UNIVERSIDAD GALILEO HERBERT PATZAN FISICC – LASI

EQUIPOS ACTIVOS DE RED

En un entorno de red basado en la tecnología Ethernet clásica de bus compartido, el análisis del tráfico de red se basa habitualmente en la utilización de sondas con interfaz Ethernet conectadas al bus. Dichas sondas, con su interfaz Ethernet funcionando en modo promiscuo, capturan el tráfico a analizar y constituyen la plataforma en la que se ejecutarán, de forma más o menos permanente, aplicaciones bien propietarias, bien de dominio público, las cuales permitirán realizar un análisis del tráfico capturado para su supervisión.

Una tarea a realizar puede ser la recopilación de datos para la elaboración de distintos tipos de estadísticas que pueden servir para saber, por ejemplo, cómo se distribuye el ancho de banda de entrada/salida a una zona de la red entre los distintos tipos de protocolos de nivel de aplicación o entre las distintas máquinas de la zona en sus accesos externos. De esa forma podríamos facturar en función del volumen de tráfico de un departamento o conocer los servidores web externos más accedidos, o saber simplemente qué servidores web existen en esa zona de red, cosa nada sencilla en organizaciones grandes de unas determinadas características. También será interesante la detección de determinados tipos de ataques hacia/desde una zona supervisada, utilizando alguno de los sistemas detectores de intrusiones existentes en la actualidad. Especial interés tiene detectar los ataques de negación de servicio que pueden afectar seriamente al normal funcionamiento de nuestra red. Todo ello, por supuesto, dentro del marco de la legalidad vigente en nuestro país, lo cual supondrá evitar el análisis o almacenamiento del contenido del campo de datos (payload) de los paquetes [1].

Si tenemos una red compleja, segmentada, con uno o varios routers basados en la tecnología Ethernet, es habitual hacer pasar por un bus ethernet (que a veces se conoce como "Drawbridge"), todo el tráfico entrante/saliente hacia/desde una determinada zona de red que queramos supervisar.

El tráfico supervisado puede corresponder al de un enlace externo WAN o al que exista entre dos zonas separadas de nuestra red. El tráfico interno a cada zona no suele ser capturado de forma permanente.

Combinando los sistemas de detección y análisis con los mecanismos que los routers o encaminadores establecen para control de acceso y control de congestión, disponemos de un entorno de gestión que podríamos definir como un "firewall" o cortafuegos virtual, cuya ventaja fundamental es que no introduce un elemento adicional intermediario en el acceso a la zona de red supervisada, origen de posibles problemas de pérdida de conexión o de degradación del rendimiento.

Esto evidentemente, será una filosofía aplicable a un entorno en el que prime la conectividad sobre la seguridad, es decir, en el que problemas con los dispositivos de análisis no deban afectar a la conectividad aunque momentáneamente estemos "ciegos" a lo que entra y sale de la zona de red supervisada.

Centrándonos en un entorno de este tipo, el problema empieza a surgir cuando la evolución tecnológica nos lleva a usar conmutadores en vez de concentradores, y a utilizar técnicas de banda ancha en el corazón de la red, así como en el acceso hacia/desde el exterior de la misma.

Es típico un escenario en el que el corazón de la red ("backbone") está constituido por una nube de conmutadores ATM interconectados, de los cuales cuelgan conmutadores de acceso, por ejemplo, FastEthernet/Ethernet, con uno o varios interfaces ATM para conectar al "backbone". Sobre todo ello es típico también utilizar LANE, y por supuesto TCP/IP, y routers con esta tecnología conectados igualmente a la nube ATM. Además, en nuestro caso, el proveedor habitual de conexión al mundo Internet nos proporciona un enlace ATM con un ancho de banda que puede crecer desde 4Mbps contratados en la actualidad a 34Mbps o 155Mbps si fuera necesario, sin realizar cambios en el hardware de los equipos conectados a los extremos del enlace.

En este entorno no existe un bus compartido ethernet del cual podamos extraer el tráfico que sea necesario analizar. Además hacer pasar tráfico entre zonas

por un bus ethernet a 10 Mbps, puede constituir un serio cuello de botella. Hay que buscar mecanismos transparentes para poder analizar el tráfico hacia/desde zonas de la red que queramos supervisar, que permitan el análisis de flujos de tráfico que ocupen un mayor ancho de banda.

Distinguiremos entre conmutadores de backbone, reservando esta denominación para los conmutadores con puertos ATM (en nuestro caso a 155Mbps OC3c) que constituyen el corazón de la red interconectándose entre sí, y los conmutadores de acceso, los cuales poseen un puerto ATM (en nuestro caso a 155Mbps OC3c) para conectarse a alguno de los conmutadores de backbone y puertos Ethernet o FastEthernet para conexión de los usuarios de la red. En algún caso existen servidores centrales conectados directamente al backbone ATM, pero la función principal del mismo será interconectar entre sí los conmutadores de acceso.

Es fácil caer en la trampa de pensar que las utilidades de monitorización del tráfico de un conmutador de acceso, que permiten volcar el tráfico entrante/ saliente de uno o varios puertos sobre otro puerto en el que puede ser conectada una sonda, ofrecidas por los fabricantes, van a resolvernos el problema. Normalmente el uso de estas facilidades va a hacer que el rendimiento del conmutador caiga dramáticamente, afectando seriamente al servicio ofrecido, viéndose restringido su uso a momentos muy concretos.

Algunos conmutadores de acceso avanzados, que además incorporan facilidades de routing a nivel IP, también poseen utilidades similares, pero presentan el mismo problema. Por otra parte las implementaciones RMON típicas hasta la fecha son insuficientes para resolver en toda su amplitud la problemática planteada. Necesitamos mecanismos no intrusivos, transparentes, que puedan ser aplicados de forma permanente, y abiertos a la utilización de sondas no ligadas a un software propietario, en las que las herramientas de dominio público puedan solucionarnos gran parte de las necesidades de análisis sobre lo que está pasando por un punto de la red.

Acerca del conmutador de acceso de Direct2Internet

El conmutador de acceso de Direct2Internet representa una solcuión de alta tecnología única para conexiones analógicas y digitales a una red. La unidad actúa como un pequeño conmutador y funciona, al mismo tiempo, de manera parecida a un módem. Conexión más rápida

El conmutador de acceso de Direct2Internet mejora los tiempos de conexión a Internet y otras redes en un 50% si se compara con . los grupos de modems tradicionales.

Modo de conexión Grupo de modems Conmutador de acceso

Módem V.90 30-60 seg. aprox 12-19 seg aprox

V.110 móvil 10 seg. aprox 4 seg. aprox

RDSI 2-4 seg. aprox 0,2 seg. aprox

Mayor flexibilidad de la infraestructura

Como el conmutador de acceso de Direct2Internet integra el conmutador de telecomunicaciones, PRI y RAS, la infraestructura de la red se hace más flexible y fácil de administrar. DATOS TECNICOS

Conexión de red a través de un eje central TCP/IP de Internet

Tarjeta de interfaz de red Ethernet y dos/cuatro puertos T1 o tarjeta de interfaz E1 (tarjeta de interfaz SS7/C7 o PRI)

Dos tarjetas para unidad de proceso de señales digitales (DSP) con una función parecida a la de un módem con capacidad para más de 240 canales

Suministro de energía 220/110 V de 19. Ancho: 50 cms. Alto: 5 cms. Profundidad: 42 cms. Peso: 18.14 kg

Otras especificaciones: Descarga de configuracion y software, control de proceso/estado de llamada, detección de errores/estadísticas, diagnóstico del sistema

Función de módem ampliado, datos-fax, RDSI, funcines de paquete y voz (VoIP/FoIP), funciones DSL