10 minute read
A.8.-Capa Nº 3: Red
Práctica Nº11.-Autenticación de Usuarios en Redes Wireless: Servidor RADIUS
previo establecimiento de la conexión, lo que permite establecer un "circuito virtual" a priori, por donde viajarán los paquetes de la comunicación, garantizando una fiabilidad (los paquetes llegan ordenados). Es decir, gracias al "número de secuencia", puede darse cuenta de que se ha perdido algún paquete, en cuyo caso solicitará una retransmisión de éste al emisor. Para llevar un control de todo ello, tanto emisor como receptor se informan mediante el uso de paquetes "ACK" y "NACK" ya comentados en la introducción. En cambio "UDP" permite el intercambio de paquetes, denominados en este caso "datagramas", a través de la red sin que se haya establecido previamente una conexión, ahorrándonos por tanto, el tiempo invertido en su establecimiento y liberación, pero corriendo el riesgo de que los paquetes no lleguen ordenados (no tienen porque seguir el mismo camino ó circuito), pudiéndose traducir en una perdida de información. Según esto, utilizar el protocolo "UDP" tan sólo es recomendable utilizarlo en situaciones, donde la información a transmitir sea reducida (el tiempo de establecimiento y liberalización serían muy significativos), ó en aquellas situaciones donde aún perdiendo parte de los paquetes, la información recibida siguiera siendo entendible, como es el caso de la transmisión de voz ó video.
Advertisement
Toda esta información (número de secuencia, números de puerto e información del protocolo) se agrega a cada uno de los paquetes que forman el mensaje, junto con otra que puede ser de utilidad para el control de la comunicación, formando una cabecera ("Header") que acompaña al paquete de datos.
Dentro de este nivel se llevan a cabo dos funciones esenciales: identificación del equipo que origen/destino mediante el uso de "direcciones IP" y el encaminamiento (ó routing) de los paquetes, lo que garantiza que los paquetes que forman parte de la comunicación lleguen al destinatario. Para llevar a cabo estas funciones, se estableció el protocolo "IP" ("Internet Protocol"), responsable por tanto, del envío y enrutamiento de los paquetes entre máquinas. Al igual que cuando nos comunicamos con una persona mediante correo postal, hemos de indicar la dirección de destino (ciudad-calle-numero-puerta), y del remitente, para que el cartero sepa que ruta llevar para hacer llegar la carta a su destino (y en caso de un posible error, remitirla), en comunicaciones informáticas ocurre exactamente lo mismo, debemos indicar la "ciudad-calle-número-puerta" donde se localiza el equipo informático destinatario. Si tenemos en cuenta, que los ordenadores solo comprenden cantidades binarias, lo que se hace es indicar mediante cuatro cantidades binarias (4 bytes, 32 bits) tal dirección, lo que hace un total de "2 32 = 4.294.967.296 direcciones IP" posibles a asignar. No obstante, de cara a su manejo, debido a que a una persona le resultaría bastante latoso tener que manejar cantidades binarias, cada uno de los
Seguridad Informática y Alta Disponibilidad – amartinromero@gmail.com 373
Práctica Nº11.-Autenticación de Usuarios en Redes Wireless: Servidor RADIUS
grupos ó bytes que forman la dirección IP es traducida a decimal ("w.x.y.z"). De igual forma, si tenemos en cuenta que los ordenadores se agrupan en redes, no en ciudades, ni calles, lo que la dirección IP realmente indica es simplemente, la red donde se ubica el equipo (identificador de red), junto con un identificador que le diferencia al equipo dentro de la red donde se encuentra del resto que la forman (identificador de equipo). Rango de direcciones IP: 00000000.00000000.00000000.00000000 hasta 11111111.11111111.11111111.11111111 0.0.0.0 hasta 255.255.255.255
32 bits (4 bytes) IDENTIFICADOR DE RED IDENTIFICADOR DE EQUIPO
Este identificador debe ser único (direcciones IP públicas), ya que al igual que no existen en una misma ciudad, dos domicilios con la misma dirección postal, tampoco puede darse en el ámbito informático si lo queremos evitar confusiones. Con la finalidad de facilitar el enrutamiento de los paquetes, las direcciones IP de todos los equipos se agrupan de una manera lógica, estableciendo una división en 5 grupos ó clases de direcciones IP, distinguiéndose entre ellas a través de los primeros bits de comienzo de la dirección:
IDENTIFICADOR RED IDENTIFICADOR EQUIPO Clase A: 0 X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X
IDENTIFICADOR RED IDENTIFICADOR EQUIPO Clase B: 1 0 X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X
IDENTIFICADOR RED ID. EQUIPO Clase C: 1 1 0 X X X X X X X X X X X X X X X X X X X X X X X X X X X X X
Clase D: 1 1 1 0 X X X X X X X X X X X X X X X X X X X X X X X X X X X X Clase E: 1 1 1 1 X X X X X X X X X X X X X X X X X X X X X X X X X X X X
Tal como se observará posteriormente, a través de un problema propuesto (problema nº 2), esta clasificación condiciona el número de redes de cada clase que pueden existir, y el número de equipos informáticos que puede albergar cada una de ellas.
De entre todos los valores posibles algunos tienen significados especiales: 1) "0.0.0.0" es utilizada por los equipos cuando arrancan (se refieren a si mismos) pero no se usa después. 2) "0" como identificador de red seguido de identificador de equipo se utiliza para hacer referencia a un host de la propia red. 3) "255.255.255.255" se utiliza para difusión en la red local. Tal como se explico en el capitulo nº 0, a veces puede resultar interesante mandar un mensaje a todos los equipos de la red, en lugar de a un equipo ó conjunto de estos. 4) Identificador de red seguido de todo ceros como identificador de host se utiliza para representar a
Seguridad Informática y Alta Disponibilidad – amartinromero@gmail.com 374
Práctica Nº11.-Autenticación de Usuarios en Redes Wireless: Servidor RADIUS
la propia red: "dirección de red", y por tanto, no se le puede asignar a un equipo de ésta. Esta dirección IP se corresponde con la dirección más baja de toda la red. 5) Identificador de red seguido de todo unos como identificador de host se utiliza para la difusión de información en otra red diferente a la propia. Es lo que se denomina la "dirección de broadcast" de la red, y al igual que la "dirección de red", no se le puede asignar a un equipo de ésta. Esta dirección IP se corresponde con la dirección más alta de toda la red. 6) "127.x.y.z" se utiliza para la realización de pruebas de bucle interno (referenciar a la máquina local, "localhost"), en las cuales las peticiones de servicio no se transmiten por el cable sino que se procesan localmente. Esto resulta útil, cuando nuestro equipo ó host, hace las veces de servidor (servidor HTTP, FTP, ó cualquier otro tipo), y queremos comprobar su funcionalidad llamando desde una aplicación cliente a nosotros mismos. 7) Las direcciones de clase D son usadas para uso en grupos multicast, y las de clase E son direcciones experimentales, por lo que no están disponibles para uso general. De ahí, que de aquí en adelante tan sólo vayamos a trabajar con direcciones de clase A, B y C.
A modo de ejemplo, esto significa que la dirección IP "64.187.23.201", una vez traducida en binario, "01000000.10111011.00010111.11001001", se advierte que es una dirección de clase A, que se identifica ante el resto de redes de clase A, por ser la número "64", y que a su vez hace referencia al equipo cuyo identificador es el "187.23.201". Además la dirección IP "64.00000000.00000000.00000000" ("64.0.0.0") es la dirección de red, y "64.11111111.11111111.11111111" ("64.255.255.255") la dirección de broadcast de la red.
Todo lo anterior sólo afecta a las máquinas que pertenecen a redes públicas, es decir, aquellas máquinas a las que todo el mundo puede tener acceso a través de Internet. En este ámbito, la asignación de direcciones IP esta regulada por "InterNIC" ("Internet Network Information Center"), la cual se encarga de organizar su asignación de tal forma que el encaminamiento de los paquetes por parte de los "enrutadores" sea lo más sencillo posible. Si por el contrario, el equipo al que le vamos a asignar una dirección IP, es un equipo al cual no se tiene acceso desde Internet, y por tanto, pertenece a una red privada ("IntraNET"), se recomiendan los siguientes identificadores de red, pudiéndose repetir en redes privadas distintas: Clase A: "10.0.0.0". Clase B: "172.16.0.0" a "172.31.0.0". Clase C: "192.168.1.0" a "192.168.254.0". En el caso en que esta organización de las direcciones IP en cuatro clases no se acomode a nuestros requisitos, y se requiera una mayor división, es posible establecer subredes. Al formar subredes se nos permite (1) mezclar redes de topología diferente ("Ethernet" y "Token Ring"), y (2) reducir la congestión de red redireccionando el tráfico, reduciendo el "broadcasting". Para ello se hará uso de los bits encargados de identificar el equipo, repartiéndolos de tal forma, que los bits de más peso identifiquen la subred y los más bajos, identifiquen al equipo dentro de la subred. Éste y otros aspectos, se verán en mayor profundidad a continuación mediante problemas propuestos. En cuanto al encaminamiento, indicar que es la acción que se desencadena ante la llegada de un paquete IP a un cruce de caminos (distintas opciones de salida) ante el cual se debe decidir, en base a un criterio previamente establecido (p.e. "Elegir el camino que garantice llegar al destino en menos tiempo, independientemente del coste que conlleve."), el camino de salida por el cual
Seguridad Informática y Alta Disponibilidad – amartinromero@gmail.com 375
Práctica Nº11.-Autenticación de Usuarios en Redes Wireless: Servidor RADIUS
reenviar el paquete con la finalidad de llegar a su destino. Este cruce de caminos, se presenta continuamente, incluso en el mismo equipo donde se genera, al existir como poco dos alternativas, (1) enviar el paquete hacia el lazo interno, ó (2) enviar el paquete a la red sacándolo por la interfaz ó tarjeta de red. Para llegar a comprender como este encaminamiento se lleva a cabo, es fundamental conocer la importancia que tiene la "máscara de red ó subred". Esta máscara es una "dirección" de 32 bits que permite, tras aplicársele a una dirección IP de un equipo, desenmascarar la dirección IP de la red a la cual pertenece. Esto es muy útil, ya que un "enrutador" ó "ROUTER" al recibir un paquete, una vez comprobado que éste no contiene errores, observa cual es la dirección IP del destinatario, y tras aplicarle la máscara reconoce la red a la que pertenece, y por tanto, por que interfaz debe reenviarlo. Concretamente, esta máscara esta compuesta por "1’s" en las posiciones de más peso, y "0’s" en las de menor peso, de tal forma, que al hacer una "AND" (función lógica) con la dirección IP, se obtiene como resultado la dirección de su red ó subred. Siguiendo con el ejemplo anterior, si un paquete va destinado al equipo cuya dirección IP es "64.187.23.201" ("01000000.10111011.00010111.11001001"), su máscara deberá ser "255.0.0.0" ("11111111.00000000.00000000.00000000"), para que tras hacer la función lógica AND entre las dos, de cómo resultado la dirección de red a la que pertenece: "01000000.00000000.00000000.00000000" ("64.0.0.0"). Para llegar a comprender en mayor profundidad estos aspectos, se remite igualmente al lector a realizar los problemas que a continuación se proponen, cuya solución seguramente ayudará a dar respuesta a muchas dudas que se puedan presentar. Todo lo anterior, provoca que dentro de este nivel de red sea necesario incluir una nueva cabecera ó "Header" que acompañe a todos los paquetes que forman parte de la comunicación, donde se indicarán las direcciones IP de origen y destino, junto con otra serie de información complementaria. Por último, indicar que dentro de este nivel, también puede llevarse a cabo una nueva fragmentación de los paquetes, en el caso en que su longitud no sea la aconsejable para su transmisión por el canal. Esta función es ampliamente utilizada por los "enrutadores" que hacen función de pasarela entre dos redes de características diferentes "TCP/IP" (tamaño del paquete variable) y "ATM" (tamaño de paquete fijo e igual a 53 bytes), donde las características de los paquetes que viajan por ambas redes no coinciden.
Seguridad Informática y Alta Disponibilidad – amartinromero@gmail.com 376
