ALGORITMOS DE RUTEO

La función principal de la capa de red es rutear paquetes de la máquina de origen a la de destino. En la mayoría de las subredes, los paquetes requerirán varios saltos para completar el viaje. La única excepción importante son las redes de difusión, pero aun es importante el ruteo si el origen y el destino no están en la misma red. Los algoritmos que eligen las rutas y las estructuras de datos que usan constituyen un aspecto principal del diseño de la capa de red. El algoritmo de ruteo es aquella parte del software de la capa de red encargada de decidir la línea de salida por la que se transmitirá un paquete de entrada. Si la subred usa datagramas, esta decisión debe tomarse cada vez que llega un paquete de datos. Si la subred usa circuitos virtuales, las decisiones de ruteo se toman sólo al establecerse un circuito virtual nuevo. Este último caso también se llama ruteo de sesión, dado que una ruta permanece vigente durante toda la sesión de usuario. Sin importar si las rutas para cada paquete se eligen de manera independiente o sólo cuando se establecen nuevas conexiones, hay ciertas propiedades que todo algoritmo de ruteo debe poseer:       Exactitud Sencillez Robustez Estabilidad Equidad Optimización

Una vez que una red principal entra en operación, cabría esperar que funcionara continuamente durante años sin fallas a nivel de sistema. Durante ese periodo habrá fallas de hardware y de software de todo tipo. Los hosts, ruteadores y líneas fallarán en forma repetida y la topología cambiará muchas veces. El algoritmo de ruteo debe ser capaz de manejar los cambios de topología y tráfico sin requerir el aborto de todas las actividades en todos los hosts y el reinicio de la red con cada caída de un ruteador. Existen algunos algoritmos de ruteo que nunca alcanzan el equilibrio, sin importar el tiempo que permanezcan operativos. Un algoritmo estable alcanza el equilibrio y lo conserva. La equidad y la optimización son metas contradictorias. Además, estas dos metas también están

Seguridad en Redes

Página 1

podemos ver que el grupo de rutas óptimas de todos los orígenes a un destino dado forman un árbol con raíz en el destino. TIPOS DE RUTEO Ruteo por el camino más corto. entonces la ruta óptima de J a K también está en la misma ruta. Como consecuencia directa del principio de optimización. el momento de cambio de sus rutas y la métrica usada para la optimización. Seguridad en Redes Página 2 . Este procedimiento se conoce como ruteo estático. no contiene ciclos. En cambio. El algoritmo sólo determina el camino más corto que existe entre ellos. ya que la operación de cualquier sistema de colas cerca de su capacidad máxima implica un retardo de encolamiento grande.en conflicto. Como término medio. los algoritmos adaptativos cambian sus decisiones de ruteo para reflejar los cambios de topología y. con cada nodo representando una IMP y cada arco una línea de comunicación. En contraste. Los algoritmos de ruteo pueden agruparse en dos clases principales: Los algoritmos no adaptativos no basan sus decisiones de ruteo en mediciones o estimaciones del tráfico y la topología actuales. la decisión de qué ruta se usará para llegar de I a J se toma por adelantado. Tal árbol se conoce como árbol sumidero o árbol divergente donde la métrica de distancia es el número de saltos. muchas redes intentan minimizar el número de saltos que tienen que dar un paquete. Puesto que un árbol sumidero ciertamente es un árbol. PRINCIPIO DE OPTIMIZACIÓN El principio de optimización establece que si el ruteador J está en ruta óptima del ruteador I al ruteador K. Para escoger una ruta entre cada par de IMP. y se carga en los ruteadores al arrancar la red. puesto que la reducción de la cantidad de saltos reduce el retardo y también el consumo de ancho de banda. por lo general también el tráfico. mediante algoritmos de ruta más corta. fuera de línea. Los algoritmos adaptativos difieren en el lugar de donde obtienen su información. Consiste en construir una gráfica de la subred. El principio de optimización y el árbol sumidero proporcionan parámetros contra los que se pueden medir otros algoritmos de ruteo. lo que a su vez mejora la velocidad real de transporte. por lo que cada paquete será entregado en un número de saltos finito y limitado.

trata de deshacerse de el tan rápido como sea posible poniéndolo en la cola de espera se salida más corta. se hace una selección de varias alternativas para que un paquete en particular. En el momento en que le llega un paquete al IMP. entonces para reducir la carga en cada una de las líneas de comunicación se divide el tráfico entre varios caminos. El algoritmo es el siguiente. después el RCC recoge toda esta información y con el conocimiento total de la red. Ruteo aislado El algoritmo de ruteo asilado también se le conoce como la papa caliente. cada ristra ofrece la mejor. El proceso de ruteo de camino múltiple es el siguiente. un IMP genera un número aleatorio y después selecciona entre diferentes alternativas que se presentan. Si el RCC calcula la ruta optima para cada par de IMP.Ruteo de camino múltiple Muchas veces ocurre que existe más de un camino óptimo. Los operadores calculan las tablas manualmente. Ruteo centralizado Cuando se utiliza un ruteo centralizado. El ruteo centralizado tiene varios inconvenientes como por ejemplo. calcula las rutas óptimas de todos los IMP a cada uno de los IMP restantes utilizando un algoritmo de rutas más cortas. esto tomaría bastante tiempo. la perdida de una sola línea puede desconectar algunos IMP del RCC. el calculo tendrá que realizarse con mucha frecuencia y para una red grande. Periódicamente cada IMP transmite la información de su estado al RCC. Para las subredes virtuales se selecciona una ruta. si la subred tiene que adaptar a un tráfico variable. pero el ruteo para los diferentes circuitos virtuales se lleva a cabo de manera independiente. El IMP cuenta los paquetes que se encuentran en la cola de espera de cada una de las salidas. cargándolas en los IMP antes de que arranque la red y que no se modifique después. sin rutas alternas. la segunda mejor… línea de salida para cada destino en particular. Seguridad en Redes Página 3 . en alguna parte de la red hay un RCC (Centro de control de ruteo). creando terribles consecuencias para el sistema. Cada IMP mantiene una tabla con una ristra reservada para cada uno de los posibles IMP destinatarios. Pero si el RCC utiliza rutas alternas se debilitara el argumento a favor de tener un RCC si es que se pueden encontrar rutas óptimas. Cuando un paquete llega para su reenvío. Antes de que se reenvié el paquete.

Con la inundación se genera un número considerable de paquetes duplicados. Este principio declara que si el IMP J esta en la trayectoria óptima que va del IMP I hasta el IMP K. el valor del diámetro completo de la subred. es decir. Se supone que el IMP conoce la distancia a cada uno de sus vecinos. A) Inundación La inundación es un caso extremo del ruteo aislado.Después se instala el nuevo paquete al final de la cola de salida más corta sin tomar en cuenta el lugar a donde va la línea. en la cual cada paquete que llega se transmite un todas las líneas de salida. Como una consecuencia directa del principio de optimización. y alguna estimación del tiempo de distancia hacia él. la distancia es solo un salto. el IMP puede medirlo en forma directa con paquetes especiales de eco que el receptor sólo marca con un sello de tiempo. Seguridad en Redes Página 4 . Los paquetes se acomodan en cola en cada una de las líneas esperando hasta que llegue el momento de transmisión. Si la métrica es de retardo. el IMP simplemente investiga cada una de las colas. y lo envía de vuelta tan rápido como puede. el conjunto de rutas óptimas procedentes de todos los orígenes a un destino dado. entonces la trayectoria óptima de J a K también se encuentra a lo largo de la misma ruta. puede iniciar el contador con el valor del peor caso. Si la métrica es la de saltos. Ruteo óptimo Aun sin conocer los detalles de la topología y tráfico de la subred. Si el emisor no conoce la longitud del camino. Por lo general cada IMP mantiene una tabla de ruteo con una entrada por cada uno de los demás IMP de la subred. exceptuando aquella por la que llega. forman un árbol cuya raíz sale del destino. Si la métrica es la longitud de la cola de espera. es posible hacer algunas declaraciones generales acerca de las rutas optimas. Ruteo distribuido En esta clase de algoritmos de ruteo cada IMD intercambia periódicamente información de ruteo explicito con cada uno de sus vecinos. Esta entrada consta de dos partes: la línea preferida sea salida que se utilice para dicho destino. una de estas se conoce como principio de optimización.

Si cada uno de los IMP conociera que las líneas pertenecen al árbol de expansión. podría copiar un paquete de difusión de entrada sobre todas las líneas del árbol de expansión con excepción de la línea que llego. El conjunto de los destinos se subdivide entre las líneas de salida y después de un número de saltos. B) Ruteo por árbol de expansión El árbol de expansión es un subconjunto de una subred que incluye todos los IMP. Seguridad en Redes Página 5 . Entonces a la transmisión de un paquete en forma simultanea se le conoce como difusión. Esto requiere que la fuente tenga una lista completa de todos los destinos.Ruteo por difusión En algunos casos los hosts necesitan transmitir mensajes a todos los demás hosts. El único problema es que cada IMP deberá tener conocimiento de algún árbol de expansión al que se pudiera referir. cada paquete conducirá solo un destino y podrá tratarse como un paquete normal. En el método de difusión no es necesario que la subred tenga características especiales como que el emisor tiene que enviar un paquete distinto a cada destino. Cuando un paquete llega a un IMP se comprueban todos los destinos para determinar un conjunto de líneas de salida que necesitaran. El IMP genera una nueva copia del paquete para cada una de las líneas de salida que utilizarán. ya que genera un número mínimo de paquetes necesarios para realizar el trabajo. En algunas redes los IMP pueden llegar a necesitar servicios como distribuir la actualización de las tablas de ruteo. El ruteo por árbol de expansión hace un uso muy eficaz del ancho de banda. A) El ruteo multidestino Cada paquete contiene una lista en donde se indican los destinos deseados.

VeriSign y otras empresas para dotar al comercio electrónico de mayores garantías de seguridad de las que tenía hasta entonces. ¿Qué se precisa para utilizar el Protocolo SET? a) Que el comerciante disponga de un certificado digital emitido por una Autoridad de Certificación. que incluye la firma digital de dicha institución y una fecha de expiración. IBM. b) Que el comprador disponga de un certificado digital emitido por la entidad emisora de la tarjeta (por ejemplo. El sistema SET fue desarrollado por Visa y MasterCard. Sin embargo. su utilización no se ha generalizado todavía. Microsoft. por lo que el comerciante no ve ni puede conservar los datos de la tarjeta.El protocolo SET El Protocolo SET (Secure Electronic Transaction o Transacción Electrónica Segura) es un sistema de comunicaciones que permite gestionar de una forma segura las transacciones comerciales en la Red. ¿Cuáles son los pasos de una transacción SET?   Cuando se va a cerrar el pedido. Precisamente esa fue la razón que dio origen a su nacimiento. Visa). el cliente recibe la firma digital de la tienda y verifica su validez. así como las razones que están dificultando su implantación. importe y fecha) Seguridad en Redes Página 6 . con la colaboración de American Express. Vamos a analizar sus ventajas e inconvenientes. Netscape. a pesar de sus evidentes ventajas. Los datos viajan encriptados. ¿Cómo funciona el SET?·    Permite la identificación y autenticación de comerciante y cliente mediante certificados digitales. El cliente envía al comerciante la siguiente información firmada digitalmente: o Los datos del pedido (básicamente: identificación del comerciante. Y cuando decimos de una forma segura nos referimos a que aporta un mayor nivel de seguridad que su antecesor el SSL. La transacción se cierra entre el comprador y el banco.

el comercio electrónico demanda a gritos un mayor nivel de seguridad. El comercio recibe el pedido y verifica la validez de la firma digital. con lo que nunca llega a manos del comerciante ni puede ser interceptada por nadie. ¿Qué problemas plantea la utilización del SET?     Muchos ISP no están preparados para trabajar con protocolo SET. Tan sólo se precisa una mayor profesionalidad de los comerciantes y una maduración de los compradores para que confluyan en lo que hoy es el único sistema realmente seguro para realizar transacciones en la Red: el protocolo SET. la gran mayoría de los negocios virtuales B2B ya lo están utilizando. ya que al viajar encriptados y protegidos por una firma digital no pueden ser alterados en el camino. trabajar simultáneamente con SSL. hoy por hoy. El banco autoriza la transacción y devuelve dos confirmaciones. Autenticación del cliente ante el comerciante como un legítimo titular de una tarjeta de crédito. una para el comerciante y otra para el titular de la tarjeta. La relación entre el pedido y la orden de pago. puesto que la mayoría de los clientes no tienen todavía certificado digital. Aunque para el titular de la tarjeta es gratuito. La duración de la transacción es mayor que con SSL (suele estar entre 25 y 30 segundos). De hecho. Autenticación del comerciante ante el comprador de que está autorizado para aceptar cobros con tarjetas de crédito. ya que trabajar con SET implica. que los liga indisolublemente. Integridad de los datos. Seguridad en Redes Página 7 .   La orden de pago. ya que al estar el comprador identificado ante la entidad financiera por un certificado digital emitido por ella misma. Supone una mayor complejidad para el comerciante. El comerciante pasa al banco la orden de pago (que él no ha podido leer) con su firma digital. ¿Terminará implantándose el protocolo SET? Sin duda. y el SET se lo está ofreciendo. la obtención del certificado digital puede tener un coste importante para el comerciante. o o ¿Qué seguridad proporciona el SET?     Confidencialidad de los datos de la tarjeta de crédito. con una encriptación que sólo puede leer el banco. no es preciso que la información de la tarjeta de crédito viaje.

más importante aún. El nombre está inspirado en el del colmado Ralph's Pretty Good Grocery de Lake Wobegon. El descifrado sigue el proceso inverso. Como Funciona PGP PGP combina algunas de las mejores características de la criptografía simétrica y la criptografía asimétrica. La compresión de los datos ahorra espacio en disco. una ciudad ficticia inventada por el locutor de radio Garrison Keillor. Cuando un usuario emplea PGP para cifrar un texto plano.Pretty Good Privacy Pretty Good Privacy o PGP (privacidad bastante buena) es un programa desarrollado por Phil Zimmermann y cuya finalidad es proteger la información distribuida a través de Internet mediante el uso de criptografía de clave pública. tiempos de transmisión y. La clave de sesión cifrada se adjunta al texto cifrado y el conjunto es enviado al receptor. PGP es un criptosistema híbrido. PGP originalmente fue diseñado y desarrollado por Phil Zimmermann en 1991. dicho texto es comprimido. Esta clave es un numero aleatorio generado a partir de los movimientos del ratón y las teclas que se pulsen durante unos segundos con el propósito específico de generar esta clave (el programa nos pedirá que los realicemos cuando sea necesario). El receptor usa su clave privada para recuperar la clave de sesión. así como facilitar la autenticación de documentos gracias a firmas digitales. que PGP luego usa para descifrar los datos. Una vez que los datos se encuentran cifrados. Esta clave de sesión se usa con un algoritmo simétrico convencional (IDEA. 3DES) para cifrar el texto plano. La compresión reduce esos patrones en el texto plano. PGP crea una clave de sesión secreta que solo se empleará una vez. Después de comprimir el texto. aumentando enormemente la resistencia al criptoanálisis. la clave de sesión se cifra con la clave publica del receptor (criptografía asimétrica). La mayoría de las técnicas de criptoanálisis explotan patrones presentes en el texto plano para craquear el cifrador. fortalece la seguridad criptográfica. Seguridad en Redes Página 8 .

La combinación de los dos métodos de cifrado permite aprovechar lo mejor de cada uno. Seguridad en Redes Página 9 . El cifrado simétrico o convencional es mil veces más rápida que la asimétrica de clave pública. La asimétrica de clave pública a su vez provee una solución al problema de la distribución de claves en forma segura.

En organizaciones privadas o públicas. En Internet. conduce al problema de verificar si la clave pública es realmente de quien dice ser.Certificados digitales Como el lector habrá adivinado rápidamente. se trata de compañías multinacionales que se encargan de esta labor. pero ¿Cómo puede estar seguro el receptor de que el mensaje no ha sido enviado por un intruso que pretende suplantar la personalidad del supuesto remitente? Pensemos en una orden de traspaso de saldo bancario u orden de pago por Internet. Hecho esto. Funcionan como notarios que nos proporcionan certificados digitales de nuestra propia firma pública. previo pago. El receptor usa la clave pública en que confía para verificar que el "Certificado" es auténtico. la utiliza para comprobar que la firma (o el documento) es auténtica. acudimos a una de estas autoridades de certificación y. cuya clave pública conocemos sin lugar a dudas. el certificado le señala a su vez que la clave pública del remitente es auténtica. En esencia. o cuya clave pública si conocemos sin margen de duda (algo así como conseguir un certificado notarial de una firma o la compulsa de un documento). Es un fichero de varios miles de bits que contiene la información indicada en la tabla adjunta. se denominan CA ("Certification Authorities"). Generalmente los usuarios de esta tecnología añaden su clave pública a los mensajes salientes con objeto de que los receptores no tengan que consultarla en algún repositorio de claves públicas. la clave pública del remitente viene cifrada y firmada por una autoridad de certificación. el sistema consiste en que la parte de clave pública que acompaña al mensaje va a su vez "certificada" (viene a su vez cifrada y firmada) por un organismo o autoridad en quien sí confiamos. mediante el pago de cierta cantidad por supuesto. Certificados digitales Para resolver (en parte) el problema se idearon los identificadores digitales (que se han traducido al español como Certificados Digitales). por citar un ejemplo. todo este sistema del cifrado y las firmas electrónicas . Si queremos que nos certifiquen la firma (para incluirla en nuestros mensajes). El procedimiento operativo será entonces el siguiente: Recibimos un mensaje firmado. obtenemos un certificado. Seguridad en Redes Página 10 . esta persona puede ser un director de seguridad o gabinete de certificación. decimos que viene acompañado de un "Certificado" de la compañía "X" de certificación.

certificando con su propia firma la identidad del usuario. Para ello tendrá que utilizar claves largas y dispositivos especiales para su almacenamiento. la Autoridad Certificadora es verificada o confiada por ella misma. Existen varias Autoridades Certificadoras. lo cual comprometería todo el sistema. si se desea establecer una Autoridad Certificadora. Además.por sus siglas en inglés) es la encargada de confirmar que el dueño de un certificado es realmente la persona que dice ser. éstas deben tomar extremadas precauciones para evitar que sus claves caigan en manos de intrusos. Por lo tanto. También puede especificar requerimientos en el contenido de los campos. cuando emiten un Seguridad en Redes Página 11 . Empresa. Las Autoridades Certificadoras (o notarios electrónicos) deben ser entes fiables y ampliamente reconocidos que firman las claves públicas de las personas. Una Autoridad Certificadora puede definir las políticas especificando cuáles campos del Nombre Distintivo son opcionales y cuáles requeridos. Autoridades Certificadoras (CA) Una Autoridad Certificadora (CA.Información de identificación del firmante: Nombre. el certificado es firmado por uno mismo (``self-signed''). Fechas de validez (caducidad) del certificado. por lo tanto. Dirección. Clave pública del firmante. Número de certificado Firma digital de la Autoridad de Certificación e información de la misma. pero habrá un punto en que una Autoridad no tendrá quién la certifique. puede que una autoridad certificadora certifique o verifique la identidad de otra Autoridad Certificadora y así sucesivamente. en este caso.

asignación y manejo de Certificados. es decir.thawte.verisign. con una serie de responsabilidades legales y que basa su ``negocio'' en la credibilidad que inspire en sus potenciales clientes.baltimore. [http://www.com] Entrust.entrust. 3. Verificación de solicitud de Certificados. Varias compañías se han establecido como Autoridades Certificadoras. Entre las cuales destacan:      VeriSign. si un empleado posee un certificado para una compañía y el empleado sale de la compañía. No podemos olvidar que la Autoridad Certificadora es la responsable. Inc.com] Estas compañías proveen los servicios de: 1. [http://www. Las Autoridades Certificadoras no solamente ofrecen certificados.com] Thawte Certification. Procesamiento de solicitud de Certificados. 2. determinan cuánto tiempo van a ser válidos y mantienen listas de certificados que ya no son válidos (Listas de Revocación de Certificados o CRLs). sino también los manejan. deben estar seguros de que lo hacen a la persona adecuada. [http://www. [http://www. Por ejemplo. Seguridad en Redes Página 12 .com] Xcert Sentry CA. [http://www. Firma.certificado. Una Autoridad Certificadora con autentificaciones erróneas no tendrá más remedio que cerrar ya que los usuarios no considerarán sus certificados de la suficiente ``calidad''. de todo el proceso. en última instancia. no solamente con el certificado se indica que ya no existe sino que se tiene que registrar por medio del CRL para que dicho certificado que ya había sido utilizado quede invalidado y no pueda ser utilizado posteriormente.xcert.net] Cybertrust.