Hub 10BASE-T
Conectores RJ45
Cables UTP-5 (máx. 100m)
Todos los ordenadores comparten los 10 Mb/s
Todos los ordenadores conectados al hub pueden colisionar, por eso decimos que todos forman un ‘dominio de colisión’
Ethernet compartida (1990-1995)
10 Mb/s
10 Mb/s
10 Mb/s
10 Mb/s
10 Mb/s
Switch 10/100/1000BASE-T
Conectores RJ45
Cables UTP-5 (máx. 100m)
Cada ordenador se conecta según la velocidad de su tarjeta
Cada ordenador tiene una red ethernet para él solo. No hay colisiones, cada puerto es un dominio de colisión diferente
Ethernet conmutada (1995- )
10 Mb/s
100 Mb/s
10 Mb/s
1000 Mb/s
100 Mb/s
Dominio de colisión
Ethernet conmutada/compartida
10 Mb/s
10 Mb/s
10 Mb/s
10 Mb/s
100 Mb/s
100 Mb/s
100 Mb/s
100 Mb/s
10 Mb/s
100 Mb/s
100 Mb/s
100 Mb/s
Dominio de colisión
Switch 10/100BASE-T
Hub
10 Mb/s
Hub
100 Mb/s
Router
Estructura de la Trama Ethernet
La detección de colisiones de Ethernet requiere que las tramas tengan una longitud mínima de 64 bytes.
La longitud máxima es de 1518 bytes (1500 bytes de datos más la cabecera y el CRC)
El nivel físico añade 20 bytes a la trama ethernet
6
2
6
0-1500
0-46
4
Longitud
(bytes)
El relleno solo está presente cuando es preciso para llegar al mínimo de 64 bytes
12
Silencio
Preám-
bulo
8
Trama MAC (64-1518 bytes)
Trama física (84-1538 bytes)
Tipos de emisiones en una LAN
Unicast: La trama está dirigida a un host de la LAN en particular (en realidad a una interfaz de un host)
Multicast: La trama está dirigida a un subconjunto de los hosts de la LAN. El subconjunto puede variar con el tiempo y abarcar todas, una parte o ninguna de las interfaces de la LAN
Broadcast (dirección FF:FF:FF:FF:FF:FF): La trama va dirigida a todas las interfaces de la LAN. El broadcast se considera a veces un caso particular de multicast
Las direcciones multicast y broadcast no deben aparecer nunca en las tramas como direcciones de origen, solo como direcciones de destino
Direcciones MAC
= 0 Dirección Individual (unicast)
= 1 Dirección de Grupo (multicast/broadcast)
= 0 Dirección Global (administrada globalmente)
= 1 Dirección Local (administrada localmente)
Parte asignada al fabricante (OUI)
Parte específica del equipo
Las direcciones se expresan con doce dígitos hexadecimales. No hay un formato estándar para expresarlas, los más habituales son:
00:30:A4:3C:0C:F1
00-30-A4-3C-0C-F1 0030.A43C.0CF1
OUIs
Los OUIs (Organizationally Unique Identifiers) los asigna el IEEE a cada fabricante. Cada OUI cuesta actualmente US$ 1650.
Puesto que el OUI identifica al fabricante es posible averiguar la marca de una interfaz a partir de su MAC
Muchos analizadores de protocolos llevan incorporadas tablas de los OUIs conocidos. Ej.: Wireshark (www.wireshark.org)
También se puede consultar por Internet el OUI de una dirección concreta: http://www.8086.net/tools/mac/
Conversación políglota
Imaginemos que un grupo de personas mantiene una conversación informal en la que emplean varios idiomas indistintamente.
Imaginemos además que todos esos idiomas utilizan las mismas palabras y los mismos fonemas, de modo que no es posible deducir por contexto el idioma utilizado
Cada vez que alguien fuera a decir una frase debería primero indicar el idioma que va a utilizar, para evitar malentendidos
Podríamos hacer una lista de los idiomas asignándole a cada uno un número. Cuando alguien fuera a decir una frase diría antes un número en inglés indicando el idioma que va a utilizar
Campo Protocolo o ‘Ethertype’
En una LAN Ethernet se puede estar hablando diferentes ‘idiomas’ (protocolos de nivel de red) simultáneamente
Para evitar ambigüedades es preciso identificar a que protocolo de red pertenece cada trama. Esto se consigue con un código de cuatro dígitos hexadecimales (dos bytes) llamado ‘Ethertype’ que va en la cabecera de la trama. Ejemplos:
IP: 0x0800
ARP: 0x0806
Appletalk: 0x809b
Los Ethertypes los registra el IEEE (cada ethertype cuesta US$ 2.500)
Campo Protocolo/longitud de Ethernet
Por razones históricas este campo tiene dos posibles significados:
Si es mayor que 1536 indica el protocolo de nivel de red al que pertenecen los datos. A este campo se le denomina ‘Ethertype’
Si es igual o menor que 1536 indica la longitud de la trama ehternet. La longitud realmente no hace falta porque siempre se puede deducir sabiendo el final de la trama (detectado por el silencio)
Cuando este campo indica la longitud el Ethertype está al principio de los datos, en una cabecera adicional llamada cabecera LLC/SNAP (Logical Link Control/SubNetwork Access Protocol)
6
2
6
0-1500
0-46
4
Trama Ethernet II (DIX):
Longitud
(bytes)
6
2
6
0-1492
0-38
4
Trama Ethernet IEEE 802.3:
Longitud
(bytes)
8
Ethertype
Diferentes formatos de la trama Ethernet
Puentes
Separan redes a nivel MAC
Objetivos:
Mejorar rendimiento (separan tráfico local)
Aumentar seguridad (los sniffers ya no capturan todo el tráfico)
Aumentar la fiabilidad (actúan como puertas cortafuegos, un problema ya no afecta a toda la red)
Permitir la interoperabilidad entre redes diferentes (Ethernet-WiFi)
Mejorar alcance
Permitir un mayor número de estaciones
LAN 1
LAN 2
Puente
Interfaces en
modo promiscuo
?
?
Funcionamiento de un puente transparente
A
B
A genera una trama con destino B que el puente recibe por ?
El puente busca a B en su tabla de direcciones; como no la encuentra reenvía la trama por ?
El puente incluye la dirección de A en su tabla de direcciones asociada a la interfaz ?
Cuando B envía una trama de respuesta el puente incluirá la dirección de B en la tabla, asociada a la interfaz ?
5. Más tarde C envía una trama hacia A. El puente la recibe por ? pero no la reenvía por ? pues ya sabe que A está en ?.
(Gp:) A?B
(Gp:) B?A
C
D
(Gp:) C?A
(Gp:) C?A
6. Al ver la dirección de origen de esta trama el puente asocia C con ?.
A
?
B
C
?
?
Formato de una trama MAC 802.x
6
6
4
En muchos casos el protocolo MAC no usa la Dirección de origen para nada
La principal (y en la mayoría de los casos la única) utilidad de la dirección MAC de origen es permitir el funcionamiento de los puentes transparentes
Puentes transparentes (IEEE 802.1D)
Se pueden utilizar en todo tipo de LANs
Funcionan en modo ‘promiscuo’ (lo oyen todo)
El puente averigua que estaciones (direcciones MAC) tiene a cada lado, y solo reenvía las tramas que:
Van dirigidas a una estación al otro lado, o
Tienen un destino desconocido que no aparece en la tabla, o
Tienen una dirección de grupo (broadcast o multicast), ya que estas no figuran nunca como direcciones de origen y por tanto no están nunca en la tabla de direcciones
La trama reenviada es idéntica a la original (la dirección MAC de origen no se cambia por la de la interfaz del puente).
Aunque las interfaces del puente tengan direcciones MAC propias, estas direcciones no aparecen nunca en las tramas reenviadas.
Los puentes transparentes en la arquitectura IEEE 802
802.3:
CSMA/CD
(Ethernet)
802.1: Puentes Transparentes
802.2: LLC (Logical Link Control)
Capa
Física
Subcapa
LLC
Subcapa
MAC
(Media
Access
Control)
802.1: Gestión
802.1: Perspectiva y Arquitectura
802.10: Seguridad
Puente
Homogéneo
Puente
Heterogéneo
Puente
Homogéneo
802.15:
Bluetooth
802.5:
Token
Ring
802.11:
LANs
Inalám-
bricas
802.16:
WiMAX
…
…
…
…
A
F
E
B
C
P 1
?
?
?
?
Red con dos puentes
D
P 2
Desde el punto de vista de P1 las estaciones C, D, E y F están en la misma LAN, ya que cuando P2 reenvía por ? las tramas de E y F no cambia la dirección MAC de origen
10 Mb/s
10 Mb/s
10 Mb/s
100 Mb/s
Trama recibida
sin error en
puerto x
¿Puerto de
salida = x?
Reenviar trama
por puerto
de salida
Reenviar trama
por todos los
puertos excepto x
¿Dirección de
origen encontrada
en tabla CAM?
Actualizar dirección
y contador
de tiempo
Terminar
Añadir dirección de origen
a tabla CAM
(con número de puerto
y contador de tiempo)
¿Dirección de
destino encontrada
en tabla CAM?
Reenvío
Aprendizaje
Sí
No
Sí
No
No
Sí
Funcionamiento de los puentes transparentes
(transparent learning bridges)
Red de campus en los 80
Fac. Física
Fac. Química
Fac. Biología
Serv. Informática
10 Mb/s (Coaxial grueso, 10BASE5)
10 Mb/s
(Coaxial
Fino,
10BASE2)
10 Mb/s
(Coaxial
Fino,
10BASE2)
10 Mb/s
(Coaxial
Fino,
10BASE2)
10 Mb/s
(Coaxial
Fino,
10BASE2)
Backbone
de campus
Switches (o conmutadores) LAN
Un switch es funcionalmente equivalente a un puente transparente
El switch implementa el algoritmo de conmutación de tramas en hardware, mientras que el puente lo hace en software
Para ello utiliza chips diseñados específicamente para ello llamados ASICs (Application Specific Integrated Circuit)
El switch es mucho más rápido que el puente, puede funcionar a la velocidad nominal de la interfaz, simultáneamente por todas sus interfaces (‘wire speed’)
Normalmente los switches tienen muchas más interfaces (4-500) que los puentes (2-6)
Hoy en día los puentes no se utilizan
B
D
C
A
E
F
?
?
?
Switch con cuatro interfaces
LAN 1
LAN 2
LAN 3
100 Mb/s
10 Mb/s
10 Mb/s
G
100 Mb/s
?
LAN 4
Dominio de colisión
A ?
B ?
C ?
D ?
E ?
F ?
G ?
Microsegmentación
Transmisión half duplex
Transmisión full dúplex
Tabla de direcciones (tabla CAM)
La tabla de direcciones MAC de los conmutadores LAN se denomina tabla CAM (Content Addressable Memory)
Al cabo de un rato de normal funcionamiento de la red la tabla CAM incluye las direcciones de la mayoría de las estaciones activas de todas las LANs conectadas directa o indirectamente al puente.
Las entradas de las tabla CAM tienen un tiempo de vida limitado para permitir la movilidad. Las entradas inactivas se borran pasado un tiempo (típicamente 5 min.)
La tabla CAM se mantiene en memoria dinámica y tienen un tamaño limitado (típico 1K-16K direcciones)
La tabla es exhaustiva. No existe un mecanismo de sumarización o agrupación de direcciones por rangos ya que normalmente éstas no guardan ninguna relación.
Microsegmentación
Si en una LAN se tienen muchos puertos de conmutación se le puede dedicar uno a cada ordenador. Esto se llama microsegmentación.
La microsegmentación mejora el rendimiento ya que las tramas van del origen al destino pasando solo por los sitios precisos (salvo posiblemente la primera, que se difundirá por inundación al ser una dirección desconocida) .
También mejora la seguridad, pues los sniffers no pueden capturar tráfico que no les incumbe.
La microsegmentación ha sido una consecuencia del abaratamiento de los conmutadores en los años 90.
Hoy en día la microsegmentación es habitual ya que los hubs casi no se comercializan
Evolución de las redes locales Ethernet
Fase 1 (1988): Medio compartido (10 Mb/s) con cable coaxial en topología de bus
Fase 2 (1992): Medio compartido (10 Mb/s) con cable de pares (cableado estructurado) y concentradores (hubs) en topología de estrella
Fase 3 (1996): Medio dedicado (10 Mb/s) con cable de pares y conmutadores en topología de estrella (microsegmentación)
Cable coaxial (10BASE5 ó 10BASE2)
Cable de pares
Cable de pares
Hub 10BASE-T
Switch 10/100BASE-T
Diagnóstico y resolución de problemas
Una parte fundamental del mantenimiento de una red son las tareas de ‘troubleshooting’ (diagnóstico y resolución de problemas).
Para esto se suelen utilizar programas analizadores de tráfico, como wireshark (www.wireshark.org).
Estos programas requieren a menudo que un host inspeccione el tráfico de otro, monitorizando todo su tráfico pero sin interferir. Los hubs son todavía muy útiles en esta tarea. Pero los hubs sólo van a 10 ó 100 Mb/s
Los switches tienen una función denominada ‘port mirroring’ que replica en un puerto el tráfico de otro, dando una funcionalidad equivalente a la de un hub. Pero el port mirroring no está disponible en todos los switches, solo en los caros.
En el mercado hay switches baratos cuya tabla CAM tiene 0 entradas, de forma que actúan siempre por inundación, como si fueran hubs. Estos switches son muy útiles cuando se utilizan analizadores
Cliente
Servidor
Analizador (Wireshark)
1: HUB:
En caso de problemas en la comunicación cliente-servidor el analizador captura todo el tráfico de ambos
Cliente
Servidor
Analizador (Wireshark)
2: SWITCH:
En este caso el analizador solo captura el tráfico broadcast/multicast, con lo cual normalmente no es posible diagnosticar el problema
Cliente
Servidor
Analizador (Wireshark)
C
C
S
S
C
S
C
C
S
S
C
C
S
S
C
S
C
S
3: SWITCH CON ‘PORT MIRRORING’:
Al configurar en el switch port mirroring entre el puerto del cliente (o del servidor) y el del analizador, éste recibe todo el tráfico de la sesión, siendo equivalente al uso de un hub
PM
Determinación de problemas con un analizador
Tx
Rx
Conexión de ordenadores mediante un hub
El hub se encarga de cruzar el cable Tx de cada ordenador con el Rx de los demás. Los cables son paralelos, el cruce se hace internamente.
Cuando A transmite algo por su cable Tx el hub lo reenvía a B y C por los cables Rx de éstos
Protocolo CSMA/CD: Si mientras A está transmitiendo le llega algo por su cable Rx entiende que se ha producido una colisión, deja de transmitir inmediatamente y envía por su cable Tx una señal de colisión
Tx
Rx
Hub
Tx
Rx
A
B
C
Tx
Rx
Rx
Tx
Conexión directa de dos ordenadores
Cuando solo se conectan dos ordenadores no es necesario usar un hub. Basta con un cable cruzado, es decir un cable que conecta el Tx de un extremo con el Rx del otro.
El protocolo CSMA/CD funciona igual que si hubiera un hub: Si A está transmitiendo y mientras recibe algo de B entonces deja de transmitir y envía la señal de colisión. B actúa de la misma manera.
El protocolo CSMA/CD obliga a una comunicación half-duplex, aun cuando en este caso el medio físico (el cable UTP) permitiría funcionar en full-duplex, al haber solo dos ordenadores
A
B
Funcionamiento full-duplex
La transmisión full-dúplex requiere desactivar el protocolo CSMA/CD, y por tanto suprime la limitación de alcance que esto imponía (4 km a 10 Mb/s, 400 m a 100 Mb/s).
El protocolo MAC simplificado es más sencillo de implementar y más barato que Half Dúplex.
El modo full-duplex esta disponible en todos los switches, incluso en los de bajo costo
A partir de Gb Ethernet no hay hubs, todo es necesariamente full-dúplex
Cuando a un switch le conectamos directamente un ordenador (microsegmentación) funcionan ambos en modo full, si lo conectamos mediante un hub se ponen en modo half (aunque el hub solo tenga conectado un ordenador)
Autonegociación
Permite ajustar el funcionamiento de forma automática para utilizar la mejor opción posible. Es similar a la negociación de velocidad en módems.
Al enchufarse los equipos negocian la comunicación siguiendo una prioridad
La autonegociación en velocidad solo se utiliza en interfaces BASE-T (cable UTP). En las de fibra lo único negociable es el modo dúplex.
La autonegociación es opcional, puede estar o no.
Agregación de enlaces (802.3ad)
Consiste en repartir el tráfico entre varios enlaces para conseguir mayor capacidad. Ej.: 4 x GE = 4 Gb/s.
También se denomina ‘Ethernet trunking’, ‘Etherchannel’ o ‘Port trunking’.
Permite aumentar la capacidad y ofrece un crecimiento escalable. También mejora la fiabilidad (si falla una interfaz o un cable el tráfico se envía por el resto)
Se suele usar entre conmutadores o en conexiones servidor-conmutador
Los enlaces agrupados forman un grupo que se ve como un único enlace. Todos deben ser de la misma velocidad
Normalmente no resulta interesante más allá de 4 enlaces (mejor pasar a la siguiente velocidad).
No está soportada por los switches baratos
Internet
RedIRIS
Red
UV
2 Enlaces 1000BASE-T
Ejemplo de agregación de enlaces
Conexión a RedIRIS de la Universidad de Valencia
El router principal de conexión a Internet de la UV se une con el POP (Point of Presence) de RedIRIS en la Comunidad Valenciana mediante dos enlaces Gigabit Ethernet
Ataques de nivel 2
Los ordenadores que se conectan a la misma LAN son como personas que viven en la misma casa
Es muy difícil protegerse de ataques que provienen de una persona con la que convivimos
Del mismo modo es muy difícil conseguir una protección efectiva entre ordenadores que se comunican a nivel 2
Cuando un ordenador en una LAN ha sido atacado hay más posibilidades de que otros ordenadores en esa misma LAN sean atacados a través de él, aunque hayan resistido con éxito el ataque del exterior
El ataque que veremos a continuación supone una LAN conmutada. Si la LAN usa hubs los ataques son todavía más fáciles
Tabla CAM (Content Addressable Memory)
La tabla CAM se llena a partir de las direcciones de origen de los paquetes.
Su capacidad depende del modelo concreto del conmutador, pero suele estar entre 1K y 16K y siempre es limitada.
Cuando la tabla CAM se llena el conmutador empieza a descartar direcciones, normalmente empezando por las más antiguas
Cuando el conmutador recibe una trama cuya dirección de destino no está en la tabla CAM la difunde por inundación
En condiciones normales la tabla CAM no debería llenarse nunca, ya que nunca deberían desplegarse LANs tan grandes que desbordaran la tabla CAM de los conmutadores.
Funcionamiento normal de un conmutador
Tráfico
A-B
Tráfico
A-B
MAC Puerto
A 1
B 2
C 3
C no ve el tráfico A-B
1
2
3
A
B
C
Tabla CAM
Ataque de desbordamiento de MACs
Cuando un host envía una trama en una LAN no hay nada que le impida poner la dirección MAC de origen que desee
Incluso puede poner una dirección diferente en cada trama.
Con un sencillo programa un host puede enviar miles de tramas por segundo con direcciones MAC diferentes, todas falsas
De ese modo rápidamente desbordará la tabla CAM de cualquier conmutador
A partir de ese momento el conmutador difundirá todo el tráfico por inundación, actuando como si fuera un hub
Con un programa de análisis de tráfico (sniffer o similar) el ordenador atacante, o cualquier otro de la red, podrá a partir de ese momento capturar el tráfico de otros ordenadores, incluidas las combinaciones usuario/contraseña utilizadas por los usuarios para acceder a los servicios (por ejemplo para leer el correo)
MAC Puerto
A 1
C 3
B 2
Desbordamiento de la CAM, 1/2
C inyecta 130.000 MACs falsas por segundo
1
2
3
A
B
C
Tráfico
A-B
Tráfico
A-B
Tabla CAM
Desbordamiento de la CAM, 2/2
1
2
3
A
B
C
MAC Puerto
X 3
Y 3
Z 3
…………………
Tráfico
A-B
Tráfico
A-B
Tráfico
A-B
C captura todo el tráfico entre A y B
El switch se comporta como un hub
Tabla CAM desbordada
Tabla CAM
Ataque en toda la LAN
Si las tramas ‘envenenadas’ (con direcciones de origen falsas) llevan como destino la dirección broadcast o cualquier dirección inexistente se distribuyen por toda la LAN, con lo que un solo host puede desbordar las tablas CAM de todos los conmutadores
El host atacante puede husmear el tráfico de cualquier otro host en la LAN
Además el rendimiento de la red disminuye considerablemente, pues todos los puertos reciben todo el tráfico. La red funciona como un medio compartido.
Solución al ataque de desbordamiento de la CAM
Algunos conmutadores permiten limitar por configuración el número de direcciones MAC asociadas a cada puerto
En ese caso cuando el conmutador recibe por un puerto mas MACs diferentes que las permitidas deshabilita el puerto (lo pone en modo shutdown)
En una LAN conmutada (sin hubs) se deberían limitar los puertos de usuario a 1 MAC por puerto.
También se pueden configurar en el conmutador las MACs que se permiten en cada puerto, es decir construir de forma estática la tabla CAM. Esto es lo más seguro, pero impide la movilidad de equipos por lo que no suele hacerse
 Página anterior | Volver al principio del trabajo | Página siguiente  |