Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA UNIDAD CULHUACÁN SEMINARIO DE TITULACIÓN “INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD” T E S I N A “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” Q U E P R E S E N T A N P A R A O B T E N E R E L T I T U L O D E INGENIERO EN COMUNICACIONES Y E L E C T R Ó N I C A GERARDO HERNÁNDEZ RODRÍGUEZ JORGE ANTONIO CORONA SANDOVAL LEONARDO DANIEL MARTÍNEZ RAMOS L I C E N C I AD O E N C I E N CI AS D E L A I N F O R M A T I C A K A RE N NA N C Y Q UI NT E RO JA S S O A S E S O R E S : M. EN C. RAYMUNDO SANTANA ALQUICIRA ING. EDUARDO MARTINEZ CORONA México D.F. Junio 2009 VIGENCIA: DES/ESIME-CUL/5052005/16/08 “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 1 Í N D I C E OBJETIVO 4 PLANTEAMIENTO DEL PROBLEMA 4 ALCANCE 5 BENEFICIOS 5 1 MARCO TEÓRICO 6 CAPÍTULO I: INTRODUCCIÓN A REDES 6 I.I Comunicación a través de la red 7 I.II Elementos de la comunicación 7 I.III Comunicación de mensajes 7 I.IV Componentes de la red 8 I.IV.I Dispositivos finales 8 I.IV.II Dispositivos Intermediarios 9 I.V Medios de red 10 I.VI Tipos de red 11 I.VI.I Redes de área local (LAN) 11 I.VI.II Redes de área amplia (WAN) 11 I.VII Protocolos de red 12 I.VII.I Interacción de los protocolos 12 I.VIII Modelo en Capas 13 I.VIII.I Modelo OSI 13 I.VIII.II ModeloTCP/IP 15 CAPÍTULO II: VPN, SEGURIDAD EN LA INFORMACIÓN 17 II.I Virtual Private Network (VPN) 17 II.II Las redes VPN y sus beneficios 18 II.III Tipos de VPN 19 II.IV Componentes de la VPN 19 II.V Características de las VPN seguras 20 II.VI Tunneling de VPN 21 II.VII Integridad de los datos de VPN 21 II.VII.I Encriptación simétrica 22 II.VII.II Encriptación asimétrica 23 II.VIII Protocolos de seguridad IPsec 25 II.IX Pasos para configurar IPsec 27 “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 2 CAPÍTULO III: TECNOLOGÍA DE ACCESO GSM 30 III.I Conmutación de paquetes en GSM 32 III.II Tecnología de acceso 3G 33 III.II.I Arquitectura UTRAN 34 III.II.II Asynchronous Transfer Mode (ATM) 36 III.II.III Tecnología de conmutación de paquetes en 3G 38 III.III Dominio de conmutación de paquetes (PS) 39 III.IV Identidades y direccionamiento de los usuarios y sus terminales 40 III.IV.I Identidad Internacional de Abonado Móvil (IMSI) 41 III.IV.II Número RDSI del abonado móvil (MSISDN) y dirección del contexto PDP 42 CAPÍTULO IV: TECNOLOGÍA GENERAL PACKET RADIO SERVICE (GPRS) 43 IV.I Arquitectura y bases de funcionamiento 43 IV.II Componentes de la red 44 IV.III Protocolos GPRS 48 IV.IV Casos de tráfico 51 CAPÍTULO V: CONFIGURACIÓN DE APN DEDICADO EN RED GPRS 53 V.I Estado Actual 53 V.II Estado Deseado 54 V.III Diseño de la Solución 55 2 CONCLUSIÓN 61 3 ANEXOS 63 ANEXO A Router Cisco 1841 63 ANEXO B Diseño de la Solución 63 ANEXO C Red GPRS de Celustar 64 ANEXO D Distribución SGSN´s Core de Celustar 64 ANEXO E Comando de Configuración para HLR 65 ANEXO F Comando de Configuración para DNS 65 ANEXO G Pantalla de configuración para GGSN 65 ANEXO H Comando de Configuración para Router Concentrador 1 67 “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 3 ANEXO I Comando de Configuración para Router Concentrador 2 68 ANEXO J Configuración de VPN 68 ANEXO K Comando de Configuración para Router Cifrador 1 70 ANEXO L Comando de Configuración para Router Cifrador 2 70 ANEXO M Comando de Configuración para Router 1841, propiedad de SISCOM 71 4 ÍNDICE DE FIGURAS Y TABLAS 72 5 GLOSARIO DE TÉRMINOS 73 6 BIBLIOGRAFÍA 79 7 CIBERGRAFÍA 80 “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 4 O B J E T I V O Diseñar una solución de APN dedicado para apoyar el área de ventas de la empresa SISCOM S.A de C.V, cuyo giro es la comercialización de hardware y equipo de telecomunicaciones, permitiendo oportunamente el acceso a la información en cualquier momento y desde cualquier lugar, realizando la consulta de la misma de forma segura directamente al servidor de dicha empresa, buscando con esto reducir el tiempo y costo en la consulta. P L A N T E A M I E N T O D E L P R O B L E M A SISCOM S.A. de C.V. es una empresa que provee equipos de cómputo y de telecomunicaciones, a empresas dentro de la Ciudad de México, Área Metropolitana y el Interior de la República. Para realizar sus actividades de venta de equipos a los clientes, utiliza un grupo de 70 personas, cada uno con una computadora portátil y un teléfono celular que utilizan para la obtención de datos referentes al número de existencias de equipos en almacén y sus especificaciones técnicas, además de referencias del destino por vía telefónica para llegar en tiempo para la entrega. En cuanto a la problemática, está la consulta de información, que es un proceso tardado y costoso, puesto que al tener una extensa gama de productos resulta imposible que los vendedores tengan almacenada la base de datos completa en sus computadoras portátiles, por lo cual tienen que llamar a la oficina donde se encuentra el servidor, para que otra persona realice la consulta. La triangulación de información en las llamadas realizadas es constante y problemática. Adicional a esto, la consulta de información, solo se puede realizar en un día hábil y en horario de oficina. Adicional a esto, los vendedores para poder realizar su trabajo, necesitan de una conexión a Internet, para poder revisar sus cuentas de correo electrónico. “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 5 A L C A N C E Configuración de dispositivos móviles mediante el APN dedicado y configuración de túnel VPN. La configuración del APN se llevara a cabo a partir de los siguientes puntos: Definición de APN en los HLR. Definición de APN en DNS. Creación de APN en el GGSN. Configuración del túnel GRE. Configuración del VPN. B E N E F I C I O S Con el servicio propuesto de APN Dedicado, los vendedores podrán establecer una conexión segura con el servidor desde cualquier lugar, a través de la red GPRS. Los vendedores realizarán de forma segura la consulta de información directamente al servidor, y con esto se reducirá en gran medida el tiempo y costo de la misma, ya que se anulará la triangulación de datos, permitiendo oportunamente el acceso a los mismos en cualquier momento y desde cualquier lugar en que se encuentre el vendedor, sin necesidad de depender de otra persona físicamente donde el servidor. Los vendedores no necesitarán de una línea telefónica ni conexión a Internet fija para realizar sus actividades. “CONFIGURACIÓNDE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 6 M A R C O T E Ó R I C O C A P Í T U L O I INTRODUCCIÓN A REDES En la actualidad nos encontramos en un momento decisivo respecto al uso de la tecnología para extender y potenciar nuestra comunicación humana. La globalización de Internet se ha producido más rápido de lo que cualquiera hubiera imaginado. Los métodos que utilizamos para compartir ideas e información están en constante cambio y evolución. Mientras la red humana estuvo limitada a conversaciones cara a cara, el avance de los medios ha ampliado el alcance de nuestras comunicaciones. Desde la prensa escrita hasta la televisión, cada nuevo desarrollo ha mejorado la comunicación. Al igual que con cada avance de la tecnología de comunicación, la creación e interconexión de redes de datos solidas tiene un profundo efecto. Las primeras redes de datos estaban limitadas a intercambiar información basada en caracteres entre sistemas informáticos conectados. Las redes actuales evolucionaron para agregarle voz, flujos de video, texto y gráficos, a los diferentes tipos de dispositivos. Las formas de comunicación anteriormente individuales y diferentes se unieron en una plataforma común. Esta plataforma proporciona diversos accesos a una amplia variedad de métodos de comunicación alternativos y nuevos que permiten a las personas interactuar directamente con otras de forma casi instantánea. Poder comunicarse en forma confiable con todos en todas partes es de vital importancia para nuestra vida personal y comercial. Para respaldar el envío inmediato de los millones de mensajes que se intercambian entre las personas de todo el mundo, confiamos en una Web de redes interconectadas. Estas redes de información o datos varían en tamaño y capacidad, pero todas las redes tienen cuatro elementos básicos en común: Reglas y acuerdos para regular como se envían, redireccionan, reciben e interpretan los mensajes. Las unidades de información que viajan de un dispositivo a otro. Una forma de interconectar esos dispositivos, un medio que puede transportar los mensajes de un dispositivo a otro. Los dispositivos de la red que intercambian mensajes entre sí. La estandarización de los distintos elementos de la red permite el funcionamiento conjunto de equipos y dispositivos creados por distintas compañías. “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 7 I.I COMUNICACIÓN A TRAVÉS DE LA RED Las personas se comunican en línea desde cualquier lugar. La tecnología confiable y eficiente permite que las redes estén disponibles cuando y donde las necesitemos. A medida que nuestra red humana continúa ampliándose, también debe crecer la plataforma que la conecta y respalda. En vez de desarrollar sistemas exclusivos e individuales para la entrega de cada nuevo servicio, las redes en su totalidad han desarrollado los medios para analizar la plataforma existente y mejorarla progresivamente. I.II ELEMENTOS DE LA COMUNICACIÓN La comunicación comienza con un mensaje o información que se debe enviar desde una persona o dispositivo a otro. Las personas intercambian ideas mediante diversos métodos de comunicación, los cuales tienen tres elementos en común. El primero es el origen del mensaje o emisor (los orígenes de los mensajes son las personas o los dispositivos electrónicos que deben enviar un mensaje a otras personas o dispositivos), el segundo elemento de la comunicación es el destino o receptor del mensaje (el destino recibe el mensaje y lo interpreta) y un tercer elemento, llamado canal que está formado por los medios que proporcionan el camino por el que el mensaje viaja desde el origen hasta el destino. Cuando se desea enviar mensajes a través de una red de datos o de información se convierten primero en dígitos binarios o bits, luego, estos bits se codifican en una señal que se puede transmitir por el medio apropiado. En las redes de computadoras, el medio generalmente es un tipo de cable o una transmisión inalámbrica. I.III COMUNICACIÓN DE MENSAJES En teoría, una comunicación simple, como un video musical o un e-mail puede enviarse a través de la red desde un origen hacia un destino como un stream de bits masivo y continuo. Si en realidad los mensajes se transmitieron de esta manera, significará que ningún otro dispositivo podrá enviar o recibir mensajes en la misma red mientras esta transferencia de datos está en progreso. Estos grandes streams de datos originarán retrasos importantes. Además, si fallara un enlace en la infraestructura de red interconectada durante la transmisión, se perdería todo el mensaje y se tendría que retransmitirse por completo. “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 8 Un mejor enfoque para enviar datos a través de la red es dividir los datos en partes más pequeñas y más manejables. La división del stream de datos en partes más pequeñas se denomina segmentación. En las comunicaciones de red, cada segmento del mensaje debe seguir un proceso similar para asegurar que llegue al destino correcto y que puede volverse a ensamblar en el contenido del mensaje original. Varios tipos de dispositivos en toda la red participan para asegurar que las partes del mensaje lleguen a los destinos de manera confiable. I.IV COMPONENTES DE LA RED La ruta que toma un mensaje desde el origen hasta el destino puede ser tan sencilla como un solo cable que conecta una computadora con otra o tan compleja como una red que literalmente abarca el mundo para proporcionar un canal estable y confiable por el cual se producen las comunicaciones. Los dispositivos y los medios son los elementos físicos o hardware de la red. El hardware es generalmente el componente visible de la plataforma de red, como una computadora portátil o personal, un switch, o el cableado que se usa para conectar estos dispositivos, por en cambio los servicios y procesos son los programas de comunicación, denominados software, que se ejecutan en los dispositivos conectados a la red. Un servicio de red proporciona información en respuesta a una solicitud. Los procesos proporcionan la funcionalidad que direcciona y traslada mensajes a través de la red. I.IV.I DISPOSITIVOS FINALES Estos dispositivos constituyen la interfaz entre la red humana y la red de comunicación. Algunos ejemplos de dispositivos finales son: Computadoras (estaciones de trabajo, computadoras portátiles, servidores de archivos, servidores Web). Impresoras de red. Teléfonos VoIP. Cámaras de seguridad. Dispositivos móviles de mano (como escáneres de barras inalámbricos, PDA). En el contexto de una red, los dispositivos finales se denominan host. Un dispositivo host puede ser el origen o el destino de un mensaje transmitido a “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 9 través de la red. Para distinguir un host de otro, cada host en la red se identifica por una dirección. Cuando un host inicia una comunicación, utiliza la dirección del host de destino para especificar dónde debe ser enviado el mensaje. I.IV.II DISPOSITIVOS INTERMEDIARIOS Además de los dispositivos finales las redes dependen de dispositivos intermediarios para proporcionar conectividad y para trabajar detrás de escena y garantizar que los datos fluyan a través de la red. Estos dispositivos conectan los hosts individuales a la red y pueden conectar varias redes individuales para formar una internetwork. Los siguientes son ejemplos de dispositivos de red intermediarios: Dispositivos de acceso a la red (hubs, switches y puntos de acceso inalámbricos). Dispositivos de internetworking (routers). Servidores de comunicación y módems. Dispositivos de seguridad (firewalls). Los procesos que se ejecutan en los dispositivos de red intermediarios realizan las siguientes funciones: Regenerar y retransmitir señales de datos. Mantener información sobre qué rutas existen a través de la red y de la internetwork. Notificar a otros dispositivos los errores y las fallas de comunicación Direccionar datos por rutas alternativas cuando existen fallas en un enlace. Clasificar y direccionar mensajes según las prioridades de QoS Permitir o denegar el flujo de datos en base a configuraciones de seguridad. FIGURA 1.1 DISPOSITIVOS DE RED “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 10 I.V MEDIOS DE RED La comunicación a través de una red es transportada por un medio. El medio proporciona el canal por el cual viaja el mensaje desde el origen hasta el destino. Las redes modernas utilizan principalmente tres tipos de medios para interconectar los dispositivos y proporcionar la ruta por la cual pueden transmitirse los datos. Estos medios son: Hilos metálicos dentro de los cables (por medio de impulsos eléctricos). Fibras de vidrio o plásticas (a partir de pulsos de luz). Transmisión inalámbrica (a base de ondas electromagnéticas). Los diferentes tipos de medios de red tienen diferentes características y beneficios. Los criterios para elegir un medio de red son: La distancia en la cual el medio puede transportar exitosamente una señal. El ambiente en el cual se instalará el medio. La cantidad de datos y la velocidad a la que se deben transmitir. El costo del medio y de la instalación. FIGURA 1.2 TIPOS DE CABLE CABLE COAXIAL 10BASE2 DE 50 OHMIOS CONECTORES DE CABLE DE FIBRA OPTICA UTP CABLE THICKNET 10BASE5 “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 11 I.VI TIPOS DE RED Las infraestructuras de red pueden variar en gran medida en términos de: El tamaño del área cubierta. La cantidad de usuarios conectados. La cantidad y tipos de servicios disponibles. I.VI.I REDES DE ÁREA LOCAL Una red individual generalmente cubre una única área geográfica y proporciona servicios y aplicaciones a personas dentro de una estructura organizacional común, como una empresa, un campus o una región. Este tipo de red se denomina Red de Área Local (LAN). Una LAN por lo general está administrada por una organización única. El control administrativo que rige las políticas de seguridad y control de acceso está implementado en el nivel de red. I.VI.II REDES DE ÁREA AMPLIA Cuando una compañía o una organización tiene ubicaciones separadas por grandes distancias geográficas, es posible que deba utilizar un TSP para interconectar las LAN en las distintas ubicaciones. Estas redes que conectan las LAN en ubicaciones separadas geográficamente se conocen como Redes de Área Amplia (WAN). Aunque la organización mantiene todas las políticas y la administración de las LAN en ambos extremos de la conexión, las políticas dentro de la red del proveedor del servicio de comunicaciones son controladas por el TSP. Las WAN utilizan dispositivos de red diseñados específicamente para realizar las interconexiones entre las LAN. Dada la importancia de estos dispositivos para la red, la configuración, instalación y mantenimiento de éstos son aptitudes complementarias de la función de una red de la organización. Las LAN y WAN son de mucha utilidad para las organizaciones individuales. Conectan a los usuarios dentro de la organización. Permiten gran cantidad de formas de comunicación que incluyen intercambio de e-mails, capacitación corporativa y acceso a recursos. “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 12 I.VII PROTOCOLOS DE RED Toda comunicación está regida por reglas predeterminadas denominadas protocolos. Estos protocolos son específicos de las características de la comunicación. La comunicación exitosa entre los hosts de una red requiere la interacción de gran cantidad de protocolos diferentes. Estos protocolos se implementan en el software y hardware que está cargado en cada host y dispositivo de red. Los protocolos de red describen procesos como los siguientes: El formato o estructura del mensaje. El método por el cual los dispositivos de red comparten información sobre rutas con otras redes. Cómo y cuando se pasan los mensajes de error y del sistema entre dispositivos. El inicio y terminación de las sesiones de transferencia de datos. I.VII.I INTERACCIÓN DE LOS PROTOCOLOS Un ejemplo del uso de protocolos en comunicaciones de red es la interacción entre un servidor Web y un explorador Web. Esta interacción utiliza una cantidad de protocolos y estándares en el proceso de intercambio de información entre ellos. Los distintos protocolos trabajan en conjunto para asegurar que ambas partes reciben y entienden los mensajes. Algunos ejemplos de estos protocolos son: Protocolo de aplicación:Protocolo de transferencia de hipertexto (HTTP) es un protocolo común que regula la forma en que interactúan un servidor Web y un cliente Web. Protocolo de transporte: Protocolo de control de transmisión (TCP) es el protocolo de transporte que administra las conversaciones individuales entre servidores Web y clientes Web . Protocolo de internetwork: El protocolo internetwork más común es el Protocolo de Internet (IP). IP es responsable de tomar los segmentos formateados del TCP, encapsularlos en paquetes, asignarles las direcciones correctas y seleccionar la mejor ruta hacia el host de destino. “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 13 Protocolos de acceso a la red:Estos protocolos describen dos funciones principales: administración de enlace de datos y transmisión física de datos en los medios. Los protocolos de administración de enlace de datos toman los paquetes IP y los formatean para transmitirlos por los medios. Los estándares y protocolos de los medios físicos rigen de qué manera se envían las señales por los medios y cómo las interpretan los clientes que las reciben. Los transceptores de las tarjetas de interfaz de red implementan los estándares apropiados para los medios que se utilizan. I.VIII MODELO EN CAPAS Para visualizar la interacción entre varios protocolos, es común utilizar un modelo en capas. Un modelo en capas muestra el funcionamiento de los protocolos que se produce dentro de cada capa, como así también la interacción de las capas sobre y debajo de él. I.VIII.I EL MODELO OSI El modelo de referencia OSI es el modelo principal para las comunicaciones por red, es un marco que se puede utilizar para comprender cómo viaja la información a través de una red. En el modelo de referencia OSI, hay siete capas numeradas, cada una de las cuales ilustra una función de red específica. Divide la comunicación de red en partes más pequeñas y sencillas. Normaliza los componentes de red para permitir el desarrollo y el soporte de los productos de diferentes fabricantes. Permite a los distintos tipos de hardware y software de red comunicarse entre sí. Impide que los cambios en una capa puedan afectar las demás capas, para que se puedan desarrollar con más rapidez. Divide la comunicación de red en partes más pequeñas para simplificar el aprendizaje . “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 14 LAS SIETE CAPAS DEL MODELO OSI Cada capa individualdel modelo OSI tiene un conjunto de funciones que debe realizar para que los paquetes de datos puedan viajar en la red desde el origen hasta el destino. FIGURA 1.3 MODELO OSI Capa 7: La capa de aplicación es la capa del modelo OSI más cercana al usuario; suministra servicios de red a las aplicaciones del usuario. La capa de aplicación establece la disponibilidad de los potenciales socios de comunicación, sincroniza y establece acuerdos sobre los procedimientos de recuperación de errores y control de la integridad de los datos. Capa 6: La capa de presentación garantiza que la información que envía la capa de aplicación de un sistema pueda ser leída por la capa de aplicación de otro. “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 15 Capa 5: La capa de sesión establece, administra y finaliza las sesiones entre dos hosts que se están comunicando, sincroniza el diálogo entre las capas de presentación de los dos hosts y administra su intercambio de datos y ofrece disposiciones para una eficiente transferencia de datos, clase de servicio y un registro de excepciones acerca de los problemas de la capa de sesión, presentación y aplicación. Capa 4: La capa de transporte segmenta los datos originados en el host emisor y los reensambla en una corriente de datos dentro del sistema del host receptor, esta establece, mantiene y termina adecuadamente los circuitos virtuales. Al proporcionar un servicio confiable, se utilizan dispositivos de detección y recuperación de errores de transporte (segmento). Capa 3: La capa de red es una capa compleja que proporciona conectividad y selección de ruta entre dos sistemas de hosts que pueden estar ubicados en redes geográficamente distintas (paquete). Capa 2: La capa de enlace de datos proporciona tránsito de datos confiable a través de un enlace físico, la topología de red, el acceso a la red, la notificación de errores, entrega ordenada de tramas y control de flujo (trama). Capa 1: La capa física define las especificaciones eléctricas, mecánicas, de procedimiento y funcionales para activar, mantener y desactivar el enlace físico entre sistemas finales (bit). I.VIII.II EL MODELO TCP/IP Aunque el modelo de referencia OSI sea universalmente reconocido, el estándar abierto de Internet desde el punto de vista histórico y técnico es el Protocolo de Control de Transmisión / Protocolo de Internet (TCP/IP). El modelo TCP/IP y la pila de protocolo TCP/IP hacen que sea posible la comunicación entre dos computadores, desde cualquier parte del mundo, a casi la velocidad de la luz. LAS CAPAS DEL MODELO TCP/IP La capa de aplicación: maneja protocolos de alto nivel, aspectos de representación, codificación y control de diálogo. El modelo TCP/IP combina todos los aspectos relacionados con las aplicaciones en una sola capa y garantiza que estos datos estén correctamente empaquetados para la siguiente capa. La capa de transporte: se refiere a los aspectos de calidad del servicio con respecto a la confiabilidad, el control de flujo y la corrección de errores. Uno de sus protocolos, el protocolo TCP, ofrece maneras “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 16 flexibles y de alta calidad para crear comunicaciones de red confiables, sin problemas de flujo y con un nivel de error bajo. TCP es un protocolo orientado a la conexión. Mantiene un diálogo entre el origen y el destino mientras empaqueta la información de la capa de aplicación en unidades denominadas segmentos. La capa de Internet: envía paquetes origen desde cualquier red en la internetwork y se encarga de que estos paquetes lleguen a su destino independientemente de la ruta y de las redes que recorrieron para llegar hasta allí. El protocolo específico que rige esta capa se denomina IP. En esta capa se produce la determinación de la mejor ruta y la conmutación de paquetes. La capa de acceso de red: se ocupa de todos los aspectos que requiere un paquete IP para realizar realmente un enlace físico y luego realizar otro enlace físico. FIGURA 1.4 MODELO TCP/IP “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 17 C A P Í T U L O II VPN, SEGURIDAD EN LA INFORMACIÓN La seguridad en la información se ha convertido en un aspecto primordial de la implementación y la administración de red. El desafío general de la seguridad es encontrar un equilibrio entre dos requisitos importantes: la necesidad de abrir redes para respaldar las oportunidades comerciales en evolución y la necesidad de proteger la información comercial privada, personal y estratégica. II.I VIRTUAL PRIVATE NETWORK (VPN) Las organizaciones necesitan redes seguras, confiables y rentables para conectar sedes corporativas, sucursales y proveedores. Con el aumento en la cantidad de trabajadores a distancia, las empresas tienen una creciente necesidad de maneras seguras, confiables y rentables de conectar a las personas que trabajan en pequeñas oficinas y oficinas domésticas y otras ubicaciones remotas, con los recursos existentes en las oficinas corporativas. En algunos casos, las ubicaciones remotas sólo se conectan a las sedes, mientras que en otros, las ubicaciones remotas se conectan a varios lugares. Existen tres tecnologías de conexiones remotas disponibles para organizaciones a fin de admitir los servicios de trabajadores a distancia: Las tecnologías de Capa 2 de WAN privada tradicionales, que incluyen Frame Relay, ATM y líneas alquiladas, proporcionan muchas soluciones para conexiones remotas. La seguridad de estas conexiones depende del proveedor del servicio. Las VPN con IPsec ofrecen conectividad flexible y escalable. Las conexiones de sitio a sitio pueden brindar una conexión remota confiable, rápida y segura para los trabajadores a distancia. Ésta es la opción más frecuente para los trabajadores a distancia, combinada con el acceso remoto por banda ancha, para obtener una VPN segura a través de Internet pública. El término banda ancha hace referencia a los sistemas avanzados de comunicaciones capaces de proporcionar una transmisión de servicios de alta velocidad como datos, voz y video, a través de Internet y otras redes. La VPN es una red privada de datos que usa la infraestructura pública de telecomunicaciones. La seguridad de la VPN mantiene la privacidad mediante un protocolo de tunneling y procedimientos de seguridad. “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 18 II.II LAS REDES VPN Y SUS BENEFICIOS Internet es una red IP de acceso público en todo el mundo. Debido a su amplia proliferación global, se ha convertido en una manera atractiva de interconectar sitios remotos. Sin embargo, el hecho de que sea una infraestructura pública conlleva riesgos de seguridad para las empresas y sus redes internas. Afortunadamente, la tecnología VPN permite que las organizaciones creen redes privadas en la infraestructura de Internet pública que mantienen la confidencialidad y la seguridad. Las organizaciones usan las redes VPN para proporcionar una infraestructura WAN virtual que conecta a los trabajadores a distancia a toda la red corporativa o a parte de ella. Para que permanezca privado, el tráfico está encriptado. En vez de usar una conexión de Capa 2 exclusiva, como una línea alquilada, la VPN usa conexiones virtuales que se enrutan a través de Internet. En una VPN, cada miembro remoto de la red puede comunicarse de manera segura y confiable a través de Internet como medio para conectarse a la LAN privada. La VPN puede desarrollarse para alojar más usuariosy ubicaciones diferentes de manera mucho más fácil que una línea alquilada. De hecho, la escalabilidad es una ventaja principal que tienen las VPN sobre las líneas alquiladas comunes. Las organizaciones que usan las VPN se benefician con el aumento en la flexibilidad y la productividad. Los sitios remotos y los trabajadores a distancia pueden conectarse de manera segura a la red corporativa desde casi cualquier lugar. Los datos de la VPN están encriptados y ninguna persona que no esté autorizada puede descifrarlos. Las VPN traen a los hosts remotos dentro del firewall y les brindan casi los mismos niveles de acceso a los dispositivos de red como si estuvieran en una oficina corporativa. Al usar las VPN se tienen los siguientes beneficios: Económicos: las organizaciones pueden usar transporte de Internet de terceros y económico para conectar oficinas y usuarios remotos al sitio corporativo principal. Esto elimina los enlaces WAN exclusivos y caros, y los bancos de módems. Mediante el uso de banda ancha, las VPN reducen los costos de conectividad mientras aumenta el ancho de banda de las conexiones remotas. Seguridad: los protocolos de autenticación y encriptación avanzados protegen los datos contra el acceso no autorizado. “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 19 Escalabilidad: las VPN usan la infraestructura de Internet dentro de los ISP y las empresas de telecomunicaciones, y es más fácil para las organizaciones agregar usuarios nuevos. Las organizaciones, grandes y pequeñas, pueden agregar grandes cantidades de capacidad sin incorporar una infraestructura significativa. II.III TIPOS DE VPN Las organizaciones usan las VPN de sitio a sitio para conectar ubicaciones remotas, tal como se usa una línea alquilada o conexión Frame Relay. Debido a que la mayoría de las organizaciones ahora tiene acceso a Internet, es lógico aprovechar los beneficios de las VPN de sitio a sitio, de hecho, una VPN de sitio a sitio es una extensión de una networking WAN clásica. Las VPN de sitio a sitio conectan redes enteras entre ellas. Por ejemplo, pueden conectar la red de una sucursal a la red de la sede central corporativa. En una VPN de sitio a sitio, los hosts envían y reciben tráfico TCP/IP a través de un gateway VPN, el cual podría ser un router, una aplicación firewall PIX o una aplicación de seguridad adaptable (ASA). El gateway VPN es responsable de la encapsulación y encriptación del tráfico saliente para todo el tráfico desde un sitio particular y de su envío a través de un túnel VPN por Internet a un gateway VPN par en el sitio objetivo. Al recibirlo, el gateway VPN par elimina los encabezados, descifra el contenido y retransmite el paquete hacia el host objetivo dentro de su red privada. En una VPN de acceso remoto, cada host en general tiene software cliente de VPN. Cuando el host intenta enviar tráfico, el software cliente de VPN encapsula y encripta ese tráfico antes del envío a través de Internet hacia el gateway VPN en el borde de la red objetivo. Al recibirlo, el gateway VPN maneja los datos de la misma manera en que lo haría con los datos de una VPN de sitio a sitio. II.IV COMPONENTES DE LA VPN La VPN crea una red privada a través de una infraestructura de red pública, mientras mantiene la confidencialidad y la seguridad. Las VPN usan protocolos de tunneling criptográficos para brindar protección contra detectores de paquetes, autenticación de emisores e integración de mensajes. “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 20 Los componentes necesarios para establecer esta VPN incluyen lo siguiente: Una red existente con servidores y estaciones de trabajo. Una conexión a Internet. Gateways VPN, como routers, firewalls, concentradores VPN y ASA, que actúan como extremos para establecer, administrar y controlar las conexiones VPN. Software adecuado para crear y administrar túneles VPN. La clave de la eficacia de la VPN es la seguridad. Las VPN protegen los datos mediante encapsulación o encriptación. La mayoría de las VPN puede hacer las dos cosas. La encapsulación también se denomina tunneling, porque transmite datos de manera transparente de red a red a través de una infraestructura de red compartida. La encriptación codifica los datos en un formato diferente mediante una clave secreta. La decodificación vuelve los datos encriptados al formato original sin encriptar. II.V CARACTERÍSTICAS DE LAS VPN SEGURAS Las VPN utilizan técnicas de encriptación avanzada y tunneling para permitir que las conexiones de red privadas de extremo a extremo que establezcan las organizaciones a través de Internet sean seguras. Las bases de una VPN segura son la confidencialidad, la integridad de datos y la autenticación: Confidencialidad de datos: una cuestión de seguridad que suele despertar preocupación es la protección de datos contra personas que puedan ver o escuchar subrepticiamente información confidencial. La confidencialidad de datos, que es una función de diseño, tiene el objetivo de proteger los contenidos de los mensajes contra la intercepción de fuentes no autenticadas o no autorizadas. Las VPN logran esta confidencialidad mediante mecanismos de encapsulación y encriptación. Integridad de datos: los receptores no tienen control sobre la ruta por la que han viajado los datos y, por lo tanto, no saben si alguien ha visto o ha manejado los datos mientras viajaban por Internet. Siempre existe la posibilidad de que los datos hayan sido modificados. La integridad de datos garantiza que no se realicen cambios indebidos ni alteraciones en “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 21 los datos mientras viajan desde el origen al destino. Generalmente, las VPN utilizan hashes para garantizar la integridad de los datos. El hash es como una checksum o un sello que garantiza que nadie haya leído el contenido. Autenticación: la autenticación garantiza que el mensaje provenga de un origen auténtico y se dirija a un destino auténtico. La identificación de usuarios brinda al usuario la seguridad de que la persona con quien se comunica es quien cree que es. Las VPN pueden utilizar contraseñas, certificados digitales, tarjetas inteligentes y biométricas para establecer la identidad de las partes ubicadas en el otro extremo de la red. II.VI TUNNELING DE VPN La incorporación de capacidades de confidencialidad de datos adecuadas en una VPN garantiza que sólo los orígenes y los destinos indicados sean capaces de interpretar los contenidos del mensaje original. El tunneling permite el uso de redes públicas como Internet para transportar datos para usuarios, siempre que los usuarios tengan acceso a una red privada. El tunneling encapsula un paquete entero dentro de otro paquete y envía por una red el nuevo paquete compuesto. Por ejemplo, un mensaje de correo electrónico que viaja por Internet a través de una conexión VPN. PPP transmite el mensaje al dispositivo VPN, donde el mensaje se encapsula dentro de un paquete GRE. El GRE es un protocolo de tunneling desarrollado por Cisco Systems que puede encapsular una amplia variedad de tipos de paquetes de protocolo dentro de túneles IP, lo que crea un enlace virtual punto a punto con los routers Cisco en puntos remotos, a través de una internetwork IP. Una vez que el paquete compuesto llega a la interfaz del túnel de destino, se extrae el paquete interno. II.VII INTEGRIDAD DE LOS DATOS DE LA VPN Si por Internet se transporta texto sin formato, éste puede ser interceptado y leído. Para mantener la privacidad de los datos, es necesario encriptarlos.La encriptación VPN encripta los datos y los vuelve ilegibles para los receptores no autorizados. Para que la encriptación funcione, tanto el emisor como el receptor deben conocer las reglas que se utilizan para transformar el mensaje original en la versión codificada. Las reglas de encriptación de la VPN incluyen un algoritmo “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 22 y una clave. Un algoritmo es una función matemática que combina mensaje, texto, dígitos o los tres con una clave. El resultado es una cadena de cifrado ilegible. El descifrado es extremadamente difícil o imposible sin la clave correcta. El grado de seguridad que proporciona un algoritmo de encriptación depende de la longitud de la clave. Para cualquier longitud de clave, el tiempo que lleva el procesamiento de todas las posibilidades de descifrar texto cifrado es una función de la potencia de cómputo del equipo. Por lo tanto, cuanto más corta sea la clave, más fácil será romperla; pero, a su vez, más fácil pasar el mensaje. Algunos de los algoritmos de encriptación más comunes y la longitud de claves que se utilizan son los siguientes: Algoritmo Estándar de cifrado de datos (DES): DES, desarrollado por IBM, utiliza una clave de 56 bits para garantizar una encriptación de alto rendimiento. El DES es un sistema de encriptación de clave simétrica. Algoritmo Triple DES (3DES): una variante más reciente del DES que realiza la encriptación con una clave, descifra con otra clave y realiza la encriptación por última vez con otra clave también diferente. 3DES le proporciona mucha más fuerza al proceso de encriptación. Estándar de encriptación avanzada (AES): el NIST adoptó el AES para reemplazar la encriptación DES en los dispositivos criptográficos. AES proporciona más seguridad que DES y es más eficaz en cuanto a su cálculo que 3DES. AES ofrece tres tipos de longitudes de clave: claves de 128, 192 y 256 bits. Rivest, Shamir y Adleman (RSA): sistema de encriptación de clave asimétrica. Las claves utilizan una longitud de bits de 512, 768, 1024 o superior. II.VII.I ENCRIPTACIÓN SIMÉTRICA Los algoritmos de encriptación como DES y 3DES requieren que una clave secreta compartida realice la encriptación y el descifrado. Los dos equipos deben conocer la clave para decodificar la información. Con la encriptación de clave simétrica, también llamada encriptación de clave secreta, cada equipo encripta la información antes de enviarla por la red al otro equipo. La encriptación de clave simétrica requiere el conocimiento de los equipos que se comunicarán para poder configurar la misma clave en cada uno. “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 23 II.VII.II ENCRIPTACIÓN ASIMÉTRICA La encriptación asimétrica utiliza diferentes claves para la encriptación y el descifrado. El conocimiento de una de las claves no es suficiente para que un pirata informático deduzca la segunda clave y decodifique la información. Una clave realiza la encriptación del mensaje y otra, el descifrado. No es posible realizar ambos con la misma clave. La encriptación de clave pública es una variante de la encriptación asimétrica que utiliza una combinación de una clave privada y una pública. El receptor le da una clave pública a cualquier emisor con quien desee comunicarse el receptor. El emisor utiliza una clave privada junto con la clave pública del receptor para encriptar el mensaje. Además, el emisor debe compartir la clave pública con el receptor. Para descifrar un mensaje, el receptor utiliza la clave pública del emisor y su propia clave privada. Los hashes contribuyen a la autenticación y la integridad de los datos, ya que garantizan que personas no autorizadas no alteren los mensajes transmitidos. Un hash, también denominado message digest, es un número generado a partir de una cadena de texto. El hash es menor que el texto. Se genera mediante una fórmula, de forma tal que es extremadamente improbable que otro texto produzca el mismo valor de hash. El emisor original genera un hash del mensaje y lo envía junto con el mensaje mismo. El receptor descifra el mensaje y el hash, produce otro hash a partir del mensaje recibido y compara los dos hashes. Si son iguales, puede estar seguro de que la integridad del mensaje no ha sido afectada. Los datos de la VPN se transportan por Internet, hay posibilidades de que estos datos sean interceptados y modificados. Como protección frente a esta amenaza, los hosts pueden agregarle un hash al mensaje. Si el hash transmitido coincide con el recibido, significa que se ha preservado la integridad del mensaje. Sin embargo, si no coinciden, el mensaje ha sido alterado. Las VPN utilizan un código de autenticación de mensajes para verificar la integridad y la autenticidad de un mensaje, sin utilizar mecanismos adicionales. Un HMAC en clave es un algoritmo de integridad de datos que garantiza la integridad del mensaje. El HMAC tiene dos parámetros: un mensaje de entrada y una clave secreta que sólo conocen el creador del mensaje y los receptores adecuados. El emisor del mensaje utiliza una función HMAC para producir un valor (el código de “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 24 autenticación del mensaje) que se forma al condensar la clave secreta y el mensaje de entrada. El código de autenticación del mensaje se envía junto con el mensaje. El receptor calcula el código de autenticación del mensaje en el mensaje recibido con la misma clave y la misma función HMAC que utilizó el emisor y compara los resultados calculados con el código de autenticación del mensaje. Si los dos valores coinciden, el mensaje se ha recibido correctamente y el receptor está seguro de que el emisor es un miembro de la comunidad de usuarios que comparten la clave. La fuerza criptográfica de HMAC depende de la fuerza criptográfica de la función hash subyacente en cuanto al tamaño y a la calidad de la clave, y en el tamaño de la longitud del resultado de hash en bits. Hay dos algoritmos HMAC comunes: Message Digest 5 (MD5): utiliza una clave secreta compartida de 128 bits. El mensaje de longitud variable y la clave secreta compartida de 128 bits se combinan y se ejecutan mediante el algoritmo de hash HMAC-MD5. El resultado es un hash de 128 bits. El hash se agrega al mensaje original y se envía al extremo remoto. Algoritmo de hash seguro 1 (SHA-1): utiliza una clave secreta de 160 bits. El mensaje de longitud variable y la clave secreta compartida de 160 bits se combinan y se ejecutan mediante el algoritmo de hash HMAC-SHA-1. El resultado es un hash de 160 bits. El hash se agrega al mensaje original y se envía al extremo remoto. Cuando se realizan negocios a larga distancia, es necesario saber quién está del otro lado del teléfono, correo electrónico o fax. Lo mismo sucede con las redes VPN. Se debe autenticar el dispositivo ubicado en el otro extremo del túnel de la VPN antes de que la ruta de comunicación se considere segura. Hay dos métodos pares de autenticación: Clave compartida previamente (PSK): una clave secreta compartida entre dos partes que utilizan un canal seguro antes de que deba ser utilizado. Las PSK utilizan algoritmos criptográficos de clave simétrica. Una PSK se especifica en cada par manualmente y se utiliza para autenticar al par. En cada extremo, la PSK se combina con otra información para formar la clave de autenticación. Firma RSA: utiliza el intercambio de certificados digitales para autenticar los pares. El dispositivo local deriva un hash y lo encripta con su clave privada. El hash encriptado (firma digital) se adjunta al mensaje yse envía al extremo remoto. En el extremo remoto, el hash encriptado se descifra mediante la clave pública del extremo local. Si el hash descifrado coincide con el hash recalculado, la firma es verdadera. “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 25 II.VIII PROTOCOLOS DE SEGURIDAD IPSEC El IPsec es un conjunto de protocolos para la seguridad de las comunicaciones IP que proporciona encriptación, integridad y autenticación. IPsec ingresa el mensaje necesario para proteger las comunicaciones VPN, pero se basa en algoritmos existentes. Existen dos protocolos de estructura IPsec. Encabezado de autenticación (AH): se utiliza cuando no se requiere o no se permite la confidencialidad. AH proporciona la autenticación y la integridad de datos para paquetes IP intercambiados entre dos sistemas. Verifica que cualquier mensaje intercambiado de R1 a R3 no haya sido modificado en el camino. También verifica que el origen de los datos sea R1 o R2. AH no proporciona la confidencialidad de datos (encriptación) de los paquetes. Si se lo utiliza solo, el protocolo AH proporciona poca protección. Por lo tanto, se lo utiliza junto con el protocolo ESP para brindar las funciones de seguridad de la encriptación de los datos y el alerta contra alteraciones. Contenido de seguridad encapsulado (ESP): proporciona confidencialidad y autenticación mediante la encriptación del paquete IP. La encriptación del paquete IP oculta los datos y las identidades de origen y de destino. ESP autentica el paquete IP interno y el encabezado ESP. La autenticación proporciona autenticación del origen de datos e integridad de datos. Aunque tanto la encriptación como la autenticación son opcionales en ESP, debe seleccionar una como mínimo. IPsec se basa en algoritmos existentes para implementar la encriptación, la autenticación y el intercambio de claves. Algunos de los algoritmos estándar que utiliza IPsec son: DES: encripta y descifra los datos del paquete. 3DES: proporciona una fuerza de encriptación importante superior al DES de 56 bits. AES: proporciona un rendimiento más rápido y una encriptación más fuerte según la longitud de la clave utilizada. MD5: autentica datos de paquetes con una clave secreta compartida de 128 bits. SHA-1: autentica datos de paquetes con una clave secreta compartida de 160 bits. “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 26 DH: permite que dos partes establezcan una clave secreta compartida mediante la encriptación y los algoritmos de hash, como DES y MD5, sobre un canal de comunicaciones no seguro. IPsec proporciona la estructura y el administrador elige los algoritmos utilizados para implementar los servicios de seguridad dentro de esa estructura. Existen cuatro apartados de estructura IPsec que deben completarse. Cuando configura un gateway de IPsec para proporcionar servicios de seguridad, primero elija un protocolo IPsec. Las opciones son ESP o ESP con AH. El segundo apartado es un algoritmo de encriptación si IPsec se implementa con ESP. Seleccione el algoritmo de encriptación adecuado para el nivel de seguridad deseado: DES, 3DES o AES. El tercer apartado es la autenticación. Seleccione un algoritmo de autenticación para proporcionar la integridad de los datos: MD5 o SHA. El último apartado es el grupo de algoritmos DH. Establece que los pares compartan la información de clave. Seleccione el grupo que desea utilizar: DH1 o DH2. Los pasos que sigue IPsec son: Paso 1 Tráfico interesante Determina el tráfico que debe ser protegido como parte de una política de seguridad. Paso 2 Fase 1 – IKE (Main Mode / Aggressive Mode) Negociar la política. Autenticación de los peers. Establecer un canal seguro. Paso 3 Fase 2 – IKE (Quick Mode) Negociar la transformada y parámetros de seguridad del IPsec. Establecer SA. Renegociar periódicamente las SA para garantizar la seguridad. Opcionalmente desempeña un intercambio adicional usando DH. Paso 4 Sesión IPsec Las SA son intercambiadas entre peers. Los servicios de seguridad son aplicados al tráfico. Paso 5 Terminación del Túnel Terminación del túnel. “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 27 Si hay un time out en el tiempo de vida del la SA Si el contador del paquete es excedido Remueve la SA del IPsec. II.IX PASOS PARA CONFIGURAR EL IPSEC Para la configuración de IPsec se llevan a cabo las siguientes actividades: 1. Se prepara IKE e IPsec Se determina la política IKE (IKE fase 1(política)). Parámetros Fuerte Mas Fuerte Algoritmo de Cifrado DES (56 bits) 3DES (168 bits) Algoritmo de Hash MD5 (HMAC) SHA (HMAC) Método de Autenticación Pre-Shared - Cifrado RSA - Firmas RSA Intercambio de llave DH Grupo 1 (768 bits) DH Grupo 2 (1024 bits) Tiempo de vida de IKE SA 86400 seg. < 86400 seg. TABLA 2.1 IKE FASE 1 Se determina la política IPsec (IKE fase 2 (transformada)). Transformada: AH-MD5-HMAC AH-SHA-HMAC ESP-DES ESP-3DES ESP-MD5-HMAC ESP-SHA-HMAC ESP-NULL Se checa la configuración actual, para verificar si existen políticas IPsec configuradas y que puedan interferir con las políticas que se planean configurar, nos aseguramos que la red funcione sin cifrado y que las listas de acceso sean compatibles con IPsec (permitiendo los protocolos 50(ESP) y 51 (AH) así como el puerto UDP500 (ISAKMP)). “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 28 2. Se configura IKE Se habilita o deshabilita IKE Habilita o deshabilita IKE de manera global. IKE está habilitado por default. IKE se habilita globalmente en todas la interfaces del router. Una ACL puede bloquear IKE en una interfaz particular. Se crea la política IKE Se defina la política IKE la cual es un conjunto de parámetros usados durante la negociación (IKE fase 1). Las políticas se ejecutan en orden ascendente. Se configura la identidad ISAKMP Los peers IPsec se autentican mutuamente durante la negociación ISAKMP usando la llave pre-compartida y la identidad ISAKMP. Esta identidad puede ser la IP o el nombre del host. El software Cisco IOS usa como método de identidad la dirección IP por default. Se configura el nombre o IP del host remoto. Se configura la llave pre-compartida Se realiza la configuración de la llave para la autenticación pre- compartida. Se verifica la configuración IKE Hasta este momento es recomendable verificar que la política haya sido configurada correctamente. 3. Se hace la configuración de IPsec Configuración de la transformada Transformada AH: Mecanismo para la autenticación del payload. Transformada ESP: Mecanismo para el cifrado del payload. Modo IPsec: Modo transporte, modo túnel. La transformada es negociada durante un quick mode en la fase 2 de IKE. Se pueden configurar múltiples transformadas y después asignarla por medio de un crypto map. Durante la negociación los peers buscan un conjunto de transformadas que sean idénticas en ambos peers. “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 29 Configuración global del tiempo de vida de las SA de IPsec El tiempo de vida de la SA determina cuanto tiempo una SA de IPsec permanecerá valida antes de ser renegociada. El tiempo de vida de la SA es negociada durante la fase 2 de IKE. Los tiempos de vida en las SA de IPsec en los crypto mapas sobre escriben los tiempos de vida globales de las SA de IPsec. Cuandouna SA expira una nueva es negociada sin interrumpir el flujo de datos. Creación de una Crypto ACL Las crypto ACLs identifican el flujo del tráfico que va a ser protegido. El trafico que coincide con la ACL es protegido y cifrado. El trafico que no coincida con la ACL viaja en texto claro. Las crypto ACLs deben ser simétricas cuando se usan con IPsec. Creación de crypto mapas Los crypto mapas agrupan todas las partes de la configuración de IPsec: La ACL empleada El peer VPN remoto La transformada a utilizarse El método de administración de llaves El tiempo de vida de las SA Los crypto mapas pueden aplicarse a una sola interfaz. Múltiples interfaces pueden compartir el mismo crypto mapa si se desea aplicar la misma política a múltiples interfaces. CET: IPsec con IKE IPsec con configuración manual de los SA PFS: Provee una seguridad adicional en la solicitud de SA Aplicación de los crypto mapas a las interfaces 4. Prueba y verificación de IPsec Despliega las políticas de IKE configuradas. Despliega la transformada configurada. Despliega el estado actual de las SAs de IPsec. Despliega los crypto mapas. Habilita la salida del debug para los eventos IPsec. Habilita la salida del debug para los eventos ISAKMP. “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 30 C A P Í T U L O III TECNOLOGÍA DE ACCESO GSM Todo lo que necesita una red GSM para el establecimiento de de llamadas es el NSS, el BSS y la MS. EL BSS es la parte de la red responsable del control del trayecto radioeléctrico. Cada llamada se conecta a través del BSS. El NSS es la parte de la red encargada de las funciones del control de las llamadas. Las llamadas se conectan siempre con y a través del NSS. El NMS es la parte relacionada con la operación y el mantenimiento de la red y es necesaria también para el control total de la red. En este concepto, las interfaces abiertas se ubican entre la MS y el BSS (interfaz Um) y entre el BSS y NSS (la interfaz A). FIGURA 3.1 RED GSM BÁSICA Y SUS SUBSISTEMAS La MS es la combinación de un terminal y del módulo de identificación de servicios de un abonado o suscriptor. Un equipo terminal de este tipo se denomina Equipo Móvil (ME) y los datos del abonado se almacenan en un módulo parte conocido como: Módulo de Identificación del Servicio (SIM). El BSC es el elemento de la red más importante del BSS y controla la red radioeléctrica, es decir, es el responsable de mantener las conexiones radioeléctricas hacia la MS y las conexiones terrestres hacia el NSS. La BTS es un elemento de red que mantiene la interfaz Um. Se encarga de la señalización de la interfaz aérea, del cifrado y del procesamiento de la voz. En este contexto, el procesamiento de la voz engloba todos los métodos que la BTS emplea para garantizar una conexión si errores entre la MS y la BTS. La TRAU es un elemento de la BSS que se ocupa de la transcodificación de la voz, la convierte de un formato de codificación digital a otro y viceversa. El MSC es el elemento principal del NSS desde el punto de vista de la llamadas, de las funciones de control del BSS, de las funciones de “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 31 interconexión, las estadísticas y la señalización de la interfaz hacia el BSS y la interfaz con las redes externas (RTPC/RDSI/redes de datos por paquetes). Atendiendo a las funciones, el MSC se puede subdividir en dos partes, si bien pueden localizarse en el mismo hardware. El Área de Servicio de un MSC está dividida en un número determinado LA´s en una Red de Circuitos Conmutados y en un número determinado de RA´s .El servidor MSC/VLR es el elemento encargado de mantener las conexiones del BSS, la gestión de la movilidad y la interconexión. El GMSC es el elemento que interviene en la gestión de la movilidad, la gestión de las comunicaciones y las conexiones a otras redes. El HLR es el lugar en que se almacena permanentemente toda la información de los abonados, además, que facilita una ubicación conocida y fija de la información de encaminamiento especifica del abonado. Las principales funciones del HLR son la gestión de los datos del abonado y de los servicios, las estadísticas y la gestión de la movilidad. El VLR ofrece un espacio local para almacenar todas las variables y las funciones necesarias para gestionar todas las llamadas que reciba o las que envíen los abonados móviles en el área asociada al VLR. La información sobre el abonado se mantiene en el VLR mientras dure la visita del abonado móvil en el área. Las principales funciones del VLR son la gestión de los datos del abonado y de los servicios y la gestión de la movilidad. El AuC y el EIR son elementos de la red del NSS responsables de los temas relativos a la seguridad. Junto con el VLR, el AuC mantiene la información de seguridad relacionada con la identidad del abonado y el EIR mantiene la información de seguridad relacionada con la identidad del equipo móvil. Existen también añadidos nodos de servicios y centros de servicios ala infraestructura de redes ya existente. El nombre común que reciben estos centros y nodos es plataformas de Servicios de Valor Añadido (VAS), expresión que describe correctamente el objetivo principal de añadir este equipo a la red. En general son tales como: SMSC, VMS, etc. FIGURA 3.2 PLATAFORMA DE SERVICIOS DE VALOR AÑADIDO “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 32 III.I CONMUTACIÓN DE PAQUETES EN GSM En un principio, los abonados a la tecnología GSM utilizaban un “caudal” simétrico de conmutación de circuitos (CS) para la trasferencia de datos. Con Internet y la mensajería electrónica, había aumentado considerablemente la presión por conseguir la transferencia móvil de datos y es probable que se subestimara este avance cuando se especifico el sistema GSM por primera vez. Para contrarrestar esta situación se ha introducido un par de mejoras. En primer lugar, se ha optimizado la codificación de los canales y, en segundo lugar, en vez de utilizar un canal de tráfico se pueden utilizar varios y así pasar más datos por la interfaz aérea. A esta disposición se conoce como HSCSD. En un entorno ideal, un usuario de HSCSD puede conseguir una velocidad de transferencia de datos de entre 40 y 50 kb/s. La interfaz Um simétrica de CS no es el mejor modo posible de acceso a las conexiones de datos. Además, considerando que la mayor parte del tráfico de datos es por naturaleza de PS, se introdujeron cambios para mejorar la red GSM y hacerla más apropiada para una transferencia de datos eficaz. La forma de conseguirlo consiste en la utilización del GPRS. Esta tecnología requiere dos nodos adicionales de servicios específicos de la red móvil: el (SGSN) y el GGSN. Utilizando estos nodos, la MS puede establecer una conexión a través de la red GSM hasta una red de datos por paquetes externa, Internet. FIGURA 3.3 SERVICIO GENERAL DE RADIO POR PAQUETES La BTS es la que separa las llamadas de “Circuitos Conmutados” de las de “Paquetes de Datos”, entonces el BSC envía las primeras al MSC y las segundas al SGSN. “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 33 Originalmente GSM fue especificado para su uso en la banda de los 900 MHz, pero a causa de su éxito comercial y la necesidad de extenderlo a otras bandas, pronto tuvo que ser adaptado y modificado para otras frecuencias. En México se opera en la banda de 850 MHz y 1900 MHz, con un voltaje de 110 / 127 VCA a 60 Hz y con conexión americana. El método de acceso múltiple al medio seleccionadoes el TDMA, en el que los usuarios utilizan un recurso de frecuencia común y se diferencian entre si en función del tiempo. A cada usuario le corresponde una pequeña porción de tiempo (un intervalo de tiempo) para diferentes operaciones. Este sistema posibilita que varios usuarios, tantos como intervalos haya, utilicen simultáneamente la misma frecuencia. EDGE, es una técnica implementada en GSM que posee las respuestas a preguntas sobre cómo mejorar las velocidades de medias de transmisión de datos en los sistemas GPRS de GSM. Nueva Modulación por Desplazamiento de Fase Octogonal (8-PSK). Nuevos Esquemas de Codificación de Modulación (MCS): nuevos métodos de codificación de canales permiten el uso de más bits en intervalos físicos del mismo tamaño. Planificación de las redes de transporte y radio. Como en GPRS, la estructura física de la interfaz de radio se mantiene invariable en lo que respecta al tiempo y a las tramas. Los cambios que introduce EDGE tienen lugar en los intervalos. Los nuevos MCS hacen posibles mayores velocidades de transmisión de datos. Cuando se implementa EDGE en el BSS, esta tecnología adopta el nombre de GERAN. III.II TECNOLOGÍA DE ACCESO 3G La tecnología 3G introdujo un nuevo método de acceso radio WCDMA, un método que, es universal, por lo que todas las redes 3G deberán poder aceptar el acceso de cualquier abonado de la red 3G. El WCDMA es más eficiente que el TDMA y es más apropiado para la transferencia de paquetes. El sistema WCDMA y el equipo de acceso radio de este tipo no son compatibles con el equipo GSM, de modo que hay que añadir dos nuevos elementos para integrar WCDMA a la red: RNC y la BS o nodo B. La parte de la red que contiene estos elementos y mantiene la tecnología de radio WCDMA se denomina UTRAN. “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 34 WCDMA también es conocido como interfaz aérea del CDMA en banda ancha. El CDMA, es uno de los métodos más sofisticados dentro de los utilizados en sistemas móviles. A diferencia del TDMA y del FDMA, en este sistema los recursos radioeléctricos se asignan en códigos, con lo que todos los usuarios simultáneos pueden ocupar el mismo ancho de banda al mismo tiempo. Cada usuario recibe unos códigos que varían con cada transacción y que se emplean para separar las células, los canales y los usuarios. Cada usuario emplea la misma banda de frecuencias simultáneamente y, por tanto, no se produce la asignación de intervalos de tiempo ni de frecuencias como ocurre en los sistemas TDMA y FDMA, respectivamente: Si la velocidad binaria original en baja, se puede ensanchar bien y, por tanto, se requerirá una escasa potencia para la transmisión. Si la velocidad binaria original es elevada, no se puede ensanchar también y, por tanto requerirá más potencia. Mientras las técnicas de acceso múltiple en un ancho de banda limitado (FDMA y TDMA) sufren principalmente las interferencias del mismo canal debidas al alto nivel re reutilización de frecuencias, en los sistemas CDMA, se experimentan principalmente interferencias de enlace ascendente interusuario. La razón fundamental es que este tipo de interferencias aumentan con la acumulación de la potencia, además el rendimiento de los usuarios disminuye con cada nuevo usuario simultáneo que se agregue a una misma célula. La función básica de la UTRAN consiste en crear y mantener servicios RAB para las comunicaciones entre el UE y CN. La UTRAN se sitúa entre dos interfases abiertas, la Uu y la Iu. El servicio RAB reúne los requisitos de QoS que establece la CN. La Gestión de los requisitos de QoS de extremo a extremo en la red y en el UE es responsabilidad de la Gestión de Comunicaciones. Estos requisitos se asocian al RAB, que es visible para el MT y la CN. III.II.I ARQUITECTURA UTRAN La UTRAN consta de RNS y un cierto número de BS (gracias a las cuales la interfaz Uu es una realidad) y un RNC. Los RNS están separados entres si por la interfaz de UMTS, situada entre la interfases (Iur) RNC que establecen las conexiones entre dos RNC. La Iur, especificada como interfaz abierta, transmite señalizaciones e información de tráfico. “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 35 FIGURA 3.4 ARQUITECTURA GENERAL DE UTRAN La BS o nodo B se ubica entre la interfaz Uu y la interfaz del UMTS, la cual se encuentra entre las interfaces del RNC y de la BS (Iub). Su función principal consiste en realizar la implementación física de la interfaz Uu y, hacia la red, la implementación de la interfaz Iub utilizando las pilas de protocolos especificadas para cada una de ellas. En cuanto a la interfaz Uu la BS implementa los canales físicos de acceso radio WCDMA y transfiere información desde los canales de transporte a los canales físicos basándose en la disposición determinada por el RNC. De modo similar al Controlador de la Estación Base en los sistemas GSM, el RNC mantiene un almacén de información conocido como base de datos de la red radio eléctrica. Esta base de datos es donde se almacena la información de las células que controla la RNC. Esta información es a grandes rasgos: Información del ID de la célula: códigos, el numero de ID, el ID del área de ubicación y el ID de encaminamiento. Información de control de potencia: niveles de potencia permitidos en dirección ascendente y descendente dentro del área de cobertura de la célula. “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 36 Información relativa a los traspasos: calidad de conexión y parámetros relacionados con el tráfico que desencadena el proceso de traspaso para el UE. Información del entorno: información sobre las células vecinas (para el uso de GSM y WCDMA) que hacen posibles los traspasos entre células. FIGURA 3.5 SERVICIO DE EXTREMO A EXTREMO DE UTRAN Las conexiones de transmisión realizadas dentro de la red de acceso radio WCDMA se implementan utilizando ATM sobre un medio de transmisión física. Los motivos son los siguientes: El tamaño de la célula ATM y su carga útil son relativamente pequeñas. La ventaja es que disminuye la necesidad de almacenamiento temporal de la información (buffering). Cuando se almacena información en exceso, aumentan los retrasos esperados y la carga estática en el equipo de almacenamiento temporal. También se considero otra alternativa, el Protocolo de Internet IP, pero presenta algunos inconvenientes graves por la limitación del espacio de direccionamiento y la pérdida de la QoS. Por otro lado, el ATM y sus clases de velocidad binaria cumplen sobradamente los requisitos de QoS. Todo ello llevo a la conclusión de que si se utiliza ATM e IP conjuntamente (para el tráfico de paquetes), el IP se utiliza sobre ATM. Esta solución combina las ventajas de ambos protocolos: el IP posibilita las conexiones con las demás redes y el ATM se encarga de la calidad de la conexión y también del encaminamiento. III.II.II ASYNCHRONOUS TRANSFER MODE (ATM) Modo de Transferencia Asíncrono (ATM; Asynchronous Transfer Mode), sus principales características son las siguientes: “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 37 Ofrece un servicio orientado a conexión. La transmisión de datos se realiza en base a paquetes de tamaño fijo muy reducido, lo que facilita el proceso de conmutación de la subred y permite altas velocidades de transmisión. ATM proporciona distintos tipos de servicios: a velocidad constante, a velocidad variable (tanto en tiempo real como no en tiempo real), a velocidad disponible y a velocidadsin especificar. Estos servicios tratan de dar respuesta a las diversas aplicaciones permitidas sobre ATM. La disposición de protocolos de capa superior encima de la funcionalidad ATM precisa de la existencia de una capa de adaptación que permita el uso de ATM por parte de redes que no siguen este modelo. Existen dos capas relacionadas directamente con las funciones ATM: capa ATM y capa AAL. La primera de ellas constituye el núcleo funcional de ATM, mientras que AAL define la adaptación necesaria para dar soporte a protocolos de nivel superior no basados en este tipo de redes. CAPA ATM La capa ATM comprende la funcionalidad propia de este sistema, siendo sus tres características principales las siguientes: Uso de conexiones lógicas en la transmisión. Transferencia en paquetes de tamaño fijo llamados celdas. Garantía de calidad de servicio y control de congestión. CONEXIONES ATM ATM ofrece conexiones lógicas, denominadas VCC. Además de éstas se definen las VPC, las cuales consisten en agrupaciones de VCC con los mismos extremos y conmutados conjuntamente. Esto reduce de coste de la conmutación frente a hacerlo individualmente para cada VCC, lo que se traduce en unas mejores prestaciones de la red FIGURA 3.6 CONEXIONES ATM “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 38 CAPA DE ADAPTACIÓN ATM: AAL AAL tiene como finalidad la adecuación de las características de transmisión de redes no ATM sobre ATM. Para ello, se divide la capa en dos subcapas: Segmentación y ensamblado; cuya función es la conversión de los paquetes procedentes de las capas superiores y las celdas ATM, es decir, segmentación de paquetes en celdas y ensamblado de celdas en paquetes. Convergencia; a través de la cual se aborda el proceso de adaptación como tal necesario para la transmisión sobre ATM. Esta capa consta, a su vez, de dos subcapas: común y específica. Mientras que en la común realizan funciones generales, tales como el control de flujo y de errores, en la especifica es donde se llevan a cabo las funciones de adaptación concretas necesarias para cada caso. La adaptación específica a realizar en la capa AAL depende del servicio concreto ofrecido. En este sentido hemos de decir que la red ATM está diseñada para aceptar distintos tipos de servicios (voz, datos, video, etc.). En la arquitectura actual de UMTS, la red de transporte del operador puede incluir BS´s, nodos B, RNC, BSC, MSC, SGSN y OMC. Por tanto, el trafico basado en ATM de una red de acceso radio puede viajar a través de una interfaz de red de usuario (UNI) E1 ATM, o a través de una o más líneas E1 y enlaces del Modulo de Transporte Síncrono 1 (STM-1). Para soportar los diferentes tipos de tráfico se emplean los sistemas de Capa de Adaptación de ATM de tipo 2 (AAL2) y de tipo 5 (AAL5) para voz y datos. Los medios de transmisión pueden incluir fibras ópticas, líneas arrendadas de cobre E1/T1, microondas o DSL, dependiendo de las economías de escala y la disponibilidad. Debemos destacar que uno de los requisitos clave del sistema UMTS la interoperabilidad entre GSM y UMTS. III.II.III TECNOLOGÍA DE CONMUTACIÓN DE PAQUETES EN 3G La conmutación de paquetes en el acceso 3G utiliza la tecnología HSDPA. El acceso HSDPA emplea técnicas como la AMC y la HARQ combinadas con una planificación rápida y un procedimiento de cambio de célula. Aunque estas técnicas podrían considerarse la piedra angular de HSDPA, las mejoras globales están realizadas en la UTRAN y en particular, en la interfaz aérea, las superan con mucho sin necesidad de sacrificar compatibilidad. “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 39 La ventaja más destacada tal cual la percibe directamente el usuario final, es un flujo de transmisión de datos de unos cinco órdenes de magnitud mayor, es decir, una velocidad punta de más de 10 Mb/s con 15 multicódigos. Esta ventaja depende del tipo de modulación utilizado para la configuración de los recursos. Dado que también intervienen en la velocidad máxima alcanzable factores como, la cobertura de la célula, la movilidad del UE, la distancia de la UE a la BS y el nuecero de usuarios simultáneos, en la práctica la velocidad punta máxima de transmisión de datos puede quedar muy lejos del objetivo. Además de lo anterior también cabe destacar que la latencia de extremo a extremo es notablemente baja. III.III DOMINIO DE CONMUTACIÓN DE PAQUETES (PS) Los dos elementos más destacados del dominio de PS son tipos de servidores específicos de las redes móviles, el SGSN y el GGSN. El SGSN contiene la función de registro de posiciones donde se almacenan los datos necesarios para iniciar y concluir la transferencia de datos por paquetes. Estos datos son la información de suscripción, como la IMSI, varias identidades temporales, información de la posición, direcciones del PDP, la QoS suscrita, etc. La transferencia de datos en el dominio PS se denomina contexto PDP. Para la transferencia de datos, el SGSN necesita saber con que GGSN existe el contexto PDP activo de un determinado usuario final. Con esta finalidad, el SGSN almacena la dirección de cada contexto PDP activo. El GGSN también mantiene algunos datos sobre el abonado, como pueden ser el numero IMSI, las direcciones PDP, información sobre la posición e información sobre la posición sobre el SGSN que ha registrado al abonado. En cuanto a la arquitectura del dominio PS, el SGSN y el GGSN, por si mismos son insuficiente. El tráfico de paquetes exige elementos o funcionalidades adicionales para el direccionamiento, la seguridad y la tarificación. “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 40 FIGURA 3.7 GUÍA BASICA DE LA ESTRUCTURA DE DOMINIO DE CONMUTACIÓN DE PAQUETES (PS) En realidad, el dominio PS es una especie de intranet sofisticada. Para dirigir los diferentes elementos que conforman esta intranet, es necesario el DNS. Por ejemplo, cuando un SGSN establece una transmisión hacia un determinado GGSN, solicita al DNS la dirección del GGSN. III.IV IDENTIDADES Y DIRECCIONAMIENTO DE LOS USUARIOS Y SUS TERMINALES A diferencia de las redes fijas, para la red UMTS es necesario el uso de muchos tipos de números e identidades para diferentes fines. En las redes fijas, la ubicación del abonado y el equipo es, como su nombre indica, fija y gracias a eso muchos parámetros son constantes. Cuando la ubicación del abonado es variable, la numeración fija deja de ser válida. La finalidad de las diferentes identidades en UMTS se puede resumir de la siguiente forma: Identidad única: se emplea, para proporcionar una identidad única globalmente a los abonados. Este valor sirve como principal clave de búsqueda en todos los registros de información de abonados. Se emplea también para la tarificación. Distinción de los servicios: especialmente en el caso de las transacciones de terminación móvil, es necesario reconocer el servicio que se va a utilizar. Para ello se utiliza una identidad única asociada a la identidad única del abonado. “CONFIGURACIÓN DE APN DEDICADO EN RED GPRS” INTERCONECTIVIDAD Y SEGMENTACIÓN EN REDES DE ALTA VELOCIDAD 41 Itinerancia: se requieren algunas disposiciones especiales para el encaminamiento de las transacciones; no es igual en todas las redes ni fronteras nacionales. Seguridad: es un aspecto fundamental en el entorno celular y, con esta idea se generan identidades adicionales para mejorar la privacidad de los usuarios. III.IV.I IDENTIDAD INTERNACIONAL DE ABONADO MÓVIL (IMSI) La identidad única para el abonado móvil se denomina IMSI y está formado por tres
Compartir