Revista LAN & WAN - Redes de computadores, networking y telecomunicaciones, LAN, WAN. Seguridad Informática, auditoría y certificación. Cursos y seminarios, consultoría.
REVISTA LAN & WAN
Desde 1993 y por casi 10 años LAN & WAN® ha sido el medio de información, formación y orientación para especialistas y directivos en las más nuevas tecnologías de redes, telecomunicaciones, gestión, seguridad y auditoría de la información, y su holística con los negocios. Aún hoy día, artículos publicados por entonces como Redes Inalámbricas WLANs, IPSec, VPN, GPS, AES, ADSL, OFDM, LMDS, etc. constituyen temas de gran actualidad.
RESUMENES EJECUTIVOS
ATAQUES POR NEGACION DE SERVICIOS
La Negación de Servicios o DoS es una de las formas con que un hacker puede atacar un sitio. Básicamente consiste en agotar de alguna forma los recursos de una máquina como para que no pueda atender las requisiciones legítimas.
Una nueva generación de este tipo de ataques surgió en febrero último cuando bajo el control de hackers, una gran cantidad de sitios y redes "inocentes" distribuidas a lo largo de todo Internet, realizaran múltiples ataques simultáneos dirigidos a importantes objetivos. Subyacentes en estos sitios inconscientes de lo que hacían se encontraban programas que fueran bajados y coordinados por los hackers para actuar al unísono.
Los nuevos ataques DDoS, por lo de distribuidos de los DoS tradicionales, llevan nombres como Trinoo, TFN, Stacheldraht y TFN2K.
En este trabajo se analizan los elementos con que se atacan los sitios, y los controles que se pueden imponer para eliminar o reducir sus efectos. Direcciones IP de origen falsificadas, direcciones privadas y reservadas, paquetes de broadcast, ICMP y UDP, así como controles de ingreso y egreso, son las características principales a considerar para la implementación de una solución. Cada caso requiere consideraciones respecto de las reglas y mecanismos que contribuyen a la solución completa.
Con algunas diferencias de enfoque en cuanto a protección y prevenciones, aunque compartiendo algunas reglas y mecanismos comunes, dos son los principales puntos a proteger: las víctimas finales de los ataques y los propios intermediarios.
El caso de los proveedores de servicio Internet constituye de hecho un caso especial de intermediario. Así encontramos no sólo la importancia de una adecuada prevención en los componentes señalados, sino que también se consideran las interrelaciones con los clientes así como las implicaciones económicas. Para concluir que al menos hoy en día la única solución para evitar estos ataques DDoS pasa por el filtrado en los ISPs.
Nota completa publicada en el número 86, abril 2000
• • • • •
AUTENTICACION BIOMETRICA
La biometría es el reconocimiento de un usuario por medio de características únicas de cada persona: impresiones digitales o huellas dactilares, cara, geometría de las manos y dedos, iris, retina, voz, firma, etc.
Los métodos tradicionales de autenticación por contraseña o tarjetas inteligentes trabajan en base a lo que se conoce o posee. Por lo tanto no identifican completamente a un usuario. Los sistemas biométricos, en cambio, operan en base a características físicas o del comportamiento de cada usuario, es decir, parámetros prácticamente inseperables del individuo.
La biometría encuentra uso no solamente en la autenticación de usuarios para el acceso a sistemas computacionales, sino para una cantidad de aplicaciones que requieren controles similares.
El reconocimiento biométrico puede ser del tipo Identificación o Verificación. En el primer caso se trata de saber quién es la persona, es decir ubicarla dentro de un conjunto de usuarios; en el segundo, en cambio se busca verificar que un usuario sea realmente quien dice que es.
Las soluciones biométricos no almacen la propia información capturada sino una representación simbólica en base a modelos matemáticos, con lo cual se gana en exactitud y privacidad.
En cada solución influyen valores conocidos como aceptaciones equivocadas y rechazos equivocados. Las primeras se refieren a reconocer acceso a la persona indebida, mientras que las segundas dan cuenta de los no reconocimientos de usuarios legítimos.
Mientras las aceptaciones equivocadas pueden comprometer la seguridad de un sistema, los rechazos equivocados afectan a los usuarios legítimos rechazados. Prácticamente todos los productos permiten establecer umbrales que por ejemplo permiten bajar la tasa de aceptaciones equivocadas aunque generalmente a costa de una mayor tasa de rechazos equivocados.
Nota completa publicada en el número 81, noviembre 1999
• • • • •
COMERCIO ELECTRONICO
El comercio electrónico se presenta como una de las aplicaciones más atractivas en Internet.
El nuevo rubro no se limita al mercado de consumo, sino que incluye a las transacciones entre empresas especialmente las manejadas por sistemas EDI, que ya han comenzado a migrar a Internet.
Las principales consideraciones de la operación pasan por la seguridad en las transacciones. La confidencialidad e integridad del mensaje, así como la autenticación de los participantes constituyen los puntos más críticos.
El encriptado de datos con la clave pública del destinatario legitimizada por su certificado digital, y el desencriptado con la clave privada del mismo, aseguran la privacidad o confidencialidad de los mensajes.
La firma digital del remitente a partir del mensaje y su clave privada, desencriptada con la clave pública del remitente legitimizada por el certificado digital correspondiente, aseguran tanto que el mensaje recibido es exactamente el original como que el remitente es realmente quien dice ser.
Se comentan el nuevo certificado SET para operar con tarjetas de crédito y las principales formas de pago para transacciones de consumo, así como las plataformas de interoperabilidad para transacciones entre empresas.
También se hacen algunas consideraciones sobre un proyecto de este tipo y su implementación tanto en transacciones entre empresas como con consumidores.
Para los nuevos en este mercado, el hosting o albergue en un servidor de comercio de terceros como los propios ISPs, puede ser un alivio ante el grado de complejidad de las operaciones en caso de hacerlas directamente. Y, de paso, un ahorro inmediato de inversión.
Finalmente se mencionan productos para diferentes tipos de instalaciones.
Nota completa publicada en el número 64, junio 1998
• • • • •
CACHE WEB
Los cachés compartidos Web trabajan con un grupo de usuarios, guardando la información que van requiriendo de modo que al producirse una requisición de un contenido existente ya no hará falta ir a Internet a buscarlo.
Los beneficios en el tiempo de respuesta son notables cuando los diferentes usuarios visitan en general los mismos sitios.
El caché compartido generalmente se implementa como servidor proxy. Las requisiciones de los usuarios llegan a este servidor quien, o responderá directamente si guarda en su caché la información requerida, o bien repetirá la requisición al servidor original del sitio Web en cuestión para posteriormente guardar la respuesta en su caché y pasarla al cliente correspondiente.
Los cachés deben mantenerse actualizados. Para ello o se refrescan o bien se validan. En el primer caso se baja nuevamente el contenido actualizado del servidor original, mientras que el segundo dicho servidor simplemente valida la copia existente en el caché, siempre que el contenido no haya cambiado.
Un caché puede estar en la propia trayectoria de los clientes hacia Internet, o bien fuera de ella. En el primer caso es suficiente un enrutador adicionado de las características necesarias. El segundo se implementa con un dispositivo redireccionador que desvía hacia el servidor de caché sólo el tráfico correspondiente de Internet, dejando pasar directamente el resto.
Un redireccionador puede ser, o propietario o bien un conmutador de capa 4 que además de sus características nativas, elimina el hub de alimentación a las estaciones de trabajo.
En instalaciones mayores o con sitios remotos interconectados, es mejor trabajar con un sistema de caché colectivo, es decir con múltiples servidores de caché. Estos servidores pueden arreglar en forma jerárquica o distribuida.
Finalmente, se revisan los distintos protocolos y formas de comunicación entre los componentes de un sistema de caché.
Nota completa publicada en el número 85, marzo 2000
• • • • •
COMPUTACION FORENSE
Ahora que los firewalls se están convirtiendo en una suerte de commodities en muchas empresas, y algunos administradores de seguridad han comenzado a complementarlos con detectores de intrusiones y sistemas de evaluación de vulnerabilidades, la realidad igualmente suele presentarse con ataques consumados que conviene investigar, sea para evitar que se repitan o incluso para detectar y cercar a los autores.
A este panorama que quizás no es muy común en empresas pequeñas y medianas especialmente, se le puede unir una situación que se está difundiendo casi sin distinciones de tamaño: la necesidad de controlar las actividades en Internet que realiza el personal de una empresa.
Para todas estas situaciones se vienen perfeccionando diferentes técnicas forenses que, preservando el contenido de un disco duro o rígido, lo recorren completamente recuperando información que pueda encerrar evidencias para su posterior análisis en la búsqueda de dichas actividades o ataques.
Ocurre que hay lugares específicos en el disco donde pueden haber quedado huellas de la actividad realizada en la máquina correspondiente.
Uno de ellos, file slack o espacio muerto de un archivo, aparece entre el final real de un archivo que de hecho puede tener cualquier longitud, y el final del espacio asignado que responde a valores discretos, múltiplos de clusters o asociaciones de sectores de disco.
Otro lugar -el espacio sin asignar- se refiere a que el proceso de borrado de un archivo en realidad no lo borra sino que simplemente marca ese espacio como libre para volverse a asignar.
Un tercer lugar es el archivo usado para swapping en ambientes Windows, donde aparece información de las actividades más recientes y que pueden leerse directamente en los que son permanentes, o indirectamente en las versiones en que el sistema operativo los borra al cerrar, gracias a las limitaciones comentadas antes respecto al concepto de borrado.
Hay otras medidas forenses que se pueden tomar, incluso una de ellas con caracter preventivo en cuanto a futuros ataques o que no se pudieron concretar. Se trata de analizar a fondo los registros de rechazo que pueden aparecer en una auditoría completa de un firewall.
Nota completa publicada en el número 89, julio 2000
• • • • •
CONMUTADORES DE CAPA 4
Los conmutadores de Capa 4 representan la última generación de conmutadores, a veces llamados genéricamente conmutadores multicapa.
Aunque obviamente no es posible la conmutación en las capas superiores, estos dispositivos toman decisiones en base a información de la Capa 4 y eventualmente de la Capa 5 para así conmutar estrictamente en Capa 3.
Ya con la información de los números de puerto (propia de la Capa 4) se puede establecer un tratamiento especial a las aplicaciones que usen puertos reconocidos. Incluso se puede hacer el seguimiento de las sesiones correspondientes.
La lectura de capas superiores a la Capa 4, especialmente a nivel del encabezamiento HTTP, permite en general operaciones más completas por medio de los URLs y cookies.
Esta conmutación especializada encuentra múltiples usos desde facilitar el balanceo de las cargas de servidores múltiples hasta el redireccionamiento a nivel de aplicaciones, incluyendo el caché Web, un tema tratado hace poco tiempo en nuestras páginas.
El balanceo de cargas se realiza siguiendo ciertos algoritmos que pueden optimizar la operación tanto de servidores similares como de distintas capacidades en un farm o plantación de servidores definido como un servidor virtual.
El redireccionamiento de aplicaciones, por su parte, se realiza en base a un esquema de prioridades que en parte bajo un escenario de Calidad de Servicio, QoS, puede aportar una mejor respuesta y menores retardos a las aplicaciones de misión crítica o similares. De nuevo aquí, se trabaja con algoritmos, en este caso para el manejo de las colas correspondientes para los diferentes niveles de tráfico.
A su vez, la necesidad de mantener durante una sesión o transacción las conexiones con un mismo servidor en los farms de servidores, plantea un problema de persistencia, que muchos de estos productos resuelve incluso a través de conexiones seguras bajo SSL.
En forma separada se hace un breve análisis de las bases de una administración del tráfico orientada al QoS.
Nota completa publicada en el número 87, mayo 2000
• • • • •
COOKIES
Cuando Ud. está surfeando en la Web, se dice que a cada rato le están ofreciendo un cookie; ¿pero cómo es que no nos damos cuenta? Y si así fuera: ¿serán dulces realmente?, ¿o esconderán algo desconocido?
Los cookies se usan como una poderosa herramienta de mercadeo, especialmente para orientar la publicidad entre los usuarios de Internet y en general para conocer preferencias y tendencias.
Los cookies son pequeños archivos que se crean y guardan en cada PC siguiendo instrucciones que se reciben de la mayoría de los sitios Web que visitamos diariamente.
En estos archivos se va acumulando información sobre la actividad del usuario en la Web. Y que se envía en visitas posteriores al mismo sitio. Es decir, los cookies son propietarios; su información sólo puede enviarse al sitio que los creó.
De cualquier manera, ¿se puede aceptar esta invasión a la privacidad? ¿Gana algo el usuario? Se podría decir que sí; presentaciones de acuerdo a cierto reconocimiento de sus preferencias personales, a veces acceso más directo a recursos. Pero también puede ocurrir que la cosa se desborde y empiece a recibir e-mails, cartas por correo y hasta llamadas por teléfono, relacionadas con sus preferencias. Y aquí puede estar la cuestión clave: ¿Ud. querría realmente esto?
Hay defensas contras los cookies indeseados; los browsers ofrecen la posibilidad de prohibirlos o aceptarlos condicional o incondicionalmente según se desee. También hay productos con filtros selectivos.
Pero, del otro lado, también le contamos el proceso de DoubleClick, una avanzada forma de marketing que -gracias a los cookies-además de atender a los usuarios, ofrece a los anunciantes un resultado optimizado de sus publicidades, así como una visión mucho más clara de los intereses de los usuarios.
Nota completa publicada en el número 70, diciembre 1998
• • • • •
EL FIREWALL PERSONAL
No sólo las redes de las empresas son atacables por un hacker. También puede serlo una simple PC conectada a Internet. Y por supuesto también una pequeña LAN de un ambiente SOHO.
Desde máquinas de empleados que se conectan a la empresa a la que pertenecen hasta usuarios simples que entran al Chat, hay una cantidad de situaciones y cuestiones que plantean una nueva problemática referida a la seguridad personal de computadores aislados y pequeñas redes.
La compartición de archivos e impresoras con que muchas máquinas se conectan a Internet constituyen algunas de las posibilidades de ingreso de un hacker.
Mientras estos peligros están presentes en una comunicación telefónica discada, mucho mayor riesgo existe con las conexiones permanentes a la red de TV por cable a través del modem de cable. La estructura de esta red es tal que cada troncal es compartido por todos los usuarios conectados al mismo. Y cualquier sniffer podría levantar información del tráfico de otros usuarios.
Hay algunas medidas mínimas que se pueden tomar especialmente en el caso de PCs aisladas que se conectan a Internet. Pero cuando los requerimientos son mayores como por ejemplo trabajar con acceso remoto, acceso remoto a archivos propios, etc. ya se necesita algo más.
Un firewall convencional generalmente es bastante complejo (y costoso) para una instalación personal. Aquí es donde los nuevos firewalls personales están cubriendo necesidades y posibilidades propias de este ambiente. Además del monitoreo de direcciones IP y de puertos TCP, algunos de estos firewalls personales hacen un verdadero seguimiento del estado de una sesión e incluso hay otros que hasta trabajan como proxys.
Este trabajo incluye comentarios de nueve productos con sus principales características. Adicionalmente se ofrecen las direcciones de los sitios correspondientes para obtener información adicional.
Nota completa publicada en el número 84, febrero 2000
• • • • •
EXTRANETS
Como forma de interconectar intranets de empresas diferentes, las extranets constituyen sin duda la tercera ola de esta marea de cambios iniciada con el Internet público y luego por las intranets de LANs en ambientes TCP/IP y con los demás protocolos propios de Internet.
Para muchas empresas la posibilidad de llevar adelante proyectos completos y exitosos de EDI, aplicaciones de comercio electrónico, trabajos en colaboración, y en general la interactividad entre empresas, proveedores y clientes está abriendo un mundo de nuevas posibilidades.
Precisamente por todo eso una extranet debe responder a una decisión estratégica de la alta gerencia de una empresa y que, como tal, debe analizarse, estudiarse, cotizarse y establecer su rentabilidad.
Como una forma de las VPNs o Redes Privadas Virtuales que usan Internet como medio de comunicaciones remotas, las extranets se basan para su éxito en el uso de protocolos que garanticen la autenticación de los usuarios, la privacidad de los mensajes y la integridad del contenido de dichos mensajes.
Para un funcionamiento optimizado de una extranet hay que considerar una serie de protocolos que complementan el ambiente de trabajo, así como de los desafíos que impone la administración adecuada de una red que sale "fuera" de una empresa.
Dada su cada vez más amplia aceptación, se comentan las principales características, incluyendo los modos de operación, del IPSec como norma del IETF para el establecimiento de extranets y VPNs en general.
Finalmente se hace una revisión de las implementaciones extranets. Casos emblemáticos; características de productos resueltos por hardware y software, especialmente en cuanto a ciertas especificaciones que pueden parecer muy diferentes entre las ofertas del mercado.
Nota completa publicada en el número 74, abril 1999
• • • • •
FIREWALLS – Problemática de la Protección Internet
Especialmente para los que están pensando en instalar un sitio Web para su empresa, un firewall a prueba de ataques externos parece ser el dispositivo que les ofrecerá seguridad en sus operaciones.
Plantearse una solución basada en firewall requiere en realidad varios pasos.
Un primer paso corresponde al reconocimiento del enemigo. Analizar las diferentes formas de ataques; saber de qué tipo son para entender su accionamiento y las posibles complicaciones que pueden traer. Porque el conocer no sólo cuáles son los diferentes ataques sino también cuál es el mecanismo que usan, permite dos cosas. Una, tener una idea más concreta de cuál puede ser la forma de resguardarse y otra, establecer llegado el caso como funcionalidad que tenga que incorporar el firewall a elegir.
Una visión más clara de cómo son los ataques y qué pueden hacer, abonará la problemática en cuanto a la política que se quiera implementar, desde la más estricta que prohibe todo salvo lo permitido explícitamente, hasta la más abierta que permite todo salvo lo prohibido explícitamente, con una amplia gama de situaciones intermedias.
Este trabajo se concentra principalmente en este primer paso, es decir reconocer al enemigo. Los ataques pueden agruparse en varias categorías. La forma que elegimos incluye el Aprovechamiento de las debilidades de comandos y programas existentes, la Personificación en que el atacante falsea su identidad con la de un usuario autorizado, la Negación de Servicios a los usuarios autorizados como resultado de una penetración a fondo de ataques que satura los mecanismos normales, y el Transporte por Datos donde el código de ataque viene junto a datos aparentemente innocuos que recibe el sitio.
Se ofrece también una serie de recuadros que recuerdan conceptos básicos mencionados en el cuerpo principal.
Nota completa publicada en el número 75, mayo 1999
• • • • •
FIREWALLS – Funcionalidades y Dispositivos
Analizada la problemática de los Firewalls en el número anterior, la cuestión pasa ahora por establecer qué tipos de funcionalidades se necesitan para cubrir las necesidades encontradas y qué tipos de dispositivos pueden albergar dichas funcionalidades.
A partir de la identificación básica de una comunicación, es decir direcciones IP (de Capa 3) y puertos (de Capa 4) de origen y destino en ambos casos, se encuentra que en la práctica la ubicación y manejo de puertos es muy variable y no siempre previsible. Esto presenta un obstáculo para asegurar un buen nivel de seguridad procurando mantener abiertos al paso sólo los puertos estrictamente necesarios en cada conexión.
Surge entonces la necesidad de apelar a más información presente en los encabezamientos de las capas de los paquetes. Mientras alguna de esta información está presente en el encabezamiento IP, otra está en el del TCP, mientras que aparece claro que un conocimiento cabal de lo que hace o puede hacer una aplicación (y por lo tanto un posible ataque) sólo puede obtenerse llegando hasta la Capa de Aplicación de la pila de protocolos.
Tres aproximaciones se consideran en este punto: la más simple, el Filtro de Paquetes implementado en enrutadores; la más compleja, el Gateway de Aplicación basado en servicios proxy; y algo intermedio que hemos llamado genéricamente Filtros Dinámicos. Los Filtros de Paquetes son muy rápidos pero no ofrecen gran seguridad, mientras que los Gateways de Aplicación son relativamente lentos pero ofrecen el mayor nivel de seguridad posible. Entre tanto, los Filtros Dinámicos son los que han recibido más dedicación en los últimos tiempos en la búsqueda de optimizar velocidad y seguridad. En esta categoría compiten tres soluciones propietarias que ofrecen comportamientos relativamente similares aunque con diferencias precisamente en el balance velocidad-seguridad.
Nota completa publicada en el número 76, junio 1999
• • • • •
FIREWALLS – Implementaciones y Complementos
Las diferentes soluciones de firewalls ofrecen funcionalidades que en algunos casos facilitan un gran rendimiento del sistema mientras que en otros favorecen una mayor seguridad.
En todos los casos el sistema operativo en el que corre el firewall es de importancia capital habida cuenta que todos los sistemas operativos cuentan, para el ambiente para el que han sido diseñados, con facilidades que no deben permitirse en un firewall. Se vuelve entonces una necesidad el endurecimiento (o sea la eliminación de módulos no seguros) del sistema operativo, abierto o propietario.
Las tres arquitecturas reconocidas de firewall: gateway de doble domicilio, host apantallado y subred apantallada tienen relaciones pero no una completa equivalencia con los tipos de firewalls, es decir los filtros estáticos, los dinámicos y los gateways de aplicación por proxies.
De cualquier manera, hoy en día los productos del mercado generalmente ofrecen todas las implementaciones posibles como para que el usuario pueda adaptarlos a sus necesidades específicas.
Se expone en mayor detalle las implementaciones arquitectónicas mencionadas, haciendo hincapié en las funciones de los enrutadores que complementan y participan activamente en el proceso de firewall, especialmente en el caso de la subred apantallada y host apantallado. También se revisan las posibilidades de conexión de modems sin poner en peligro la seguridad de toda la red.
En la parte administrativa de un sistema de este tipo se destaca la forma -sea por mensajes de e-mail o bien pager o radiollamada- en que se producen las alertas ante la detección de intrusiones o la simple posibilidad de las mismas. También se enumeran algunas ideas concretas del valor de un registro de las actividades y los límites de algunos de sus parámetros.
Nota completa publicada en el número 77, julio 1999
• • • • •
GPS – Sistema de Posicionamiento Global
Un sistema satelital de control puede hacer el seguimiento del movimiento de vehículos con una precisión insospechada: se podría decir de qué lado de una calle determinada está estacionado un vehículo. Y en algunos casos se logran mejores exactitudes aún, del orden del centímetro.
Una multitud de aplicaciones se refiere entre otras al transporte, mapeado, agricultura, servicios de emergencia, aviación y control remoto de máquinas.
Para establecer la ubicación de un objeto se recurre a medir las distancias con varios satélites que integran el sistema diseñado ex profeso para este fin: GPS o Sistema Global de Posicionamiento. La idea proviene de la triangulación de señales en un plano y que en tres dimensiones requiere el uso de no menos de tres satélites.
El GPS se compone de tres segmentos: el satelital, compuesto de 21 satélites en operación de los cuales al menos 5 están presentes siempre en cualquier lugar; el de control, básicamente para las correcciones necesarias del sistema; y el del usuario compuesto por los receptores GPS aplicados a los lugares, puntos u objetos que se quieren ubicar.
Las distancias a los satélites se calculan indirectamente suponiendo conocida la posición de un satélite en el momento de la medición, la velocidad de las ondas de radio y el tiempo que tardan en llegar al punto a medir. Las variaciones de velocidad y en los relojes de satélite y receptor, así como en la ubicación orbital del primero, son algunos de los factores que introducen errores en las mediciones de distancias que se incrementan al calcular la posición del objeto.
Mientras los errores temporales imponen el uso de un cuarto satélite, una mejor exactitud se logra cuando un receptor puede trabajar con los satélites más separados entre sí e incluso con algún satélite adicional a los cuatro imprescindibles.
Nota completa publicada en el número 82, diciembre 1999
• • • • •
G.LITE – Acceso Internet de Alta Velocidad
Los modems analógicos han servido durante mucho tiempo para acceso remoto vía telefónica. Su velocidad ha ido creciendo hasta el límite práctico actual de 56 Kbps en ciertas condiciones.
Mucho mayores velocidades pueden obtenerse siempre a través de circuitos telefónicos con las nuevas tecnologías completamente digitalizadas referidas genéricamente como DSL.
La más conocida de estas tecnología es ADSL o Línea Digital Asimétrica de Suscriptor que se adapta al acceso asimétrico típico de Internet pudiendo llegar hasta una velocidad de 8 Mbps en bajada, es decir hacia el usuario. Sin embargo su instalación requiere un cableado separado en el domicilio del usuario, así como ser realizada por un técnico.
La versión de menor velocidad, hoy conocida como G.Lite, alcanza los 1,5 Mbps como velocidad de bajada y ofrece dos características destacadas frente al ADSL: puede compartir el cableado telefónico existente y puede ser instalado por el propio usuario.
Los nuevos modems digitales G.Lite vienen combinados con el analógico V.80 de 56 Kbps tanto en cajas separadas como incorporados a las PCs.
En un plano más técnico se analizan algunas cuestiones de velocidad y distancia.
También se revisan los divisores de canales y microfiltros, así como las interferencias entre telefonía y G.Lite. Se completa esta parte con un breve análisis del sistema de modulación.
Además de revisar los productos más importantes se presenta una visión del mercado y competencia del nuevo servicio. En este último punto se lo compara con los modems de cable al que aventaja fundamentalmente en cuanto a ser una conexión telefónica punto a punto, es decir no compartida, además de un mayor nivel nativo de seguridad. También se analiza si la mayor velocidad posible en principio del modem de cable es en la práctica un punto realmente diferencial.
Nota completa publicada en el número 79, septiembre 1999
• • • • •
LMDS – Sistema de Radioenlaces Fijos de Banda Ancha
Las soluciones de comunicaciones inalámbricas fijas gozan de varias ventajas respecto de las móviles, hoy tan promocionadas.
Una de ellas es su incuestionable mucho mayor velocidad de datos así como su confiabilidad y disponibilidad.
Los primeros sistemas, como el MMDS en 2,5 GHZ, fueron pensados para la transmisión de televisión de broadcast, es decir comunicaciones punto-multipunto.
Un enfoque similar pero con mayores perspectivas se aplicó al LMDS en 28 GHZ y el MVDS europeo en 42 GHz.
Una estación base y el CPE en cada cliente constituyen los puntos más visibles de la arquitectura de una red de comunicaciones inalámbricas de este tipo. En la estación base se realiza la conmutación de alta velocidad necesaria para el establecimiento de las comunicaciones, no sólo bajo el esquema inalámbrico sino también de una infraestructura cableada basada en muchos casos en un backbone ATM.
Se revisan los diversos factores que determinan la capacidad y el alcance de un sistema de este tipo: Ancho de banda, Atenuación de la señal, Potencia efectiva de transmisión, Método de modulación, Efectos de la lluvia, Rendimiento general del sistema de recepción y Disponibilidad proyectada.
También se hace lo propio sobre la problemática de la celularización y reuso de frecuencia, incluyendo la sectorización del sistema aéreo, habida cuenta de alcances para el LMDS de sólo alrededor de 3 Km para bajas tasas de errores y adecuada disponibilidad.
Finalmente se consideran las formas usuales de acceso a la red inalámbrica, básicamente por multiplexado en tiempo o frecuencia, TDMA o FDMA respectivamente. Se considera un ejemplo comparativo que apunta a la atención tanto de usuarios de tráfico continuo y mayores velocidades así como los de tráfico discontinuo y menores velocidades, incluyendo las posibles asimetrías de los tráficos ascendentes y descendentes, así como el manejo de ráfagas.
Dos artículos que también se publican en este número amplían cuestiones básicas referidas a la propagación de señales de radio por microondas y al rendimiento de un sistema de modulación.
Nota completa publicada en el número 90, agosto 2000
• • • • •
REALIDAD VIRTUAL
Por años estuvimos acostumbrados a las visualizaciones planas de dos dimensiones. Vemos fotos, películas, animaciones desde afuera de ellas. Entrar en esos mundos es algo de lo que pretende la realidad virtual.
VRML o Lenguaje de Modelado de Realidad Virtual es el camino normativo que nos lleva a dicho objetivo.
VRML es parecido al HTML en cuanto a la presentación en el Web. Así como los browsers comunes manejan páginas HTML bidimensionales, los más nuevos ya tienen hoy incluida -al menos como opción- la capacidad de visualización de mundos VRML en 3-D.
Hay dos versiones del VRML. La número 1 presenta los objetos en forma estática sin interacción con el usuario. Sólo podemos navegar en los mundos virtuales casi como los fantasmas que recorren los sets abandonados de los estudios cinematográficos.
La nueva versión, VRML 97, hace que los objetos se muevan y hablen. Quien recorre estos mundos no sólo puede deslizarse dentro de ellos en cualquier dirección sino que también puede interactuar con dichos objetos.
Lo más nuevo es que el usuario se personalice en esos mundos como una encarnación o avatar, bajo la forma de representaciones icónicas, y que incluso puede compartirlos con otros usuarios con los que hasta puede hablar.
Ud. puede tomar un "Web shuttle" en cosmo.sgi.com que lo lleva a Marte, o tantas otras excursiones que se encuentran en otros sitios Web.
Pero todo esto es mucho más que diversión o novedad. Puede ser un poderosa arma de mercadeo o publicidad en el Web, así como una cantidad de otros usos comerciales, educación, etc.
Nota completa publicada en el número 59, enero 1998
• • • • •
REDES HOGAREÑAS
Computador, televisores, equipos de sonido, lavadoras y secadoras, luces, alarmas, etc. etc. Son muchos y variados los dispositivos y artefactos en una casa.
Tratar de interconectar y coordinar sus funciones es algo que últimamente ha tomado mayor impulso, y las primeras soluciones ya están comenzando a aparecer.
De los tres proyectos más prometedores -HomePNA, HomeRF y OpenCable- el primero es para usar con el cableado telefónico existente, el segundo por medio de señales de radio, mientras que el tercero lo es también por un cableado -llamado FireWire- pero de características especiales que hay que instalar.
Mientras las primeras dos soluciones pueden cubrir servicios de datos y aún voz, no tienen al menos por ahora la velocidad necesaria para el manejo de video. En cambio OpenCable, conforme a sus orígenes en el videocable, preve velocidades de varios centenares de Mbps.
Aún con una solución individual o parcial, es imprescindible que una red hogareña sea simple de instalar y operar. Y en cuanto a una integración de tantas cosas diferentes, habrá que contar con un lenguaje y herramientas comunes adecuadas para su interoperabilidad.
Hay otros proyectos adicionales y complementarios. Home API y HAVi atienden específicamente las funciones superiores del esquema de conectividad. El primero puede atender las necesidades de HomePNA y HomeRF, mientras que el segundo puede verse como una extensión de OpenCable.
Hay una suerte de enfrentamiento entre fabricantes de PCs y dispositivos de video que origina tendencias separatistas que en nada benefician al usuario.
Adicionalmente se comentan soluciones referidas al sistema de administración eléctrica, así como otros enfoques propios de una red hogareña.
Nota completa publicada en el número 71, enero 1999
• • • • •
REDES LOCALES Y PERSONALES, Soluciones inalámbricas por Radio
Si Ud. conoce la trayectoria del IEEE (Instituto de Ingenieros Electrónicos y Electricistas) sabrá que sus normas 802 se refieren a las LANs y, por lo tanto, a las dos capas inferiores del modelo de capas OSI. Y que la serie de recomendaciones 802.11 llevó las redes locales al área de las comunicaciones inalámbricas.
Otros dos enfoques de redes inalámbricas se suman más bien en el rango corto y medio: son Bluetooth (básicamente para interconexión de dispositivos a corta distancia) y HomeRF(conectividad en el hogar), cuyas especificaciones son establecidas por grupos de empresas de modo que no puede decirse que sean normalizadas.
A todo esto últimamente a la serie LAN, MAN y WAN (Redes de Area Local, Metropolitana y Amplia respectivamente) se ha agregado la PAN (Red de Area Personal) inalámbrica. PAN no es sino el esfuerzo del IEEE de englobar redes inalámbricas de alcance reducido incluyendo Bluetooth y en realidad hasta al propio HomeRF, ya que después de todo el ámbito hogareño es personal también.
Mientras casi todas estas redes nacieron con velocidades tan bajas como 1 Mbps (y menos en algunos casos) aunque algunas hoy en día ya están en el orden de los 10 Mbps.
Además, hay proyectos -algunos en papel, otros en desarrollo más o menos avanzado- que permiten lograr velocidades mayores de hasta 54 Mbps.
El panorama general es que algunas de estas soluciones se superponen especialmente en la parte de datos aunque se encuentra también las que explotan mejor la integración de voz y datos. Además, todas trabajan en la banda de 2,4 GHz lo cual inevitablemente puede causar mutuas interferencias.
Las soluciones actuales trabajan con Spread Spectrum especialmente en el modo FH (Salto de Frecuencia) que permite implementaciones más económicas. Sin embargo no es fácil conseguir velocidades elevadas, aunque en este sentido es mejor la otra forma de operar del Spread Spectrum, es decir el DS (Secuencia Directa).
Otro sistema de codificación llamado OFDM (Multiplexado por División en Frecuencias Ortogonales) está abriendo las puertas para velocidades mayores en sistemas que por cierto usan otra banda, la de 5-5,7 GHz que, como la de 2,4 GHz, tampoco requiere licencia. Claro que la mayor complejidad y la banda de trabajo más elevada de nuevo implican costos más elevados.
Por otra parte, si bien las mayores velocidades permiten trabajar mejor con multimedia y aplicaciones en tiempo real, un sistema de este tipo impone también condiciones de respuesta generalmente englobadas en el concepto de QoS (Calidad de Servicio). De esta manera las soluciones de alta velocidad también deben ofrecer mecanismos como para asegurar, por ejemplo, cierto límite en los retardos, niveles de prioridades, etc.
Nota completa publicada en el número 94, diciembre 2000
• • • • •
Sistemas de Categorización de Servicios: QoS y CoS
Especialmente con el incremento del uso de Internet, así como de las redes privadas metropolitanas y de alcance remoto, se vuelve necesario categorizar los servicios que se prestan tanto en aplicaciones de misión crítica como en otras especialmente del tipo multimedia.
La multiplicidad de aplicaciones por un lado y los diferentes tipos de redes involucrados especialmente con accesos a Internet, vuelve más compleja la tarea de clasificar diferentes tipos de tráfico y aplicarles características con criterio selectivo según las necesidades.
Uno de los limitantes es justamente el caracter propio del IP, un protocolo que presta servicios del tipo "lo mejor que se puede", sin ofrecer forma práctica de diferenciar y tratar adecuadamente los diferentes flujos de tráfico que debe manejar.
La Calidad de Servicio o QoS en primer lugar y adicionalmente la Clase de Servicio o CoS son las dos formas más conocidas para especificar la categorización de servicios.
Suelen diferenciarse QoS y CoS diciendo que QoS maneja flujos de tráfico individuales mientras que CoS trabaja con flujos agrupados o agregados. Y también que mientras el QoS opera básicamente haciendo reserva previa de recursos para una comunicación categorizada, el CoS resuelve sobre la marcha las cuestiones de tráfico a lo largo de la trayectoria correspondiente.
Disponibilidad, retardo y sus variaciones, respuesta y tasa de pérdidas de paquetes son los principales parámetros que se usan para caracterizar y mensurar el QoS.
En el ambiente QoS se ubican los Servicios Integrados o IntServ, el RSVP y el SBM que extiende las características QoS a la Capa 2 de las LANs que no lo soportan en forma nativa, como el propio Ethernet.
Por su parte, el ámbito de trabajo del CoS incluye los Servicios Diferenciados o DiffServ, así como el MPLS y la recomendación 802.1p que extiende el CoS a las LANs.
Activadas por las aplicaciones o componentes de una red, las características QoS y CoS también pueden combinarse en arquitecturas mixtas que permiten categorizar en forma completa un tráfico de extremo a extremo.
Nota completa publicada en el número 91, septiembre 2000
• • • • •
TELECOMMUTING – Trabajo a Distancia
El telecommuting, es decir, la movilización desde el domicilio del empleado hasta el lugar de trabajo, se ha convertido en muchos casos en un factor negativo en cuanto a tiempo invertido, más los trastornos ambientales de los vehículos usados para el transporte.
Si bien el trabajo a domicilio ha penetrado especialmente en cierto tipo de industrias, la gran difusión de recursos informáticos en el hogar, está facilitando la difusión de este tipo de actividades. En este sentido hay buenas experiencias en USA y algunos países europeos donde se destaca Suecia en que hasta un tren (!) hace de oficina de teletrabajo.
En esta nota se consideran las tres formas típicas de trabajo a distancia: en el propio domicilio, en un centro de teletrabajo y en una oficina satélite. Luego se analiza el punto de vista de las empresas con especial énfasis en la cuestión de la productividad. A continuación se hace lo propio con la problemática del trabajador respecto a los beneficios que puede obtener, así como a las características que debe reunir y las posibles limitaciones a este esquema de trabajo.
Luego se revisa más en detalle la cuestión del gerenciamiento de este nuevo tipos de actividades, en puntos relacionados con políticas y aspectos estratégicos, condiciones, planes, entrenamiento, recursos, etc. Esta sección se completa con una revisión de los antecedentes para un acuerdo de trabajo.
La cuestión de los recursos se considera separadamente bajo el rubro Tecnología, donde se comentan los recursos de hardware y software en sitio así como los medios de comunicaciones. Estos temas se revisan en atención a las diferentes necesidades del teletrabajo.
Se finaliza con una mención de los productos más conocidos para el trabajo a distancia así como para la propia administración del teletrabajo.
Nota completa publicada en el número 69, noviembre 1998
• • • • •
TELEFONIA INTERNET
La telefonía Internet, telefonía IP, voz sobre IP o VoIP, se inició casi como un "juego" o diversión para aficionados.
Pero las grandes diferencias entre los costos de las llamadas por Internet -todas locales- y los de las llamadas telefónicas internacionales, así como las mejoras en la calidad del sonido en las comunicaciones vía Internet, están colocando a muchos ejecutivos frente a decisiones estratégicas de trascendencia para sus empresas.
A esta situación propia de países como Estados Unidos, en la mayoría de los países latinoamericanos se agrega que si bien los monopolios o regulaciones aún limitan ciertas arquitecturas, por otro lado la atracción es mayor pues también aparecen diferencias importantes en los costos para llamadas de larga distancia en el propio país.
Mientras las comunicaciones entre PCs pueden hacerse ya sin mayores complicaciones, el uso de teléfonos conectados a la red telefónica convencional impone el uso de gateways entre Internet y dicha red. Empresas proveedoras de servicios de este tipo, conocidas como ITSP, pueden ofrecer sin restricciones comunicaciones de PC locales a teléfonos de países (como USA) que no tienen restricciones. A estos servicios generalmente se accede por una línea 800, de modo que sólo se paga el servicio mismo, con valores de comunicaciones internacionales por debajo de los 40 centavos de dólar el minuto.
De cualquier manera, habrá que esperar todavía en nuestros países por las variantes en que un teléfono sea el originador de una llamada.
En este trabajo se revisan las diferentes configuraciones así como la funcionalidad gateway. También los factores que afectan la calidad de la voz, tales como los retardos, sistema de compresión, pérdida de paquetes, etc. Luego se comentan las principales características de la norma H.323 que puede asegurar la interoperabilidad entre diferentes productos. Asimismo, detalles principales del software de VoIP y productos.
Nota completa publicada en el número 67, septiembre 1998
• • • • •
TRAFFIC SHAPING – Dando Forma del Tráfico
Las comunicaciones de una LAN o intranet cada vez están más relacionadas con el tráfico a través de una WAN incluyendo por supuesto a Internet.
Las notables diferencias de velocidades entre un medio y otro enfrentan al administrador de una red con los problemas ocasionados por el congestionamiento, bajo rendimiento, caídas de comunicaciones y en general una pérdida en la calidad del servicio para los usuarios.
Por otra parte, el comportamiento típico de muchas aplicaciones generando tráfico en forma de ráfagas aumenta las posibilidades de un congestionamiento temporal no predecible.
El traffic shaping pretende igualar, suavizar el tráfico conformándolo a una forma mucho más parecida a un régimen estacionario. De hecho, un sistema de este tipo tiende a producir una salida bastante constante alrededor de un promedio a lo largo del tiempo.
Se comienza por definir los tipos de tráfico, especialmente los de caracter de ráfagas y los interactivos. Luego se estipula en base a qué parámetros se pueden clasificar los distintos flujos de tráfico.
Para el uso del ancho de banda o velocidad del medio habrá que estipular políticas para los distintos tipos de tráfico, es decir qué se va a hacer con cada uno de ellos luego de identificarlos.
Con respecto a la acción a tomar se abren dos posibilidades: establecer un sistema de colas con prioridades, o bien controlar la velocidad del intercambio de paquetes en una sesión TCP.
Los sistemas de colas ofrecen opciones que van desde simples prioridades, pasando por el establecimiento de comportamientos equitativos y ponderados, hasta colas basadas en clases.
Las limitaciones de los sistemas de colas promovieron el desarrollo del control de velocidad del TCP, apelando a funcionalidades por hardware o software que mejoran el comportamiento convencional del TCP frente a una congestión del tráfico.
La información de la máxima información a transferir bajo la forma de una ventana constituye el punto principal de esta opción.
Nota completa publicada en el número 88, junio 2000
• • • • •
