1. UNIVERSIDAD GALILEO
HERBERT PATZAN
FISICC – LASI
EQUIPOS ACTIVOS DE RED
En un entorno de red basado en la tecnología Ethernet clásica de bus
compartido, el análisis del tráfico de red se basa habitualmente en la utilización
de sondas con interfaz Ethernet conectadas al bus. Dichas sondas, con su
interfaz Ethernet funcionando en modo promiscuo, capturan el tráfico a analizar
y constituyen la plataforma en la que se ejecutarán, de forma más o menos
permanente, aplicaciones bien propietarias, bien de dominio público, las cuales
permitirán realizar un análisis del tráfico capturado para su supervisión.
Una tarea a realizar puede ser la recopilación de datos para la elaboración de
distintos tipos de estadísticas que pueden servir para saber, por ejemplo, cómo
se distribuye el ancho de banda de entrada/salida a una zona de la red entre
los distintos tipos de protocolos de nivel de aplicación o entre las distintas
máquinas de la zona en sus accesos externos. De esa forma podríamos
facturar en función del volumen de tráfico de un departamento o conocer los
servidores web externos más accedidos, o saber simplemente qué servidores
web existen en esa zona de red, cosa nada sencilla en organizaciones grandes
de unas determinadas características. También será interesante la detección
de determinados tipos de ataques hacia/desde una zona supervisada,
utilizando alguno de los sistemas detectores de intrusiones existentes en la
actualidad. Especial interés tiene detectar los ataques de negación de servicio
que pueden afectar seriamente al normal funcionamiento de nuestra red. Todo
ello, por supuesto, dentro del marco de la legalidad vigente en nuestro país, lo
cual supondrá evitar el análisis o almacenamiento del contenido del campo de
datos (payload) de los paquetes [1].
Si tenemos una red compleja, segmentada, con uno o varios routers basados
en la tecnología Ethernet, es habitual hacer pasar por un bus ethernet (que a
veces se conoce como "Drawbridge"), todo el tráfico entrante/saliente
hacia/desde una determinada zona de red que queramos supervisar.
El tráfico supervisado puede corresponder al de un enlace externo WAN o al
que exista entre dos zonas separadas de nuestra red. El tráfico interno a cada
zona no suele ser capturado de forma permanente.
Combinando los sistemas de detección y análisis con los mecanismos que los
routers o encaminadores establecen para control de acceso y control de
congestión, disponemos de un entorno de gestión que podríamos definir como
un "firewall" o cortafuegos virtual, cuya ventaja fundamental es que no
introduce un elemento adicional intermediario en el acceso a la zona de red
supervisada, origen de posibles problemas de pérdida de conexión o de
degradación del rendimiento.
2. Esto evidentemente, será una filosofía aplicable a un entorno en el que prime la
conectividad sobre la seguridad, es decir, en el que problemas con los
dispositivos de análisis no deban afectar a la conectividad aunque
momentáneamente estemos "ciegos" a lo que entra y sale de la zona de red
supervisada.
Centrándonos en un entorno de este tipo, el problema empieza a surgir cuando
la evolución tecnológica nos lleva a usar conmutadores en vez de
concentradores, y a utilizar técnicas de banda ancha en el corazón de la red,
así como en el acceso hacia/desde el exterior de la misma.
Es típico un escenario en el que el corazón de la red ("backbone") está
constituido por una nube de conmutadores ATM interconectados, de los cuales
cuelgan conmutadores de acceso, por ejemplo, FastEthernet/Ethernet, con uno
o varios interfaces ATM para conectar al "backbone". Sobre todo ello es típico
también utilizar LANE, y por supuesto TCP/IP, y routers con esta tecnología
conectados igualmente a la nube ATM. Además, en nuestro caso, el proveedor
habitual de conexión al mundo Internet nos proporciona un enlace ATM con un
ancho de banda que puede crecer desde 4Mbps contratados en la actualidad a
34Mbps o 155Mbps si fuera necesario, sin realizar cambios en el hardware de
los equipos conectados a los extremos del enlace.
En este entorno no existe un bus compartido ethernet del cual podamos extraer
el tráfico que sea necesario analizar. Además hacer pasar tráfico entre zonas
3. por un bus ethernet a 10 Mbps, puede constituir un serio cuello de botella. Hay
que buscar mecanismos transparentes para poder analizar el tráfico
hacia/desde zonas de la red que queramos supervisar, que permitan el análisis
de flujos de tráfico que ocupen un mayor ancho de banda.
Distinguiremos entre conmutadores de backbone, reservando esta
denominación para los conmutadores con puertos ATM (en nuestro caso a
155Mbps OC3c) que constituyen el corazón de la red interconectándose entre
sí, y los conmutadores de acceso, los cuales poseen un puerto ATM (en
nuestro caso a 155Mbps OC3c) para conectarse a alguno de los conmutadores
de backbone y puertos Ethernet o FastEthernet para conexión de los usuarios
de la red. En algún caso existen servidores centrales conectados directamente
al backbone ATM, pero la función principal del mismo será interconectar entre
sí los conmutadores de acceso.
Es fácil caer en la trampa de pensar que las utilidades de monitorización del
tráfico de un conmutador de acceso, que permiten volcar el tráfico entrante/
saliente de uno o varios puertos sobre otro puerto en el que puede ser
conectada una sonda, ofrecidas por los fabricantes, van a resolvernos el
problema. Normalmente el uso de estas facilidades va a hacer que el
rendimiento del conmutador caiga dramáticamente, afectando seriamente al
servicio ofrecido, viéndose restringido su uso a momentos muy concretos.
Algunos conmutadores de acceso avanzados, que además incorporan
facilidades de routing a nivel IP, también poseen utilidades similares, pero
presentan el mismo problema. Por otra parte las implementaciones RMON
típicas hasta la fecha son insuficientes para resolver en toda su amplitud la
problemática planteada. Necesitamos mecanismos no intrusivos,
transparentes, que puedan ser aplicados de forma permanente, y abiertos a la
utilización de sondas no ligadas a un software propietario, en las que las
herramientas de dominio público puedan solucionarnos gran parte de las
necesidades de análisis sobre lo que está pasando por un punto de la red.
4. Acerca del conmutador de acceso de Direct2Internet
El conmutador de acceso de Direct2Internet representa una solcuión de alta
tecnología única para conexiones analógicas y digitales a una red. La unidad
actúa como un pequeño conmutador y funciona, al mismo tiempo, de manera
parecida a un módem.
Conexión más rápida
El conmutador de acceso de Direct2Internet mejora los tiempos de conexión a
Internet y otras redes en un 50% si se compara con . los grupos de modems
tradicionales.
Modo de conexión Grupo de modems Conmutador de acceso
Módem V.90 30-60 seg. aprox 12-19 seg aprox
V.110 móvil 10 seg. aprox 4 seg. aprox
RDSI 2-4 seg. aprox 0,2 seg. aprox
Mayor flexibilidad de la infraestructura
Como el conmutador de acceso de Direct2Internet integra el conmutador de
telecomunicaciones, PRI y RAS, la infraestructura de la red se hace más
flexible y fácil de administrar.
DATOS TECNICOS
Conexión de red a través de un eje central TCP/IP de Internet
Tarjeta de interfaz de red Ethernet y dos/cuatro puertos T1 o tarjeta de interfaz
E1 (tarjeta de interfaz SS7/C7 o PRI)
Dos tarjetas para unidad de proceso de señales digitales (DSP) con una
función parecida a la de un módem con capacidad para más de 240 canales
Suministro de energía 220/110 V de 19. Ancho: 50 cms. Alto: 5 cms.
Profundidad: 42 cms. Peso: 18.14 kg
Otras especificaciones: Descarga de configuracion y software, control de
proceso/estado de llamada, detección de errores/estadísticas, diagnóstico del
sistema
Función de módem ampliado, datos-fax, RDSI, funcines de paquete y voz
(VoIP/FoIP), funciones DSL