Capítulo 1
Introducción
Internet no es un nuevo tipo de red física, sino un conjunto de tecnologías que permiten interconectar redes muy distintas entre sí. Internet no es dependiente de la máquina ni del sistema operativo utilizado. De esta manera, podemos transmitir información entre un servidor Unix y un ordenador que utilice Windows 98. O entre plataformas completamente distintas como Macintosh, Alpha o Intel. Es más: entre una máquina y otra generalmente existirán redes distintas: redes Ethernet, redes Token Ring e incluso enlaces vía satélite. Como vemos, está claro que no podemos utilizar ningún protocolo que dependa de una arquitectura en particular. Lo que estamos buscando es un método de interconexión general que sea válido para cualquier plataforma, sistema operativo y tipo de red. La familia de protocolos que se eligieron para permitir que Internet sea una Red de redes es TCP/IP. Nótese aquí que hablamos de familia de protocolos ya que son muchos los protocolos que la integran, aunque en ocasiones para simplificar hablemos sencillamente del protocolo TCP/IP.
El protocolo TCP/IP tiene que estar a un nivel superior del tipo de red empleado y funcionar de forma transparente en cualquier tipo de red. Y a un nivel inferior de los programas de aplicación (páginas WEB, correo electrónico…) particulares de cada sistema operativo. Todo esto nos sugiere el siguiente modelo de referencia:
Capa de aplicación (HTTP, SMTP, FTP, TELNET...)
Capa de transporte (UDP, TCP)
Capa de red (IP)
Capa de acceso a la red (Ethernet, Token Ring...)
Capa física (cable coaxial, par trenzado...)
El nivel más bajo es la capa física. Aquí nos referimos al medio físico por el cual se transmite la información. Generalmente será un cable aunque no se descarta cualquier otro medio de transmisión como ondas o enlaces vía satélite.
La capa de acceso a la red determina la manera en que las estaciones (ordenadores) envían y reciben la información a través del soporte físico proporcionado por la capa anterior. Es decir, una vez que tenemos un cable, ¿cómo se transmite la información por ese cable? ¿Cuándo puede una estación transmitir? ¿Tiene que esperar algún turno o transmite sin más? ¿Cómo sabe una estación que un mensaje es para ella? Pues bien, son todas estas cuestiones las que resuelve esta capa.
Las dos capas anteriores quedan a un nivel inferior del protocolo TCP/IP, es decir, no forman parte de este protocolo. La capa de red define la forma en que un mensaje se transmite a través de distintos tipos de redes hasta llegar a su destino. El principal protocolo de esta capa es el IP aunque también se encuentran a este nivel los protocolos ARP, ICMP e IGMP. Esta capa proporciona el direccionamiento IP y determina la ruta óptima a través de los encaminadores (routers) que debe seguir un paquete desde el origen al destino.
La capa de transporte (protocolos TCP y UDP) ya no se preocupa de la ruta que siguen los mensajes hasta llegar a su destino. Sencillamente, considera que la comunicación extremo a extremo está establecida y la utiliza. Además añade la noción de puertos, como veremos más adelante.
Una vez que tenemos establecida la comunicación desde el origen al destino nos queda lo más importante, ¿qué podemos transmitir? La capa de aplicación nos proporciona los distintos servicios de Internet: correo electrónico, páginas Web, FTP, TELNET…
Capítulo 2
Capa de red
La familia de protocolos TCP/IP fue diseñada para permitir la interconexión entre distintas redes. El mejor ejemplo de interconexión de redes es Internet: se trata de un conjunto de redes unidas mediante encaminadores o routers.
A lo largo de este Curso aprenderemos a construir redes privadas que funcionen siguiendo el mismo esquema de Internet. En una red TCP/IP es posible tener, por ejemplo, servidores web y servidores de correo para uso interno. Obsérvese que todos los servicios de Internet se pueden configurar en pequeñas redes internas TCP/IP.
A continuación veremos un ejemplo de interconexión de 3 redes. Cada host (ordenador) tiene una dirección física que viene determinada por su adaptador de red. Estas direcciones se corresponden con la capa de acceso al medio y se utilizan para comunicar dos ordenadores que pertenecen a la misma red. Para identificar globalmente un ordenador dentro de un conjunto de redes TCP/IP se utilizan las direcciones IP (capa de red). Observando una dirección IP sabremos si pertenece a nuestra propia red o a una distinta (todas las direcciones IP de la misma red comienzan con los mismos números, según veremos más adelante).
Host Dirección física Dirección IP Red
A 00-60-52-0B-B7-7D 192.168.0.10 Red 1
R1 00-E0-4C-AB-9A-FF 192.168.0.1
A3-BB-05-17-29-D0 10.10.0.1 Red 2
B 00-E0-4C-33-79-AF 10.10.0.7
R2 B2-42-52-12-37-BE 10.10.0.2
00-E0-89-AB-12-92 200.3.107.1 Red 3
C A3-BB-08-10-DA-DB 200.3.107.73
D B2-AB-31-07-12-93 200.3.107.200
El concepto de red está relacionado con las direcciones IP que se configuren en cada ordenador, no con el cableado. Es decir, si tenemos varias redes dentro del mismo cableado solamente los ordenadores que permanezcan a una misma red podrán comunicarse entre sí. Para que los ordenadores de una red puedan comunicarse con los de otra red es necesario que existan routers que interconecten las redes. Un router o encaminador no es más que un ordenador con varias direcciones IP, una para cada red, que permita el tráfico de paquetes entre sus redes.
La capa de red se encarga de fragmentar cada mensaje en paquetes de datos llamados datagramas IP y de enviarlos de forma independiente a través de la red de redes. Cada datagrama IP incluye un campo con la dirección IP de destino. Esta información se utiliza para enrutar los datagramas a través de las redes necesarias que los hagan llegar hasta su destino.
Nota: Cada vez que visitamos una página web o recibimos un correo electrónico es habitual atravesar un número de redes comprendido entre 10 y 20, dependiendo de la distancia de los hosts. El tiempo que tarda un datagrama en atravesar 20 redes (20 routers) suele ser inferior a 600 milisegundos.
En el ejemplo anterior, supongamos que el ordenador 200.3.107.200 (D) envía un mensaje al ordenador con 200.3.107.73 (C). Como ambas direcciones comienzan con los mismos números, D sabrá que ese ordenador se encuentra dentro de su propia red y el mensaje se entregará de forma directa. Sin embargo, si el ordenador 200.3.107.200 (D) tuviese que comunicarse con 10.10.0.7 (B), D advertiría que el ordenador destino no pertenece a su propia red y enviaría el mensaje al router R2 (es el ordenador que le da salida a otras redes). El router entregaría el mensaje de forma directa porque B se encuentra dentro de una de sus redes (la Red 2).
2.1 Direcciones IP
La dirección IP es el identificador de cada host dentro de su red de redes. Cada host conectado a una red tiene una dirección IP asignada, la cual debe ser distinta a todas las demás direcciones que estén vigentes en ese momento en el conjunto de redes visibles por el host. En el caso de Internet, no puede haber dos ordenadores con 2 direcciones IP (públicas) iguales. Pero sí podríamos tener dos ordenadores con la misma dirección IP siempre y cuando pertenezcan a redes independientes entre sí (sin ningún camino posible que las comunique).
Las direcciones IP se clasifican en:
• Direcciones IP públicas. Son visibles en todo Internet. Un ordenador con una IP pública es accesible (visible) desde cualquier otro ordenador conectado a Internet. Para conectarse a Internet es necesario tener una dirección IP pública.
• Direcciones IP privadas (reservadas). Son visibles únicamente por otros hosts de su propia red o de otras redes privadas interconectadas por routers. Se utilizan en las empresas para los puestos de trabajo. Los ordenadores con direcciones IP privadas pueden salir a Internet por medio de un router (o proxy) que tenga una IP pública. Sin embargo, desde Internet no se puede acceder a ordenadores con direcciones IP privadas.
A su vez, las direcciones IP pueden ser:
• Direcciones IP estáticas (fijas). Un host que se conecte a la red con dirección IP estática siempre lo hará con una misma IP. Las direcciones IP públicas estáticas son las que utilizan los servidores de Internet con objeto de que estén siempre localizables por los usuarios de Internet. Estas direcciones hay que contratarlas.
• Direcciones IP dinámicas. Un host que se conecte a la red mediante dirección IP dinámica, cada vez lo hará con una dirección IP distinta. Las direcciones IP públicas dinámicas son las que se utilizan en las conexiones a Internet mediante un módem. Los proveedores de Internet utilizan direcciones IP dinámicas debido a que tienen más clientes que direcciones IP (es muy improbable que todos se conecten a la vez).
Las direcciones IP están formadas por 4 bytes (32 bits). Se suelen representar de la forma a.b.c.d donde cada una de estas letras es un número comprendido entre el 0 y el 255. Por ejemplo la dirección IP del servidor de IBM (www.ibm.com) es 129.42.18.99.
¿Cuántas direcciones IP existen? Si calculamos 2 elevado a 32 obtenemos más de 4000 millones de direcciones distintas. Sin embargo, no todas las direcciones son válidas para asignarlas a hosts. Las direcciones IP no se encuentran aisladas en Internet, sino que pertenecen siempre a alguna red. Todas las máquinas conectadas a una misma red se caracterizan en que los primeros bits de sus direcciones son iguales. De esta forma, las direcciones se dividen conceptualmente en dos partes: el identificador de red y el identificador de host.
Dependiendo del número de hosts que se necesiten para cada red, las direcciones de Internet se han dividido en las clases primarias A, B y C. La clase D está formada por direcciones que identifican no a un host, sino a un grupo de ellos. Las direcciones de clase E no se pueden utilizar (están reservadas).
0 1 2 3 4 8 16 24 31
Clase A 0 red host
Clase B 1 0 red host
Clase C 1 1 0 red host
Clase D 1 1 1 0 grupo de multicast (multidifusión)
Clase E 1 1 1 1 (direcciones reservadas: no se pueden utilizar)
Clase Formato
(r=red, h=host) Número de redes Número de
hosts por red Rango de direcciones de redes
A r.h.h.h 128 16.777.214 0.0.0.0 - 127.0.0.0
B r.r.h.h 16.384 65.534 128.0.0.0 - 191.255.0.0
C r.r.r.h 2.097.152 254 192.0.0.0 - 223.255.255.0
D multicast (grupos) - - 224.0.0.0 - 239.255.255.255
E Reservadas para experimentación - - 240.0.0.0 - 255.255.255.255
Difusión (broadcast) y multidifusión (multicast).-- El término difusión (broadcast) se refiere a todos los hosts de una red; multidifusión (multicast) se refiere a varios hosts (aquellos que se hayan suscrito dentro de un mismo grupo). Siguiendo esta misma terminología, en ocasiones se utiliza el término unidifusión para referirse a un único host.
2.2 Direcciones IP especiales y reservadas
No todas las direcciones comprendidas entre la 0.0.0.0 y la 223.255.255.255 son válidas para un host: algunas de ellas tienen significados especiales. Las principales direcciones especiales se resumen en la siguiente tabla. Su interpretación depende del host desde el que se utilicen.
Bits de red Bits de host Significado Ejemplo
todos 0 Mi propio host 0.0.0.0
todos 0 host Host indicado dentro de mi red 0.0.0.10
red todos 0 Red indicada 192.168.1.0
todos 1 Difusión a mi red 255.255.255.255
red todos 1 Difusión a la red indicada 192.168.1.255
127 cualquier valor válido de host Loopback (mi propio host) 127.0.0.1
Difusión o broadcasting es el envío de un mensaje a todos los ordenadores que se encuentran en una red. La dirección de loopback (normalmente 127.0.0.1) se utiliza para comprobar que los protocolos TCP/IP están correctamente instalados en nuestro propio ordenador. Lo veremos más adelante, al estudiar el comando PING.
Las direcciones de redes siguientes se encuentran reservadas para su uso en redes privadas (intranets). Una dirección IP que pertenezca a una de estas redes se dice que es una dirección IP privada.
Clase Rango de direcciones
reservadas de redes
A 10.0.0.0
B 172.16.0.0 - 172.31.0.0
C 192.168.0.0 - 192.168.255.0
Intranet.-- Red privada que utiliza los protocolos TCP/IP. Puede tener salida a Internet o no. En el caso de tener salida a Internet, el direccionamiento IP permite que los hosts con direcciones IP privadas puedan salir a Internet pero impide el acceso a los hosts internos desde Internet. Dentro de una intranet se pueden configurar todos los servicios típicos de Internet (web, correo, mensajería instantánea, etc.) mediante la instalación de los correspondientes servidores. La idea es que las intranets son como "internets" en miniatura o lo que es lo mismo, Internet es una intranet pública gigantesca.
Extranet.-- Unión de dos o más intranets. Esta unión puede realizarse mediante líneas dedicadas (RDSI, X.25, frame relay, punto a punto, etc.) o a través de Internet.
Internet.-- La mayor red pública de redes TCP/IP.
2.3 Máscara de subred
Una máscara de subred es aquella dirección que enmascarando nuestra dirección IP, nos indica si otra dirección IP pertenece a nuestra subred o no.
La siguiente tabla muestra las máscaras de subred correspondientes a cada clase:
Clase Máscara de subred
A 255.0.0.0
B 255.255.0.0
C 255.255.255.0
Si expresamos la máscara de subred de clase A en notación binaria, tenemos:
11111111.00000000.00000000.00000000
Los unos indican los bits de la dirección correspondientes a la red y los ceros, los correspondientes al host. Según la máscara anterior, el primer byte (8 bits) es la red y los tres siguientes (24 bits), el host. Por ejemplo, la dirección de clase A 35.120.73.5 pertenece a la red 35.0.0.0.
Supongamos una subred con máscara 255.255.0.0, en la que tenemos un ordenador con dirección 148.120.33.110. Si expresamos esta dirección y la de la máscara de subred en binario, tenemos:
148.120.33.110 10010100.01111000.00100001.01101110 (dirección de una máquina)
255.255.0.0 11111111.11111111.00000000.00000000 (dirección de su máscara de red)
148.120.0.0 10010100.01111000.00000000.00000000 (dirección de su subred)
<------RED------> <------HOST----->
Al hacer el producto binario de las dos primeras direcciones (donde hay dos 1 en las mismas posiciones ponemos un 1 y en caso contrario, un 0) obtenemos la tercera.
Si hacemos lo mismo con otro ordenador, por ejemplo el 148.120.33.89, obtenemos la misma dirección de subred. Esto significa que ambas máquinas se encuentran en la misma subred (la subred 148.120.0.0).
148.120.33.89 10010100.01111000.00100001.01011001 (dirección de una máquina)
255.255.0.0 11111111.11111111.00000000.00000000 (dirección de su máscara de red)
148.120.0.0 10010100.01111000.00000000.00000000 (dirección de su subred)
En cambio, si tomamos la 148.115.89.3, observamos que no pertenece a la misma subred que las anteriores.
148.115.89.3 10010100.01110011.01011001.00000011 (dirección de una máquina)
255.255.0.0 11111111.11111111.00000000.00000000 (dirección de su máscara de red)
148.115.0.0 10010100.01110011.00000000.00000000 (dirección de su subred)
Cálculo de la dirección de difusión.-- Ya hemos visto que el producto lógico binario (AND) de una IP y su máscara devuelve su dirección de red. Para calcular su dirección de difusión, hay que hacer la suma lógica en binario (OR) de la IP con el inverso (NOT) de su máscara.
En una red de redes TCP/IP no puede haber hosts aislados: todos pertenecen a alguna red y todos tienen una dirección IP y una máscara de subred (si no se especifica se toma la máscara que corresponda a su clase). Mediante esta máscara un ordenador sabe si otro ordenador se encuentra en su misma subred o en otra distinta. Si pertenece a su misma subred, el mensaje se entregará directamente. En cambio, si los hosts están configurados en redes distintas, el mensaje se enviará a la puerta de salida o router de la red del host origen. Este router pasará el mensaje al siguiente de la cadena y así sucesivamente hasta que se alcance la red del host destino y se complete la entrega del mensaje.
Las máscaras 255.0.0.0 (clase A), 255.255.0.0 (clase B) y 255.255.255.0 (clase C) suelen ser suficientes para la mayoría de las redes privadas. Sin embargo, las redes más pequeñas que podemos formar con estas máscaras son de 254 hosts y para el caso de direcciones públicas, su contratación tiene un coste muy alto. Por esta razón suele ser habitual dividir las redes públicas de clase C en subredes más pequeñas. A continuación se muestran las posibles divisiones de una red de clase C. La división de una red en subredes se conoce como subnetting.
Máscara de subred Binario Número de subredes Núm. de hosts por subred Ejemplos de subredes (x=a.b.c por ejemplo, 192.168.1)
255.255.255.0 00000000 1 254 x.0
255.255.255.128 10000000 2 126 x.0, x.128
255.255.255.192 11000000 4 62 x.0, x.64, x.128, x.192
255.255.255.224 11100000 8 30 x.0, x.32, x.64, x.96, x.128, ...
255.255.255.240 11110000 16 14 x.0, x.16, x.32, x.48, x.64, ...
255.255.255.248 11111000 32 6 x.0, x.8, x.16, x.24, x.32, x.40, ...
255.255.255.252 11111100 64 2 x.0, x.4, x.8, x.12, x.16, x.20, ...
255.255.255.254 11111110 128 0 ninguna posible
255.255.255.255 11111111 256 0 ninguna posible
Obsérvese que en el caso práctico que explicamos un poco más arriba se utilizó la máscara 255.255.255.248 para crear una red pública con 6 direcciones de hosts válidas (la primera y última dirección de todas las redes se excluyen). Las máscaras con bytes distintos a 0 o 255 también se pueden utilizar para particionar redes de clase A o de clase B, sin embargo no suele ser lo más habitual. Por ejemplo, la máscara 255.255.192.0 dividiría una red de clase B en 4 subredes de 16382 hosts (2 elevado a 14, menos 2) cada una.
Tabla ARP (caché ARP)
Cada ordenador almacena una tabla de direcciones IP y direcciones físicas. Cada vez que formula una pregunta ARP y le responden, inserta una nueva entrada en su tabla. La primera vez que C envíe un mensaje a D tendrá que difundir previamente una pregunta ARP, tal como hemos visto. Sin embargo, las siguientes veces que C envíe mensajes a D ya no será necesario realizar nuevas preguntas puesto que C habrá almacenado en su tabla la dirección física de D. Sin embargo, para evitar incongruencias en la red debido a posibles cambios de direcciones IP o adaptadores de red, se asigna un tiempo de vida de cierto número de segundos a cada entrada de la tabla. Cuando se agote el tiempo de vida de una entrada, ésta será eliminada de la tabla.
Las tablas ARP reducen el tráfico de la red al evitar preguntas ARP innecesarias. Pensemos ahora en distintas maneras para mejorar el rendimiento de la red. Después de una pregunta ARP, el destino conoce las direcciones IP y física del origen. Por lo tanto, podría insertar la correspondiente entrada en su tabla. Pero no sólo eso, sino que todas las estaciones de la red escuchan la pregunta ARP: podrían insertar también las correspondientes entradas en sus tablas. Como es muy probable que otras máquinas se comuniquen en un futuro con la primera, habremos reducido así el tráfico de la red aumentando su rendimiento.
Esto que hemos explicado es para comunicar dos máquinas conectadas a la misma red. Si la otra máquina no estuviese conectada a la misma red, sería necesario atravesar uno o más routers hasta llegar al host destino. La máquina origen, si no la tiene en su tabla, formularía una pregunta ARP solicitando la dirección física del router y le transferiría a éste el mensaje. Estos pasos se van repitiendo para cada red hasta llegar a la máquina destino.
Solicitud y respuesta de eco
Los mensajes de solicitud y respuesta de eco, tipos 8 y 0 respectivamente, se utilizan para comprobar si existe comunicación entre 2 hosts a nivel de la capa de red. Estos mensajes comprueban que las capas física (cableado), acceso al medio (tarjetas de red) y red (configuración IP) están correctas. Sin embargo, no dicen nada de las capas de transporte y de aplicación las cuales podrían estar mal configuradas; por ejemplo, la recepción de mensajes de correo electrónico puede fallar aunque exista comunicación IP con el servidor de correo.
La orden PING envía mensajes de solicitud de eco a un host remoto e informa de las respuestas. Veamos su funcionamiento, en caso de no producirse incidencias en el camino.
1. A envía un mensaje ICMP de tipo 8 (Echo) a B
2. B recibe el mensaje y devuelve un mensaje ICMP de tipo 0 (Echo Reply) a A
3. A recibe el mensaje ICMP de B y muestra el resultado en pantalla
A>ping 172.20.9.7 -n 1
Haciendo ping a 172.20.9.7 con 32 bytes de datos:
Respuesta desde 172.20.9.7: bytes=32 tiempo<10ms TDV=128
En la orden anterior hemos utilizado el parámetro "-n 1" para que el host A únicamente envíe 1 mensaje de solicitud de eco. Si no se especifica este parámetro se enviarían 4 mensajes (y se recibirían 4 respuestas).
Si el host de destino no existiese o no estuviera correctamente configurado recibiríamos un mensaje ICMP de tipo 11 (Time Exceeded).
A>ping 192.168.0.6 -n 1
Haciendo ping a 192.168.0.6 con 32 bytes de datos:
Tiempo de espera agotado.
Si tratamos de acceder a un host de una red distinta a la nuestra y no existe un camino para llegar hasta él, es decir, los routers no están correctamente configurados o estamos intentando acceder a una red aislada o inexistente, recibiríamos un mensaje ICMP de tipo 3 (Destination Unreachable).
A>ping 1.1.1.1 -n 1
Haciendo ping a 1.1.1.1 con 32 bytes de datos:
Respuesta desde 192.168.0.1: Host de destino inaccesible.
Utilización de PING para diagnosticar errores en una red aislada
A>ping 192.168.1.12
• Respuesta. El cableado entre A y B, las tarjetas de red de A y B, y la configuración IP de A y B están correctos.
• Tiempo de espera agotado. Comprobar el host B y el cableado entre A y B.
• Host de destino inaccesible. Comprobar las direcciones IP y máscaras de subred de A y B porque no pertenecen a la misma red.
• Error. Probablemente estén mal instalados los protocolos TCP/IP del host A. Probar A>ping 127.0.0.1 para asegurarse.
Nota: El comando ping 127.0.0.1 informa de si están correctamente instalados los protocolos TCP/IP en nuestro host. No informa de si la tarjeta de red de nuestro host está correcta.
Utilización de PING para diagnosticar errores en una red de redes
A continuación veremos un ejemplo para una red de redes formada por dos redes (1 solo router). La idea es la misma para un mayor número de redes y routers.
A>ping 10.100.5.1
• Respuesta. El cableado entre A y B, las tarjetas de red de A, R1 y B, y la configuración IP de A, R1 y B están correctos. El router R1 permite el tráfico de datagramas IP en los dos sentidos.
• Tiempo de espera agotado. Comprobar el host B y el cableado entre R1 y B. Para asegurarnos que el router R1 está funcionando correctamente haremos A>ping 192.168.1.1
• Host de destino inaccesible. Comprobar el router R1 y la configuración IP de A (probablemente la puerta de salida no sea 192.168.1.1). Recordemos que la puerta de salida (gateway) de una red es un host de su propia red que se utiliza para salir a otras redes.
• Error. Probablemente estén mal instalados los protocolos TCP/IP del host A. Probar A>ping 127.0.0.1 para asegurarse.
Mensajes de tiempo excedido
Los datagramas IP tienen un campo TTL (tiempo de vida) que impide que un mensaje esté dando vueltas indefinidamente por la red de redes. El número contenido en este campo disminuye en una unidad cada vez que el datagrama atraviesa un router. Cuando el TTL de un datagrama llega a 0, éste se descarta y se envía un mensaje para informar al origen.
Capítulo 3
Capa de transporte
La capa de red transfiere datagramas entre dos ordenadores a través de la red utilizando como identificadores las direcciones IP. La capa de transporte añade la noción de puerto para distinguir entre los muchos destinos dentro de un mismo host. No es suficiente con indicar la dirección IP del destino, además hay que especificar la aplicación que recogerá el mensaje. Cada aplicación que esté esperando un mensaje utiliza un número de puerto distinto; más concretamente, la aplicación está a la espera de un mensaje en un puerto determinado (escuchando un puerto).
Pero no sólo se utilizan los puertos para la recepción de mensajes, también para el envío: todos los mensajes que envíe un ordenador debe hacerlo a través de uno de sus puertos. El siguiente diagrama representa una transmisión entre el ordenador 194.35.133.5 y el 135.22.8.165. El primero utiliza su puerto 1256 y el segundo, el 80.
3.1 Puertos
Un ordenador puede estar conectado con distintos servidores a la vez; por ejemplo, con un servidor de noticias y un servidor de correo. Para distinguir las distintas conexiones dentro de un mismo ordenador se utilizan los puertos.
Un puerto es un número de 16 bits, por lo que existen 65536 puertos en cada ordenador. Las aplicaciones utilizan estos puertos para recibir y transmitir mensajes.
Los números de puerto de las aplicaciones cliente son asignados dinámicamente y generalmente son superiores al 1024. Cuando una aplicación cliente quiere comunicarse con un servidor, busca un número de puerto libre y lo utiliza.
En cambio, las aplicaciones servidoras utilizan unos números de puerto prefijados: son los llamados puertos well-known (bien conocidos). Estos puertos están definidos en la RFC 1700 y se pueden consultar en http://www.ietf.org/rfc/rfc1700.txt. A continuación se enumeran los puertos well-known más usuales:
Palabra clave Puerto Descripción
0/tcp Reserved
0/udp Reserved
tcpmux 1/tcp TCP Port Service Multiplexer
rje 5/tcp Remote Job Entry
echo 7/tcp/udp Echo
discard 9/tcp/udp Discard
systat 11/tcp/udp Active Users
daytime 13/tcp/udp Daytime
qotd 17/tcp/udp Quote of the Day
chargen 19/tcp/udp Character Generator
ftp-data 20/tcp File Transfer [Default Data]
ftp 21/tcp File Transfer [Control]
telnet 23/tcp Telnet
smtp 25/tcp Simple Mail Transfer
time 37/tcp/udp Time
nameserver 42/tcp/udp Host Name Server
nicname 43/tcp/udp Who Is
domain 53/tcp/udp Domain Name Server
bootps 67/udp/udp Bootstrap Protocol Server
tftp 69/udp Trivial File Transfer
gopher 70/tcp Gopher
finger 79/tcp Finger
www-http 80/tcp World Wide Web HTTP
dcp 93/tcp Device Control Protocol
supdup 95/tcp SUPDUP
hostname 101/tcp NIC Host Name Server
iso-tsap 102/tcp ISO-TSAP
gppitnp 103/tcp Genesis Point-to-Point Trans Net
rtelnet 107/tcp/udp Remote Telnet Service
pop2 109/tcp Post Office Protocol - Version 2
pop3 110/tcp Post Office Protocol - Version 3
sunrpc 111/tcp/udp SUN Remote Procedure Call
auth 113/tcp Authentication Service
sftp 115/tcp/udp Simple File Transfer Protocol
nntp 119/tcp Network News Transfer Protocol
ntp 123/udp Network Time Protocol
pwdgen 129/tcp Password Generator Protocol
netbios-ns 137/tcp/udp NETBIOS Name Service
netbios-dgm 138/tcp/udp NETBIOS Datagram Service
netbios-ssn 139/tcp/udp NETBIOS Session Service
snmp 161/udp SNMP
snmptrap 162/udp SNMPTRAP
irc 194/tcp Internet Relay Chat Protocol
3.3 Protocolo TCP
El protocolo TCP (Transmission Control Protocol, protocolo de control de transmisión) está basado en IP que es no fiable y no orientado a conexión, y sin embargo es:
• Orientado a conexión. Es necesario establecer una conexión previa entre las dos máquinas antes de poder transmitir ningún dato. A través de esta conexión los datos llegarán siempre a la aplicación destino (ojo, que no a la capa de red) de forma ordenada y sin duplicados. Finalmente, es necesario cerrar la conexión.
• Fiable. La información que envía el emisor llega de forma correcta al destino.
El protocolo TCP permite una comunicación fiable entre dos aplicaciones. De esta forma, las aplicaciones que lo utilicen no tienen que preocuparse de la integridad de la información: dan por hecho que todo lo que reciben es correcto.
Sabemos que los datagramas IP pueden seguir rutas distintas, dependiendo del estado de los encaminadores intermedios, para llegar a un mismo sitio. Esto significa que los datagramas IP que transportan los mensajes siguen rutas diferentes aunque el protocolo TCP logré la ilusión de que existe un único circuito por el que viajan todos los bytes uno detrás de otro (algo así como una tubería entre el origen y el destino). Para que esta comunicación pueda ser posible es necesario abrir previamente una conexión. Esta conexión garantiza que los todos los datos lleguen correctamente de forma ordenada y sin duplicados. La unidad de datos del protocolo es el byte, de forma que la aplicación origen envía bytes y la aplicación destino recibe estos bytes.
Sin embargo, cada byte no se envía inmediatamente después de ser generado por la aplicación, sino que se espera a que haya una cierta cantidad de bytes, se agrupan en un segmento y se envía el segmento completo. Para ello son necesarias unas memorias intermedias o buffers. Cada uno de estos segmentos viaja en el campo de datos de uno ó más datagramas IP. Si el segmento es muy grande será necesario fragmentarlo en varios datagramas, con la consiguiente pérdida de rendimiento; y si es muy pequeño, se estarán enviando más cabeceras que datos. Por con¬siguiente, es importante elegir el mayor tamaño de segmento posible que no provoque fragmentación.
El protocolo TCP envía un flujo de información no estructurado. Esto significa que los datos no tienen ningún formato, son únicamente los bytes que una aplicación envía a otra. Ambas aplicaciones deberán ponerse de acuerdo para comprender la información que se están enviando.
Cada vez que se abre una conexión, se crea un canal de comunicación bidireccional en el que ambas aplicaciones pueden enviar y recibir información, es decir, una conexión es full-dúplex.
Conexiones
Una conexión son dos pares dirección IP:puerto. No puede haber dos conexiones iguales en un mismo instante en toda la Red. Aunque bien es posible que un mismo ordenador tenga dos conexiones distintas y simultáneas utilizando un mismo puerto. El protocolo TCP utiliza el concepto de conexión para identificar las transmisiones. En el siguiente ejemplo se han creado tres conexiones. Las dos primeras son al mismo servidor Web (puerto 80) y la tercera a un servidor de FTP (puerto 21).
Host 1 Host 2
194.35.133.5:1256 135.22.8.165:80
184.42.15.16:1305 135.22.8.165:80
184.42.15.16:1323 135.22.10.15:21
Para que se pueda crear una conexión, el extremo del servidor debe hacer una apertura pasiva del puerto (escuchar su puerto y quedar a la espera de conexiones) y el cliente, una apertura activa en el puerto del servidor (conectarse con el puerto de un determinado servidor).
Nota: El comando NetStat muestra las conexiones abiertas en un ordenador, así como estadísticas de los distintos protocolos de Internet.
miércoles, 17 de febrero de 2010
Dispositivos
Puente de red
Un puente o bridge es un dispositivo de interconexión de redes de ordenadores que opera en la capa 2 (nivel de enlace de datos) del modelo OSI. Este interconecta dos segmentos de red (o divide una red en segmentos) haciendo el pasaje de datos de una red hacia otra, con base en la dirección física de destino de cada paquete.
Un bridge conecta dos segmentos de red como una sola red usando el mismo protocolo de establecimiento de red.
Funciona a través de una tabla de direcciones MAC detectadas en cada segmento a que está conectado. Cuando detecta que un nodo de uno de los segmentos está intentando transmitir datos a un nodo del otro, el bridge copia la trama para la otra subred. Por utilizar este mecanismo de aprendizaje automático, los bridges no necesitan configuración manual.
La principal diferencia entre un bridge y un hub es que el segundo pasa cualquier trama con cualquier destino para todos los otros nodos conectados, en cambio el primero sólo pasa las tramas pertenecientes a cada segmento. Esta característica mejora el rendimiento de las redes al disminuir el tráfico inútil.
Para hacer el bridging o interconexión de más de 2 redes, se utilizan los switch.
Repetidor
Es un dispositivo electrónico que conecta dos segmentos de una misma red, transfiriendo el tráfico de uno a otro extremo, bien por cable o inalámbrico.
Los segmento de red son limitados en su longitud, si es por cable, generalmente no superan los 100 M., debido a la perdida de señal y la generación de ruido en las líneas. Con un repetidor se puede evitar el problema de la longitud, ya que reconstruye la señal eliminando los ruidos y la transmite de un segmento al otro.
En la actualidad los repetidores se han vuelto muy populares a nivel de redes inalámbricas o WIFI. El Repetidor amplifica la señal de la red LAN inalámbrica desde el router al ordenador.
Un Receptor, por tanto, actúa sólo en el nivel físico o capa 1 del modelo OSI.
Hub (Concentrador)
Contiene diferentes puntos de conexión, denominados puertos, retransmitiendo cada paquete de datos recibidos por uno de los puertos a los demás puertos.
El Hub básicamente extiende la funcionalidad de la red (LAN) para que el cableado pueda ser extendido a mayor distancia, es por esto que puede ser considerado como una repetidor.
El Hub transmite los “Broadcasts” a todos los puertos que contenga, esto es, si contiene 8 puertos, todas las computadoras que estén conectadas a dichos puertos recibirán la misma información.
Se utiliza para implementar redes de topología estrella y ampliación de la red LAN.
Un Hub, por tanto, actúa sólo en el nivel físico o capa 1 del modelo OSI.
Switch (Conmutador)
Interconecta dos o más segmentos de red, pasando segmentos de uno a otro de acuerdo con la dirección de control de acceso al medio (MAC). Actúan como filtros, en la capa de enlace de datos (capa 2) del modelo OSI.
Las funciones son iguales que el dispositivo Bridge o Puente, pero pueden interconectar o filtrar la información entre más de dos redes.
El Switch es considerado un Hub inteligente, cuando es activado, éste empieza a reconocer las direcciones (MAC) que generalmente son enviadas por cada puerto, en otras palabras, cuando llega información al conmutador éste tiene mayor conocimiento sobre qué puerto de salida es el más apropiado, y por lo tanto ahorra una carga (”bandwidth”) a los demás puertos del Switch.
Router (dispositivo de encaminamiento)
Operan entre redes ,Su principal funcion es la interconexion de redes, encaminando paquetes.
……………………………………………….
La primera función de un router, es saber si el destinatario de un paquete de información está en nuestra propia red o en una remota. Para determinarlo, el router utiliza un mecanismo llamado “máscara de subred”. La máscara de subred es parecida a una dirección IP (la identificación única de un ordenador en una red de ordenadores) y determina a qué grupo de ordenadores pertenece uno en concreto. Si la máscara de subred de un paquete de información enviado no se corresponde a la red de ordenadores de nuestra LAN (red local), el router determinará, lógicamente que el destino de ese paquete está en otro segmento de red diferente o salir a otra red (WAN), para conectar con otro router.
Los router pueden estar conectados a dos o más redes a la vez, e implica la realización de tareas que conciernen a los tres niveles inferiores del modelo OSI: físico, enlace de datos y red.
Existen router que son también Switch con 4 puertos y punto de acceso WIFI. Dichos aparatos son los utilizados por las operadores de telefonía para conectar las líneas de comunicaciones ADSL de Internet con los dispositivos de una LAN (red local) de un domicilio particular.
Gateway (Pasarela)
Son router que tienen programas adicionales (correspondientes a niveles de transporte, sesión, presentación y aplicación, del modelo OSI), que permiten interconectar redes que utilizan distintos protocolos: por ejemplo TCP/IP,SNA, Netware, VoIP.
Los Gateway deben desensamblar las tramas y paquetes que le llegan para obtener el mensaje original y a partir de éste volver a reconfigurar los paquetes y las tramas, pero de acuerdo con el protocolo de la red donde se encuentra la estación de destino.
Un puente o bridge es un dispositivo de interconexión de redes de ordenadores que opera en la capa 2 (nivel de enlace de datos) del modelo OSI. Este interconecta dos segmentos de red (o divide una red en segmentos) haciendo el pasaje de datos de una red hacia otra, con base en la dirección física de destino de cada paquete.
Un bridge conecta dos segmentos de red como una sola red usando el mismo protocolo de establecimiento de red.
Funciona a través de una tabla de direcciones MAC detectadas en cada segmento a que está conectado. Cuando detecta que un nodo de uno de los segmentos está intentando transmitir datos a un nodo del otro, el bridge copia la trama para la otra subred. Por utilizar este mecanismo de aprendizaje automático, los bridges no necesitan configuración manual.
La principal diferencia entre un bridge y un hub es que el segundo pasa cualquier trama con cualquier destino para todos los otros nodos conectados, en cambio el primero sólo pasa las tramas pertenecientes a cada segmento. Esta característica mejora el rendimiento de las redes al disminuir el tráfico inútil.
Para hacer el bridging o interconexión de más de 2 redes, se utilizan los switch.
Repetidor
Es un dispositivo electrónico que conecta dos segmentos de una misma red, transfiriendo el tráfico de uno a otro extremo, bien por cable o inalámbrico.
Los segmento de red son limitados en su longitud, si es por cable, generalmente no superan los 100 M., debido a la perdida de señal y la generación de ruido en las líneas. Con un repetidor se puede evitar el problema de la longitud, ya que reconstruye la señal eliminando los ruidos y la transmite de un segmento al otro.
En la actualidad los repetidores se han vuelto muy populares a nivel de redes inalámbricas o WIFI. El Repetidor amplifica la señal de la red LAN inalámbrica desde el router al ordenador.
Un Receptor, por tanto, actúa sólo en el nivel físico o capa 1 del modelo OSI.
Hub (Concentrador)
Contiene diferentes puntos de conexión, denominados puertos, retransmitiendo cada paquete de datos recibidos por uno de los puertos a los demás puertos.
El Hub básicamente extiende la funcionalidad de la red (LAN) para que el cableado pueda ser extendido a mayor distancia, es por esto que puede ser considerado como una repetidor.
El Hub transmite los “Broadcasts” a todos los puertos que contenga, esto es, si contiene 8 puertos, todas las computadoras que estén conectadas a dichos puertos recibirán la misma información.
Se utiliza para implementar redes de topología estrella y ampliación de la red LAN.
Un Hub, por tanto, actúa sólo en el nivel físico o capa 1 del modelo OSI.
Switch (Conmutador)
Interconecta dos o más segmentos de red, pasando segmentos de uno a otro de acuerdo con la dirección de control de acceso al medio (MAC). Actúan como filtros, en la capa de enlace de datos (capa 2) del modelo OSI.
Las funciones son iguales que el dispositivo Bridge o Puente, pero pueden interconectar o filtrar la información entre más de dos redes.
El Switch es considerado un Hub inteligente, cuando es activado, éste empieza a reconocer las direcciones (MAC) que generalmente son enviadas por cada puerto, en otras palabras, cuando llega información al conmutador éste tiene mayor conocimiento sobre qué puerto de salida es el más apropiado, y por lo tanto ahorra una carga (”bandwidth”) a los demás puertos del Switch.
Router (dispositivo de encaminamiento)
Operan entre redes ,Su principal funcion es la interconexion de redes, encaminando paquetes.
……………………………………………….
La primera función de un router, es saber si el destinatario de un paquete de información está en nuestra propia red o en una remota. Para determinarlo, el router utiliza un mecanismo llamado “máscara de subred”. La máscara de subred es parecida a una dirección IP (la identificación única de un ordenador en una red de ordenadores) y determina a qué grupo de ordenadores pertenece uno en concreto. Si la máscara de subred de un paquete de información enviado no se corresponde a la red de ordenadores de nuestra LAN (red local), el router determinará, lógicamente que el destino de ese paquete está en otro segmento de red diferente o salir a otra red (WAN), para conectar con otro router.
Los router pueden estar conectados a dos o más redes a la vez, e implica la realización de tareas que conciernen a los tres niveles inferiores del modelo OSI: físico, enlace de datos y red.
Existen router que son también Switch con 4 puertos y punto de acceso WIFI. Dichos aparatos son los utilizados por las operadores de telefonía para conectar las líneas de comunicaciones ADSL de Internet con los dispositivos de una LAN (red local) de un domicilio particular.
Gateway (Pasarela)
Son router que tienen programas adicionales (correspondientes a niveles de transporte, sesión, presentación y aplicación, del modelo OSI), que permiten interconectar redes que utilizan distintos protocolos: por ejemplo TCP/IP,SNA, Netware, VoIP.
Los Gateway deben desensamblar las tramas y paquetes que le llegan para obtener el mensaje original y a partir de éste volver a reconfigurar los paquetes y las tramas, pero de acuerdo con el protocolo de la red donde se encuentra la estación de destino.
Canales de los 2.4 Ghz
La frecuencia libre que comprende la banda de 2,4 Ghz utilizada por los dispositivos wireless está subdividida en canales
El estandar IEEE define una separación mínima entre canales de 5 Mhz, por lo que, empezando de 2.412 Ghz. tendremos que :
Canal 01: 2.412 Ghz
Canal 02: 2.417 Ghz.
Canal 03: 2.422 Ghz.
Canal 04: 2.427 Ghz.
Canal 05: 2.432 Ghz.
Canal 06: 2.437 Ghz.
Canal 07: 2.442 Ghz.
Canal 08: 2.447 Ghz.
Canal 09: 2.452 Ghz.
Canal 10: 2.457 Ghz.
Canal 11: 2.462 Ghz.
Canal 12: 2.467 Ghz.
Canal 13: 2.472 Ghz.
Canal 14: 2.484 Ghz.
El estandar IEEE define una separación mínima entre canales de 5 Mhz, por lo que, empezando de 2.412 Ghz. tendremos que :
Canal 01: 2.412 Ghz
Canal 02: 2.417 Ghz.
Canal 03: 2.422 Ghz.
Canal 04: 2.427 Ghz.
Canal 05: 2.432 Ghz.
Canal 06: 2.437 Ghz.
Canal 07: 2.442 Ghz.
Canal 08: 2.447 Ghz.
Canal 09: 2.452 Ghz.
Canal 10: 2.457 Ghz.
Canal 11: 2.462 Ghz.
Canal 12: 2.467 Ghz.
Canal 13: 2.472 Ghz.
Canal 14: 2.484 Ghz.
QUE ES Y QUE FUNCION TIENE UNA ENCRIPTACION WEP
Una encriptación WEP (Wired Equivalent Privacy o Privacidad Equivalente a Cableado) es un tipo de cifrado, implementado en el protocolo de conexión Wifi 802.11, que se encarga de cifrar la información que vamos a transmitir entre dos puntos de forma que solo la sea posible tener acceso a ellos e interpretarlos a aquellos puntos que tengan la misma clave.
En general, un router Wifi o un Access Point solo va a permitir el acceso a aquellos terminales que tengan la misma clave de encriptación WEP.
Esta clave puede ser de tres tipos:
Clave WEP de 64 bits.-, 5 Caracteres o 10 dígitos hexadecimales (''0 a 9'' ''A a F'', precedidos por la cadena ''0x'').
Clave WEP de 128 bits.-, 13 Caracteres o 26 dígitos hexadecimales (''0 a 9'' ''A a F'', precedidos por la cadena ''0x'').
Clave WEP de 256 bits.-, 29 Caracteres o 58 dígitos hexadecimales (''0 a 9'' ''A a F'', precedidos por la cadena ''0x'').
La que más se suele usar es la de 128 bits, que ofrece un bien nivel de protección sin ser excesivamente larga y complicada.
La encriptación WEP de 256 bits no es soportada por muchos dispositivos.
Una clave de encriptación WEP se puede descifrar (existen programas para ello), pero para esto es necesario un tráfico ininterrumpido de datos durante un tiempo determinado (por cierto, bastantes datos y bastante tiempo).
Evidentemente, cuanto mayor sea el nivel de encriptación y más complicada sea la clave más difícil va a ser de descifrar.
No se tarda lo mismo (a igualdad volumen de datos y tiempo) en descifrar la clave de una encriptación WEP de 64 bits que una de 128 bits, no existiendo además entre ambos una relación aritmética, es decir, que no se tarda el doble en descifrar una clave de encriptación WEP de 128 bits que una de 64 bits.
A pesar de que es posible descifrar estas claves de encriptación, no debemos pensar que sea fácil ni rápido. Una buena clave de encriptación WEP de 128 bits (por no decir una de 256 bits) puede llegar a ser prácticamente indescifrable si nos hemos asegurado de que sea lo suficientemente complicada.
La mayoría de los programas para descifrar claves están basados en una serie de secuencias más o menos lógicas con las que empieza a atacar a nuestro sistema hasta entrar en el. Evidentemente, una clave del tipo 1234567890 tarda segundos en ser localizada, pero a nadie se le ocurre (o se le debería ocurrir) poner esta clave.
Debemos evitar claves que contengan secuencias relacionadas con nosotros (fechas, nombres, lugares), así como frases típicas, ya que es lo primero que intentan este tipo de programas. Esto no solo es válido para una clave WEP, sino para cualquier tipo de clave que pongamos. También debemos evitar claves fáciles, como secuencias consecutivas de teclas o números.
Para mayor seguridad es muy aconsejable siempre que sea posible activar el filtrado de direcciones MAC.
Una dirección MAC (Media Access Control address) es un identificador hexadecimal de 48 bits. Esta dirección es única para cada dispositivo, no siendo un parámetro modificable por el usuario (cada tarjeta o interfaz de red tiene su propia dirección MAC, establecida por el fabricante).
En general, un router Wifi o un Access Point solo va a permitir el acceso a aquellos terminales que tengan la misma clave de encriptación WEP.
Esta clave puede ser de tres tipos:
Clave WEP de 64 bits.-, 5 Caracteres o 10 dígitos hexadecimales (''0 a 9'' ''A a F'', precedidos por la cadena ''0x'').
Clave WEP de 128 bits.-, 13 Caracteres o 26 dígitos hexadecimales (''0 a 9'' ''A a F'', precedidos por la cadena ''0x'').
Clave WEP de 256 bits.-, 29 Caracteres o 58 dígitos hexadecimales (''0 a 9'' ''A a F'', precedidos por la cadena ''0x'').
La que más se suele usar es la de 128 bits, que ofrece un bien nivel de protección sin ser excesivamente larga y complicada.
La encriptación WEP de 256 bits no es soportada por muchos dispositivos.
Una clave de encriptación WEP se puede descifrar (existen programas para ello), pero para esto es necesario un tráfico ininterrumpido de datos durante un tiempo determinado (por cierto, bastantes datos y bastante tiempo).
Evidentemente, cuanto mayor sea el nivel de encriptación y más complicada sea la clave más difícil va a ser de descifrar.
No se tarda lo mismo (a igualdad volumen de datos y tiempo) en descifrar la clave de una encriptación WEP de 64 bits que una de 128 bits, no existiendo además entre ambos una relación aritmética, es decir, que no se tarda el doble en descifrar una clave de encriptación WEP de 128 bits que una de 64 bits.
A pesar de que es posible descifrar estas claves de encriptación, no debemos pensar que sea fácil ni rápido. Una buena clave de encriptación WEP de 128 bits (por no decir una de 256 bits) puede llegar a ser prácticamente indescifrable si nos hemos asegurado de que sea lo suficientemente complicada.
La mayoría de los programas para descifrar claves están basados en una serie de secuencias más o menos lógicas con las que empieza a atacar a nuestro sistema hasta entrar en el. Evidentemente, una clave del tipo 1234567890 tarda segundos en ser localizada, pero a nadie se le ocurre (o se le debería ocurrir) poner esta clave.
Debemos evitar claves que contengan secuencias relacionadas con nosotros (fechas, nombres, lugares), así como frases típicas, ya que es lo primero que intentan este tipo de programas. Esto no solo es válido para una clave WEP, sino para cualquier tipo de clave que pongamos. También debemos evitar claves fáciles, como secuencias consecutivas de teclas o números.
Para mayor seguridad es muy aconsejable siempre que sea posible activar el filtrado de direcciones MAC.
Una dirección MAC (Media Access Control address) es un identificador hexadecimal de 48 bits. Esta dirección es única para cada dispositivo, no siendo un parámetro modificable por el usuario (cada tarjeta o interfaz de red tiene su propia dirección MAC, establecida por el fabricante).
QUE ES Y COMO FUNCIONA Wi-Fi.
Wi-Fi (o Wi-fi, WiFi o Wifi, que de todas estas formas está bien escrito) significa Wireless Fidelity, y es un conjunto de especificaciones de comunicación inalámbrica basados en el estándar 802.11.
A veces se le define simplemente como Wireless, que significa sin cable, en contraposición a Wired, que se traduciría como cableado o cableada, en referencia a una red.
Pero ojo con esto. Si bien todas las conexiones Wi-Fi son Wireless, NO todas las conexiones Wireless son Wi-Fi.
Un poco de historia:
Aunque hace bastante tiempo que existen las comunicaciones de red inalámbricas, existía un grave problema de incompatibilidades, ya que prácticamente cada fabricante usaba un estándar diferente.
Por este motivo, en 1.999 varias empresas (las principales del sector de comunicaciones y redes, como 3com, Airones, Intersil, Lucent Technologies, Nokia y Symbol Technologies) crean la WECA (Wireless Ethernet Compability Aliance).
La WECA se encarga de certificar las diferentes especificaciones, así como su compatibilidad.
En el año 2.000 certifica la interoperatividad (es decir, que puedan operar entre ellos) de equipos bajo la especificación IEEE 802.11b, a la que denomina Wi-Fi.
Esta denominación por extensión se utiliza para todas las especificaciones posteriores basadas en el estándar 802.11x de comunicaciones inalámbricas.
Principales especificaciones existentes:
IEEE 802.11.- Funciona en la banda de 2.4GHz, con una velocidad máxima de entre 1Mbps y 2Mbps. Totalmente en desuso.
IEEE 802.11a.- Funciona en la banda de 5GHz, con una velocidad máxima de 54Mbps. No llegó a utilizarce en la práctica, ya que es incompatible con las demás especificaciones, que trabajan a 2.4GHz.
IEEE 802.11b.- Funciona en la banda de 2.4GHz, con una velocidad máxima de 11Mbps. La velocidad real mantenida está en torno a los 6Mbps.
IEEE 802.11g.- Funciona en la banda de 2.4GHz, con una velocidad máxima de 54Mbps. La velocidad real mantenida está en torno a los 25Mbps.
Esta especificación es compatible con la IEEE 802.11b, pero evidentemente en transmisiones entre dos puntos se adaptará siempre al de menor velocidad, disminuyendo sensiblemente la velocidad cuando existe un nodo que utiliza la especificación IEEE 802.11b.
IEEE 802.11n.- Es la especificación más reciente. Esta especificación funciona tanto en la banda de 2.5GHz como en la de 5GHz, y una velocidad máxima de 600Mbps, La velocidad real mantenida está en por encima de los 100Mbps.
Este incremento en la velocidad, y también en el alcance, se consigue gracias a la utilización de una serie de tecnologías, entre ella MIMO (Multiple Imput - Multiple Output), que permite la comunicación a través de varios canales a la vez utilizando tres antenas, pudiendo ser una de ellas omnidireccional.
En estas imágenes podemos ver un router y una antena USB para Wi-Fi IEEE 802.11n.
Dos modelos diferentes de tarjetas PCI - Wi-Fi IEEE 802.11n. Una con las antenas incorporadas y otra con las antenas exteriores. Este sistema suele ser más eficaz y lograr una mayor calidad de señal.
Está en desarrollo un denominado 802.11i, que más que nada implementaría la utilización de encriptaciones WPA2.
Todos ellos son totalmente compatibles con la especificación IEEE 802.3, que es la utilizada por las redes Wired o cableadas, lo que hace que funcionen sin ningún problema redes mixtas, es decir, redes en las que tenemos elementos conectados mediante Wi-Fi y otro mediante cableado UTP.
Legislación española a este respecto:
La Legislación de Wireless en España para el nivel de señal en transmisión es de 100mW para la frecuencia de 2.4GHz y de 1W para la frecuencia de 5.4GHz, esto quiere decir que si empleamos amplificadores que superen estas cantidades estaremos incumpliendo esta normativa, pero como podéis ver todas las especificaciones reseñadas se encuentran dentro de estos límites, por lo que no tienen ningún problema de legalidad.
Problemas principales:
Aparte del tema de la seguridad, el principal problema de las redes Wi-Fi se debe a la utilización de la banda de 2.4GHz. Esta misma banda es la utilizada por elementos tales como teléfonos inalámbricos, Bluetooth, microondas y otros, por lo que cualquiera de estos elementos puede causar (y de hecho causa) interferencias en la señal, disminuyendo su alcance, calidad y fiabilidad.
En buena parte esto se está solucionando en la especificación IEEE 802.11n, ya que esta puede utilizar la banda de 5GHz, en la que ya no tendría este problema, ya que se trata de una banda prácticamente libre.
A veces se le define simplemente como Wireless, que significa sin cable, en contraposición a Wired, que se traduciría como cableado o cableada, en referencia a una red.
Pero ojo con esto. Si bien todas las conexiones Wi-Fi son Wireless, NO todas las conexiones Wireless son Wi-Fi.
Un poco de historia:
Aunque hace bastante tiempo que existen las comunicaciones de red inalámbricas, existía un grave problema de incompatibilidades, ya que prácticamente cada fabricante usaba un estándar diferente.
Por este motivo, en 1.999 varias empresas (las principales del sector de comunicaciones y redes, como 3com, Airones, Intersil, Lucent Technologies, Nokia y Symbol Technologies) crean la WECA (Wireless Ethernet Compability Aliance).
La WECA se encarga de certificar las diferentes especificaciones, así como su compatibilidad.
En el año 2.000 certifica la interoperatividad (es decir, que puedan operar entre ellos) de equipos bajo la especificación IEEE 802.11b, a la que denomina Wi-Fi.
Esta denominación por extensión se utiliza para todas las especificaciones posteriores basadas en el estándar 802.11x de comunicaciones inalámbricas.
Principales especificaciones existentes:
IEEE 802.11.- Funciona en la banda de 2.4GHz, con una velocidad máxima de entre 1Mbps y 2Mbps. Totalmente en desuso.
IEEE 802.11a.- Funciona en la banda de 5GHz, con una velocidad máxima de 54Mbps. No llegó a utilizarce en la práctica, ya que es incompatible con las demás especificaciones, que trabajan a 2.4GHz.
IEEE 802.11b.- Funciona en la banda de 2.4GHz, con una velocidad máxima de 11Mbps. La velocidad real mantenida está en torno a los 6Mbps.
IEEE 802.11g.- Funciona en la banda de 2.4GHz, con una velocidad máxima de 54Mbps. La velocidad real mantenida está en torno a los 25Mbps.
Esta especificación es compatible con la IEEE 802.11b, pero evidentemente en transmisiones entre dos puntos se adaptará siempre al de menor velocidad, disminuyendo sensiblemente la velocidad cuando existe un nodo que utiliza la especificación IEEE 802.11b.
IEEE 802.11n.- Es la especificación más reciente. Esta especificación funciona tanto en la banda de 2.5GHz como en la de 5GHz, y una velocidad máxima de 600Mbps, La velocidad real mantenida está en por encima de los 100Mbps.
Este incremento en la velocidad, y también en el alcance, se consigue gracias a la utilización de una serie de tecnologías, entre ella MIMO (Multiple Imput - Multiple Output), que permite la comunicación a través de varios canales a la vez utilizando tres antenas, pudiendo ser una de ellas omnidireccional.
En estas imágenes podemos ver un router y una antena USB para Wi-Fi IEEE 802.11n.
Dos modelos diferentes de tarjetas PCI - Wi-Fi IEEE 802.11n. Una con las antenas incorporadas y otra con las antenas exteriores. Este sistema suele ser más eficaz y lograr una mayor calidad de señal.
Está en desarrollo un denominado 802.11i, que más que nada implementaría la utilización de encriptaciones WPA2.
Todos ellos son totalmente compatibles con la especificación IEEE 802.3, que es la utilizada por las redes Wired o cableadas, lo que hace que funcionen sin ningún problema redes mixtas, es decir, redes en las que tenemos elementos conectados mediante Wi-Fi y otro mediante cableado UTP.
Legislación española a este respecto:
La Legislación de Wireless en España para el nivel de señal en transmisión es de 100mW para la frecuencia de 2.4GHz y de 1W para la frecuencia de 5.4GHz, esto quiere decir que si empleamos amplificadores que superen estas cantidades estaremos incumpliendo esta normativa, pero como podéis ver todas las especificaciones reseñadas se encuentran dentro de estos límites, por lo que no tienen ningún problema de legalidad.
Problemas principales:
Aparte del tema de la seguridad, el principal problema de las redes Wi-Fi se debe a la utilización de la banda de 2.4GHz. Esta misma banda es la utilizada por elementos tales como teléfonos inalámbricos, Bluetooth, microondas y otros, por lo que cualquiera de estos elementos puede causar (y de hecho causa) interferencias en la señal, disminuyendo su alcance, calidad y fiabilidad.
En buena parte esto se está solucionando en la especificación IEEE 802.11n, ya que esta puede utilizar la banda de 5GHz, en la que ya no tendría este problema, ya que se trata de una banda prácticamente libre.
Diferencia entre WEP y WPA /WPA2
WEP (Protocolo de equivalencia con red cableada)
La seguridad de la red es extremadamente importante, especialmente para las aplicaciones o programas que almacenan información valiosa. WEP cifra los datos en su red de forma que sólo el destinatario deseado pueda acceder a ellos. Los cifrados de 64 y 128 bits son dos niveles de seguridad WEP. WEP codifica los datos mediante una “clave” de cifrado antes de enviarlo al aire.
Cuanto más larga sea la clave, más fuerte será el cifrado. Cualquier dispositivo de recepción deberá conocer dicha clave para descifrar los datos. Las claves se insertan como cadenas de 10 o 26 dígitos hexadecimales y 5 o 13 dígitos alfanuméricos.
La activación del cifrado WEP de 128 bits evitará que el pirata informático ocasional acceda a sus archivos o emplee su conexión a Internet de alta velocidad. Sin embargo, si la clave de seguridad es estática o no cambia, es posible que un intruso motivado irrumpa en su red mediante el empleo de tiempo y esfuerzo. Por lo tanto, se recomienda cambiar la clave WEP frecuentemente. A pesar de esta limitación, WEP es mejor que no disponer de ningún tipo de seguridad y debería estar activado como nivel de seguridad mínimo.
WPA (Wi-Fi Protected Access)
WPA emplea el cifrado de clave dinámico, lo que significa que la clave está cambiando constantemente y hacen que las incursiones en la red inalámbrica sean más difíciles que con WEP. WPA está considerado como uno de los más altos niveles de seguridad inalámbrica para su red, es el método recomendado si su dispositivo es compatible con este tipo de cifrado. Las claves se insertan como de dígitos alfanuméricos, sin restricción de longitud, en la que se recomienda utilizar caracteres especiales, números, mayúsculas y minúsculas, y palabras difíciles de asociar entre ellas o con información personal. Dentro de WPA, hay dos versiones de WPA, que utilizan distintos procesos de autenticación:
* Para el uso personal doméstico: El Protocolo de integridad de claves temporales (TKIP) es un tipo de mecanismo empleado para crear el cifrado de clave dinámico y autenticación mutua. TKIP aporta las características de seguridad que corrige las limitaciones de WEP. Debido a que las claves están en constante cambio, ofrecen un alto nivel de seguridad para su red.
* Para el uso en empresarial/de negocios: El Protocolo de autenticación extensible (EAP) se emplea para el intercambio de mensajes durante el proceso de autenticación. Emplea la tecnología de servidor 802.1x para autenticar los usuarios a través de un servidor RADIUS (Servicio de usuario de marcado con autenticación remota). Esto aporta una seguridad de fuerza industrial para su red, pero necesita un servidor RADIUS.
WPA2 es la segunda generación de WPA y está actualmente disponible en los AP más modernos del mercado. WPA2 no se creó para afrontar ninguna de las limitaciones de WPA, y es compatible con los productos anteriores que son compatibles con WPA. La principal diferencia entre WPA original y WPA2 es que la segunda necesita el Estándar avanzado de cifrado (AES) para el cifrado de los datos, mientras que WPA original emplea TKIP (ver arriba). AES aporta la seguridad necesaria para cumplir los máximos estándares de nivel de muchas de las agencias del gobierno federal. Al igual que WPA original, WPA2 será compatible tanto con la versión para la empresa como con la doméstica.
La tecnología SecureEasySetup™ (SES) de Linksys o AirStation OneTouch Secure System™ (AOSS) de Buffalo permite al usuario configurar una red y activar la seguridad de Acceso protegido Wi-Fi (WPA) simplemente pulsando un botón. Una vez activado, SES o AOSS crea una conexión segura entre sus dispositivos inalámbricos, configura automáticamente su red con un Identificador de red inalámbrica (SSID) personalizado y habilita los ajustes de cifrado de la clave dinámico de WPA. No se necesita ningún conocimiento ni experiencia técnica y no es necesario introducir manualmente una contraseña ni clave asociada con una configuración de seguridad tradicional inalámbrica.
La seguridad de la red es extremadamente importante, especialmente para las aplicaciones o programas que almacenan información valiosa. WEP cifra los datos en su red de forma que sólo el destinatario deseado pueda acceder a ellos. Los cifrados de 64 y 128 bits son dos niveles de seguridad WEP. WEP codifica los datos mediante una “clave” de cifrado antes de enviarlo al aire.
Cuanto más larga sea la clave, más fuerte será el cifrado. Cualquier dispositivo de recepción deberá conocer dicha clave para descifrar los datos. Las claves se insertan como cadenas de 10 o 26 dígitos hexadecimales y 5 o 13 dígitos alfanuméricos.
La activación del cifrado WEP de 128 bits evitará que el pirata informático ocasional acceda a sus archivos o emplee su conexión a Internet de alta velocidad. Sin embargo, si la clave de seguridad es estática o no cambia, es posible que un intruso motivado irrumpa en su red mediante el empleo de tiempo y esfuerzo. Por lo tanto, se recomienda cambiar la clave WEP frecuentemente. A pesar de esta limitación, WEP es mejor que no disponer de ningún tipo de seguridad y debería estar activado como nivel de seguridad mínimo.
WPA (Wi-Fi Protected Access)
WPA emplea el cifrado de clave dinámico, lo que significa que la clave está cambiando constantemente y hacen que las incursiones en la red inalámbrica sean más difíciles que con WEP. WPA está considerado como uno de los más altos niveles de seguridad inalámbrica para su red, es el método recomendado si su dispositivo es compatible con este tipo de cifrado. Las claves se insertan como de dígitos alfanuméricos, sin restricción de longitud, en la que se recomienda utilizar caracteres especiales, números, mayúsculas y minúsculas, y palabras difíciles de asociar entre ellas o con información personal. Dentro de WPA, hay dos versiones de WPA, que utilizan distintos procesos de autenticación:
* Para el uso personal doméstico: El Protocolo de integridad de claves temporales (TKIP) es un tipo de mecanismo empleado para crear el cifrado de clave dinámico y autenticación mutua. TKIP aporta las características de seguridad que corrige las limitaciones de WEP. Debido a que las claves están en constante cambio, ofrecen un alto nivel de seguridad para su red.
* Para el uso en empresarial/de negocios: El Protocolo de autenticación extensible (EAP) se emplea para el intercambio de mensajes durante el proceso de autenticación. Emplea la tecnología de servidor 802.1x para autenticar los usuarios a través de un servidor RADIUS (Servicio de usuario de marcado con autenticación remota). Esto aporta una seguridad de fuerza industrial para su red, pero necesita un servidor RADIUS.
WPA2 es la segunda generación de WPA y está actualmente disponible en los AP más modernos del mercado. WPA2 no se creó para afrontar ninguna de las limitaciones de WPA, y es compatible con los productos anteriores que son compatibles con WPA. La principal diferencia entre WPA original y WPA2 es que la segunda necesita el Estándar avanzado de cifrado (AES) para el cifrado de los datos, mientras que WPA original emplea TKIP (ver arriba). AES aporta la seguridad necesaria para cumplir los máximos estándares de nivel de muchas de las agencias del gobierno federal. Al igual que WPA original, WPA2 será compatible tanto con la versión para la empresa como con la doméstica.
La tecnología SecureEasySetup™ (SES) de Linksys o AirStation OneTouch Secure System™ (AOSS) de Buffalo permite al usuario configurar una red y activar la seguridad de Acceso protegido Wi-Fi (WPA) simplemente pulsando un botón. Una vez activado, SES o AOSS crea una conexión segura entre sus dispositivos inalámbricos, configura automáticamente su red con un Identificador de red inalámbrica (SSID) personalizado y habilita los ajustes de cifrado de la clave dinámico de WPA. No se necesita ningún conocimiento ni experiencia técnica y no es necesario introducir manualmente una contraseña ni clave asociada con una configuración de seguridad tradicional inalámbrica.
DNS en UBUNTU
DNS EN UBUNTU
La utilización de un servidor DNS local tiene ciertas ventajas:
• Agilizar el acceso a Internet: Al tener un servidor de nombres en nuestra propia red local (que acceda al DNS de nuestro proveedor o directamente a los root servers) se agiliza el mecanismo de resolución de nombres, manteniendo en caché los nombres recientemente usados en la red y disminuyendo el tráfico hacia/desde Internet.
• Simplificar la administración de la red local: Al contar con un DNS propio es posible definir zonas locales (no válidas ni accesibles desde Internet) para asignar nombres a cada uno de los ordenadores de la red. De esta forma es posible, por ejemplo, referirnos al servidor web como “www.aulaesi.com” en vez de “192.168.1.1″ y a nuestra impresora de red como “impresora.aulaesi.com” en vez “192.168.1.141″. (Pensemos, por ejemplo, que ocurriría con las configuraciones de las aplicaciones si un día decidimos cambiar el esquema de direcciones IP de nuestra red.)
El dominio que hemos creado lo hemos llamado aulaESI.com, y la máquina que hace de servidor de nombres, cuyo nombre es servidor y tiene IP 192.168.1.1, hace también la función de servidor web. De esta manera, desde cualquier ordenador del aula podemos poner www.aulaesi.com en el navegador para que aparezca la página web almacenada en el servidor.
En el aula hay también un servidor ftp, cuyo nombre es servidor2 y tiene dirección IP 192.168.1.2. El resto de los ordenadores del aula, que hemos llamado pc03, pc04, pc05, pc06…., tienen las direcciones IP que se muestran en la siguiente imagen.
Para montar el servidor DNS hemos utilizado una máquina con Ubuntu Gutsy 7.10 y el paquete BIND. BIND (Berkeley Internet Name Domain, anteriormente : Berkeley Internet Name Daemon) es el servidor de DNS más comúnmente usado en Internet, especialmente en sistemas Unix, en los cuales es un standard de facto. Fue creado originalmente en la Universidad de California, y actualmente propiedad del Internet Systems Consortium.
Instalación de BIND
Para instalar BIND simplemente abrimos la consola (Aplicaciones/Accessorios/Terminal) y escribimos el siguiente comando:
• sudo apt-get install bind9
Configuración de los archivos de BIND
Los archivos de configuración que tendremos que modificar en el servidor DNS son los siguientes:
• /etc/bind/named.conf
• /etc/bind/named.conf.options
• /etc/bind/named.conf.local
• /etc/bind/db.aulaESI.com
• /etc/bind/db.192.168.1
En el resto de ordenadores de la red, sólo habrá que modificar el archivo /etc/resolv.conf.
El archivo named.conf en realidad no es necesario que lo modifiquemos. Este archivo almacena la configuración de las diferentes zonas generadas por defecto en el momento de la instalación.
Para modificar el archivo /etc/bind/named.conf.local podemos utilizar cualquier editor de textos, como gedit o vi. Para crear este fichero con gedit abriremos el terminal y escribiremos:
• sudo gedit /etc/bind/named.conf.local
Una vez abierto tendremos que poner lo siguiente (lo que hay tras el carácter # son comentarios).
#Esta es la definición de la zona. Cambia aulaESI.com por tu nombre de dominio
zone “aulaESI.com” {
type master;
file “/etc/bind/db.aulaESI.com”;
};
#Aquí definimos la zona de resolución inversa. Cambia 1.168.192 por la dirección de tu red
zone “1.168.192.in-addr.arpa” {
type master;
file “/etc/bind/db.192.168.1″;
};
A continuación modificamos el fichero /etc/bind/named.conf.options. En este fichero especificaremos aquellos servidores DNS de Internet que resolverán los nombres de dominio que nuestro servidor DNS local no pueda resolver. Será necesario especificarlos para que los ordenadores de nuestra red salgan a Internet.
options {
directory “/var/cache/bind”;
forwarders {
80.58.0.33;
62.42.230.24;
};
};
Tendremos que cambiar las IP 80.58.0.33 y 62.42.230.24 por los servidores DNS de nuestro ISP. Los servidores DNS de ONO son: 62.42.230.24 y 62.42.63.52. Los servidores DNS de telefónica son: 80.58.61.250 y 80.58.61.254, aunque también tienen muchos más (80.58.0.33, 80.58.32.97, etc.)
Después tendremos que crear el fichero de definición de zona /etc/bind/db.aulaESI.com. En este fichero es donde pondremos todos los nombres de máquinas y direcciones IP que conocerá nuestro servidor DNS.
$TTL 604800
//Cambia aulaESI.com por el nombre de tu dominio
//Cambia servidor por el nombre de tu servidor de nombres
aulaESI.com. IN SOA aulaESI.com. servidor.aulaESI.com. (
//Las siguientes líneas no es necesario que las modifiquemos
2006081401
28800
3600
604800
38400)
//Cambia las siguientes líneas si es necesario
//aulaESI.com por el nombre de tu dominio
//servidor por el nombre de tu servidor de nombres
aulaESI.com. IN NS servidor.aulaESI.com.
//Cambia los nombres máquinas y direcciones IP por las de tu red
servidor IN A 192.168.1.1
servidor2 IN A 192.168.1.2
pc03 IN A 192.168.1.3
pc04 IN A 192.168.1.4
pc05 IN A 192.168.1.5
pc05 IN A 192.168.1.6
//Así para el resto de equipos de la red
//Lo siguiente es un alias. Para que desde el navegador podamos poner
//www.aulaESI.com en lugar de servidor.aulaESI.com
www IN CNAME servidor
ftp in CNAME servidor2
A continuación creamos el archivo de zona de resolución inversa /etc/bind/1.168.192 con el siguiente contenido:
//Cambia aulaESI.com por el nombre de tu dominio
//Cambia servidor por el nombre de tu servidor de nombres.
@ IN SOA servidor.aulaESI.com.
(2006081401;
28800;
3600;
604800;
38400)
//Cambia aulaESI.com por el nombre de tu dominio
//Cambia servidor por el nombre de tu servidor de nombres de dominio
//El número que aparece delante de IN PTR es el último octeto de la dirección IP //de la máquina
//192.168.1.1 para servidor, 192.168.1.2 para servidor2, 192.168.1.3 para pc03….
//Cambia las direcciones IP y nombres por los de tu red
IN NS servidor.aulaESI.com.
1 IN PTR servidor.aulaESI.com.
2 IN PTR servidor2.aulaESI.com.
3 IN PTR pc03.aulaESI.com.
4 IN PTR pc04.aulaESI.com.
5 IN PTR pc05.aulaESI.com.
6 IN PTR pc06.aulaESI.com.
Cuando hayamos creado cada uno de los archivos tendremos que reiniciar BIND con el siguiente comando:
• sudo /etc/init.d/bind9 restart
En cada uno de los ordenadores de la red habrá que modificar el fichero /etc/resolv.conf. Este fichero tendŕa el siguiente contenido:
//Cambia 192.168.1.1 por la IP de tu servidor de nombres
//Cambia aulaESI.com por el nombre de tu dominio
nameserver 192.168.1.1
search aulaESI.com
A partir de la versión 9 de BIND se incluyen dos herramientas software para chequear la sintaxis y semántica de los archivos que describen las zonas y el archivo de configuración principal named.conf. Dichas herramientas son: named-checkzone y named-checkconf.
Una vez configurado el servidor DNS, si se quiere hacer una comprobación sintáctica del archivo de configuración named.conf hay que ejecutar:
• named-checkconf
La salida muestra los errores que genera. Si no genera salida, está todo correcto.
En el caso de los archivos de zona hay que ejecutar:
• named-checkzone aulaESI.com /etc/bind/db.aulaESI.com
(cambiando aulaESI.com por el nombre de tu dominio)
Este comando genera la siguiente salida si todo está correcto:
zone aulaESI.com/IN: loaded serial 1 OK
Comprobando el servidor de nombres DNS
Una vez hayamos reiniciado el servidor DNS (sudo /etc/init.d/bind9 restart) debemos comprobar que éste funciona correctamente. Para comprobar que el servidor de nombres resuelve nombres de dominio correctamente podemos utilizar la orden host. La orden host permite hacer búsquedas en el DNS. Se utiliza para convertir nombres en direcciones IP y viceversa.
Algunas de sus opciones son las siguientes:
• -t: indica el tipo de registro a devolver. Puede ser A, ANY, PTR, NS, etcétera.
• -R: permite modificar el número de intentos que se hacen para obtener la respuesta, ya que por defecto es uno.
• -l: lista toda la información del dominio.
Para comprobar que nuestro servidor funciona correctamente, ejecutamos la siguiente orden desde cualquier servidor del dominio: host servidor.aulaESI.com (tendrás que cambiar servidor por el nombre de tu servidor y aulaESI.com por el nombre de tu dominio).
La utilización de un servidor DNS local tiene ciertas ventajas:
• Agilizar el acceso a Internet: Al tener un servidor de nombres en nuestra propia red local (que acceda al DNS de nuestro proveedor o directamente a los root servers) se agiliza el mecanismo de resolución de nombres, manteniendo en caché los nombres recientemente usados en la red y disminuyendo el tráfico hacia/desde Internet.
• Simplificar la administración de la red local: Al contar con un DNS propio es posible definir zonas locales (no válidas ni accesibles desde Internet) para asignar nombres a cada uno de los ordenadores de la red. De esta forma es posible, por ejemplo, referirnos al servidor web como “www.aulaesi.com” en vez de “192.168.1.1″ y a nuestra impresora de red como “impresora.aulaesi.com” en vez “192.168.1.141″. (Pensemos, por ejemplo, que ocurriría con las configuraciones de las aplicaciones si un día decidimos cambiar el esquema de direcciones IP de nuestra red.)
El dominio que hemos creado lo hemos llamado aulaESI.com, y la máquina que hace de servidor de nombres, cuyo nombre es servidor y tiene IP 192.168.1.1, hace también la función de servidor web. De esta manera, desde cualquier ordenador del aula podemos poner www.aulaesi.com en el navegador para que aparezca la página web almacenada en el servidor.
En el aula hay también un servidor ftp, cuyo nombre es servidor2 y tiene dirección IP 192.168.1.2. El resto de los ordenadores del aula, que hemos llamado pc03, pc04, pc05, pc06…., tienen las direcciones IP que se muestran en la siguiente imagen.
Para montar el servidor DNS hemos utilizado una máquina con Ubuntu Gutsy 7.10 y el paquete BIND. BIND (Berkeley Internet Name Domain, anteriormente : Berkeley Internet Name Daemon) es el servidor de DNS más comúnmente usado en Internet, especialmente en sistemas Unix, en los cuales es un standard de facto. Fue creado originalmente en la Universidad de California, y actualmente propiedad del Internet Systems Consortium.
Instalación de BIND
Para instalar BIND simplemente abrimos la consola (Aplicaciones/Accessorios/Terminal) y escribimos el siguiente comando:
• sudo apt-get install bind9
Configuración de los archivos de BIND
Los archivos de configuración que tendremos que modificar en el servidor DNS son los siguientes:
• /etc/bind/named.conf
• /etc/bind/named.conf.options
• /etc/bind/named.conf.local
• /etc/bind/db.aulaESI.com
• /etc/bind/db.192.168.1
En el resto de ordenadores de la red, sólo habrá que modificar el archivo /etc/resolv.conf.
El archivo named.conf en realidad no es necesario que lo modifiquemos. Este archivo almacena la configuración de las diferentes zonas generadas por defecto en el momento de la instalación.
Para modificar el archivo /etc/bind/named.conf.local podemos utilizar cualquier editor de textos, como gedit o vi. Para crear este fichero con gedit abriremos el terminal y escribiremos:
• sudo gedit /etc/bind/named.conf.local
Una vez abierto tendremos que poner lo siguiente (lo que hay tras el carácter # son comentarios).
#Esta es la definición de la zona. Cambia aulaESI.com por tu nombre de dominio
zone “aulaESI.com” {
type master;
file “/etc/bind/db.aulaESI.com”;
};
#Aquí definimos la zona de resolución inversa. Cambia 1.168.192 por la dirección de tu red
zone “1.168.192.in-addr.arpa” {
type master;
file “/etc/bind/db.192.168.1″;
};
A continuación modificamos el fichero /etc/bind/named.conf.options. En este fichero especificaremos aquellos servidores DNS de Internet que resolverán los nombres de dominio que nuestro servidor DNS local no pueda resolver. Será necesario especificarlos para que los ordenadores de nuestra red salgan a Internet.
options {
directory “/var/cache/bind”;
forwarders {
80.58.0.33;
62.42.230.24;
};
};
Tendremos que cambiar las IP 80.58.0.33 y 62.42.230.24 por los servidores DNS de nuestro ISP. Los servidores DNS de ONO son: 62.42.230.24 y 62.42.63.52. Los servidores DNS de telefónica son: 80.58.61.250 y 80.58.61.254, aunque también tienen muchos más (80.58.0.33, 80.58.32.97, etc.)
Después tendremos que crear el fichero de definición de zona /etc/bind/db.aulaESI.com. En este fichero es donde pondremos todos los nombres de máquinas y direcciones IP que conocerá nuestro servidor DNS.
$TTL 604800
//Cambia aulaESI.com por el nombre de tu dominio
//Cambia servidor por el nombre de tu servidor de nombres
aulaESI.com. IN SOA aulaESI.com. servidor.aulaESI.com. (
//Las siguientes líneas no es necesario que las modifiquemos
2006081401
28800
3600
604800
38400)
//Cambia las siguientes líneas si es necesario
//aulaESI.com por el nombre de tu dominio
//servidor por el nombre de tu servidor de nombres
aulaESI.com. IN NS servidor.aulaESI.com.
//Cambia los nombres máquinas y direcciones IP por las de tu red
servidor IN A 192.168.1.1
servidor2 IN A 192.168.1.2
pc03 IN A 192.168.1.3
pc04 IN A 192.168.1.4
pc05 IN A 192.168.1.5
pc05 IN A 192.168.1.6
//Así para el resto de equipos de la red
//Lo siguiente es un alias. Para que desde el navegador podamos poner
//www.aulaESI.com en lugar de servidor.aulaESI.com
www IN CNAME servidor
ftp in CNAME servidor2
A continuación creamos el archivo de zona de resolución inversa /etc/bind/1.168.192 con el siguiente contenido:
//Cambia aulaESI.com por el nombre de tu dominio
//Cambia servidor por el nombre de tu servidor de nombres.
@ IN SOA servidor.aulaESI.com.
(2006081401;
28800;
3600;
604800;
38400)
//Cambia aulaESI.com por el nombre de tu dominio
//Cambia servidor por el nombre de tu servidor de nombres de dominio
//El número que aparece delante de IN PTR es el último octeto de la dirección IP //de la máquina
//192.168.1.1 para servidor, 192.168.1.2 para servidor2, 192.168.1.3 para pc03….
//Cambia las direcciones IP y nombres por los de tu red
IN NS servidor.aulaESI.com.
1 IN PTR servidor.aulaESI.com.
2 IN PTR servidor2.aulaESI.com.
3 IN PTR pc03.aulaESI.com.
4 IN PTR pc04.aulaESI.com.
5 IN PTR pc05.aulaESI.com.
6 IN PTR pc06.aulaESI.com.
Cuando hayamos creado cada uno de los archivos tendremos que reiniciar BIND con el siguiente comando:
• sudo /etc/init.d/bind9 restart
En cada uno de los ordenadores de la red habrá que modificar el fichero /etc/resolv.conf. Este fichero tendŕa el siguiente contenido:
//Cambia 192.168.1.1 por la IP de tu servidor de nombres
//Cambia aulaESI.com por el nombre de tu dominio
nameserver 192.168.1.1
search aulaESI.com
A partir de la versión 9 de BIND se incluyen dos herramientas software para chequear la sintaxis y semántica de los archivos que describen las zonas y el archivo de configuración principal named.conf. Dichas herramientas son: named-checkzone y named-checkconf.
Una vez configurado el servidor DNS, si se quiere hacer una comprobación sintáctica del archivo de configuración named.conf hay que ejecutar:
• named-checkconf
La salida muestra los errores que genera. Si no genera salida, está todo correcto.
En el caso de los archivos de zona hay que ejecutar:
• named-checkzone aulaESI.com /etc/bind/db.aulaESI.com
(cambiando aulaESI.com por el nombre de tu dominio)
Este comando genera la siguiente salida si todo está correcto:
zone aulaESI.com/IN: loaded serial 1 OK
Comprobando el servidor de nombres DNS
Una vez hayamos reiniciado el servidor DNS (sudo /etc/init.d/bind9 restart) debemos comprobar que éste funciona correctamente. Para comprobar que el servidor de nombres resuelve nombres de dominio correctamente podemos utilizar la orden host. La orden host permite hacer búsquedas en el DNS. Se utiliza para convertir nombres en direcciones IP y viceversa.
Algunas de sus opciones son las siguientes:
• -t
• -R
• -l: lista toda la información del dominio.
Para comprobar que nuestro servidor funciona correctamente, ejecutamos la siguiente orden desde cualquier servidor del dominio: host servidor.aulaESI.com (tendrás que cambiar servidor por el nombre de tu servidor y aulaESI.com por el nombre de tu dominio).
Suscribirse a:
Entradas (Atom)