunciar todo tipo de servicios. Concretamente, para las tramas broadcast no es tanto por el ancho de banda utilizado sino por los ciclos de CPU desperdiciados en todos los ordenadores de la red. La transparencia de esta electrónica de red hace difícil establecer mecanismos de control, protección y filtrado de tráfico, principalmente, debido a que las direcciones MAC no son agregables y no se dispone de ningún prefijo común que permita agruparlas por ningún criterio. Posteriormente, las diversas partes de la red se separarán mediante routers ya que, al actuar a nivel de red, aíslan las tramas broadcast y multicast y facilitan la gestión al permitir la agregación de las direcciones de nivel de red. Dividir una red local con criterios geográficos resulta sencillo ya que la topología del cableado nos permite realizar esa división de manera directa, sin embargo, a menudo se requiere realizar una división lógica de acuerdo a otros criterios. Normalmente coexistirán varias localizaciones con varias unidades funcionales o departamentos diferentes y en las que se debería instalar en los correspondientes armarios de cableado conmutadores independientes e interconectarlos entre sí por separado.
Una solución a nivel de enlace para este problema es la creación de redes locales virtuales (VLANs) donde se realiza una partición lógica de los conmutadores dividiendo los puertos en grupos que son completamente independientes entre sí [15]. La conexión de las diferentes VLANs con el resto de la red se podría realizar conectando un puerto de cada VLAN en los conmutadores necesarios hasta que alcanzaran una interfaz física (diferente para cada VLAN) del router. Aunque físicamente las tres VLANs comparten los conmutadores sigue habiendo tres redes separadas en el cableado, ya que las tramas de VLANs diferentes nunca viajan por un mismo cable. Figura 1. Trama MAC con marcado para las VLANs. Un nivel adicional de optimización sería aquel donde se compartiera un mismo cable entre diferentes VLANs y el router con el objetivo de ahorrar el número de puertos utilizados en los enlaces troncales o de agregación, especialmente cuando se manejan muchas VLANs. Esto se denomina configurar un enlace trunk. Como es lógico, los enlaces trunk suelen ser de mayor capacidad que los puertos normales del conmutador ya que soportan un tráfico más elevado. Al mezclar tramas de diferentes VLANs por el mismo cable es preciso marcarlas o etiquetarlas de alguna manera a fin de poder entregarlas a la VLAN adecuada en el otro extremo. El marcado se hace añadiendo un campo nuevo en la cabecera de la trama MAC. Los primeros sistemas de etiquetado de tramas eran propietarios, por lo que los enlaces trunk solo podían interoperar entre equipos del mismo fabricante. Hoy en día existe un formato estándar para colocar las etiquetas de VLAN que es el conocido como IEEE 802.1q [13] que es el que utilizan, prácticamente, la totalidad de los equipos actuales. Redes Privadas Virtuales Una red privada virtual o VPN (Virtual Private Network) consiste en la interconexión de un conjunto de ordenadores haciendo uso de una infraestructura pública, normalmente compartida, para simular una infraestructura dedicada o privada [1].
Se crea un túnel VPN [2] entre un ordenador externo a la red y un equipo que denominaremos servidor de túneles, ubicado en la red local, el cual se encargará de encapsular y desencapsular los paquetes. El túnel va a permitir a los usuarios remotos acceder a la red interna como si estuviera conectado en la red local (aunque con una velocidad que dependerá obviamente de la conexión física que utilice). Mientras el túnel está operativo todo el tráfico del usuario remoto a cualquier destino de Internet se realiza, por defecto, a través del servidor de túneles. Esto significa que el usuario sufrirá las limitaciones asociadas a la capacidad del servidor de túneles y, si accede a destinos ubicados fuera de la red local, sufrirá también las limitaciones que le imponga la conexión a Internet. Además de conectar un ordenador aislado es posible establecer un túnel VPN entre routers. Esto nos permite conectar toda una red local a través de un único equipo y además no requiere soporte de túneles en el host final. En este caso, los routers serán los encargados de realizar la labor de encapsulado/desencapsulado de datagramas. Figura 2. Túnel VPN entre routers. La reciente aparición de conexiones a Internet de alta velocidad y bajo coste hace especialmente atractivo el uso de túneles VPN para constituir enlaces entre redes sin incurrir en los elevados costes de constituir una infraestructura dedicada mediante enlaces punto a punto o circuitos frame relay / ATM. Con bastante frecuencia cuando se establecen túneles VPN dado que los datagramas viajan por una infraestructura pública en la que la información puede ser capturada y/o modificada por usuarios externos se crean túneles VPN con ciertos requerimientos de seguridad, constituyendo lo que podríamos denominar redes privadas virtuales seguras. El problema de una comunicación segura a través de una red se resuelve normalmente a nivel de enlace, a nivel de red o a nivel de aplicación [9]. Cada una de estas tres alternativas tiene sus ventajas e inconvenientes: Nivel de enlace: La seguridad a nivel de enlace se implementa en los dispositivos que se conectan al medio de transmisión, por ejemplo, dos routers que se comunican mediante una línea punto a punto. En este caso los mecanismos de seguridad se pueden aplicar de forma transparente al protocolo utilizado a nivel de red. Nivel de red: Esta es la aproximación adoptada por el estándar IPSec. En este caso la seguridad se limita al protocolo IP y otros protocolos sólo podrán
aprovecharla si se encapsulan previamente en paquetes IP. El usuario puede aplicar la seguridad a nivel de red de forma transparente al proveedor del servicio. Nivel de aplicación: Esta es la aproximación adoptada por ejemplo en correo electrónico por PEM (Privacy Enhanced Mail) o PGP (Pretty Good Privacy), en HTTP por Secure HTTP o SSL (Secure Sockets Layer) o en gestión de redes por SNMP versión 3. El principal inconveniente de abordar la seguridad a nivel de aplicación estriba precisamente en la necesidad de incorporar funcionalidades similares en cada uno de los protocolos del nivel de aplicación que deban utilizarlas, replicando así gran cantidad de tareas en diferentes partes de código. La ventaja es que la seguridad se puede desarrollar de forma selectiva, aplicándola únicamente en el intercambio de información confidencial o importante. Capa de red De los diferentes protocolos de la capa de red, en este apartado se va a describir el protocolo IPSec y el protocolo de encaminamiento OSPF. IPSec Denominamos IPSec al conjunto de estándares que trata todo lo relacionado con el intercambio seguro de información a nivel de red [1]. En realidad, IPSec es una arquitectura (descrita en el RFC 2401) y un conjunto de protocolos y mecanismos de autenticación y encriptado [9]. Las principales funcionalidades que incorpora IPSec son las siguientes: AH (Autentication Header): La cabecera de autentificación asegura al receptor que el datagrama no ha sido alterado ni en su contenido ni en su cabecera (salvo por la modificación del campo TTL y del checksum, que se han de realizar en cada salto); por consiguiente además de garantizarse el contenido se garantiza la autenticidad del remitente. AH se describe en el RFC 2402. ESP (Encapsulating Security Payload): Garantiza la confidencialidad de la información. La parte de datos del datagrama (incluida la cabecera de transporte) viaja encriptada de forma que sólo el destinatario pueda descifrar su contenido. Opcionalmente ESP puede incluir la funcionalidad de AH, es decir garantizar que el contenido no ha podido ser alterado por terceros. ESP se describe en el RFC 2406. ISAKMP (Internet Security Association and Key Management Protocol): Consiste en una serie de mecanismos seguros para realizar, de forma manual o automática, el intercambio de claves necesarias para las labores de encriptado y autentificación realizadas por AH y ESP. ISAKMP se describe en el RFC 2408. Podemos distinguir dos modos de funcionamiento de IPSec: Modo transporte: La encriptación se realiza extremo a extremo, es decir del host de origen al host de destino. Para la implantación de IPSec en modo transporte es necesario que todos los hosts de las redes origen y destino dispongan de una implementación de IPSec.
Modo túnel: La encriptación se efectúa únicamente entre los routers de acceso a los hosts. En este caso, la información viaja no encriptada en la parte de la red local. El funcionamiento de IPSec en modo túnel permite integrar IPSec en una VPN ya que el mismo dispositivo que realiza el túnel VPN puede realizar las labores correspondientes al túnel IPSec. El modo transporte es más fiable puesto que ofrece comunicación segura host a host. Sin embargo, el modo túnel tiene la ventaja de permitir incorporar la seguridad sin necesidad de incorporar IPSec en los hosts; aunque la seguridad que se obtiene en este caso no sea tan alta, la sencillez de implantación es mucho mayor y se consiguen la mayor parte de los beneficios ya que se protege la parte más expuesta del trayecto que es la infraestructura pública del operador. En función de las circunstancias que rodeen cada caso se deberá optar por una u otra, incluso se pueden dar situaciones híbridas en las que determinado tipo de información baste protegerla con el modo túnel mientras que para algún host concreto, que maneje información de mayor importancia, se deba utilizar el modo transporte. Figura 3. Cabeceras para IPSec tanto en modo túnel como modo transporte. Uno de los problemas que plantea la encriptación es el consumo intensivo de CPU que puede limitar el rendimiento de las comunicaciones. Esto suele ser un problema especialmente en los routers y servidores de túneles que atienden túneles IPSec con la función ESP activada ya que la función AH no requiere encriptación. Para evitar este problema muchos servidores de túneles y routers permiten incorporar módulos que realizan los algoritmos de encriptación por hardware. OSPF Open Shortest Path First (OSPF), es un protocolo no propietario de routing de estado del enlace basado en un estándar abierto [2]. OSPF ha sido descrito en varios RFCs, pero el estándar de OSPF v.2 está descrito en el RFC2328 [1]. Existen diferentes protocolos de encaminamiento abiertos, pero para redes de tamaño medio-grande el preferible es OSPF ya que, por ejemplo, no tiene el problema de la limitación de los 15 saltos de RIP, los tiempos de convergencia de OSPF son muchísimo mejores en todos los casos y, además, para el cálculo de costes
y rutas óptimas tiene en cuenta factores tales como el ancho de banda lo que permite elegir un camino, supuestamente más lento pero con mayor ancho de banda [9]. Con OSPF no se entrega la tabla de rutas completa, sino el estado de los enlaces para que los routers procesen esta información y generen la base de datos de estado del enlace la cual es esencial para poder dibujar un esquema de quién está conectado con quién. Todos los routers en una misma área tienen que tener una base de datos del enlace idéntica. Cada router ejecuta independientemente el algoritmo SPF2, también conocido como algoritmo de Dijkstra, en la base de datos del enlace con tal de determinar las mejores rutas a los destinos. El algoritmo SPF añade el coste (el cual está normalmente basado en el ancho de banda) a cada uno de los enlaces entre el router origen y el destino. Entonces el router escoge el camino con coste más bajo y añade el camino a su tabla de encaminamiento, también conocida como base de datos de forwarding [15] [16] [18]. Para simplificar el intercambio de información de encaminamiento sobre varios vecinos en la misma red, los routers que ejecutan OSPF tienen que escoger el Router Designado (DR) y el Router Designado de Backup (BDR) para servir de punto central para la actualización de rutas. Ya que la adyacencia es necesaria para que los routers que utilizan OSPF puedan compartir su información de encaminamiento, un router tiene que ser adyacente con al menos otro router en la red IP a la que esté conectado. Para iniciar esta adyacencia, cuando un router arranca el proceso de encaminamiento OSPF en una de sus interfaces, envía un paquete hello a la dirección multicast 224.0.0.5 todos los routers para asegurar el estado de las adyacencias lo seguirá mandando a intervalos regulares. OSPF utiliza el protocolo Hello para realizar un intercambio inicial con el que se pretende conocer a los vecinos de red; posteriormente, se averiguan las rutas existentes para, por último, elegir las rutas y mantener la información de encaminamiento. OSPF por defecto según la RFC2328 permite hasta 6 rutas con igual coste hacia un único destino, esto nos permitiría la realización de balanceo de carga en caso que sea necesario. Capa de transporte El objetivo de esta capa, dentro del conjunto de protocolos de TCP/IP, es el de encargarse de la entrega de los paquetes de información que se realiza en texto claro, sin comprobaciones de integridad, sin confidencialidad y no repudio. Para introducir estas características, se diseñaron los protocolos SSL/TLS y SSH que se introducen entre la capa de transporte y la de aplicación de tal forma que los paquetes se encriptan para su transmisión y se desencriptan en la recepción de manera transparente para las aplicaciones. SSL SSL se introduce en la pila de protocolos de TCP/IP como un protocolo de propósito general que permita al flujo de datos entre una aplicación y el nivel de transporte confiable [5]: Autenticación y no repudio en el lado del servidor mediante certificados digitales (X.509)
Autenticación y no repudio en el lado del cliente mediante certificados digitales (X.509) Integridad de los datos Confidencialidad de los datos Para establecer una comunicación segura utilizando SSL se debe realizar: Solicitud de seguridad. Establecer los parámetros que se utilizarán para SSL. Esta parte se conoce como SSL Handshake. Verificaciones periódicas para garantizar que la comunicación sigue siendo segura a medida que se transmiten datos. Tras completar la transacción, se termina SSL. Durante el handshake se cumplen varios propósitos. Por un lado se realiza la autenticación del servidor y, opcionalmente, la del cliente; se determina qué algoritmos de criptografía serán utilizados y se genera una llave secreta que se utilizará durante el intercambio de mensajes subsiguientes durante la comunicación SSL. SSH SSH constituye un conjunto de protocolos para el inicio de sesión remota segura y otros servicios de red como transmisión de ficheros. Está compuesto por los siguientes protocolos: Transporte. Proporciona autenticación del servidor, confidencialidad e integridad de los datos Autenticación del usuario Conexión. Proporciona múltiples canales de datos a través de un único túnel cifrado mediante un código de autenticación de mensajes (MAC) Arquitecturas de seguridad Especialmente con el crecimiento de Internet muchas redes se encuentran ante la necesidad de interconectarse con el exterior; sin embargo, esto plantea múltiples problemas de seguridad. Para resolver los problemas de acceso seguro hacia/desde el exterior se ha creado el concepto de cortafuegos o firewall que se va a analizar a continuación. Cortafuegos Un cortafuegos consiste en una arquitectura formada por uno o varios equipos que se sitúan entre la red interna y la red externa [2]; el cortafuego analiza todos los paquetes que transitan entre ambas redes y filtra los que no deben ser reenviados, de acuerdo con los criterios establecidos de antemano [1]. En su versión más simple el cortafuego consiste únicamente en un router en el que se han configurado diversos filtros impidiendo o limitando el acceso a determinadas direcciones de red o el tráfico de ciertas aplicaciones o una combinación de ambos criterios. Dado que los usuarios siguen teniendo
conexión directa a nivel de red con el exterior esta solución no es muy fiable; además las posibilidades de definir filtros en los routers son limitadas y el rendimiento se resiente de forma considerable si al router se le carga con una tarea de filtrado compleja. Figura 4. Esquema de un cortafuegos con únicamente un router de selección. El siguiente nivel de cortafuego está formado por un host que conecta por una parte a Internet y por otra a la red corporativa, actuando él como router. Se dispone también de un equipo que implementa un servidor proxy que actúa como pasarela de aplicación para los servicios que se quieren permitir, limitado por las restricciones, filtros o reglas que se han especificado. El ordenador que actúa como barrera entre la red interna y la Internet se denomina host bastión ( bastion host ). Esta solución ofrece una seguridad mayor que la anterior ya que el servidor proxy, al ser un host, puede procesar filtros más complejos que un router; pero si un usuario malintencionado consiguiera instalar un programa 'espía' (sniffer) en el host bastión podría capturar tráfico de la red interna de la empresa ya que está directamente conectado a la LAN. Figura 5. Esquema de un cortafuegos con arquitectura de equipo seleccionado En un nivel mayor de seguridad el cortafuego se implementa mediante un host y dos routers, conectados entre sí por una pequeña red local; uno de los routers conecta a su vez con la red interna y el otro con la red externa; el host implementa una pasarela multiaplicación (servidor proxy) pero, al no estar directamente conectado a la red local, incluso en el caso de que un hacker
consiguiera instalar en él un sniffer no podría capturar tráfico confidencial, pues sólo podrá ver los paquetes dirigidos a él. En este modelo, la red que une los routers con el host se denomina zona desmilitarizada o zona DMZ (DeMilitarized Zone). Figura 6. Arquitectura de cortafuegos con subred seleccionada. NAT Hace unos años cuando una organización deseaba conectar su red de forma permanente a Internet lo normal era que solicitara al NIC correspondiente una subred de direcciones IP adecuada a sus necesidades y asignara direcciones IP de dicha red a todas sus máquinas [2]. De esta forma todos los ordenadores tenían acceso directo a Internet con todas las funcionalidades. Pero, debido al crecimiento exponencial de Internet, cada vez resulta más difícil obtener direcciones IP y, por otro lado, en muchas ocasiones no se necesita, o incluso no se desea, disponer de ese acceso directo a Internet con completa funcionalidad, fundamentalmente por razones de seguridad. Estos dos motivos, la seguridad y la dificultad para conseguir direcciones públicas, han impulsado a las organizaciones a hacer un mayor uso de las redes privadas según los rangos especificados en el RFC 1918 (10.0.0.0, 172.16.0.0 a 172.31.0.0, y 192.168.0.0 a 192.168.255.0). Estas redes privadas no pueden, en principio, intercambiar datagramas directamente con el exterior por lo que han de utilizar un equipo intermedio que se ocupe de realizar la traducción de direcciones o NAT (Network Address Translation) [1]. La traducción se puede hacer de dos maneras: modificando únicamente la dirección IP, a lo que denominamos NAT básico, o cambiando también el número de puerto TCP o UDP, que llamaremos NAPT (Network Address Port Translation). Por último, si la traducción de la dirección pública y la privada se realiza de acuerdo con una tabla de equivalencia que se carga en la configuración del dispositivo NAT y que no se modifica dinámicamente decimos que se trata de NAT Estático. En cambio si dicha tabla de equivalencia es gestionada dinámicamente por el dispositivo NAT de forma que las direcciones y/o números de puerto se puedan reutilizar decimos que tenemos un NAT dinámico. Por lo tanto, se pueden obtener cuatro combinaciones de NAT [9] Los aspectos más relevantes de NAT se discuten en los RFC 1631 y 2663.
Redes inalámbricas Las WLAN (Wireless LAN) actuales están basadas en los estándares IEEE 802.11. Estos estándares han ido mejorando por medio de sucesivas ampliaciones que han permitido incrementar su velocidad de los 1-2 Mb/s originales a los 11-54 Mb/s actuales. Según la velocidad de transmisión estas redes pueden tener un alcance omnidireccional de hasta unos 70 a 150 m [15] [16] [17]. En cuanto a los sistemas de radiofrecuencia hay tres posibilidades, que difieren en la forma como manejan la banda de frecuencias disponible. El sistema más antiguo es el FHSS (Frecuency Hopping Spread Spectrum) funcionando a 2,4 GHz. El sistema DSSS (Direct Sequence Spread Spectrum) también funcionando a 2,4 GHz, es más moderno y consigue un mayor rendimiento que FHSS. OFDM es el sistema más moderno y de mayor rendimiento. Corresponde al suplemento 802.11a de la norma. Su implantación en el mercado es muy reciente (diciembre de 2001) y funciona en la banda de 5 GHz. Estos medios físicos son incompatibles entre sí, por ejemplo, un sistema de radio DSSS no puede comunicarse con uno OFDM. Incluso FHSS y DSSS son incompatibles, aunque ambos utilicen la misma banda de frecuencias, ya que organizan los canales de modos completamente diferentes. La situación es similar a lo que ocurre en Ethernet, donde un equipo 10/100/1000BASE-T puede interoperar con otro de velocidad inferior, pero no con otro de diferente medio físico (por ejemplo, no con uno 100BASE-F). Hemos visto que las diversas velocidades o capacidades se consiguen con modulaciones más complejas, que permiten transmitir mayor cantidad de información sin aumentar el ancho de banda del canal. Para utilizar las capacidades más elevadas es preciso disponer de una señal de gran calidad. Cuando aumenta la distancia entre emisor y receptor disminuye la potencia de la señal recibida, con lo que la relación señal/ruido disminuye. De esta forma, llega un momento en el que es preciso cambiar a una modulación con menor eficiencia espectral (bits/hz) pero más resistente a ruidos. Por tanto, existe una relación inversa entre la velocidad y la distancia, a mayor distancia menor velocidad. Cuando el emisor y el receptor se alejan la velocidad se ajusta automáticamente. Dado que la banda de 2,4 GHz está disponible sin licencia para todo el que desee emitir en ella, es preciso adoptar algunas precauciones que eviten una excesiva interferencia entre emisiones. Por este motivo se establece que cualquier emisión con una potencia superior a 1 mw debe hacerse en espectro disperso. El uso de diferentes canales no solapados (como el 1, el 7 y el 13) permite constituir redes inalámbricas completamente independientes en una misma área, por ejemplo, para aumentar el rendimiento. La interferencia debida a la multitrayectoria afecta de forma importante a las emisiones de radio. El problema se debe a que las ondas electromagnéticas no sólo llegan al receptor en línea recta, sino que también llegan reflejadas por los objetos presentes entre el emisor y el receptor. Dependiendo de la ubicación concreta de uno y otro la onda reflejada puede o no llegar al receptor. Si llega, el receptor tendrá problemas pues la onda reflejada, al hacer un camino más largo, llega más tarde por lo que no coincide con la onda original.
Las antenas diversidad son una opción para reducir los problemas producidos por la multitrayectoria. Ambas antenas de una antena diversidad cubren la misma zona y no se pueden utilizar para cubrir zonas diferentes. Se conoce a las redes 802.11 como Ethernets inalámbricas, sin embargo, las redes inalámbricas no pueden usar el protocolo CSMA/CD debido a que es muy difícil que un emisor de radio detecte otra emisión en curso en el mismo canal en el que está emitiendo. Por tanto el CD (Colision Detect) de Ethernet se ha cambiado por CA (Colision Avoidance). El caso más sencillo de red inalámbrica es el que se constituye cuando se colocan físicamente próximos varios ordenadores dotados de tarjeta de red inalámbrica. En este caso cada ordenador se comunica con los demás directamente. Al ser un medio broadcast, cada trama es recibida por todos los ordenadores (por todos los que se encuentren dentro del rango de alcance del emisor). El problema de la estación oculta es una consecuencia del hecho de que en una red inalámbrica no todas las estaciones tienen por qué ver a todas las demás: 1. Supongamos que A quiere enviar una trama a B. A detecta que el canal está libre y empieza a transmitir. 2. Instantes más tarde, cuando A está aún transmitiendo, C quiere también enviar una trama a B; C detecta que el canal está libre, ya que él no está recibiendo la emisión de A pues se encuentra fuera de su radio de cobertura. 3. Por tanto, C empieza a transmitir y en B se produce una colisión. Como consecuencia B no recibe correctamente ni la trama de A ni la de C. Figura 7. Problema de la estación oculta. La solución que normalmente se aplica es la siguiente: 1. El emisor A envía un mensaje RTS (Request To Send) a B en el que le advierte de su deseo de enviarle una trama; además en dicho mensaje A le informa de la longitud de la misma. Este mensaje no es recibido por C. 2. Como respuesta al mensaje de A, B envía un CTS (Clear To Send) en el que le confirma su disposición a recibir la trama que A le anuncia. Dicho mensaje CTS lleva también indicada la longitud de la trama que B espera recibir de A. 3. C no recibe el mensaje RTS enviado por A, pero sí recibe el CTS enviado por B. Del contenido del mensaje CTS, C puede deducir cuánto tiempo estará ocupado el canal que comparte con B, pues el mensaje incluye una indicación sobre la
longitud de la trama a transmitir y C conoce la velocidad con que se realiza la transmisión. 4. A comienza a transmitir la información. Los Puntos de Acceso o AP (Access Point) son dispositivos diseñados específicamente para constituir LANs inalámbricas. Las estaciones en cuanto descubren que se encuentran dentro del radio de cobertura de un AP se registran en él para que les tome en cuenta. La comunicación entre estaciones registradas en un AP nunca se realiza de forma directa sino que siempre tiene lugar a través del AP, que actúa como intermediario en cualquier comunicación. Esto tiene la consecuencia de que las comunicaciones entre las estaciones se hacen siempre en dos pasos y ocupando dos veces el medio inalámbrico. Esto no será un problema si la mayoría del tráfico va dirigido a la LAN convencional. Una ventaja del uso de AP es que la existencia de estaciones ocultas ya no es un problema, puesto que la comunicación se realiza a través del AP que siempre está (y debe estar) visible para todas las estaciones. Desde el punto de vista de la seguridad, WPA constituye un avance frente a los débiles sistemas de los primeros dispositivos y adelanta algunas funcionalidades del futuro estándar IEEE 802.11i. WPA posee principalmente dos atribuciones: proveer de un sistema de acceso seguro y autenticación para usuarios, y proteger los datos transmitidos de una forma mucho más segura que WEP. Como característica adicional que lo convierte en una solución inmediata idónea está el hecho de que es posible hacerlo funcionar en el hardware actual ya que sólo requiere cambios de software y firmware. Figura 8. Funcionamiento de RTS-CTS WPA es el acrónimo de Wi-Fi Protected Access. Es un subconjunto de tecnologías que se han extraído del futuro 802.11i (ya conocido como WPA2). Para solventar los problemas de seguridad existentes en Wi-Fi. También incorpora autenticación mediante 802.1x y además un nuevo protocolo (TKIP) y un sistema de verificación de integridad.
Gestión de identidad La proliferación de sistemas, protocolos y aplicaciones y la necesidad de controlar el acceso a los datos ha convertido la identificación usuarios en un tema de creciente importancia para los sistemas informáticos. El objetivo que se persigue es la consecución de un único sistema de identificación global que nos permita, por una parte, la utilización de los recursos disponibles según nuestro perfil de usuario y, por otra, simplifique la gestión del sistema y su uso. Es decir, desde el punto de vista del usuario, se pretende que sólo se identifique y autentique una vez y, aun así pueda acceder a todos los recursos, datos y aplicaciones a las que su nivel de privilegio le permita; mientras que por parte del administrador, se disponga de un sistema centralizado que le simplifique la administración de las cuentas y perfiles de usuario. Dentro de las tecnologías de autenticación, la más típica [7], y que incluye cualquier sistema operativo de red así como los sistemas operativos de los equipos de red, es la basada en usuario y contraseña que, utilizadas de manera adecuada, proporcionan un mecanismo de autenticación de usuarios robusto y seguro. El principal problema que plantea esta técnica es la frecuencia de cambio de las contraseñas, además de la elección de la palabra de paso. Para tratar este problema, han surgido diversas técnicas como la contraseña de un solo uso o la contraseña por credenciales [7]. Por otra parte, la gestión de contraseñas se ha incorporado a protocolos que proporcionan servicios de autenticación [7] como PAP, CHAP o EAP y otros que, además, proporcionan control de acceso, como Servicios de Directorio (LDAP), RADIUS, KERBEROS o FORTEZZA. Además, otra técnica para identificar usuarios y equipos de red es mediante el uso de certificados digitales que implica la introducción de una infraestructura de distribución de certificados como, por ejemplo, el uso de servicios de directorio como LDAP. En los siguientes apartados se van a analizar las distintas tecnologías de identificación y autenticación existentes y que pueden permitir, mediante un único proceso de autenticación, acceder a todos los servicios, ya sean de red, sistema o aplicación. Firmas digitales Las firmas digitales se componen de una función HASH y una clave asimétrica para garantizar la identidad de los miembros de una comunicación. Los pasos que se utilizan para crear una firma digital son [7]: En el lado del emisor 1. Creación del par claves publica/privada para el emisor 2. Emisor envía clave pública al receptor 3. Emisor envía mensaje a receptor, encriptándolo con función hash y codificándolo con su clave privada, generando la firma digital. En el lado del receptor: 1. El receptor separa el mensaje en 2: documento original y firma. 2. Se descifra la firma digital mediante la clave pública del emisor.
3. El receptor usa el mensaje original como entrada de la misma función HASH usada por el emisor 4. Se comprueba la validez: integridad y autenticación El principal problema que presentan es la distribución de las claves y la confianza de las partes en que las claves públicas pertenecen a quien dicen ser [5] ya que, con este método, no tenemos la seguridad de que el usuario sea realmente quien dice ser. Certificados Digitales Los certificados digitales aparecen ante la necesidad de asegurarnos que un cliente es quien dice ser. Un certificado digital es un mensaje firmado digitalmente que se suele usar para atestiguar la validez de la clave pública de un elemento de una comunicación [7]. El formato general de un certificado digital, según el estándar X.509, incluye: número de versión, número de serie del certificado, información del algoritmo del emisor, emisor del certificado, validez, información sobre el algoritmo de clave pública y la firma digital de la autoridad emisora Con el sistema de certificados se introduce también el concepto de entidad certificadora, que será el tercero de confianza en la comunicación y el que se responsabiliza de la validez de los certificados. Dicho sistema es un modelo jerárquico de entidades certificadoras que proporciona escalabilidad y flexibilidad, además de facilitar la administración de los certificados con el que, la autoridad certificadora situada en la parte superior del árbol jerárquico de un sitio, certificará a las entidades certificadoras subordinadas a ella en la estructura jerárquica. Por otra parte, se necesita un mecanismo de distribución de claves, PKI. Una PKI es un conjunto de aplicaciones y servicios que nos permite utilizar la infraestructura de certificados de forma fácil y segura, permitiendo: Gestión de claves para crear, revisar o revocar claves, así como gestionar niveles de confianza. Publicación de claves: difusión y localización, así como consulta de estado de las claves. 802.1x y Radius La idea básica del estándar IEEE 802.1x es que cuando un dispositivo intenta conectarse a un controlador de acceso, éste le pida una serie de credenciales que se reenviarán a un servidor de autenticación para que le indique si debe o no autorizar a dicho dispositivo a acceder a la red [14]. Para comprender el funcionamiento de 802.1x es necesario conocer además dos conceptos: PPP y EAP. Point-to-Point Protocol es uno de los protocolos más utilizados en los sistemas de acceso a Internet por marcación, así como por algunos ISP para autenticación por cablemódem y DSL, en la modalidad de PPP sobre Ethernet. PPP ha evolucionado tanto que ha ido más allá de su uso tradicional de acceso por marcación hasta llegar a encontrarse en toda la red. Una porción de PPP define un mecanismo de autenticación. El usuario utiliza este protocolo en aquellos accesos a Internet mediante marcación que requieren la identificación del abonado mediante un
nombre de usuario y una contraseña. Su función es identificar al usuario en el otro extremo de la línea PPP antes de permitirle acceder. Una de las principales preocupaciones de la mayoría de las organizaciones es hacer que sus sistemas de seguridad para acceder a sus recursos consistan en algo más que teclear el nombre de un usuario y una contraseña, por lo que se ha diseñado un nuevo protocolo de autenticación denominado EAP (Extensible Authentication Protocol). EAP proporciona un marco general compatible con diversos métodos de autenticación. El nuevo EAP está diseñado para disuadir a los usuarios de la implementación de sistemas de autenticación propietarios y permitir tanto contraseñas como certificados de clave pública. Con el estándar EAP se simplifica la interoperatividad y la compatibilidad de los métodos de autenticación. Por ejemplo, cuando se marca a un servidor de acceso remoto (RAS) y se emplea EAP como parte de la conexión PPP, el RAS no necesita conocer ningún detalle del sistema de autenticación utilizado. Solamente es necesario que el usuario y el servidor de autenticación estén coordinados. Al soportar autenticación EAP, el servidor RAS se libera de actuar de intermediario, y sólo se ocupa de empaquetar y reempaquetar los paquetes EAP a un servidor RADIUS, que se encargará de la autenticación real. Todo lo dicho anteriormente nos lleva al estándar IEEE 802.1x, que, simplemente, se trata de una norma para pasar EAP por una LAN cableada o inalámbrica. Con 802.1x, el usuario empaqueta los mensajes EAP en tramas Ethernet sin tener que recurrir a PPP. Se trata de autenticación y nada más. Esto es muy deseable en situaciones donde no se requiere PPP como, por ejemplo, cuando el usuario utiliza otros protocolos que TCP/IP o en aquellas situaciones en las que la complejidad o el overhead que introduce PPP sea un inconveniente. Figura 9. Autenticación mediante 802.1x En la definición del concepto 802.1x es necesario llegar a conocer tres términos. El usuario o cliente que desea ser autenticado, denominado solicitante o, en inglés, supplicant; el servidor real que hace la autenticación, normalmente un servidor RADIUS (Remote Authentication Dial-In User Service) llamado servidor de autenticación; y el dispositivo que se encuentra entre los dos anteriores, la electrónica de red, que se denomina identificador. Uno de los puntos clave del 802.1x es que el autenticador no tiene por qué ser inteligente; esta función le corresponde tanto al solicitante como al servidor.
Figura 10. Proceso de autenticación mediante 802.1x El protocolo 802.1x utiliza EAP encapsulation over LAN (EAPOL) y actualmente está definido para redes LAN del tipo Ethernet, cableadas e inalámbricas 802.11, Token-Ring y FDDI. EAPOL no es particularmente sofisticado, y, si bien ofrecen diversos modos de operación, el caso más común podría ser el siguiente: 1. El autenticador envía un paquete "EAP-Request/Identity" al demandante en cuanto detecte que la conexión esté activa (por ejemplo, cuando el sistema del solicitante se ha asociado al punto de acceso). 2. El demandante envía un paquete "EAP-Response/Identity" al autenticador, que lo pasa al servidor de autentificación (RADIUS). 3. El servidor de autentificación pide la identificación al autenticador, como un sistema de contraseñas token. El autenticador lo desempaqueta desde IP y lo empaqueta de nuevo en EAPOL, y a continuación lo envía al solicitante. Según el método de autenticación variará la naturaleza y número de estos mensajes. Aunque EAP soporta autenticación basada sólo en cliente y autenticación mutua, esta última es la más apropiada para redes inalámbricas. 4. El solicitante responde a la petición de identificación vía el autenticador y traslada la respuesta al servidor de la autenticación. 5. Si el demandante proporciona la identidad apropiada, el servidor de autentificación responde con un mensaje de éxito, el cual se pasa al solicitante. Es en este momento cuando el identificador permite el acceso a la LAN, posiblemente con algunas restricciones en función de los atributos que devuelve el servidor de autenticación. Por ejemplo, el autenticador podría llevar al demandante a una LAN virtual particular o instalar una serie de reglas del cortafuegos. Kerberos Es un sistema de autenticación entre clientes y servidores que evita que las contraseñas de los usuarios viajen por la red. Se basa en el intercambio cifrado de credenciales (tickets) sin necesidad de transferir la contraseña del usuario. Además, proporciona un mecanismo para garantizar que los datos transferidos entre el cliente y el servidor no estén corrompidos [4]. Se identifican 3 objetos básicos: 1. Credencial. Palabra que el servidor de Kerberos proporciona al cliente para que éste se valide contra un servidor. Está compuesto por: Cliente, servidor, dirección de red, sello de tiempo, tiempo de vida y la clave de sesión
2. Clave de sesión. Generada aleatoriamente por Kerberos, se envía al cliente para su uso en la comunicación con un servidor 3. Vale. Palabra construida por el cliente y enviada al servidor para demostrar la identidad del usuario. Sólo puede usarse una vez. Contiene: nombre del cliente, IP cliente y tiempo actual. Está encriptada con la clave de sesión. Kerberos es un sistema de autenticación escalable y que permite réplicas que se actualizan mediante el sistema de maestro-esclavo. El principal problema que plantea es la gestión de la validez de la credencial y la sincronización, necesaria, de relojes. El centro de distribución de claves (servidor kerberos), se compone de 2 elementos: servicio de autenticación (AS) y servicio de concesión de credenciales (TGS). La autenticación de un cliente se realiza en 3 pasos [2]: 1. En el primer paso, el cliente realiza una petición al servicio de autenticación (AS) que le devolverá una credencial que el cliente deberá usar para comunicarse con el TGS. 2. El cliente realiza una solicitud de clave de sesión al TGS para el servidor del que quiere obtener un servicio con la credencial obtenida en el paso 1. 3. Con la clave obtenida en el paso anterior, el cliente encripta la solicitud de servicio, por ejemplo, establecer una conexión a un servidor Unix, obteniendo la respuesta a este requerimiento por parte del servidor. Los clientes necesitan una clave de sesión por cada servidor al que quieran conectarse [4]. Tecnología básica Con el crecimiento de los servicios informáticos y, por tanto, de las infraestructuras que los soportan, factores como la disponibilidad, la optimización de inversiones, la reducción del TOC y el espacio físico ocupado y, por último, el almacenamiento de grandes cantidades de datos accesibles desde entornos heterogéneos, está adquiriendo importancia. Las principales soluciones a estos factores son: clusters desde nivel de red hasta el de aplicación-, servidores virtuales y Blades y tecnologías SAN, NAS e iscsi. Tecnologías para clusters Para muchas empresas de servicios informáticos, la disponibilidad de sus equipos y aplicaciones debe estar entorno al 100% del tiempo. Además, también existe la necesidad de que, para obtener mejores respuestas, se equilibre el tráfico de una o varias aplicaciones entre distintos servidores hardware que pueden prestar el mismo servicio. Para conseguir acercarnos a la situación ideal mencionada y equilibrar, si es el caso, la carga entre varios equipos, han surgido diversas estrategias basadas, bien en software, bien en hardware o bien en una mezcla de software y hardware nuevo. Para proporcionar alta disponibilidad basta con tener 2 equipos independientes capaces de prestar el mismo servicio y, tras el fallo de uno de ellos activar el de respaldo [3]. Llevar a cabo esta idea implica, inmediatamente, una serie de problemas:
El manejo de los datos para que ambos tengan la misma información exige estrategias de réplica muchas veces gestionadas por la propia aplicación - gestores de bases de datos como MySQL la incorporan, al igual que servicios de directorio como iplanet- y otras mediante la incorporación de sistemas de archivos de red que gestionan internamente la distribución de los datos, como CODA y, por último y como recurso más problemático, la sincronización de datos mediante aplicaciones como rdist o rsync.. Idéntica funcionalidad. Las aplicaciones del servicio a desarrollar, auque no tiene que ser iguales, sí deben proporcionar las mismas funcionalidad. Podemos, por ejemplo, disponer de un openldap y un servidor de directorio iplanet como servicio de directorio global. Detección de fallo en el servidor principal. Suplantación de la identidad del servidor principal lo más transparente posible a las aplicaciones y usuarios Alta disponibilidad Los sistemas de alta disponibilidad pretenden minimizar los tiempos muertos del servicio para lo que evitan los llamados SPOF, puntos únicos de fallo. Para ello basta [3] con disponer de servidores con 2 placas bases, 2 CPUs,..., es decir, servidores con redundancia N+1 por cada elemento, proporcionando así un sistema de alta disponibilidad en el que el único punto de fallo es la localización geográfica: si ocurre, por ejemplo, algún problema en la sala en la que está ubicado el servidor, éste puede resultar dañado y no dar servicio. Con los clusters para alta disponibilidad se puede, siempre que se disponga de al menos 2 equipos, proporcionar la misma disponibilidad que mencionábamos en el párrafo anterior y, además, con la posibilidad de separar dichos equipos geográficamente. ETHERNET SERIE Disco 1 Disco 2 Figura 11. Configuración de alta disponibilidad con almacenamiento externo Como ya se ha comentado, para un cluster de alta disponibilidad, se necesita un sistema de detección de fallo en el servidor primario -comprobación de latencia-, un mecanismo de suplantación de identidad y la réplica de datos entre los servidores o un mecanismo que nos garantice que ambos sistemas disponen de los mismos datos. Una configuración sencilla puede estar formada por dos PCs conectados a dos redes distintas para evitar el SPOF que podría suponer una única tarjeta de red-, el comando ping como comprobador de latencia-, el programa de Linux rsync para la sincronización de los datos entre los dos servidores y una IP virtual flotante, asignada
al servidor en funcionamiento; con lo que se dispone de un sistema de alta disponibilidad barato y fácil de implementar. Sin embargo, esta configuración presenta dos problemas importantes [3]. La suplantación de identidad por medio de una IP flotante asignada, bien como alias IP o bien directamente a la tarjeta del servidor activo, puede provocar errores debidos a las tablas de resolución ARP. Por otra parte, este tipo de configuración implica que los elementos de almacenamiento deben estar sincronizados, con la complejidad que este requisito introduce cuando se tratan datos dinámicos. Para resolver el primer problema, una de las principales técnicas, aplicables también en los modelos de equilibrado de carga que se analizan a continuación, es el disponer de un elemento intermedio que realice la reasignación de las peticiones según el servidor que esté activo. Dicho elemento puede ser, desde un encaminador que puede realizar la tarea, bien con NAT o mediante las reglas de encaminamiento o, a nivel de aplicación, por un servicio, equivalente a los proxys, que redirija las peticiones al servidor apropiado. Para resolver los problemas que pueden ocurrir con los datos (cerebro dividido y sincronización), el mejor método consiste en aplicar las tecnologías de almacenamiento en red como NAS, SAN o iscsi [3]. La alta disponibilidad es un concepto que también se aplica a las comunicaciones. Para ello, un protocolo importante es el VRRP que se puede aplicar a redes en las que existe un único encaminador por defecto cuya función pueda se realizada por varios equipos, dando redundancia al sistema. VRRP En muchas redes, cinco minutos o incluso únicamente uno es demasiado tiempo para que un sistema vuelva a estar disponible. El protocolo Virtual Router Redundancy Protocol (VRRP) utiliza otro router de la LAN para tomar el control en caso de que el primero falle[15]. Está definido en la RFC2338 con número de ipprotocol 112 y dirección IP multicast 224.0.0.18 asignada por la IANA. Además, existe un grupo de trabajo en el IETF dedicado a VRRP (http://www.ietf.org/html.charters/vrrp-charter.html). VRRP proporciona funciones similares al protocolo propietario de Cisco Systems, Inc. denominado Hot Standby Router Protocol (HSRP) y al protocolo propietario de Digital Equipment Corporation, Inc. denominado IP Standby Protocol. VRRP se utiliza para evitar que si el router configurado como puerta de enlace por defecto deja de funcionar la subred se quede aislada. Si el router VRRP de respaldo deja de recibir mensajes del router VRRP principal en 3 segundos consecutivos (3 intentos) entonces el router VRRP de respaldo tomará su lugar. Se recomienda el uso de VRRP en aquellas redes 24x7 que utilizan enrutamiento en combinación con un protocolo de enrutamiento dinámico (como OSPF que ha sido comentado anteriormente en este documento). Como regla general, VRRP proporciona el tiempo más rápido de recuperación en redes con enrutamiento a niveles 3 y 4. Funcionamiento de VRRP