miércoles, 20 de febrero de 2013

Administración de redes


La administración de redes es un conjunto de técnicas que se aplican para lograr un funcionamiento óptimo y productivo de la red.

En este proceso se abordan dos aspectos fundamentales de las redes:

-          Red física. incluye el cableado, las tarjetas de red, las computadoras y todo el equipo de comunicación que se emplea para la transmisión de datos.

-          Red lógica. consiste en la disposición lógica de los componentes físicos, se consideran como las reglas y protocolos que permiten a los dispositivos físicos trabajar en conjunto.

La importancia de llevar a cabo una buena administración de redes es tener información precisa sobre si sus instalaciones son eficaces y de costo razonable, medir la confiabilidad y disponibilidad de los equipos y de los servicios, identificar  fallas y corregirlas, tener una base de datos sobre el cableado y equipos para poder detectar la causa de una falla y corregirla rápidamente, y tener claro si las redes necesitan ampliación y en que medida.

La administración de redes, comprende cinco áreas:

1.    Administración de la configuración. Consiste en monitorear la red y la información sobre la configuración del sistema para que las diferentes versiones de hardware y software funcionen en la red.

2.    Administración de rendimiento. Aborda aspectos referentes al rendimiento, como tiempo de respuesta, utilización de líneas, etc.

3.   Administración de fallas. Tiene como objetivos detectar, registrar, notificar a los usuarios y, si es posible, solucionar los problemas de la red automáticamente, con el fin de mantener un funcionamiento eficiente de la red.

a.      Detección de fallas.
b.      Diagnostico del problema.
c.      Buscar soluciones óptimas problema.
d.      Dar solución al problema.
e.      Seguimiento y control.

4.      Administración de seguridad. Su función es controlar el acceso a los recursos de la red, impidiendo que ésta sea saboteada.

a.      Identificación y autenticación del usuario.
b.      Asignación de privilegios.
c.      Confidencialidad.

5.      Administración de contabilidad. Permite mediar los parámetros de utilización de la red de tal forma que el uso pueda ser regulado.

a.      Tiempo de conexión y terminación.
b.      Numero de mensajes transmitidos.
c.      Razón por la cual termina una conexión.

Objetivos de la administración de redes

-          Mejorar la operación en la red.
-          Usar eficientemente los recursos de la red.
-          Mantener una red segura.
-          Reducir costos.
-          Controlar cambios y actualizaciones en la red.
-          Brindar servicios de soporte.


Entre las funciones que se asignan a la administración de redes, se encuentran las siguientes:

-          Instalación y mantenimiento.
-          Determinar las necesidades y el grado de utilización de los distintos servicios de la red.
-          Controlar los accesos por los usuarios a la red.
-          Diagnosticar problemas y brindar soluciones.
-          Realizar la documentación de la red.
-          Informar a los usuarios de la red.








Redes inalambricas


Una red inalámbrica (Wireless Network) es la interconexión de dispositivos (computadoras de escritorio, computadoras portátiles, celulares, PDA, Access Point) que permite la comunicación entre ellos sin necesidad de medios físicos, es decir, realizan la transmisión a través de ondas electromagnéticas.

Tecnologías de las redes inalámbricas

- Wi-Fi.  Wireless Fidelity. Esta regulada por la IEEE[1], a través de la norma 802.11.

Para realizar la transmisión se utilizan antenas integradas en las tarjetas. Las ondas de estas redes tienen la capacidad de traspasar obstáculos.

- WiMax. Worldwide Interoperability for Microwave Access, es decir, interoperabilidad mundial para acceso con  microondas, basado en la norma 802.16. Es muy similar a Wi-Fi, pero con mas cobertura y ancho de banda.

- Infrarrojo

Tecnología de transmisión inalámbrica por medio de ondas de luz.

Sus inconvenientes son que no atraviesan objetos sólidos que se interpongan, además, este tipo de red esta limitada por la distancia, generalmente de 1 metro.


No utiliza ningún tipo de antena, sino un diodo emisor. Funciona solo en línea recta.

- Bluetooth. Es una tecnología de transmisión a través de ondas de radio cortas. La distancia máxima es de hasta 100 metros a la redonda, dependiendo la versión. Las ondas pueden atravesar algunos materiales.

La velocidad de transmisión alcanzada es de 1 Mbps.

- Láser. Esta tecnología es de alta velocidad y alcanza una distancia de hasta 5 kilómetros. Funciona mediante un haz de luz láser emitida por un diodo especial.  Sin embargo, para realizar la transmisión, no deben existir obstáculos ya que se pierde la señal.

- Microondas

- Satelitales. Se realizan a través de bases terrestres con antenas que envían señales al satélite, este se encarga de direccionarlas hacia la estación receptora con la onda amplificada para evitar pérdidas.

Cada satélite opera en unas bandas concretas. Esta transmisión es utilizada para la difusión de televisión por satélite, transmisión telefónica a larga distancia, etc.
           
-Terrestres. La transmisión se realiza a través de ondas mediante antenas parabólicas.

Este tipo de transmisión es utilizado cuando la distancia entre dos puntos es extremadamente grande, lo que hace imposible utilizar cableado, pudiendo ser hasta 24 kilómetros.

Los sistemas para la línea de horizonte son difíciles de utilizar porque requieren ajusten muy precisos que suelen efectuarse mediante pruebas  para garantizar una alineación correcta.

La velocidad de transmisión es de 12 a 274Mbps.

La atenuación de la transmisión es ocasionada por factores climáticos.

Tipos de redes inalámbricas

-     WPAN (Wireless Personal Area Network). Es una red inalámbrica de área personal. La finalidad de estas redes es comunicar dispositivos personales para compartir información. Utilizan las tecnologías de infrarrojo y bluetooth.

-       WLAN (Local Área Network). Red inalámbrica de área local que utiliza la tecnología Hiperlan o Wi-Fi.

-      WMAN (Wireless Metropolitan Area Network). Redes inalámbricas de área metropolitana que utilizan las tecnologías WiMax.

-    WWAN. (Wireless Wide Area Network). Es una red inalámbrica de área extensa. Utiliza para comunicarse tecnologías como UMTS, GPRS, GSM, 3G, EDGE, HSPA, además de Wi-Fi.

Funcionamiento de una red inalámbrica

Las redes inalámbricas pueden estar compuestas de dos dispositivos:

  1. Equipos de usuario, con tarjeta de red inalámbrica.
  2. Equipos de acceso (Access Point)
  
Se puede establecer una red como si se estuviera utilizando cableado, a diferencia de que se utilizan NIC inalámbricas. Sin embargo, aun que se puede establecer una conexión, la seguridad es mínimo.

Estándares y normas de comunicación inalámbrica

El IEEE observó que era necesario definir ciertos estándares para redes tipo LAN, por lo que emprendió el proyecto 802.

El proyecto 802 definió estándares de redes para las componentes físicas de una red (la tarjeta de red y el cableado) que corresponden con los niveles físicos y de enlace de datos del modelo OSI.

- Estándar 802.11. Estándar para redes inalámbricas con línea visual. Es aplicada a LANs inalámbrica y proporciona 1 o 2 Mbps de transmisión en la  banda de 2.4 GHz.

- Estándar 802.11a. Permite velocidades máximas de hasta 54 Mbps, apoyándose en la banda de los 5GHz. Elimina el problema de las interferencias múltiples que existen en la banda de los 2,4 GHz (hornos microondas, teléfonos digitales DECT, BlueTooth).

- Estándar 802.11b. Es aplicado a Wi-Fi. Es el estándar más utilizado en las comunidades inalámbricas. Opera en la banda de los 2,4 GHz y permite alcanzar velocidades binarias teóricas de 11 Mbps mediante el empleo de mecanismos de modulación de canal y protección frente a errores.

- Estándar 802.11c. Define las características que necesitan los Access Point para actuar como puentes.

- Estándar 802.11d. Permite el uso de la comunicación mediante el protocolo 802.11 en países que tienen restricciones sobre el uso de las frecuencias que éste es capaz de utilizar, pudiéndose usar en cualquier parte del mundo. 

- Estándar 802.11e. Estándar encargado de diferenciar entre video-voz-datos.

- Estándar 802.11f. Define el intercambio de información entre el Access Point y la tarjeta de red para permitir la 
interportabilidad.

- Estándar 802.11g. Mantiene el rango de los 2,4 Ghz pero amplía el bitrate hasta los 54 Mbps, mantiene la compatibilidad con el 11b y propone un protocolo de seguridad más robusto denominado WPA.

- Estándar 802.11i. Define la encriptación y la autentificación para complementar completar y mejorar el WEP.

Topologías inalámbricas

-          Topología Ad-hoc. Es una comunicación de tipo punto a punto, que consiste en un conjunto de ordenadores se comunican entre si  a través de señales de radio sin utilizar algún punto de acceso. Solamente pueden comunicarse los nodos que se encuentran dentro de un rango de transmisión.

En esta topología no existe un nodo central

-          Topología en Infraestructura (BSS). En esta topología existe un punto de acceso (Access Point). Los dispositivos cliente se conectan a los Access Point en células y pueden comunicarse con equipos conectados al mismo Access Point. Si el punto de acceso se cae, los dispositivos conectados a él, dejan de comunicarse.

-          Topología Mesh. Es un tipo de red inalámbrica en malla. Es aquella en las que se mezclan las dos topologías de las redes inalámbricas, la topología Ad-hoc y la topología infraestructura.

Básicamente son redes con topología de infraestructura pero que permiten unirse a la red a dispositivos que a pesar de estar fuera del rango de cobertura de los Access Point, están dentro del rango de cobertura de alguna tarjeta de red que directa o indirectamente está dentro del rango de cobertura de un Access Point.

Permiten que las tarjetas de red se comuniquen entre sí, independientemente del punto de acceso. Esto quiere decir que los dispositivos que actúan como tarjeta de red pueden no mandar directamente sus paquetes al punto de acceso sino que pueden pasárselos a otras tarjetas de red para que lleguen a su destino.

Componentes de una red inalámbrica

-      Tarjeta de red inalámbrica. Network Interface Controller (NIC). Es un dispositivo que permite comunicarse en una red sin medios físicos. Permite a los dispositivos conectarse a través de Wi-Fi.

Las NIC tienen un número de serie llamado MAC (Media Access Control/ Control de Acceso al medio), que  es una dirección de hardware que identifica unívocamente cada nodo de una red.

-         Antena. Dispositivo que permite enviar y recibir ondas electromagnéticas, pudiendo ser unidireccionales u omnidireccionales.

-          Access Point o Transceriver. Es un  punto de acceso que interconecta dispositivos de comunicación inalámbrica para formar una red inalámbrica, también puede transmitir datos por los dos medios (transmisión guiada y no guiada). Tiene una dirección IP asignada para poder ser configurado.

Seguridad básica en redes inalámbricas

La seguridad dentro de una red, aborda tres aspectos:
  1. Confidencialidad. Los objetos de una red han de ser accedidos únicamente por los dispositivos autorizados, y esos dispositivos autorizados no van a convertir esa información en disponible para otras entidades.
  2. Integridad. Los objetos solo pueden ser modificados por los dispositivos autorizados y de manera controlada.
  3. Disponibilidad. Los objetos del sistema deben estar accesibles a dispositivos autorizados.
La seguridad en una red inalámbrica se vuelve mas vulnerable que en las redes cableadas, ya que son redes abiertas y no se puede controlar la información que en ellas circula.

Sin embargo existen mecanismos para brindar seguridad dentro de una red inalámbrica.

Tecnología NAT

La tecnología NAT traduce las direcciones del IP de una red de área local a una dirección IP diferente para Internet. Cada computadora en su red tiene una dirección IP local. Cuando el router recibe un paquete de datos para enviar hacia Internet, el Router pone una dirección IP distinta en el encabezado. De esta manera, quienquiera que recibe la transmisión de datos no sabe cuáles es la dirección  IP real de la computadora, así que la computadora esta oculta y segura de los ojos indiscretos.

SPI

SPI es un tipo de Firewall que examina los paquetes entrantes de  datos para cerciorarse de que corresponden a una petición saliente. Los paquetes de datos que no fueron solicitados son rechazados.

Mecanismos de seguridad

- Autenticidad y privacidad
Un control de acceso impide a los usuarios no autorizados comunicarse a través de los Access Point, que son los puntos finales que en la red Ethernet conectan a los clientes de la WLAN con la red.

La privacidad se encarga de que solo los usuarios  a los que va dirigida la información, puedan comprenderla.

- Autenticación

Es un proceso por el cual el Access Point permite o no el acceso a los recursos de la red, de forma que antes de permitir que un dispositivo se asocie a él, debe proporcionar credenciales válidas.

Seguridad WEP

Wired Equivalent Privacy (Privacidad Equivalente a Conexión por cable), es un sistema de cifrado para el estándar 802.11, lanzado en 1997, para proveer de confidencialidad a las redes inalámbricas.

La privacidad utiliza un cifrado WEP.

Sin embargo, a partir de 2001, se encontraron múltiples debilidades en el protocolo, como resultado, es posible romper una conexión con seguridad WEP con facilidad.

En 2003, se lanzó el sucesor de WEP, el WAP

Seguridad WPA

Wi-Fi Protected Access es un sistema de aseguramiento de redes inalámbricas creado en respuesta a la vulnerabilidad del WEP. Fue diseñado para funcionar con todas los dispositivos para redes inalámbricas.

Además de proporcionar autenticación y ciframiento, WPA proporciona mejor integridad de la carga útil. La verificación de redundancia cíclica (CRC o Cyclic Redundancy Check) utilizada en WEP es insegura porque permite alterar la carga útil y actualizar el mensaje de verificación de redundancia cíclica sin necesidad de conocer la clave WEP. En cambio WPA utiliza unCódigo de Integridad de Mensaje (MIC o Message Integrity Code) que es en realidad un algoritmo denominado «Michael», que fue el más fuerte que se pudo utilizar con dispositivos antiguos para redes inalámbricas a fin de no dejar obsoletos a éstos. El Código de Integridad de Mensaje de WPA incluye un un mecanismo que contrarresta los intentos de ataque para vulnerarTKIP y bloques temporales.

Seguridad MAC

En temas anteriores se abordó la definición de MAC.

La Mac Address se conoce también como dirección física. Es un número de 48 bytes que está formado por 6 números en hexadecimal. La llevan grabada todas las tarjetas de red. Sirve, básicamente, para diferenciar unas de otras dentro de una misma red. 

La seguridad MAC en una red logra controlar la autenticidad, de forma que los Access Point registran en una lista las MAC de los clientes autorizados y rechazan a los que no están registrados.

Para que este método sea eficaz es mejor combinarlo con otras medidas de seguridad como usar WEP o WPA, y así lograremos tener una red WiFi invulnerable a casi todos los intrusos. 

Otros mecanismos de seguridad

Es necesario que además de los mecanismos de seguridad para redes inalámbricas mencionados anteriormente, se apliquen políticas de seguridad en las redes cableadas, para proporcionar una conexión segura.

Redes Privadas Virtuales

También son conocida como VPN (Virtual Private Network),  es una red privada construida dentro de una infraestructura de red pública, tal como la red mundial de Internet. Se utilizan para conectar de forma segura a usuarios remotos a través de acceso a Internet.

Una VPN se utiliza para reducir costos de ancho de banda en redes WAN.

Las redes privadas virtuales proporcionan el mayor nivel posible de seguridad mediante seguridad IP (IPsec) cifrada o túneles VPN de Secure Sockets Layer (SSL) y tecnologías de autenticación. Estas tecnologías protegen los datos que pasan por la red privada virtual contra accesos no autorizados.


En el caso de acceso remoto, la VPN permite al usuario acceder a su red corporativa, asignando a su ordenador remoto las direcciones y privilegios de esta, aunque la conexión la haya realizado mediante un acceso público a Internet.

Ventajas:
-          Acceder a la información publicada para la red privada.
-          El usuario VPN adquiere los privilegios de los miembros de la red privada.

Desventajas:
-          La información se cifra dos veces: una en la red inalámbrica (WEP o WPA) y otra en el túnel de la VPN, provocando retardos.
-          Complejidad en el tráfico de datos

Cortafuegos

Un cortafuegos, también llamado firewall, es un sistema que previene el uso y acceso no autorizados a un ordenador.

El firewall evita que los usuarios no autorizados de Internet tengan acceso a redes privadas conectadas a Internet.

Los mensajes que entran y salen de la Intranet pasan a través del cortafuegos, que examina cada mensaje, bloqueando aquellos que no cumplen con los criterios de seguridad especificados.

Proxy

Un Proxy es un programa o dispositivo que tiene acceso a Internet en lugar de otro ordenador. Un Proxy es un punto intermedio entre un ordenador conectado a Internet y el servidor que está accediendo.

Al momento de navegar, no se establece un acceso directamente al servidor, sino que el Proxy es quien recibe la solicitud y éste mismo se conecta con el servidor que se quiere acceder y devuelve el resultado de la solicitud.

Normalmente, un Proxy es a su vez un servidor de caché, así cuando un usuario quiere acceder a Internet, accede a través del Proxy, que buscará en la caché la página a la cual quiere acceder el usuario. Si es así le devolverá la página de la caché y si no, será el Proxy el que acceda a Internet, obtenga la página y la envíe al usuario.

Segmentación y direccionamiento IP


Segmentación

Segmentar una red consiste en dividirla en subredes para poder aumentar el número de ordenadores conectados a ella y así aumentar el rendimiento, tomando en cuenta que existe una única topología, un mismo protocolo de comunicación y un solo entorno de trabajo.

Un segmento es un bus lineal al cual están conectadas varias estaciones. Las características son:

-          Cuando se tiene una red grande se divide en trozos llamados segmentos.
-          Para interconectar varios segmentos se utilizan bridges o routers.
-          Al dividir una red en segmentos, aumenta su rendimiento.
-          A cada segmento y a las estaciones conectadas a el se le llama subred.

Cuando se segmenta una red, se están creando subredes que se autogestionan, de forma que la comunicación entre segmentos solo se realiza cuando es necesario, mientras tanto, la subred está trabajando de forma independiente.

El dispositivo utilizado para segmentar la red debe ser inteligente, ya que debe ser capaz de decidir a que segmento va a enviar la información que llego a el. Se pueden utilizar hubs, repetidores, bridges, routers, gateways.

La segmentación de una red se hace necesaria cuando:

-          Se va a sobrepasar el número de nodos que la topología permite.
-          Mejorar el tráfico de una red.

Direccionamiento IP

El protocolo IP identifica a cada ordenador que se encuentre conectado a la red mediante su dirección, que está compuesta por un número de 32 bits (cuatro octetos) y que es único para cada host.

La dirección de Internet (IP Address) se utiliza para identificar tanto al ordenador en concreto como la red a la que pertenece, de manera que sea posible distinguir a los ordenadores que se encuentran conectados a una misma red. Con este propósito, y teniendo en cuenta que en Internet se encuentran conectadas redes de tamaños muy diversos, se establecieron tres clases diferentes de direcciones, las cuales se representan mediante tres rangos de valores:


Clases de redes

-          Clase A. El primer byte tiene un número comprendido entre 1 y 126. Estas direcciones utilizan únicamente este primer byte para identificar a la red, quedando los otros bytes disponibles para cada uno de los host que pertenezcan a la red. . Esto significa que podrán existir más de dieciséis millones de ordenadores en cada una de las redes de esta clase.
.
-          Clase B. Estas direcciones ocupan en su primer byte un número de entre 128 y 191. En este caso el identificador de la red se obtiene de los dos primeros bytes de la dirección. Los dos últimos bytes de la dirección constituyen el identificador del host permitiendo, por consiguiente, un número máximo de 64516 ordenadores en la misma red.

-          Clase C. El valor del primer byte, en estas direcciones, es de entre 192 y 223, utilizando los primeros tres bytes para el número de la red. El ultimo byte de la dirección, permitiendo un número máximo de 254 ordenadores.

En las tres clases, el numero 0 y el 255 en cualquier byte, quedan reservados.


Reglas de direccionamiento IP:

-          Las direcciones IP se utilizan para identificar los nodos de una red.
-          Existen dos tipos de direcciones IP:
-           
o       Estáticas. No cambia con el tiempo.
o       Dinámicas. Cambian cada vez que un usuario se conecta a la red.

-          Una dirección IP consiste de 32 bits agrupados en 4 octetos (byte).

o       Primer byte. Señala a que clase de red pertenece la dirección.

-          Para representar las subredes se utiliza la formula 2n-1.
-          Las direcciones IP se escribe en decimal y en binario.

Restricciones para el direccionamiento IP:

-          El primer octeto no puede ser 255 (11111111), debido a que esta reservado para el broadcast[1].
-          El primer octeto no puede ser 0 (00000000), ya que pertenece solo a esa red.
-          El primer octeto no puede ser 127 (01111111), ya que es loopback (el propio host).
-          La dirección IP de una red debe ser única en Internet.
-          La dirección IP de un host debe ser única en una red.
-          El último octeto no puede ser 255 ya que es broadcast.
-          El último octeto no puede ser 0 por que es local host.


Mascara de red

La mascara de red tiene dos funciones:

  1. Indicar si un host en la red es local o remoto se utiliza la mascara de red.
  2. Dividir una red en subredes.

La mascara de red, antes de dividirla en subredes, depende de la clase de la misma:

-          Clase A: 255.0.0.0
-          Clase B: 255.255.0.0
-          Clase C: 255.255.255.0

Subneteo utilizando la máscara de red

Cuando se divide una red en subredes, todos los host en la red total deben tener el mismo numero de Network Id (ID de la red).

Para realizar el subneteo se manipulan los bits que están a la derecha del Network Id, es decir, a la derecha del octeto 255 de la máscara de subred. Es decir, para las redes clase A, se manipulan los tres octetos restantes; para las redes clase B, se manipulan los dos octetos a la derecha; para las redes clase C, el octeto que se utiliza es el último.