TEMA 1 - PROTOCOLOS D E TRANSPORTE 1.1.

Introducción El objetivo de es te capítulo es conocer qué funci onalidades y servi ci os incl uye la capa de trans porte y cuáles s on los protocol os más utilizados. Los servicios ofreci dos son (comuni ca ci ones extremo a extrem o, end to end): - Orienta do a conexión - Mul tiplexa ción/dem ul tipl exaci ón (concepto de puerto) de aplica ciones . - Control de errores: i ncluido en la ca pa de trans porte debi do a la na turaleza bes t effort de IP. - Control de flujo (a ni v de transporte y a pli cación). el - Control de congestión: se pretende li bera r de es ta tarea al ni vel de apli cación. Estudia remos los protocoles de TCP (ori enta do a conexión y fiable), UD P (NO orientado a conexión y no fiable), STCP y RTP. Los objetiv os fundamentales de las com unicaciones extrem o a extrem o son: El problema es la conges ti ón es ina borda ble (pto a pto). La i ntegri dad "pto a pto" no ga rantiza la fia bilidad extrem o a extremo. Sim plificar el CORE de la red: TCP/IP pretender concentra r la compleji dad en los extremos.

× Donde

×

-

fuera de orden. En este caso, el TSN no es váli do. Simila r a datos urgentes en TCP. Ejemplo de transferencia de datos con m ux-dem ux de stream s y Confirmaci ones (ges tión)

Sin embargo, pueden a parecer ambigüedades en la medida del R TT: y Tras una pérdida de ACK, se a gota el timeout del emisor; se transmite el paquete y me llega el ACK al poco tiem po después . Es te ACK, ¿es una versi ón reta rda da del primer ACK, o una retra nsmisión del ACK por pérdida ? ¿Cuánto es el RTT medi do, el tiem po de TIMEOUT más el tiempo que ha tardado en llegar el ACK desde la retransmisión, o el tiem po que ha pasado des de que mande la retransmisión del paquete?

Utili za confi rma ciones a cumula tivas y selecti vas . U n trozo ACK puede confirmar todos (o vari os) de l os s treams de la asocia ción.

y

Esquem a de ACK selecti vo En el di bujo de a rri ba vem os como se confi rma has ta el 37, y l as partes a confi rmar s electi vamente se especi fi ca n con offsets de principi o y fin res pecto del 37. El formato del ACK de SCTP queda representado: Incluye la posibilidad de indi car qué ACKs s e envían por duplicado. Así se evita la ambi güedad que teníamos en TCP para es timar el RTT Cada vez que se envía un ACK el contador de duplicados se res etea . y Mul tihomi ng Una enti dad SCTP con más de una IP se denomina mul tihoming. INIT expresa todas las direcciones IP o el hos tname que se usa en el origen. INIT ACK puede i ncl uir más de una IP o hos tname.

Hay va rias soluciones: NO actualizar el RTTnuevo para los ACK am biguos, o cua ndo hay am bigüedad, actualiza r el TIMEOUT como sigue:

congestión, pero no es útil en todos los casos; o 3 ACKs duplicados consecutivos. El control en TCP consiste en variar la CongWin. Lo deseable es que sea tan grande como s ea posible pero sin agotar los recursos. Básicamente el control de congestión en TCP consiste en una variante de AIMD basada en ventanas con notificación implícita en el que los timeouts (o 3 ACKs consecutivos) s iempre son interpretados como perdidas: Multiplicative Decrease reducir CongWing a 1M SS (M aximum Segment Siz e) al detectar una perdida. Aditive Increase s e aumenta la ventana mientras no haya perdidas (ensayo-error) Podemos distinguir dos regiones de comportamiento: inicio lento y Pre vencion de la congestión. 1.) conexión y CongWin=1M SS, dado que el ancho de banda disponible suele ser mucho mayor que M SS/RT podemos aumentar rápidamente el tamaño de CongWin (podemos aumentarlo de forma exponencial hasta un tamaño dado doblando CongW in cada RTT un M SS por cada ACK recibido En el modo de prevención de la congestión esta zona es la realmente A ditive Increas e, para no generar problemas a partir de un cierto umbral CongWin crece linealmente (1M SS por cada RTT a lo sumo) CongWing=CongWin+MSS *MSS/CongWin (equivale a crecer en 1M SS cuando se reciben todos los ACK s pendientes). Debemos determinar hasta cuando crece CongWin, hasta que se produce un timeout que entonces consideramos que existe congestión severa, entonces CongWin se reduce a 1M SS y posteriormente se continua creciendo exponencialmente con el InicioLento CongWin=1MSS ; Umbral=C ongWin/2 O hasta que s e reciben 3 ACK s duplicados consecutivos, lo cual es menos alarmante que el timeout, se denomina ³fast retransm it´ y se retransmite sin esperar al time out, CongWin se reduce y posteriormente existe una variante que infla la ventana para reflejar que hay 3 segm entos que abandonan la red ´fas t recover y´ CongWin=Umbral; Umbral=CongWin/2 En el emisor por tanto s e emplean dos ventanas y un umbral: BytesPermitidos En viar=min{CongWin,VentanaDelReceptor}; la ventana del receptor es utilizada para el control de flujo (s egún el campo ventana). 7. M ODELADO DE TCP TCP está obsoleto, ignorando el inicio lento (que en general dura poco) y asumiendo que las pérdidas son detectadas por 3 A CK s consecutivos simplificación W= tamaño de la ventana cuando ocurre una perdida throughput=W/RTT, a continuación tras la pérdida el tamaño de la ventana se reduce a la mitad, por tanto cual sería el throughput medio? Varía en función del tamaño de la ventana? si expresamos throughput (S) en términos del ³loss rate´(p) Para poder modelar correctamente TCP es necesario aceptar una serie de simplificaciones como que no hay inicio lento, no hay perdidas en las confirmaciones y no existe compresión de cabeceras. Hay dos procesos que s on fundam entales: la dinámica de la ventana de congestión que impone un límite y la pérdida de paquetes que indica congestión. A demás s e supone estacionariedad, es decir, cuando hay una perdida el tamaño de la ventana es W y las pérdidas de paquetes se dan con probabilidad ³p´ constante. En m edia (1/p)-1 paquetes entre dos perdidas consecutivas. 1.)M odelo periódico: el numer de paquetes enviados en cada periodo T es 1/P y está relacionado con el área de la curva en un periodo #paquetes=(T/(2*RTT))*(W/2+W)=1/p En la zona de prevención de la congestión la ventana crece 1M SS cada RTT T=RTT*W/2 W=sqrt(8/3p), por tanto la velocidad de transmisión para la fuente T CP sería: 2.)M odelo más realista y preciso de las perdidas incluye perdidas por timeout (T out_new=2*T out_old) y si se considera la limitación impuesta por la ventana del receptor (Wm) 3.)M odelado del retardo: la latencia es el tiempo transcurrido desde que una aplicación solicita un objeto hasta que es recibida completamente. Vamos a suponer una transmisión en la que no hay pérdidas por congestión ni retransmis ión por errores. Las cabeceras de los protocolos son despreciables y el tamaño del objeto es un número entero de M SS y además todos los segm entos TCP que no sean de datos tienen un tiempo de transmisión despreciable Ttrans<<Tprop. Por último indicar que no s e llega a entrar en la zona de prevención de la congestión. Si suponemos CongWin=W, M SS estática y RTT constante: Si WS /R > RTT + S/R: ACK vuelve antes de que la ventana se cierre. No para de transmitir hasta que se envía todo el objeto. delay = 2RTT + O /R Por el contrario si tenemos WS /R < RTT + S /R: la ventana s e cierra antes de que vuelva el prim er ACK. delay = 2RTT + O/R+ (K-1)[S /R + RTT - WS /R] Cuando llega el 1er ACK le siguen (W-1) A CKs separados S/R segundos. Dado que la ventana se va abriendo y cerrando existen por tanto periodos de transmisión (W segm entos) y periodos de parada (S/R+RTTWS/R). Si K=O/(WS) (o s u redondeo entero) es #ventanas Si suponemos ahora una CongWin=W, #M SS dinámica con inicio lento y RTT=cte, nos queda que la latencia estaría compuesta por 3 términos: (2RTT para sincronización y solicitud de objeto, O/R para transmitir el objeto, paradas del s ervidor debido al arranque lento primera ventana=S /R segunda ventana=2S /R tercera ventana=4S /R P=min{k-1,Q }(k=numero de ventanas que cubren el objeto, Q=numero paradas) Tiempo desde que se envía un s egmento hasta que s e recibe el ACK= S/R + RTT Tiempo en transmitir la k-esima ventana = 2^(k-1) * S/R Tiempo de parada: S/R + RTT - 2^(k-1) * S/R latencia en zona de crecimiento lento. K=log2(O/S+1); Q=log2(1+RTT/(S /R)) + 1 En resumen tenemos que el inicio lento puede incrementar significativamente la latencia: si el objeto es grande y el RTT moderado con R alto si el objeto es pequeño y el RTT moderado no es tan severo si el objeto es pequeño y el RTT relativamente grande afecta incluso con un rate bajo. 8.G EST ION ACTIVA DE CO LA S (RANDOM EARLY DETECT ION) El control de congestión tiene por objetivo reducir la ocupación de las colas en los buffers, de tal forma que tengamos un menor tiempo de espera. La ocupación crece cuando la razón de llegadas excede la razón con la que el planificador extrae paquetes de la cola hacia la línea de salida. Para reducir la ocupación s e disparan los procedimientos de control de congestión a nivel de transporte sobre los flujos de la cola. Importante saber cuanto esperamos para activar dichos procedimientos: muy pronto pobre utilización de la línea de salida muy tarde posibles perdidas por congestión La solución es una respuesta probabilística 1.)Detección temprana aleatoria la probabilidad de disparo es una función creciente de la ocupación de la cola. La ocupación media se calcula con la llegada de cada paquete y puede haber valores distintos por cada cola: Descartar paquetes sirve cuando los flujos que provocan la congestion son TCP. Para UDP no afecta. Los paquetes descartados son aquellos que pertenecer al buffer problemático. M ientras el buffer tenga una determinada ocupación la probabilidad de accionar el disparado es 0. 2.)Deteción temprana aleatoria pesada Se elige la función de disparo además del paquete por otros parámetros adicionales (x.ej se us a una estrategia más agresiva con paquetes marcados previamente). Se puede emplear los bits de prioridad (T oS) para definir la función de disparo 3.)D etección temprana aleatoria adaptable (A-RED) para ajustar los parámetros de forma óptima escogemos un mecanismo adaptable. Wq fija la rapidez con la que estimamos la ocupación de la cola. Dado que des cartar un paquete es perder efectividad, podemos ajustar también un ³maxP´ según la derivada de Qavg. Nos ajustamos asi a la cantidad de flujo variable s in tener un conocimiento explicito de su numero. 9.OTROS PROCED IMIENTO S PARA EL CC. TCP-FRIENDLY. Superponemos a UD P procedimientos que permitan la coexistencia de ambos tráficos. Se puede emplear algoritmos de control de congestion (Equation-Bas ed-Congestion Control) que generan un rate por debajo de lo que lo haría TCP Conociendo p, RTT , y T out se regula la tasa de envio p lo calcula el receptor y lo envía al transmisior RTT se calcula en el em isor Tout=4*RTT 2.)

monitorizamos?¿cuántos recursos reservamos? Todo esto dependerá del tipo de tráfico al que pe rtene zca el flujo: Perfiles con bit-rate c onstante, se monitoriza la VP; Perfiles con bit-rate variable y sin limitación de VP, se monitoriza VM y D MR ; Perfiles con bit-rate varia ble con limitación en la VP, se monitoriza VP, VM y DMR . ¿Cómo se monitoriza si un flujo tiene su VP acotada? Se utiliza la m etáfora del ³Cub o de agua´. Para medir la velocidad de pico, idealmente el cubo tendría que tener un tam año 0 (así, en cuando se pase de la velocidad de escape, igual a VP, el cubo se desborda y el trá fico no cumple los requis itos iniciales). En la realidad, el cubo tiene un tam año muy pequeño (1 o 2 paquetes) para amortiguar las pequeñas variaciones temporales asociadas al procesado de los paquetes por parte del SO. Si se recibe un paquete que desborda el cubo, se considera com o ³no cumplidor´, y se marca o recha za. ¿Cómo m onitorizar si un flujo tiene una velocidad media acotada pero hay ráfagas de un tam año dado? Se utiliza el ³Cub o de tokens´. Se generan tokens a una velocidad de VM tokens/s. El cubo tiene un tamaño de b tokens, siendo b=D MR. El tráfico supera el test si ningún paquete llega cuando el cubo está vacío de tokens. Enviar un paquete consume un token del cubo. Este perfil permite enviar un máximo de paquetes en un tiempo t de r·t+b .

En el modelo de IntServ se definen 2 clases de servicios: a) Servicio de C alidad Garantizada: Indicado para aplicaciones en R T. Se necesita acotar el reardo m áximo extrem o-extrem o (uso de tokenbucket (r,b)). Se necesita conocer las características del tráfico y utilizar control de admisión. El router debe supervisar el tráfico generado por la fuente. El formato de los mensajes RSVP es el siguiente En realidad no se especifica el retardo, sino un ³margen´ o ³intervalo de confianza´. Sabiendo los parámetros b, r, p, M, m, BW y nºsaltos podem os acotar el delay. De ahí que se especifique un margen de confianza (es lo que la red puede pasarse del delay a cotado). b) Servicio de Carga Controlada: Pone aplicaciones que puedan tolerar cierto retardo, pero sensibles a congestión (pérdidas). Se pretende dar un servicio sim ilar al de una red best-effort sin cargas. Intenta especificar descripciones no cuantitati vas, sino cualitativas. Es un best-effort + control de admisión, por eso no requiere WFQ. No necesita especificar rate ni delay, sólo el Tspec. Si se acepta la reserva significa que la red tiene recursos suficientes para acom odar el tráfico sin congestión. Se admiten picos de retardo o pérdidas, pero con la probabilidad suficientemente baja como para mantener un retardo medio razonable. Ahora , vamos a pasar a ver el pr otocolo. Se va a estudiar con cierto detenimiento dado que el modelo MPLS utiliza RSVP com o protocolo de señalización para reservar recu rsos. Algunas características genéricas: La reserva de recursos es dinám ica (adaptati va), tanto para flujos unicast como multicast, esto se hace gracias a que el protocolo es soft-state (un protocolo es soft-state cuando el estado de entidades se mantiene mediante la repetición de mensajes). 2 Es orientado al receptor, las reservas 3 se originan desde el receptor. Es sim plex. 4Opera sobre IPv4 e IPv6. Puede encapsularse sobre UDP ya que no todos los SO permiten encapsular RSVP sobre IP directamente. 5RsVP no especifica com o los routers deben reservar los recursos. 6RSVP o
1

donde es tadís ti camente se ha comprobado que un buen valor para y Control de flujo:

TCP libera a la aplica ci ón de es te cometi do. El esquema se basa en lo siguiente: El receptor es tima s u disponibilidad o capacidad (en Bytes) y s e la envía al emisor (dentro del propio segmento TCP, en el cam po ventana , a provecha ndo as í el tráfi co receptor emisor). As í no se pueden enviar más Bytes de los que puedan ser proces ados. Así, según la ventana útil en el receptor, se cal cula la ventana útil en el emisor como sigue: l   ž

-

1.2. UD P Las unida des de da tos del ni vel de transporte se llaman segmentos o datagramas de usuario. UD P ofrece un servi ci o best-eff ort , l o úni co que añade IP es la multiplexación/dem ultiplexación de aplicaciones; s e hace añadiendo en la cabecera UD P un puerto (enteros de 2 Bytes ) que identi fica qué apli caci ón (origen y des ti no) va a utili zar IP. UDP coloca cabeceras a las a pli caci ones para identi fica r l os puntos finales de la comuni ca ci ón mediante la asi gna ción de puertos . Algunas propiedades son: Servicio no orientado a conexión: no handshake (las apli ca ciones no precisa n de un i ni cio de sesión), por tanto no hay retardos de establecimiento. Servicio no fiable: puede haber pérdidas. No hay garantías de entrega ordenada No hay control de congestión: fil osofía entrega tan rápido como puedas .

¿Cómo monitorizar los tres parám etros? Mediante el ³Cub o dual´. Es el resultado de concatenar cubos para obtener un con trol más refinado para un conte xto dado.

1.5. Protocolo de tiempo-real (RTP) Se utili za para aplica ciones con requisitos de tiempo real . Además , incorpora informa ci ón necesa ria (cabeceras ) pa ra afronta r problemas relaciones con el reta rdo, pérdidas , etc. o Identifica el tipo de carga, numera ción de s ecuencias , ma rcas de tiempo, etc. RTP no es un protocol o de recuperación RTP normalmente es usuario de UDP RTP opera en unicast y multicast. Facilita la interoperabilidad entre aplicaciones: un contenido mul timedia de una a pli caci ón puede intercambiarse con otra a pli cación, y que RTP i denti fi ca a el códec. RTCP es un protocolo asocia do para monitorizar la QoS del receptor.

o o o o

De las cabeceras UDP mencionaremos el CHECKSUM (compl . a 1 de la s uma compl . a 1 de las palabras de 16 bi ts que conforman la cabecera ) se incl uyen la IP ori gen y destino, el campo PROTOCOLO y LONGITUD. Otras cosas desta ca bles de UD P: Hay puertos univers ales. UDP es útil para aplicaciones multim edia, tolerante a fallos y m uy exi gentes en cuanto a reta rdos. UDP va montado sobre IP. La fiabilida d proporcionada por TCP ti ene un cos te. UD P se utiliza cuando di cho cos te no compensa para la na turaleza de la aplica ción. En general , UDP es recomendable en aplicaciones en tiempo real. Este es quema tiene un problema , conocido como el síndrome de la ventana tonta (si se utili zan segmentos m uy pequeños): cua ndo la dis parida d entre la tasa de genera ción de datos por pa rte del emisor y la ca paci dad de procesamiento por parte del receptor es m uy gra nde, se tiende a un esquema de Stop & Wait . En esta si tua ción, se mandan un montón de mini segmentos de 1 Byte, algo a todas luces muy ineficiente; es to puede s oluci ona rse es tableci endo un umbral: has ta que la venta na disponi ble no supere cierto tamaño umbral (de Bytes recibi dos), se manda ventana no disponibl e . o

- Conformación del tráfico : Hemos visto métodos de supervisión (métodos pasivos) para etiquetar el tráfico como cumplidor o no cumplidor. Ahora pretendemos suavizar, generar tráfico con un determinado perfil. Ahora queremos métodos o algoritmos activos que conformen el tráfico a perfiles definidos. Simplemente se introduce ³buffering´ para elim inar el ritm o irregular de las fuentes de generación de tráfico . - Estrategias de planificación (Scheduling): Tenem os el problema de compartir la línea de salida de forma controlada, asignando los recursos disponibles entre las ³colas´ definidas. Por cada línea de salida necesitamos de un planificador que decida a quién le toca. El algoritmo de un planificador QoS debe garantiza r/cumplir: C ompartir el BW, ser equitati vo (o no), garantiza r un BW m áximo y mínimo, garantizar un probabilidad de pérdidas, garantizar retardo acotado y reducir el jitter. El primer esquema a estudiar es la estrategia FIFO (FC FS, First C ome FirstServed). Este esquema no es equitati vo, dado que si no ha y supervisión, una clase malintencionada puede monopolizar el recurso y producir ³bloqueos´. Puede haber tratamiento diferencial si ³el gestor de la cola´ altera las probabilidades de rechazo (R ED ) para las distintas ³clases´. A con tinuación, vamos a ver una serie de esquemas conservativos, ya que siguen La ley de conser vación: La suma de los retardos medios pesada por la utilización m edia de la línea de salida es constante, sea cual sea el planificador. Intuitivamente, lo que nos viene a decir esta ley es que reducir el re tardo medio para una cola siempre va a ser a costa de otra. Además, se dice que una estrategia es conservati va si sólo entra en reposo cuando no hay paquetes esperando. Ahora , ¿Cómo repartir un recurso entre usuarios con distintas demandas? Veamos el algoritmo Max-Min: Sea R el recurso a compartir, sean K contextos con dem andas X1<X2 <X3<X4<···<XK; a) se garantiza que cada contexto recibe R/K. Em pezamos a servir por el conte xto que menos demanda; b) Si R /K > X1 , los K-1 contextos restantes se reparten el e xceso de forma equitati va, tal que :  Este algoritmo supone dos ventajas: Ma xim iza el m ínimo que reciben los contextos cuyas demandas no son 2 satisfechas; y garanti za que lo recibido no es peor que lo recibido por otros. El sistema ideal para un router es el l amado GPS (General ProcessorSharing), en el que cada contexto se asigna a una cola diferente. El esquema GPS se describe como sigue: ³Se sirve una cantidad infinitesimal de cada cola, de forma que en cualquier intervalo finito cada una de las cosas se visita al menos una ve z; si está vacía , se salta a la siguiente´. Esta estrategia es ideal, y por tanto irrealizable (por lo de los infinitésimos), y conseguiría una compartición max-min. No obstante, com o no es viable, vam os a ver otras estrategias más reales. La estrategia siguiente es RR (Round Robin). Se basa en hacer un barrido cíclico de las colas, sirviendo un paquete por turno, y saltándose la cola si está vacía. ¿Es equitati vo? No, solamente lo es si la longitud de los paquetes es la mismas para todas las colas (Li = cte ). Ven taja: aisla de flujos malintencionados. Sin embargo, ¿Cómo hacer un RR no-equitativo? Depende de Li: a) Si Li=cte, se normalizan los pesos y se sirve un número de paquetes variable para cada cola (ésto es WR R); b) Si Li cte, se norm aliza los pesos considerando (Problema: hay una suposición muy fuerte, que es que no se puede conocer . Por otro lado, tenemos Déficit Round Robin, que mejora a WRR sin necesidad de conocer a priori. N ecesita 2 variables: Déficit (D), cada cola va contando lo que el planificador le debe; Quantum (Q) cantidad que se sirve en cada round. Por último, queda describir FairQueueing (Colas equitati vas). Se trata de una aproximación de GPS sin suposiciones de tamaño infinitesim al. No requiere conocimiento a priori de , y es pa ra paque tes de longitud variable. El proceso es el siguiente: Tenemos una cola para cada clase; a cada paquete recibido lo etiqueto con un número F (Finishnumber) que es el nº de rounds que necesitaría GPS para servirlo; cada ve z que ha y que en viar un paquete, se envía el de m enor etiqueta. La etiquetación se hace de la siguiente forma: sea R(t) el nº de rounds que GPS ha dado en el instante t, diremos que una cola está acti va si la m ayor de las etiquetas es mayor a R (t) (acti va max{Fi}>R (t)). Entonces el paquete K que llega a la cola i en el instante t será e tiquetado tal que así:        Notar que P(i,k,t) es lo que tardaría GPS en servir tal paquete. -QoS garantizada: En este caso hablamos de FairQueueing ponderado, lo que se denomina WFQ (WeightedFairQueue ing). Las etiquetas en este caso serían:  En una única e xpresión:  Este esquema garantiza en el peor de los casos (todas colas acti vas) un ancho de banda por flujo igual a:         
1

y

Terminología RTP o Sesión: es una asociaci ón esta bleci da entre un grupo de usuari os comuni cándose con RTP. Puede ser uni cas t o mul ti cast, en este caso se identifi ca mediante una di recci ón IP mul ticast (des tino) y 2 puertos UDP del des tino. SSRC, 32 bi ts que i denti fi can a una fuente del s tream RTP. Hay dos tipos de retransmisores (proxies): Mezcladores: recibe paquetes RTP (de una o más fuentes). Opci onalmente cam bia el forma to y combi na l os paquetes , reenviándolos . Se modi fica el SSRC. Traductores: retra nsmi te paquetes RTP dejando i nta cto el SSRC. Periódi camente se difunde en el puerto RTCP un informe con los paquetes RTP recibidos a l os partici pantes en la conferencia .

1.3. Protocolo TCP Se trata de un servi cio extrem o a extremo orientado a conexión. Se ga rantiza la entrega de los paquetes a ni vel de a pli caci ón de forma ordenada . El servi ci o oferta do es "full duplex" e implementa esquemas de detección y recuperación de errores (servi cio fiable en ARQ, ACK+, y timeouts ada ptabl es), así com o control de flujo y congestión (venta nas deslizantes con piggyba cking). Fiable: im plementa un esquem a de detección (ARQ + ACK posi tivos + timeout) debido a que la probabilidad de error es ba ja. Adaptable: las ventanas deslizantes y timeouts s on a dapta bles para permi ti r flexibili dad según el entorno.

1.3.4. Extensiones TCP Vam os a ver algunas opciones a ña didas (campo Opciones del segmento TCP) que a umentan las funcionalida des TCP: 1) El campo ventana del s egmento TCP ti ene 16 bi ts, por lo que la mayor ventana posible es de  , al go a todas l uces escaso con las tecnologías GIGABIT actuales . Esto se llama ventana escalada : s e añaden 14 bits en la opción, permi tiendo entonces has ta  má ximo de ventana. Para llev r a cabo m ejores estima ciones del RTT, hay a una opci ón de sello de tiem po en todos los segmentos . Tam bién es tá la opci ón de PAW S, que permite rechazar segmentos duplicados, que tendrán el mismo nº de secuencia , pero distinta marca de tiem po. 1.4. SCTP, Protocolo de transm isión para el control de stream Es una al ternati va más a ctual a TCP como protocol o de trans porte (no es un protocolo extendido gl obalmente). Es más complejo que TCP, aunque compa rte muchas cara cterís ti cas con TCP: servici o extremo a extrem o (no mul ticast), orientado a conexi ón y que ga ranti za la entrega ordenada de s egmentos . Di fiere li geramente en el sis tema de recupera ci ón de fallos : utili za un esquem a ARQ con ACKs+ (acumula ti vos ), timeouts adaptables, pero incl uye opcionalmente repetición selectiva . Se trata además de un servicio fiable: SCTP se encarga del control de conges ti ón y de fl ujo con ventanas desli zantes de tamaño máximo ada pta ble. El cam bio/mejora más importa nte que introduce SCTP es el siguiente: mientras que TCP necesita una conexión por cada flujo de da tos , SCTP permite gestionar múltiples streams en un solo paquete. Se trata de defini r una especie de macrotubería . Además , requiere un nivel de direcci onamiento extra : hay que identi fi car el s tream . Tam bién i ncluye la posibili dad de multihoming : s i emis or y/o receptor disponen de más de una dirección IP puede enviarse una misma secuencia de pa quetes por las dis ti ntas IPs (dis tintas IPs origen/des tino pa ra un mismo flujo de transporte). Por úl timo, i ncluye como novedad cara cterís ti cas de seguri dad que lo protegen de ataque de denegación de servicio. y Forma to o o o

2)

o

Algunos campos de la trama TCP le permiten ofrecer ciertas funci onali dades : Mux-dem ux de aplicaciones : igual que UDP con el concepto de puerto. Control de conexión: establecimiento y cierre. Necesa rio por la na turaleza orientada a conexión. Control de errores y de flujo: con l os números de secuencia /confi rma ción y el campo comproba ci ón . Control de congestión.

o

3)

Además: y y

Las conexi ones comienzan a numerarse a pa rti r de un núm ero aleatorio (ISN). El campo UAPRSF es una secuencia de flags . Son bits de control pa ra señaliza ci ón: Urgent: envío de informa ción no ordena da . Es to es útil en el siguiente escena rio: Cuando en un sistem a operativo se manda un com ando prioritario: por ejemplo, usamos Telnet para utilizar un term inal rem oto cuya aplicación está bl oqueada y querem os cancelar o cerrar la aplicación (Ctrl+C), este comando deberá saltarse el orden, ya que la aplicación bloqueada no cogerá sus segmentos del buffer. ACK: i ndi ca que se está haciendo piggybacking (confi rmaci ón). Pus h: para vaciar el buffer rem ot o entre TCP y l a aplica ción. Reset: para cancela r/resetea r una conexi ón. Synchroniz ed: pa ra el establecim iento de la conexión. FIN: Se soli ci ta la liberación de recurs os (ci erre de conexi ón). Control de flujo: el campo ventana del receptor informa al origen del tam año de ventana de que dispone el destino, o permi te al desti no adapta r s u entorno y controlar el flujo de trá fico entra nte. Com probación (com o en IP): com pl . a 1 de la suma compl . a 1 de las palabras de 16 bi ts que conforman el segmento completo (no solo la cabecera como en IP).

SCTP va m ontado también sobre IP. El forma to de los mensa jes se mues tra en la fi gura. Cabe desta ca r: Ahora la conexi ón se denomi na asociación , ya que tenemos va ri os s treams. La mul tiplexa ci ón de s treams s e lleva a cabo con el concepto de troz o. Cada troz o de datos pertenece a un s tream, pudiendo lleva r más de un trozo del mismo s tream en el mismo pa quete (habrá que numera rlos). El concepto de trozo también permi te una gra n flexibilidad en funcionali dades : cada trozo de funci onali dad/opción permi te añadi r nuevas funciones . Los trozos de da tos y opci ones se dis tinguen por el tipo. Además, los trozos pueden i r en el orden que sea . La i nforma ci ón de la longi tud se extrae de IP (Crossla yer). El formato de los trozos depende del tipo de trozo: habrá pa rámetros fi jos . Dispone de cabecera fija. y Funcionamiento de SCTP

y

-

y

1.3.1. (TRANSPARENCIAS).

Multiplexación/desmultiplicación

de

aplicaciones

Exis ten puertos preasi gnados con servi cios normaliza dos : 1.3.2. Control de la conexión y y Cliente: entida d TCP que solicita/inicia l a conexión. Servidor: enti dad que escucha o espera perma nentemente soli citudes de conexi ón.

Com o es un servicio orientado a conexión, el funcionamiento consta de 3 fases: esta blecimiento, ges tión y cierre de la conexi ón. Los mensa jes azules forma r el es tablecimiento de la conexión, los 4 si gui entes (morados y verdes) pertenecen a la ges ti ón y los últimos 3 (rojos ) se enca rga n del cierre. En el es tablecimi ento se utili za n l os mensa jes cooki es para i ntentar evitar un ataque de negación de servicio. Na da más reci bi r una soli citud, TCP reserva recursos para la conexi ón; por ta nto, pa ra denega r un servi cio bas ta con env r ia mucha soli ci tudes a una misma enti dad TCP. SCTP intenta protegerse contra es to con las cookies . Se trata de mensajes que envía el servidor con inf ormación de com probación que se envian tras recibir una solicitud; hasta que no se recibe una res puesta a la cookie , no se reservan recurs os . La filos ofía que si gue es la sigui ente: si quieres a taca rme pa ra denega rm e el servici o, tú vas a tener que ha cer mucho mas computo que yo . El esquema de es ta blecimiento de asociaci ón l o hemos repres enta ndo a nteri ormente en el grá fi co de arriba , donde representados en azules es taba n las tramas pertenecientes a es ta etapa. El mensaje cookie es una funci ón de la IPori gen e IPdes tino, puerto ori gen y des tino, etc. 

TEMA 2 Es un hecho que las aplicaciones reciben una respuesta variable, e IP es un protocolo best-effort que s e basa en la conmutación de paquetes (store-andforw ard) salto a s alto típicamente con una disciplina F IFO . A demás es un hecho que los recursos son limitados en buffer y ancho de banda. A causa de la congestión el usuario percibe un servicio de calidad inferior al esperado (con más retardos debido a las colas y con posibles pérdidas de paquetes). y U na posible solución es el sobredimensionamiento de recursos (por ejemplo aumentar el ancho de banda que es económico fácil de gestionar y previene ante la llegada de nuevos servicios y M ediante el CONTROL D E CONGEST ION tratamos de aprender a usar los recursos eficazmente. El objetivo es maxim izar el throughput minimizando las pérdidas y los retardos. CAUSAS Y EFECTOS DE LA CONGEST IÓN: Con dos orígenes y dos destinos, un router con buffer infinito y BW=C en un escenario en el que no hay retrasmis iones el máximo trhoughput que conseguimos es C/2 y el retardo tiende a infinito con la congestión (Uno de los objetivos de diseño es mantener las colas pequeñas. En un segundo escenario con un buffer finito y BW=R en una línea en la que no hay errores y el emisor ret ransmite los paquetes perdidos por descarte en el buffer los efectos de la congestión dependerán de cómo se realiz an las retransmis iones. El caso ideal es que el emisor solo envía cuando el buffer está libre Lin= Lout y habría que tener un timeout ideal de tal forma que solo s e retransmita cuando hay una pérdida real. Si retransmitimos prematuramente los paquetes, para un Lout fijo neces itaremos un Lin m ayor. Es decir para conseguir un buen throughput hay que transmitir más trafico del necesario. Las retransmis iones inneces arias provocan grandes retardos e implican una utilización peor. En un tercer escenario en el que tenemos varios emisores y un camino con varios saltos puede ocurrir que cuando un paquete es descartado todo el ancho de banda consumido en sa ltos anteriores es desperdiciado incluso ser 0. El problema es que hay demas iadas fuentes generando demasiado tráfico para el dimens ionamiento de la red, se emplea el control de congestión para proteger la red Tenemos dos tipos de control de congestión: en bucle abierto y en bucle cerrado: En bucle abierto exige tener un conocimiento a priori de la red, y no es una técnica adaptativa. No es eficaz a baja carga y requiere un control de admisión (sin realimentación) En bucle cerrado existe realimentación y técnicas reactivas o adaptativas. La red puede notificar la existencia de problemas mediante notificación implícita (inferido en el emisor por perdidas y retardo) o notificación explicita (los routers envían información al origen). 2.T IPO S D E RESPU ESTA : M IM D, AIAD , MIMD , M IAD. Para solucionar un problema de congestión debemos ajustar el rate del tráfico generado. Estando en bucle cerrado no sabemos que reajuste debemos realizar en el reate y queremos conseguir la m áxima eficacia, sin oscilaciones y con imparcialidad. Podemos suponer una respuesta binaria F(t)={0,1}; 0 si NO hay congestión y 1 si hay. Suponemos una reacción con un rate con evolución temporal lineal donde A son las componentes aditivas y B las multiplicativas: El mejor es el caso A IM D, ya que cuando la cos a va bien crece aditivamente, mientras que cuando va mal disminuye multiplicativamente. Vamos a comparar ahora M IA D con AIMD : Cada eje representa un cliente de la red. Cada punto (x,y) repres enta el reparto de la carga de los clientes. La sumatoria de la carga del sistema no debe exceder unos ciertos límites ³Efficiency Line´ La carga es la misma para todos los puntos que formen una línea paralela a dicha línea. Pretendemos s iempre que nuestro s istema se acerque lo máximo posible a esta línea. Para que la carga consumida por el cliente 0 sea igual a la consumida por el cliente 1 los puntos deben encontrars e sobre la ³Fairness line´. El punto óptimo por tanto es la intersección entre eficiencia e imparcialidad. La técnica AIMD lleva el sistema a la zona deseable: el rate de ambos clientes va convergiendo. Una alternativa seria emplear funciones no lineales o un feedback no binario. En internet (TCP) emplea una variante de AIMD . M IAD converge hacia la parcialidad y siempre premia a la fuente que de partida está mejor s ituada. Es importante que la frecuencia de actualización s ea igual a la frecuencia del sistema RTT0=2xRTT1 (caso más realista de heterogeneidad). 3.CONTRO L DE CONG ESTIÓN BA SADO EN RATE O VENTANAS.

Dado que TCP (fiable) va m ontado sobre IP (no fiable), no es posible garantizar un establecim iento o cierre de la conexión fiable. Por ta nto, es necesario a rbi tra r un mecanismo o secuencia de mensajes pa ra es tablecer la conexi ón (handshake a 3 bandas) (VER DIBUJO). Comentem os algo de l os números de secuencia: El ISN (Ini tial Secuence Number) no es aleatorio, si no más bien predecible: el está nda r recomienda que el ISN se proponga a pa rti r de un contador que s e incrementa en 1 ca da 4 us . De es ta ma nera, resul ta muy fácil averiguar el ISN de una conexión e i nterceptarla suplantando a al guno de los dos pa rti cipantes. y Cierre de conexión (liberación de recurs os)

Esto se traduce en que tenemos un ancho de banda garantizado.Además, si la fuente está conform ada por un cubo de tokens (r,b) y el conjunto de routers implementan un planificador WFQ, tendremos un delay acotado. Por tanto, si tenemos BW garantizado y un delay acotado, tendremos QoS garantiza do. Veamos como acotar el retardo extremo a extrem o. Sea b el tam año del cubo de tokens en bytes, sea r la velocidad de generación de tokens en bytes/s, el tráfico máxim o de salida del conformador será en el intervalo T: b+rT b ytes. Si Rj es la velocidad de transmisión de la línea j, usando un conformador de tráfico con un cubo de tokens y una estrategia de planificación ³WeightedFairQueueing´, tal que el peso para un flujo dado garantice que se pueden tener R bytes/s, el retardo extremo-extrem o D verifica:

Una entidad solicita el cierre, y l a otra res ponde con un ACK, con el fla g FIN a 1 o a 0. Si FIN=0, la conexión en el senti do invers o no finali za (quedan datos por enviar). Después, para fi nalizar es ta conexión, es necesari o otro ha nds ha ke pa ra cerra rla (en TCP para cierre de conexión s e hace un handshake a 4 bandas). Como no hay ga rantías de que el ACK llegue al otro lado, se acti va un meca nismo de timeout , en el que se espera un tiempo igual a 2 MSL (Ma ximum Segment Lifetime); tra nscurri do este tiempo, la conexi ón fi naliza (si se pierde el ACK, la otra entida d repi te el mensa je FIN antes de que pas e 2 MSL).

TEMA 3 R O. CALIDAD D E SERVICIO (QoS). Introducción El problema a plantear es el siguiente: ¿qué tengo que añadirle a Interne t para garanti zar cierta QoS requerida por ciertas aplicaciones? Definam os QoS: es un parámetro multidimensional que caracteriza lo que demanda la aplicación y/o lo que ofrece la red. Principios de calidad de servicio en Internet: QoS El objetivo es añadir nuevos componentes arquitectónicos a Internet para aislar a las aplicaciones de los problemas relativos a la QoS. Veamos varios escenarios ejemplo: - Escenario 1: Una aplicación telefónica de 1Mbps y una aplicación FTP comparten un enlace de 1.5Mbps. Las ráfagas FTP pueden saturar el router -> se descartan paquetes (audio perjudicado). Es deseable distinguir y priorizar el tráfico de audio frente al de FTP. Necesitamos C LASIFIC AC IÓN y PLANIFIC AC IÓN. - Escenario 2: El escenario anterior, pero suponiendo que la aplicación que requiera reserva de recursos incum ple su compromiso de 1Mbps -> perjuicio en exceso al tráfico no prioritario. Es deseable tener una entidad que supervise esta situación y actúe si es necesario. Necesitamos SUPER VISIÓN. - Escenario 3: El mismo, pero suponiendo una supervisión estricta (asignar una fracción del ancho de banda a cada flujo o cada clase, y no modificarla) -> uso ineficiente de los recursos si uno de los flujos no utiliza su ancho de banda. Necesidad de SUPERVISAR C ONSIDERANDO LA OPTIMIZACIÓN DE RECURSOS. -Escenario 4: El mismo escenario. Cuando la demanda de recursos es superior a lo disponible, ¿qué se hace? ¿Y si hay varias aplicaciones que requieren QoS y no hay re cursos para atenderlas simultáneamente? Necesitamos CON TR OL DE ADMISIÓN (las aplicaciones declaran sus necesidades, y la red puede bloquear la retransmisión de paquetes si no puede satisfacer las necesidades. Conmutación y QoS - Clasificación: Determinación del contexto al que pertenece el datagram a. Hay 2 esquem as. Monocam po: en el contexto de IPv4, la IETF ha definido el campo ³ToS´ (Type o f Service) para utilizarlo como diferenciador de prioridad o clase. C omo son 6 bits, son 64 niveles de prioridad. En el contexto de IP v6 se utiliza el campo ³TC´ (TrafficC lass), definido para este fin.Multicam po: esta estrategia no está estandarizada. El conte xto del datagrama se establece según varios criterios y/o campos. Lo im portante es que el mecanismo de clasificación debe evitar cualquier tipo de retardo o encolado. Por ejemplo, podemos clasificar utilizando los campos ³dirIP´, ³protocolo´ o ³puerto ´. - Control de adm isión, supervisión y m arcado: Tenem os que caracterizar el tráfico generado mediante un descriptor: Velocidad media VM, velocidad de pico VP, duración máxim a de ráfaga DMR . Estos parámetros describen un perfil de tráfico. Por otro lado, introducir mecanismos de control de admisión implica determinar si hay recursos disponibles y posteriormente monitorizar el tráfico generado. Tenemos 2 aproxim aciones:

Para es pecifi car un protocol o lo i deal es especifi car un diagrama de estados fini tos .

1.3.3. Control de errores y de flujo En TCP se ha implem entado el control de errores /flujo con un esquema basado en realimentación ARQ con ventana deslizante con confirm aciones positivas y acumulativas. El tam año de la ventana es variable/adaptable, reali zándose as í el control de flujo. Los campos involucrados en el control de errores : Secuencia: el offset (en Bytes ) dentro del mensa je ori ginal . Checks um : i ncl uye ca becera TCP + datosTCP + pseudo-cabecera IP . Se incluyen las cabeceras de di recciones IP de origen y des tino. Acuse: nº de Byte espera do en el receptor. Bit ACK : del campo de control . Si se produce y detecta un error, el mecanism o de recuperación se basa en tim eouts : cuando no se entrega un mensaje, el receptor no ha ce nada y espera a que se dispa re un timeout de algún conta dor que le indique el fallo y soli cite la retrasmisión. Escenarios de Retransm isión Algunos eventos que generan ACKs: Ahora dis cuti rem os cóm o estimar el mejor i nterval o para el timeout : si es demasiado corto se dispara rán m uchos timeouts prema turos y si es muy largo, habrá que espera r ante la pérdida de segmentos. La mejor s oluci ón es la a dapta ble. Cua ndo ini ciamos un segm ento, iniciamos un contador y medimos cuánto ta rda en vol ver el ACK. Es te es el RTT (Round Tri p Time), y a la medi da la llama remos RTTmedido. Es obvi o que TIMEOUT > RTTmedido. donde RTTviejo = m edia de lo anteri or A pa rti r de es te RTTnuevo/es timado, el TIMEOUT se cal cula como: × donde Des via ción es un margen de confianza

La congestión se puede controlar en bucle cerrado de dos formas : M ediante RATE el emisor transmite a un bit-rate El formato del pa quete SCTP es el si guiente: dado y no lo modifica hasta que es ³notificado´ por la red, es un metodo sencillo y agresivo La etiqueta de inici o identifica a la asociación. puesto que no se detiene si no hay realimentación La ventana de recepción, con 32 bits, es tá amplia da respecto de TCP (puede dar lugar a situaciones no deseadas (que tenía 16). Hace control de flujo. puesto que si no llegan notificaciones se Para el control de errores , se usa el TSN (Transmission Sequence bloquea). Number). Numera los troz os de datos (no l os de control). M ediante VENTANAS el emisor envía mientras Para gestiona r el multihoming , s e utili za n los cam pos parámetros la ventana se lo permita. Cada paquete enviado opcionales , que pueden ser de de diferentes longi tudes (en Bytes ). va cerrando la ventana y se detiene cuando la ventana está cerrada hasta que no haya y Ges tión de una asociaci ón realimentación. Es conservador puesto que no se generan paquetes hasta que los anteriores no Una vez es tableci da la asociaci ón, una entidad SCTP puede s er multihoming , son servidos. La des ventaja es que puede teniendo disponibles va rias IPv4 y/o IPv6. No permite el envío en paralelo de funcionar a ráfagas y ser bloqueante. Si la paquetes S CTP. Todos los paquetes se envía n por una IP, por defecto, denominada ventana es pequeña perdemos recursos y se convierte en S&W. Lo ideal es una ventana PRIMARY PATH . Ca be des taca r que las retransmisiones se pueden sobre otros adaptativa =RTT*BW. caminos, si existen y es tán acti vos . Pretendemos que no haya bloqueos, pero que no se genere congestión, con RTT*BW damos tiempo a que el ACK vuelva Por las otras IPs disponibl es se envía n HEARTBEATS (la ti dos), mensa jes utiliza dos pa ra co antes de que se cierre la ventana misma IP por la que se envi ó el H EARTBEAT. Si el núm ero de HEATBEATS no contes tados o 4. N OTIFICACION IM PLÍCITA. NOTIFICACIÓN nº de retra nsmisiones supera n un umbral, el camino pasa a inacti vo . EXPLÍCITA. La notificación explicita es menos agresiva y no s e recom ienda.--> 1.)Choke Si el PRIMARY PATH cae, se conmuta és te a otra dirección dis ponible, sin termina r packets: va desde el router al emisor (Source Quench en ICM P): es rápido y la asociaci ón. Ca da IP del mul tihomi ng tiene asocia do un esta do: ACTIVO , preciso, es costoso para los routers, generar más paquetes aun en sent ido INACTIVO o PRIMARY PATH . contrario no es aconsejable y es un s istema poco escalable. 2.) Realimentación explicita del rate extremo a extremo (celdas RM en ATM) Una IP activa envía/recibe HEATBEATS/H EARTBEATS ACK. se generan cedas de control para que los routers es criban salto a salto el rate Una IP inactiva NO envía/reci be HEATBEATS/H EARTBEATS ACK disponible y al llegar al destino se informa al emisor. El cálculo es costoso. 3.)Control salto a salto cada router informa al salto anterior y se realiza el y Cierre de una as ocia ción control, hay posible efectos de parálisis y no se usa excepto en s istemas reducidos. Se trata de un handsha ke a 3 bandas : Con notificación implícita el emisor debe adivinar s i las pérdidas experimentadas se deben a congestión o a otras causas (errores). 5. IM PARCIALIDAD. En el mensa je SHU TDOWN, se confirma el úl tim o Byte recibido consecutivo, NO El objetivo es que si K sesiones comparte un enlace con ancho de banda R, el hace repetición selecti va (como ha ce SCTP con los da tos). Además , hay al gunos control de congestión debería proporcionar un media un rate igual a R/K , para mensa jes (trozos ) pa ra ges ti ona r errores en las conexi ones/des conexiones : s on l os cada ses ión. M edir la imparcialidad es sencillo si la demanda de todas las trozos ABORT (6) y ERROR (9): i ncluyen campos Cause , pa ra i ndi car por qué se fuentes es la misma, pero si tenemos N conexiones cada una con un rate X i, produjo el error. suponiendo que todas tienen la misma longitud: es un factor que me indica cuan lejos estoy de la imparcialidad. y Tra nsferencia de da tos La imparcialidad a nivel de transporte no implica imparcialidad a nivel de aplicación, nada impide que una aplicación abra conexiones en paralelo entre Tenem os 3 conta dores : dos host tal y como hacen los navegadores Web. TSN: cuenta trozos de da tos . Es un ra ndom especi fi ca do en el INIT. Las aplicaciones multimedia que no usan TCP no les conviene retardos por Stream Identifier: conta dor que empieza en 0 e identi fica a los realimentación de control de errores y control de congestión. UDP dis ti ntos s treams . Ni vel extra de direcci onamiento (si se tra ta del generalmente emplea un Rate constante aunque se toleran algunas perdidas y se está empleando T CP Friendly con el que se asignan recursos siempre por s tream de audio, el de vídeo, etc.). debajo de lo que haría un TCP SSN (Stream Sequence Number) : numera los trozos de datos 6. CONTROL D E CONGEST ION EN TCP. perteneci entes al mismo stream . TCP es un sistema extremo a extremo sin intervención de la red en el que se sigue un principio de cons ervación de paquetes. No se envían nuevos paquetes SCTP es orientado a mensajes (mientras que TCP es orienta do a Bytes ): la hasta que no salgan los antiguos. El emisor adopta un control de congestión a pli cación genera un mensaje y es pera que se entregue tal cual en el des tino. Pa ra basado en ventana (CONG WIN) gara nti zar es te servi cio, los trozos de da tos utiliza n 2 fla gs: El emisor limita sus envíos de tal forma que se verifica: Bit B (Begin): i ndi ca que el trozo es el comienzo de un mensaje. LastByteS ent-LasByteAcked”CongWin; Bit E (End): i ndi ca final de un mensaje. Flag U (Unordered): el trozo i ncl uye total o pa rcialmente un mensaje

Donde              Solo queda destacar lo que significa cada término: el primer término, es servir una ráfaga en tiempo 0 de máxim o tam año (peor caso); el segundo término, es lo máxim o que tardan todos los routers en enviarme el paquete; el tercer término, está relacionado intuitivamente con el máximo tiempo de espera (peor de los casos) para lo servido en cada router. Modelos de servicios de la red - Internet de servicios integrados. Protocolo RSVP: El modelo de SI fue propuesto por la IETF. La idea es asegurar que un flujo reciba una QoS demandada. Para ello hay que realizar una solicitud/reserva expl ícita de recursos. Vamos a ver qué im plica este mecanismo de reserva: Clasificador de paquetes en los router (hay que distinguir las clases); control de admisión (hay que determ inar si se dispone de recursos); supervisor, gestor y planificador de paquetes; protocolo de señalización (para llevar a cabo la comunicación necesaria para demandar la QoS). El protocolo de señalización utilizado es RSVP (ResourcereSerVationProtocol). Éste se basa en:1) C ada fuente caracteriza su demanda (mediante descriptor de tráfico), 2) Se reservan los recursos (problemas de tarificación y de interoperabilidad entre operadores), 3) C ada router en el camino tiene que hacer: 3.1) Mediante el módulo de routing determinar el siguiente salto que verifica la solicitud, 3.2) Usando el ³control de admisión´ determ inar si tiene suficientes recursos, 3.3) Una vez admitida se actualiza la BBDD de control de tráfico , 3 .4) Cada flujo, una vez clasificado, recibirá de acuerdo con la BBDD un tratamiento diferencial en el planificador (un peso). Vamos a estudiar el mecanismo de señalización de los extremos a la red para realizar la demanda de reserva de recursos. C omo la reserva se hace por cada flujo, esto putea la de los routers. El protocolo es complejo, pero es muy operati vo y funciona bien. Antes de hacer la reserva, el emisor tiene que especificar su flujo. Esto lo hace mediante un descriptor de tráfico (esto ya es terminología R SVP). U n descriptor de tráfico incluye: 1 Quien es el flujo (filterspec es la cla ve para el clasificador), 2 Cómo es el tráfico (caracteri zar el perfil de generación>cubo de tokens (tspec), mediante 5 parám etros: b=TMR, 3 r=VM, p=VP , M=tamm axpaq y m =tam min paq), Qué demando (se especifica en términos que conocemos: BW y delay (rspec)). servidor DN S. Este servidor DNS, si no puede resolver Ó  Ó  

es to quiere deci r que su des com posici ón en factores ( de z y d ) no tenga n fa ctores en común. de ma nera que se evi te el a ta que man-i n-themiddle ( 4 es quemas = clave simétri ca . y Servicio de correo electrónico. tam poco el nombre. Se invoca con > tel net [IP/nombre] [port] (23 por defecto). según cri teri o de prioridad La norma RSVP-TE permi te usar los mensajes PATH como Lebel Reques t. Necesi tamos añadi r la identifi caci ón de puntos finales . DNS es un servici o end-to-end que reci be en los hos ts. trans ferencia y cierre. l a res pues ta del DNS sería del tipo clase=A. Es te mensa je se envía peri ódi camente en ambos sentidos de la sesi ón. que a s u vez necesi ta a utenti car Centro de dis tribuci ón de claves (KDC): Usando el reto respues ta se obli gaba a que A debe tener N^2 claves para N conexi ones . 0-9 . Lo úni co que le fal ta a es to es que no hay una forma de dem os trar que la cla v públi ca es tá e gara nti zada y no se la pueda i nventa r o cambiar alguno de los 2 usamos el certi fi cado di gital . Cuándo un cliente (res ol ver) soli cita una resolución de nom bres a su servi dor puede ocurri r: Respuesta con a utori dad: el servi dor tiene a utoridad sobre la zona en la que se encuentra el nombre solici tado y devuel ve la di rección IP. Tras eso. si la IP es es table . de manera que si no lo conoce tiene la obliga ci ón de conocer todos sus hi jos . lo que hace que sea bas tante tol erante a fallos . Los objeti vos perseguidos s on: Receptor puede a utenti ca r al emisor No repudio. DN S es uno de los primeros protocolos creados. Procedimientos de resol uci ón: Resolutor local: Lo pone el sistem a operativo para que gestiona la caché . Di rem os que un sis tema está comprom etido si encontramos un al gori tmo que reduzca la complejidad de la fuerza bruta . s ecreto). ACK. Se evita el m ensaje RST del suplantado mediante un ataque de denegación de servicio. SCTP incluye la posibilidad de m iltihoming: si emisio y/o receptor disponen de una dirIP puede enviarse una misma secuencia de paquetes por las distintas IPs. simpli fi ca ndo todo. Posible medida de precauci ón: ha cer dos preguntas DNS. Una vez le ha llegado el recurso al cliente. la velocidad de transm isión TCP será x(p)=(1/p)/T=(1/R TT)sqrt(3/2p) paq/s Funcionamiento de los mensajes PATH y R ESV de RSVP para garantizar un retardo acota do extremo a extremo ¿Qué elementos deben te ner los routers intermedios? La demanda de la reserva se origi na en el receptor. La publi ca ción/suscripci ón funciona de ma nera que pueden es tar cliente y servidor fuertemente desacopla dos . de ba jo coste computa cional querem os E(). jerá rqui co y es calable de transla ción IP <--> DNS.P) es una firma ci frada con la cla ve secreta que no compa rte con nadi e si la hipótesis se ma ntiene como nos fiamos del BB A es quien tiene ga ra ntías. K=log2(O/S+1) Ejercicio de los r outers En primer lugar. Cada ci erto tiempo es tablece una conexión al puerto correspondiente en funci ón de usa r IMAP/PoP. y R 3 al cliente A.. lo normal es que tenga all ow from *. la inversa y di recta y comprobar la coherencia en las respues tas . trasla da la peti ción al servi cio raíz y este. y se le pueden pasar varia bles vinculándolas. y necesi tam os pasa rle el control al So esta se encargará de traducirl o a ensambla dor. DATA . Tiene cua tro estados : No a utenti cado ( A). En el modo main . Lo normal es que no se tenga el registro. todo segmento TC P que no sea dato tiene un tiem po de tramision despreciable y no se entra en la zona de pre vención de congestion. PGP es un protocol o de correo seguro que ha ce doble ci frado con hash. hará lo m ism o. El domini o ra íz está gesti ona do por el ICANN. y homeless type. crearíams una conexi ón TCP. Z= (P-1)* (Q-1). DOBLE CIFRADO: Cada entidad tiene dos cla ves : A ( Kpub. si el objeto es pequeño y el R TT es relativamente grande. y Sistemas de nom bres de dom inio: D NS. El objetivo es es tablecer una cla ve secreta entre ambas entidades. Para mejorarl o se emplea un encadenamiento de sistemas D ES de tal forma que ahora la salida no dependa sol o de la entrada en el mismo insta nte si no tam bién de la salida a nterior (D ES doble y 3D) se emplea más lógi ca y es menos s us titutivo IDEA (Interna ti onal Da ta Encrypta tion Al gorithm ) D()=E-1(). ±Source R outing: utilizando esta opción de IP. ±Se generan tokens de forma periodica a la velocidad media a supervisar. y así es como se s uele especi fi car. coger un mensa je y env rlo otra vez para que el que lo ia recibe piense que eres tu. MPLS esta pensado para enruta r en el core de la red. consulta al raíz otros servidores . estacionalidad. Se basa a en el envio de mensajes Hello. Permi te un uso muy efica z en a taques a la integri dad. cuy a propiedad princi pal es que sol o s e puede hacer en un sentido. mediante una función lógi ca . ¿qué Por úl timo para da rle al go más de integridad se usa el Hash. da do el mensa je. que aún si gue siendo válido fncional y trans pa rente ( tiene entre 10^3 -10^9 redes). CC: hi pervíncul o. Firma digi tal .t. Hay un s pool o cola de correo saliente. y SMTP: Sim ple Mail Transfer Protocol: Usa servi cio de transporte FTP y se si rve siempre en el Puerto 25. y el al gori tmo i nvol ucra do es IKE. contenido que depende del cam po TIPO. y en 1. BB des cifra KA y cifra a B con KB. que consis te en a ñadi r una cabecera o eti queta extra . La rela ción de adya cencia es soft-s ta te (s e manti ene una relación de adyacencia refres cando peri ódi camente con mensa jes hello). 2 FEC di ferentes pueden tener un tra tamiento dis tinto fuera de los extremos del túnel(esto requiere añadi r una columna adi ci onal a la ta bla . SSH . as ociando una eti queta a ese FEC. No se ha n informado de debilidades frente al criptoa nálisis lineal o algebraico. usa cookies (exi ge). si el objeto es pequeño y el RTT moderado(no es tan severo. Pa ra ello. que no guarda el es ta do ( informaci ón sobre soli ci tudes anteri ores).t. Pa ra cada máquina ha y 10-15 s ervi dores DN S. a utenti cado (A). pero lo tiene en la ca ché. C onsideraciones: 1)el numero máximo de paquetes cumplidores que pueden llenar el intervalo de tiempo t es rt+b. con m ucha cobertura y sea de fá cil ma ntenimiento. Se define un TLV para especi fi ca r pa rámetros de QoS Ges tión de reasi gna ción de recursos y priori dades: si se dema nda n recursos y no se dispone de ellos . Requisi tos : Necesi tamos que sea reali zable.(bi t F=1) Flag F: indi ca que la noti fi cación de error debe propaga rse. PoP: Post offi ce protocol : Dow n a nd delete. 1. Cookie=com pendi o (Ipori gen. MD 5 ( Messa ge Digest 5 ) : Es la forma de ha cer l os resúmenes de 128 bi ts. que no es ta i ncl uida en la tabla LFIB del router. de los que el servi dor tiene toda su informa ción y es su a utoridad.5 VU LNERABILIDADES: SYN ATACKS: Consis te en aprovechar que en el es tablecimiento de la conexi ón hay conta dores de 75 s pa ra la devolución de SYN+ ACK . A manda A. Por tanto la MTa tiene rol doble: interacciona con us uari os y MTA rem ota . definiendo una nueva cabecera. tupla de ti empo. Se puede simplifi car mejorá ndolo en el sentido de que enviamos tres mensajes en vez de 5. un val or i ndi ca si n s oli citud y el otro bajo dema nda . El diagrama es SYN. lo cual es al go inevi table.g^x m od n. Accesibili dad: El sis tema debe ser accesi ble. Soli ci ta tra nsacci ón con a HTTP: usa GET-POST-HEAD -PUT-DELETE. Las soli ci tudes se llaman reques t line . Siempre hay esa rela ción solici tud respuesta o quering. que son más complejos computa ci onalmente habla ndo. Es un protocolo orienta do a texto mientras no se diga l o contra ri o. A di ferencia de TELN ET.Q}. consistente en un á rbol de DN de forma que todos están jera rqui zados . ca nti dad imposi ble de manejar con l os medios informá ti cos a ctuales. a briendo un a gujero de segurida d. de modo que el des cifra do sólo puede ser realizado por a quell os que conozca n la cla ve concreta utili zada en el ci frado. y este al cliente que la demando. 2)los paquetes de entrada son no cumplidores si no hay tokens en el cubo. El t es el nonce. de ba jo cos te com putaci onal y que sean sencillos. pero darl es el mism o trato en el core MPLS permite tunela r. Pa ra ello se usa una autoridad .O rem oto. Al conjunto compl eto de todos l os nombres de domi nio de un árbol se le llama zona . son los da tos . ya que la gestión E/S del SO se basa en a bri r-leer/cerra r-escribi r. y s u clase de servi ci o. de maner que no va a tener ningún tipo de comportamiento a nómal o. Hay dos aproxima ciones : Sin soli citud expli ci ta : cada LSR a nali za s u tabla de routing. Algunos tipos de ata que son: Sni ffing: Es cuchas ( husmear): Herramientas que permi ten la ca ptura de todas las transi ci ones. número alea tori o. por tanto. que está residente en el servidor remoto. se generará una resolución iterativa. el servidor ofrece una consola tras l ogin y password como estuv ésemos en el S. G ET. 5) Val or. Es persis tente y usa pipeli ning. La a utorida d se puede delegar jerá rquicamente a otros servidores . 1. ya que TCP reserva recursos nada mas recibir una mensaje SYN. pa ra evi ta r a taques por denegaci ón de servici o. de ma nera que tu ma rcas el tiempo y formas un ma rgne de confianza de recibir mensa jes primer problema : relojes sincroniza dos y conges ti ón. la cual la conoce todo el m undo. pero es to no se hace entre MU AS. Sea P=nºparadas=m in{k-1. ya que sería 38 necesa rio proba r 10 cla ves . Tras eso. En es te modo. que es la metodol ogía pa ra reverti r el proces o. Viene de inicialización y guarda registros aprendidos. A eli ge una serie de números x. ci fra do con clave secreta ( id des tina tario. En cuanto a las a utoridades de certifi ca ción (AC). Anunci os : es tos mensa jes si rven para crea r. no s e procesa pa ra i ni ciar una sesión porque sabemos que va a generar error. PROCESO GEN ERAL: Si R= hash(P) es tamos garanti zando integri da d ( no repudi o. Cua ndo se recibe un Lebel Mapping sin s oli citud. NOTA: El get es el que más se usa . ±DN S Attacks: suplantar servidores DNS reales Que tipo de respuesta adopta TCP Adopta un cc que es básicamente una variante de AIMD basado en ventanas con notificación implícita en el que los timeouts(o 3 ACKs consecutivos) siempre son interpretados como perdidas De que factores y en que m edida de pende la velocidad de tra nsmisión en una fuente TCP Suponemos: no inicio lento. se ma nda por todas las interfa ces de salida (menos por la que llega) PROTOCOLOS DE SEÑALIZACIÓN La norma LD P intercam bia 4 ca tegorias de m ensajes entre pares de LDP(un pa r LDP son dos LSRs que usan LD P pa ra i ntercambiar etiquetas ) Des cubrimi ento: se usan para ini cia r una rela ción ady cente entre 2 LSRs. Suponemos un modelo periódico: -nº paque tes enviados en un periodo es 1/p. es deci r: B di ce que A ha genera do P dis ti nto de P para demostrarl o tendría que usa r Kbb(A. y es muy importa nte pa ra que no ha ya repudio. nos aseguramos que sea i na ccesi ble. Tam bién hay otros mecanismos disti ntos como RSS o APLC. También pa ra evi tar bucl es . Es con la tupla con l o que se ve y se demuestra que es l o que ha pasado realmente.x. pero s ólo es des cifra ble con la pri v da de B. evita bucles de alias.. Nota: Tam bién exis ten ls regis tros PTR( una clase). Se incluye un cam po Messege Identifier con la ID del mensaje que produjo el error La norma CR-LDP aña de nuevas funcionalida des: Opera siempre en modo ba jo demanda Permi te hacer un encaminamiento expli ci to des de el ori gen. Si tenemos una apli caci ón en C. Cómo cada usua ri o tiene s u clave públi ca y privada . Pa ra evi tar esto. 2 va ria ntes de clave públi ca . Si no hay errores. B coe la tupla. res pondiendo falsamente a soli ci tudes DNS inversas ( dada una IP obtener el domi nio). As í el otro extremo asocia dirIP<->LSRID . SMTP Protocolo de envío de correo PoP o IMAP Protocolo de des carga / lectura de correo. hace que sea i rreversible. El campo opcional Lebel TLV sirve para eliminar una eti queta especifi ca pa ra la FEC. el LSR con ma yor ID ini cia una sesión TCP para i ntercambia r mensa jes LDP. La autoridad tiene Kpri vAut y KpubAut.t. La segurida d es un probl ema de la falta de saber. y l os mensa jes RESV como Lebel Mapping. de pronto entramos en una zona de seguri dad se esta blece esa asocia ción de seguridad entre dos routers sin necesida d de que sea extrem o a extremo. si nuestro servi dor no la conoce. audi o. este anali za la respuesta tras el get. Es in band siempre ha y un proceso que a tiende ese puerto. En primer lugar. por ejemplo. Kb(RA). Se han encontrado algunas cla ves débiles . se debe noti fi ca r error. Bási camente. no hay retransmisiones.6 Protocolos de comuni cación seguros : Nivel de red: IPSEC Nivel de trans porte: SSL Nivel de a pli cación: PEM . Kpri v). Sesión: una vez intercambiado el Hello y es tablecida la conexión TCP. Implica recurs os a ñadi dos(memoria). Es considerado por muchos como uno de l os cifra dos en bloque más seguros que exis ten. un úni co sentido. IP SPOOFING : Consis te en la suplantaci ón de la IP ori gen en el esta blecimiento de la conexión TCP. Se ofrece siempre el puerto 53. MX ( regis tro que define un servi dor de correo electróni co). el TTL es muy al to. y si no lo conoce traslada la petici ón ( ha ce un query a otro servi dor). y en ca da zona . en un objeto llamado AdSpec. Si por Explicar las difere ncias entre SCTP y TCP al transferir datos La diferencia mas im portante que introduce SSCTP es la siguiente: m ientras que TCP necesita una conexión por cada fluojo de datos. mul ticast. IMPLEMENTA PIPELINING ).dominio. l os mensa jes Hell o pueden incluir Configura tion Sequence Num ber. Hay un mecanism o aña dido de ma nera que en el cliente se guarda informa ci ón s obre esa historia .FIN. ya que pueden da r servi cio a varios clientes de forma simul tánea. de ma nera que el KDC ha ce de intermediario. que permi te qui ta r el l ími te de 64 KB. se res ponde con un mensa je Lable release. pero con bloques de 160 bits huella genera da es de 160 bi ts.n.n). No importa el a coplamiento espacial y temporal .es) al cual le corresponde ese registro. +/).Q). que incrementan el número de secuencia en tel net). (otro GET CLIENTE tras ACK). queremos evitar que es té comprometi do. No tiene cla ve K. la autorida d se del ega ha cia aba jo ( liberándose de la obliga ción de mantener y conocer l os servi cios). que tendrá la entra da y la salida del túnel. y también tiene buzones de entrada sol o a ccesibles al des ti nata rio del correo. certi fi cado di gital ). asi cua ndo se recibe un Hello con este cam po igual a otro Hello anteri or que cerro una conexi ón por un error. La Ka es la cla ve secreta entre A y BB. y Telnet. vam os a explicar un poco en que consiste las consultas recursivas e iterativas: el tipo de consulta depende del cliente. que es prim o) En primer l ugar. El cliente envía s oli citudes en texto ASCII. Q=nºparadas si el objeto fuera infinito y k=nºventanas que cubren el objeto« delay=O/R+2RTT+P(RTT+S/R )-(2^P-1)S/R donde Q=log2(1+R TT/S/R )+1. user Agent. IP ¿entonces no dejaría IP de ser necesa rio? NO. si solicito una resolución com pleta. tamaño del objeto es numero entero de MSS. el a taque por fuerza bruta res ul ta impracti cable. a utenti ca ci ón). según el model o cliente. Ofrece un servi ci o dis tribuido . Ejemplos: -SYN Attacks: ataque de denegancion de servicio. Para que una red de comunica ción sea segura se tienen que garanti zar todos los aspectos que son: Confidencialidad y priva cidad: Aspecto más clási co. Se tiene una base de da tos muy grande. com presión.1 se queda rá esperando. consultara a R 0(raíz). para evi ta r los a taques de repeti ci ón. etc.P) signi fi ca fi rma ci frada con la clave secreta de BB que no conoce nadie. 6. NS ( Regis tro que contiene un servidor de nom bres). En el casod e que hubiese un ata que de integrida d. El problema es que no tiene ma rca de ti empo podrá ser a ta cado fá cilmente. ) en Internet. uni cas t o. identi fi cados por las letras A-M. en cuyo caso el mensa je Hello puede dar mas de un sal to. Solo funciona si sa bems que B es B. IKE tiene modo Ks esión+SPI: Compa rten una clave de sesión y l o identi fi can mediante el SPI implica que ambas entida des negocian una K. incluso para R bajo. se la enseña ría al juez y con eso vería que ha pasado realmente Emisor quiere ga rantías de no-falsi fica ción ( i ntegri dad). RSVP tiene un ti po de mensa je PATH que informa s obre esta ca racteri zaci ón: va por la red sal to-a -sal to.close). se notifi ca un error con causa y s e cierra la conexi ón TCP. que eli ge un núm ero y y envía g^y m od n. de forma que al final l o encontra rá . por l o que la complejidad está en los extremos . no exis te una clave Ek(p ) que permi te desci fra r. El proceso pa ra ci frar y des cifra r es similar. Es el s oftwa re. Se esta blecen m ediante Di ffie-hellma n. Para evi tar bucles . Los ataques s on atentados contra la seguridad del sis tema. Robus te4z ante cri ptoanálisis . Es to se le ma nda al BB que responde . mediante el cual . por su parte. basado en el protocol o Needham Schroeder. que necesi ta Di ffie Hellma n. Tipos: Texto cifrado.. Esos campos se llama n nonce. Por ejem plo. En cambio si la consulta hubiera sido iterativa . cua ndo vale 1 si gnifi ca que el mensaje es de alguna funcionali dad extra y se puede ignorar si no se sabe procesa r. especi fi cado a cada IP. etc. is Permi te QoS. A (Regis tro que defi ne una di rección IP). por ejem plo ha y un sensor de tempera tura que publica periódicamente en un da taSpace las tempera turas del coche. Y es un protocolo de a utenti ca ci ón : guardián mi tol ógi co del a verno. llamada API. Tam bién hay un servici o ca ché pa ra mejora r las pres taciones que funciona con res oluciones recursi vas ( realimenta do) así se a ctuali za. Kpri v). Si un router recibe por dos rutas disti ntas una as ocia ci ón FEC<->La bel con eti quetas dis tintas. As í.3 s on protocolos que las entidades IP pueden usa r. y este le contesta una referencia a R 1. Entonces R6. La com plejida d de fuerza bruta está rela cionada con el ca rdi nal del número de cla ves habrá que proba r todas las claves n!. que al ll ega r a B tiene esa asociaci ón al revés : KpubA(KPRIVb©)=P.2. Es elás ti co.dominio. ha y dos modos de operación: Tra nsport: Permi te QoS al res petar la cabecera ori ginal . de manera que cada servidor es res ponsa ble de una zona que es un conjunto de nombres de dominiocontiguos. sal vo si ha y un túnel MPLS previamente es tableci do. En la cabecera i rá n las cookies . deci r que s on enti dades que ga rantiza n es o. se elige la mejo r opci ón y s e a ctuali za la ta bla(esto ti ene senti do cuando la nueva entrada llega por otra interfaz) Si es ba jo demanda . lo que es cribe en el terminal se escri be en el NVT que también es conoci do por el s ervi dor particularidades del cliente son independientes. para autenti ca rte delante de un funcionari o que vea que eres tu Tra nsposi ci ón: tenemos una cla ve K en función de la cual ordenamos las columa nas en orden cardinal tal que por el orden alabéti co de es ta por columnas. IPorigen-#PortOrigen. no compresión de cabeceras. vídeo. Se basa siempre en una hipótesis . Se usa el algortimo Kerberos.secret). ( 2 GET MAS D E CLIEN TE. si un tercero al tera el conteni do. no tiene des cifra do no colisión.GET. Si hubiese un repudio la cosa no funciona ría bien. ±Si el cubo se llena los tokens se pierden. se di vi de con relleno pa ra que se múlti plo de 512 bits . que consis ti ría en paquetes para reini cia r las sesiones . y le contesta una referencia a R 6. Rompe con el ca rá cter N oC.x . FTP: File transfer protocol: Tel net y FTP son pre-http y casi no se usa n a ctualmente. D ES utiliza también una clave criptográfi ca para m odi fi ca r la transforma ción. se procede como sigue: El router cons ul ta su ta bla LFIB Si la asociación FEC<->Lebel no es ta conteni da en la LFIB. de una forma segura ( feh) la autentia ci ón exige la hipótesis de que tenem os una cla ve secreta entre nosotros . que te exi ge que te pers ones con tu DNI . Por que es necesario tom ar precauciones de seguridad en todos los nive les de TCP/IP Son bastantes las vulnerabilidades que la arquitectura TCP/IP puede ofrecer.Q > 10^100: n=(P. siem pre peor cuando el R es mayor). pero pa ra a utenti ca r a B necesitamos una Ks. que ofrece un mecanismo de E/S rem oto: cliente se convierte en un terminal local del S. Supervisión. que mientras no conzca ese secreto no conocerá la cooki e y no podrá evi ta r la denega ción de servi cio. Source Routi ng: Usamos esta opci ón IP pa ra que las respues tas pasen por un hos ts accesi ble por pa rte del ata ca nte. consulta a R 0(raíz). ya que ha y una nueva sesi ón. dis tri bui da por muchos s ervi dores que contribuyen a esa base de da tos. Esto permi te di fernciar los pa quetes en la peri feria. cara cteriza su trafico y s us demandas(tSpec y rSpec). IMAP4: Internet Messa ge Access Protocol : Nos permi te trabaja r con el correo com o si fuese local. se cal cula un e tal que e*d mod(z)=1 Kpub = (e. Intercambi o de clases con Di ffue -Hellman: Es un mecanismo de esta blecimiento de cla ve secreta . SYN + ACK. y des conexión (D): y WWW y transferencia de H ipertexto ( H TTP) WWW es una aplica ción basa da en transacciones ( s olici tudes/res puestas). selecci ona do (S). Para eliminar eti quetas : Se envía upstream un mensaje es peci fico Lebel Wi thdraw Cua ndo un LSR reci be este mensa je: Modo conservador: genera un Lebel Wi thdraw ha cia arri ba Modo li beral : conmuta ra eligiendo un nuevo LSP Tras recibi r un LW. el receptor conoce toda la info necesa ria para a cota r el retardo extremo a extrem o. 216+1 = 65537. Identificar bajo que condiciones el inicio lento afecta más a la latencia en TCP El inicio lento puede increm entar significativamente la latencia: si el objeto es grande y el R TT m oderado solo si R es alto. Se conocen procedimientos para suplantar el ISN. contestara a R3. Son: 1º A. ha y una serie de llama das al sistema de ma nera que se encarga de ha bla r con el SO. Ma ntener un MTA/hos t de us ua rio es cos toso se usa una es tafeta central de clientes de a cceso remoto. y Extensiones MIME: Multimedia Mail Extension: Estas extensi ones i dentifi can que el correo en particular tiene da tos extendi dos : Permi te ca ra cteres no ASCII en l os mensajes Permi te mensajes más largos Define un conjunto extendi do de ca beceras Usa base 64 para codifi car . transa cci ón y actuali za ción. El texto de entrada con una clave que asigna a cada s ímbolo de entrada uno de salida . Los al gori tmos de clave secreta pueden ser simétricos (k=k ) o asimétri cos ( k dis t k ). haciéndole un a taque por reflexión. Ahora R 1. Para el encaps ulado de seguri dad de la ca rga también se exige el esta blecimiento previo de la autoridad 5. etc. read. Spoofi ng: Suplantaci ón de identi dad: a taque di recto a la a utenti cidad. Coge el da to ori ginal y lo ca rga a s us es paldas . es deci r. 6. el DNS siempre responda falsamente confía -enmi . ±El cubo tiene tam año b(tamaño de la ráfaga a supervisar). que a su vez. como si sabe resolver el nombre. haciendo que los mensajes de respuesta pasen por unos host accesibles por el atacante.2 CIFRADO. wri te . O/R para transmitirlo. envia r y recibir y l eer el correo ( son agentes de usuari o).Ipn) los routers si guen esas rutas en vez de las de desti no. El bit U de la ca becera s e utiliza pa ra añadi r funcionalida des extra : cua ndo vale 0. El modelo tiene un par de debilida des: 1) Rela ci ón C-S fuertemente a coplada en el tiempo ( s e tienen que ejecutar a la vez en tiempo real 2) Acoplamiento espacial ( cliente necesita saber IP servidor). esto generará una consulta recursiva. El cliente inicia mandando soli citudes y el servi dor respuestas. Para identificar la congestión s e emplea un ³timeout´ que indica pérdida y 6. A la salida del túnel se hacen las operaciones inversas : Para ga ra nti zar la autenti cación del ori gen e integridad de los da tos es necesa rio el protocolo de Cabeceras de a utenti caci ón y se exigen por tanto la existencia de una autori dad previa . puerto local y rem oto. HTTP usa TCP (Oa C) a ni v el de transporte. al hacer KpubB(KPi rvA(P)) como B no conoce la pri vada de A ahí es dónde se ve lo que ha ma nda do.x. Es End to End. que independientemente de las ca racterís ti cas del cliente.g y envía x. Cada zona debe tener . detecta . y le contesta una referencia a R2. Tam bién hay otro us o de DNS que consis te en determina r que máquina es el @domi nio. Se di ce que Kbb(A. Cliente tra duce a NVT. Irrepunciabili dad: U n sis tema no permi te el renunciamiento de la informa ción. Man in the middle: Hombre en medio ( interceptación): ponemos un intermediario que interprete el trá fico suele i r acompañado de un spoofi ng. se cierra conexión. Permi te fragmentación.5T/R TT(W/2+W)=1/p. La latencia esta compuesta por tres térm inos: 2R TT pasa SYN y solicitud del objeto.H andshake protocol: i ntercambi o de m ensajes para negocia r e impl ementar (al gori tmo de ci fra do. EL servidor envía respues ta y tras eso. Es s ím plex. se aceptan l os parámetros en el receptor. ha y que s ubi rlo has ta el ni vel que seam os capaces. Exi ge que una vez ha ya sido es tableci da la clave. hay servidores prima rios ( que obtienen copia mas ter de la base de datos ). que son procesos en un S. Res peta la cabecera origi nal . pa ra usarl o. autenti ca ción de servidor con cla ve publica -secreta) se genera la cla ve pri vada mediante Diffie Hell 2. en 1. no en las redes exteri ores o de a cceso. Además. Soluci ón 2: Incluim os en l os mensajes un mensa je que solo usa una v Si se repite.y. el otro extrem o parte de la hipótesis de que ha y un secreto compartido. Es to se sua v za añadiendo un campo #contador a la cabecera i RSVP. se le es ta qui tando es ta tarea al ni vel de red que sustenta . remota. texto pla no conoci do. Tiene tres fases: Saludo. s e intercambian mensa jes de i ni ciaci ón. lo malo es que en D ES/ID EA no tenemos la certi fi ca ción que si ha y en RSA.es Resolución inversa IP ¿nombre? Res uel to por una es tructura pa ralela . Basta con enviar mil SYN para llenar la cola y denegar el servicio. Se considera todo el da tagrama excepto los cam pos que cambia n a l o largo de la ruta para el compendio. Certifi cados digi tal es: Se quiere dar servici os que la fi rma normal no ofrecía . que dirá que es . La fuente. Ka clave entre KDC y A: Autenti caci ón y ci fra do de cla ve s ecreta : Repeti ción: L debilidad de los protocolos de reci bi r va rias veces uun mismo mensa je. si es audio. El puerto reservado para DNS es el 53. si no que hacer con él .. si no que ha y unas segundas enti da des MTA o mail trans fer Agent. Cifrado: es un al gori tmo que tra ns forma el texto plano basado en una cla ve tal que en tanto en cua nto no se conozca esa clave el sis tema es i rreversible: Asociado a el ha y un algori tmo de des cifra do. T=RTT. Tambi én nos asegura que B no pueda engaña r. consis te en que tengamos gara ntías de que el otro extremo es quien dice ser. y en la i terati va. que tam bién si rve de Queri ng.com con s u direcci ón IP. 13) dijo q no entraba el cal vo. La úni ca debilida d de esto es que A puede denunciar que le han robado la cla ve. Funciona de manera que al hacer una lectura de correo. por l o que se ha ce es : mandamos la cla ve secreta ci frada con la públi ca de B. Algoritmo del c ubo de tokens Es un procedim iento que sirve para supervisar el tamaño máximo de las ráfagas y la velocidad m edia. puede que se abra a utomá ticamente un reproductor. ±nº paquetes transm itidos en cada periodo esta relacionado con el area de la curva en un periodo: nºpaquetes=0. querem os que se ga rantice que ningún tercdero a cceda a esa i nformación Integri dad: Pa ra todo intercam bio de i nforma ción. Tam bién exis te una base de da tos asocia da de resolución inversa que sirve pa ra tra duci r di recci ones IP a DN. Se usa la misma clave para el cifra do y el descifrado pero son más efi cientes que los a nteri ores. Toda rela ción a ni vel de aplica ción en i nternet rela ci ona entida des cliente y servidor.x . y las paradas del servidor debido al arranque lento. El es cenario sería el siguiente: el ups tream ma nda un mensaje de solici tud de etiqueta pa ra una FEC especi fi ca . este genera una configura ci ón expli cita (keepalive) y su propio mensa je de ini cializa ción. mas efi cientem ente. cuando llega el PATH. Después se mejoró a Enha nced SMTP. Funciones de la API BSD : Los tipos de servidores se pueden clasifi ca r en orientados/no orientados a conexi ón y en iterati vos / concurrentes . la s oli citud de etiquetas se realiza mediante el mensa je Lebel Reques t.n). una públi ca y una privada . En la capa de a pli cación ha y procesos que tienen la necesidad de comuni carse entre sí.Ipdes ti no. Pos teriorm ente hay un intercambio de mensa jes a dress pa ra envia r las direcci ones IP de los routers o cual quier otra di rección que si rva de ID de un router(el protocolo prevé que no sea la dirIP la LPDID de mi router). as Noti fi ca cion de error: hay dos tipos de flags de error Error fa tal : el error ci erra la sesión. Se puede deci r que la i nterfa z Socket es el punto de pa rti da. B ( Kpub. texto plano). Esquema reto respuesta : Hola s oy A. ± En la zona de prevención de congestion la ventana crece 1 MSS por cada RTT. del numero de sal tos dados . al menos un servidor de a utorida d. que permi te a los usuari os componer. Una ve z adm itido un tráfico /flujo. todo es to lo necesita sa ber el receptor antes de hacer la reserva . Si el objeti vo es nombre. de forma que s olo cambia si el mensaje di ce algo nuevo. y Modelo cliente-servidor: N os si tuamos en la ca pa de apli caci ón. Hoy en día no se ha desarrollada o nada capaz de des cri fra r es te al gori tmo reduciendo el cómputo ( es imposible comprometerl o). que no tiene por qué ser lo de la cons ola . Texto a Cifrado=C=Kpubli ca (P) : KprivB(C)=Kpri vB(KpubB(P))=P RSA: RIVER SH AMIR VADLEMAN: Es un método por el cual creamos claves que res uél van los as pectos anteriores . Servi dor con responsa bilida d: Va de a rriba a bajo. En el caso de DES el tamaño del bloque es de 64 bi ts .o. y probabilidad p de perdidas. Marcado.. cabeceras de protocolos despreciables. a demás de recabar la info durante el tra yecto. ci frando con la clave priva da de la autori dad: KprivAut(A <--> KpubA) Solo la autoridad la ha podido guardar. En los da tos de a utenti ca ci ón ha y un com pendio MD5 o SHA fi rmado con clave secreta de la a utoridad. Reto de B A ci fra con clave K el reto de B Reto de A B ci fra con cla ve el reto de A Esto es pa ra comproba r que cada uno es quien di ce ser. elegim os la m ejor ruta ¿Qué hacem os con la asi gna ción FEC<>La bel que ya no necesi tamos ? Hay dos aproxima ciones : Liberal : la i nformaci ón s e gua rda o ma ntiene aunque no se utili ce. la longitud de clave efecti va en DES es de 56 bits . Por tanto. Al hacer un quering a una direcci ón IP (250. el servi dor DN S devuel ve otro servidor si el no sabe el regis tro ( sobre TCP tb). Incluye autenti ca ción. Tiene tres es ta dos : Autoriza ción. Esto requiere un nivel de direccionam iento extra: ha y que identificar el stram. Rate=CongWing/RTT(bytes/sec) CongWin es adaptable en función de la congestión percibida. Respuesta SIN autori da d: el servidor no tiene autori dad s obre la zona en la que se encuentra el nombre solici tado. es un protocolo out of band s eñali zación y da tos por dis ti ntas conexioesn( 21 pa ra señalizaci ón y 20 pa ra datos) comandos y datos por distintas conexiones .g. Queremos garanti zar la asocia ción identi dadclave con certi fi cados digi tales. ±Los tokens se eliminan al ir aceptando paquetes. Por configuración los So tienen servidor DNS. los paquetes que no cumplen su perfil se marcan. El procedimeinto es el siguiente: Se eli gen dos números primos muy gra ndes : P. Un certi fi cado es la asocia ción entre A y su clave públi ca . as í. Versión H TTP 1. pa ra esta r seguros de ell o. l o que ha ce es cifra rla con su cla ve. Deci r que con DH CP ca da cliente sabe la IP de ese DN S ( asocia IP DNS). que pa ra todo p dis tinto de p . TCP/IP pa rte del SO. se le ha ce desde el falso a A verdadero una denega ción de servi ci o no reci be SYN +ACK y no manda el reset. Los diseñadores analiza ron IDEA para medir su fortaleza frente al criptoanálisis diferencial y concluyeron que es inm une bajo ciertos supues tos .protocolo de señalización que v a utilizar MPLS a Las tablas de l os routers a partir de la cual se deci de el si guiente nodo y la etiqueta se denomina n Lebel Forwa rdi ng Informa tion Base(LFIB) Dado que ahora se enruta según MPLS. Normalmente. ±Los paquetes superan el test cuando hay suficientes tokens en el cubo. aunque en realida d. pri vaci dad e integrida d a ni vel IP. mediante DN S. Otra solución mejor : que los retos de A el conjunto de retos sea diferente de l os de B C(RA) intersección C(RB)=0. suplantando al otro extrem o con un ata que ma n in the mi ddle una vez ya hecha la cónex .ACK. deja ndo las otras operati v . los paquetes que no cumplen su perfil se rechazan. El dia grama es (Cliente primero) SYN . cada conjunto jerárquico tiene un conjunto de servicios. que el al gori tmo de cifrado no colisione. y siem pre empiezan as í. Otras vulnerabilidades : RIP ATACKS: Se pone una entida d falsa con coste mínimo . Versión H TTP 1. que pueden ser los certifi cados digi tales. se realizan con grupos de 16 bi ts y s on: Opera ción O-excl usi va (XOR) bi t a bi t (indi cada con un a zul ) Suma módulo 216 (i ndi cada con un verde) Mul tipli ca ción m ódulo 216+1. una fase que requiere de un conocimiento previo para la autentifi cación de am bos . Un usua ri o solo necesi ta una clave para comunica rse con el KD C. y es es calable. Puede que sea algo menos seguro porque se puede acceder a las Ips ( si hem os v to una pá gina que no debiera). excepcionalmente. Ges tión de la base de datos dis tri bui da y jerárqui ca: Está formada por un conjunto de servidores cooperati vos que alma cenan parcialmente la base de da tos ( BIND ). Los ocho bits res tantes se utilizan úni camente para comprobar la parida d. Conservador: pa ra poder reutiliza r las etiquetas se desca rta la informaci ón no útil . esa res puesta tendrá entre otras cosas extensiones MIME. pa ra que el router sepa cuando termina un túnel pa ra una eti queta dada ) Las eti quetas son asi gnadas y anunciadas de a ba jo a a rriba (en contra del senti do del tra fi co). También son ataques de denegación de servicio. de ma nera que podamos saber cuándo un paquete es una repetición. Propiedad de no colisión. Para identifi car: IP + SPI ( 32 bi ts ). el primer servidor DNS hubiera devuelto al cliente solo la IP del otro servidor DNS que si resuelve el nombre. Ata que fuerza bruta : es un procedimiento que consis te en ba rrer todo el espacio de posi bilidades . Puede i ncluir TLV opcionales: Hop Count: i ni cialmente a 1. con una serie de protocolos se comuni ca con la MU A remota . entre hos ts diferentes son regulados mediante protocolos de apli caci ón. Ha y dos variantes : en el establecimi ento de la conexi ón o durante el intercambi o de da tos ( usa ndo x ejemplo NOOPs . Servidores autorida d: Deben contener toda (no ca cheada) la i nforma ci ón de su zona. Es importante el concepto de des cri ptor de ficheros: las apli caci ones también pueden i ntera ctua r con fi cheros . Firma digi tal con cla ve secreta : bi g brother: Antes de nada vamos a es tablecer dos hi pótesis: Todo el mundo va a confiar en esta identi dad. Es muy fácil hacer a nivel software. IP local . para lo que usan la capa de tra ns porte.Sus limi ta ci ones son que no permi te des cargas pa rciales y no tiene ges tor de ca rpetas . Para identi fica rse usa U RL. En otro cas o no s e procesa .ugr. Ca da transacción WWW es un intercambi o según protocol o HTTP. ±IP Spoofing: suplantación de IP. ya que el grado de seguri dad l o fi ja el punto más débil . es deci r. KAB(RB). El downs tream responde con un mensa je Lebel Mapping. integridad y a confidencialidad (cla ve pri vada ) Tema 5. en los que se intercam bia : La versi ón LD P El timeout pa ra mantener la sesión a cti va El modo de distribuci ón (ba jo demanda o sin solici tud expli ci ta) Un campo(Pa th Vector Limi t) para detectar bucles de encaminamiento El tama ño má xim o de PDU a recibir Si l os parámetros reci bidos no son a ceptados .RB. Sol ución gua rdamos un his tóri co ( no es demasiado buen ni es calable). donde la palabra nula (0x0000) s e i nterpreta 16 como 2 (indi cada con un rojo) (216 = 65536. y mediante las reglas del protocolo el egi do se enca rga rá de interaccionar. STC P permite varios streams de datos en un mismo paquete(paquete STCP=segmento). y nos interesa ver como las a pli caciones interaccionan con la ca pa de trans porte. Kpi rv = (d. lo cual a fecta a su escalabilidad. Puede ser es tri cto(no puede haber ni ngún salto intermedio entre los routers especifi cados) o no-estri cto(permi te sal tos intermedios entre l os routers especi fi ca dos ) Reserva de recursos : rela ci onado con QoS. una vez el paquete sal ga del core. Recientem ente IKEv2 s oporta r movilidad y m ul tihoming. Proporciona más seguri dad. y si sí puede resolverlo. Pa ra eso. Esa clave s ecreta es dinámi ca . si es tamos en el es quema sin s olici tud. conoci das por todo el mundo. Evi dentem ente. Tam bién se usa si es peci fi camos un i puerto determina do establecemos conexi ón a ese puerto para un determina do servici o. El RR es por tanto una tupla con ci nco campos: 1) Nombre de domi nio: ( www. ca da uno con cinco campos . es ta se actuali za y la informa ci ón se propaga ha cia arri ba Si exis te una entrada para esa FEC pero con dis tinta eti queta. devol verá al primer servidor DNS la resolución.D ATA. Socket: Es un des criptor de una apli cación a tra vés del cual la a pli caci ón puede enviar y/o reci bi r informaci ón ha cia y/o des de otro proceso de apli ca ción. el mensa je es no des cartable. al s oli cita r un routing desde el origen s e puede soli ci ta r una reserva de recurs os en ca da sal to.0 No perm utado. Cli ente realiza apertura acti v ( conexión TCP al puerto 80). No conoce la res puesta : el servidor preguntará a otros servidores de forma recursi va o itera ti va . B.día. s u fillerSpec. y una ges tión remota de di rectorios mediante carpetas. SYN +ACK. mediante denega ci ón de servi cio ( muchos). aparte de ser es calable. de tal forma que cuándo nombre pregunte por el dominio crrespondiente a la IP origen del a taca nte. así com o una des ca rga parcial de mensa jes ( ins pección de ca beceras ). Has ta la i nterfaz. de ma nera que pueda devolvernos una respuesta personai zada. Objeti vo: procesos pueda n comuni ca rse entre s í. Pa ra ello. Kbb(A. Al ha cer los Lebel Reques t uno puede especifi car un conjunto de LSRs que van a conforma r el camino. Nivel de RED: IPSEC: Objeti vo: garanti za r autenti ca ción. En la res olución recursi va . de ma nera que na die podrá falsifi ca rla. que implementan una lógica en base a unos protocolos y que ofrece un determinado servi ci o. Tras B ma nda r el segundo mensa je ( model o simpli fi cado). y después son des cartados. El protocolo H TTp es tá forma do por soli ci tudes y respues tas ( ambas orienta das a texto). Ahora R2. También es in-band protocolo de señalización en el cuál la señaliza ción y da tos van por la misma conexi ón ( o banda ). enviándoselo a la otra enti da d. Autenti ca ci ón: Las enti dades tienen ga rantías de que la enti dad es tá gara nti zada para ambas entidades de forma buena (feh). se manda a la a utorida d. y el servidor respues tas en código numéri co texto explica dti vo. ambas claves son dis ti ntas para ci frado y des cifrado: A ci fra con la cla ve públi ca de B . La s cla ves pri vadas s olo las ti enen las entida des y se des cifran con las públicas . ±Secuestro de cone xiones: intento de desincronizar las ventanas de emisión/recepción. ya no esta ba se a cabó mejora ndo. Pa ra evi tar el reset que envía el hos t s uplanta do al i gual que a ntes.ugr. que proporci ona una interfa z uni versal para el a cceso a informa ci ón ( texto. coinci dan o no esos números . El intercambio de Hello ini cia una s esio LD P entre routers .2. texto lla no seleccio nado y análisis diferencial . Tema 6 RO. Es una puerta de acces o entre apli ca ci ón y servi ci os de trans porte. Le llega a B. y es el más usado. Son marcas de tiempo. se actualiza la caché de cada servi dor ( sobre tcp). coge los bi ts de 6 en 6 y los repone por un cará cter ( A-Z. El último campo nos dice la longi tud del relleno. si B di ce que A ha generado P A l o ni ega . name = www. se termi na si expi ra un conta dor y se ha actualiza do la as ociación. el protocolo permi te emi ti r La bel Request si hay problemas . s ólo 56 de ell os s on empl eados por el algoritm o. imá genes . Es te m étodo es preferi ble cuando el m odo de i ntercambi o de eti quetas sin soli ci tud y que si te borran la FEC puedes recurrir al históri co o a his torial pa ra no queda rte sin entrada para esa FEC. priva ci dad.Ra 2º. los mensajes Hell o s olamente se intercambia n entre routers directamente conectados . se adueña de es os mensa jes . i Especi fi ca la estabilidad . que no haya ninguna pis ta ni nada que reduzca la forma de obtener T disti nto T.. As í. El periodo de envi o de estos mensajes es típi cam ente 1/3 del Keepalive time negociado en el esta blecimiento de sesión. en un sal to o router. ya que se es tablece en cada sesión.SSL record protocol: forma to pa ra transmi tir los da tos proporcionando una conexión con pri v cida d. Servidor en modo pasi vo en puerto 80. En el campo LSR ID se usa pa ra intercambia r las dirIP de l os LSRs . Problema: es cos tos o y pueden anuncia rse rutas no optimas . si no solicito una resolución completa. que es el enca rgado de as ocia r de una ma nera i rrefuta ble un usuario y s u clave públi ca . la capa de trans porte es para el So y entre a pli caci ón y us ua rio. Deni d of servi ce: denegaci ón de serv cio: confabula ción de m uchas entida des que i ponen en jaque la disponibilidad de un servi cio a ta que masi vo a un sis tema. Gran parte de la seguri da d de ID EA deri v del intercalado a a di ción y mul ti plica ción modula r y Ode opera ci ones de dis tintos grupos exclusi vo (XOR) bit a bi t que son al gebrai camente "incompatibl es" en ci erta forma . Sol o garanti za integri dad y a utenti caci ón: protocolo cabecera de a utenti ca ci ón I+A+pri v ci da d de los da tos : Es IPSEC con modo de encaps ulado de a seguridad de carga Encapsulado de seguri dad de ca rga .W/2 y W=sqrt(8/3p). que junto a una semilla y un procesamiento. Todas las entida des tienen una clave secreta solo conoci dad por ellas ( entida d y a utoridad) si por ejem plo queremos conecta rnos con un banco: Se le envía una tupla con 5 campos : i dentida d. porque D SCP tiene 6 bi ts en la cabecera con el perhop behaviour se puede ver el etiquetado permi tiendo realiza r as í QoS: Tunnel : En es te caso. D isponemos de varios casos: a) CongWin=W(#MSS) estatica y RTT cte: ±si WS/R >R TT+S/R delay=2R TT+O/R ±si WS/R <R TT+S/R delay=2R TT+O/R+(k1)[S/R +R TT-WS/R] b)CongWin=W(#MSS) dinámica inicio lento y RTT cte. Ejem plo servici o SMTP: Algoritmos de clave asimétrica: Cada usua rio tiene dos cla ves . IPs ec es tá compues to por tres procedimientos : Esta blecimiento de una asocia ción de seguridad IKE: Internet Key Exchange. Ha y dos modos de intercambio de etiquetas (A=0 o 1). como tampoco puede resolverla.servi dor. El cos te de RSA >> cos te DES / IDEA ( cos te de las cla ves s ecretas). la sesi ón se define con el campo Label Spa ce Identifier. es te s e borra del servidor necesi tam os menos memoria pero al conecta rl o en otra MU A. D(). que en total s on 64: Protocolos de entrega final de correo: Son los encargados de interaccionar con el buzón de correo. Se reali za una a utenti caci ón i mediante ci fra do con cla ve secreta .HINFO ( Información del tiepo de máquina y sis tema operati vo). a la cuál solo B tiene acces o. Estimar la latencia en transm itir un fichero mediante conex ión TCP Suposiciones: no hay congestión. puedo adueñarme de un flujo. Fá cil. Supongamos que A malo suplanta a A. a-z. Es to puede genera r bas ura en la red. que se pone en conta cto a través de una s erie de protocolos con otra MTA remota . pero solo son des ci frables por las privadas A B Kpub_B (Kpirv_A(P)).z). porque te puedes adueñar del trá fi co y ver por dónde van l os da tagramas Secues tro de conexi ones : Desincronizamos los números de secuencia .O. el servidor raíz nunca consulta a otros servidores. 3) Clase en Internet siempre IN 4) TIPO: puede ser: SOA ( en datos tienen el nombre de do ini o asocia do a la autori dad que ges tiona ese DN). Si un algori tmo es conoci do claves des conocidas . Se le indica al servidor cuál es nues tro hos t. Es to se hace porque cliente-servidor necesi tan esta r a coplados temporalmente mediante esta a rquitectura los desa coplamos temporalmente.1 Permutado: Es un protocol o s tateless sin es ta do. Son servici os orientados a conexión mediante TCP que ti`picamente son oferta dos en el puerto 21. Seguridad en las Redes de Com uni cación. Tras es to. Path Vector: contiene la lis ta de l os LSRs atravesa dos . Se im plementa con llamadas al sistema ( open. Por tanto. El numero de secuencia se incrementa por ca da data grama enviado. La base de da tos DN S es un conjunto llamado Res ource Record que conti ene todos los recursos que consti tuye la bas e de datos . La res puesta SYn+ACK ti ene el ISN que se encami nará al suplanta do. que consta de llamadas al sis tema . como no puede resolverla. encriptación y transmisión. Pues aplicando esto al ejercicio: El cliente de la red A envía una consulta recursiva al servidor R3. CN AME ( regis tro que define el nom bre ca nóni co de un nom bre de dominio). anunciamos rutas más cortas todos nos van a elegi r a nos otros . el receptor lo ez. Pa ra ell o. cam bia r o borra r asignaciones de eti quetas a las FEC(FEC=desti no). La forma de sol uci ona rl o es gua rda r l os retos enviados en B que tienen enviada os a una Ip dada. las cuales en la prácti ca son poco usa das siendo necesa rio evi tarlas explíci tamente. 6. y elegimos un núm ero d primo respecto de z. a demás en algunas implementa ciones el lis ten se limita a pocos (5) conex pendientes. Acces o Remoto: Los servicios Telnet son concurrentes . telnet. Lo malo de es to es que ti ene un a gujero de seguri dad. La i nterfa z socket no es pa rte de ningún protocol o ni es tá vi nculado a ninguno. EN IP ha y un campo que es pecifi ca la Ip y otro los da tos una opción nos permi tía poner en IP ( Ip1. DNS Atacks: Se introduce un DN S s uplantado tal que evi te filtros de wa rppers . TXT ( i nforma ci ón del domini o). Tr Funcionamiento : ha y dos enti dades di ferencia das : MU A: Mail User Agent: Es una entida d compues ta por el códi go. Las respuestas será n del tipo s tatus li ne ( Ok / ERROR / VERSION + CN + TEXTO EXP). Los objeti vos de este tema son conocer como desarrolla r aplica ciones en Internet y en concreto familia ri zarnos con el model o cliente-servidor. FIRMA DIGITAL CON CLAVE ASIMÉTRICA.SSL Secure Socket La y es un portocolo pa ra garanti zar la seguri dad en las er transacciones entre clientes y serv dores. puede ocurrir dos cosas : si conoce el regis tro nos lo da . Se basa en consul ta respues ta . el LSR puede eliminar LSPs previas pa ra sa tis facer las nuevas . se pa rte en bloques de 128 bi ts. si especi ficamos por ejem plo el puerto 50. PG P. Implica que la entidad A extremo a extremo va a esta blecer la asocia ción de segurida d. 2) Tiempo de v da ( TTL). En la realidad ha y 13 servidores repa rtidos por todo el mundo ( ver imagen anterior). y cal cula C=f(IP. en cada sal to informa al router a ctual s obre la di rIP uni cast del router anteri or. ±RIP Attacks: anunciar rutas falsas para hacerte con el trafico a un destino dedo y suplantarlo. C uando un servidor(no raíz) no puede resolver un dominio. o más de una vez. Iterati vo no orientado a conexión: Iterati vo orientado a conexión: Para ver ejem plo cliente i tera ti vo el códi go ( transp 12. el sistema debe detecta r ese cam bio. Uno de ellos está en Ma dri d. ha ce uso del N VT o terminal vi rtual de red. el server no la gua rda ( s tateless ) en función de la informaci ón del cliente el servi dor da rá un tratamiento diferencial . la asocia ción no es extremo a extrem o. generando una huella digi tal : SHA ( Secure Has Al gorithm 1 ) Hace l o mismo que MD 5. tal que operando sobnre el espacio ci frado nos recupere P.P ). De es te m odo podemos es ta blecer una cla ve a unque es cuchen otros : Tiene una debilidad: s i no tenemos autenticado a B pueden hacer un a taque ti po man in the mi ddle. El servidor R3 consulta al servidor R0(raíz). DES (Data Encrypta tion Standard) D ES es el al gori tmo prototipo del ci frado por bloques un algori tmo que toma un texto en cla ro de una longi tud fija de bits y l o transforma mediante una seri e de operaciones bási cas en otro texto ci fra do de la misma l ongitud. La clave mide 64 bits . no requiere regis tros RTP. La s eguri dad hay que si tua rlas en todos los ni veles. no ha ce fal ta que estén conecta dos a la vez. Tipos de cifrado clási cos : Sus titución: Sím bolo a sím bol o del texto de entrada ha cem os una correspondencia unívoca.domini o.hora .0 se cerra ría la conexión. IDEA utiliza tres operaciones en su proceso con las cuales logra la confusión. dónde ca da rama jera rqui zada de estas tiene un regis tro clase PTR con el nom bre.3 AU TEN TICACIÓN . s e emplean claves de 128bi ts y se opera en tiempo real es rá pido y al gorítmi camente sencillo DEA opera con bl oques de 64 bi ts usando una clave de 128 bi ts y consiste de ocho tra nsformaciones i dénti cas (cada una llama da un ronda) y una transforma ción de salida (llamada media ronda). Tam bién hay otra versi ón más agresi va de IPSEC que no exi ge ese conocimiento previo con 3 mensa jes ( negociaci ón pa rám etros e intercambiar): ( NO ENVÍA LA IDENTIDAD). Para hacer esta as ociaci ón debe exis ti r una a utoridad que ga ra nti ce bien (feh) esa asociaci ón. se usa la Api . i ntroduciéndole una pseudo cabecera. Se ha converti do casi en si nónimo de cla ve pública . Cuándo una entidad mediante IKE intenta conectarse a otra enti da d. RB 3º. Durante esos 756 s im pli ca que el server se va a vol ver vulnerable a ciertos a taques Cuá ndo se ha confi rmado puede que ha ya a ceptado una conexión tel net a quien no es quien dice ser para evi ta r que A verdadero mande el reset. Una vez se ha es tableci do la as ociación. A la interfa z entre la capa de apli cación y de transporte se le llama interfaz socket. ejemplo ha ces una peti ción IP. comienza a funciona r IP Todos los paquetes que s on tra tados de i gual manera se les denomina FEC(Fa rwa rdi ng Equi v alence Class) El etiqueta do ini cial es el que determina ra siempre la ruta y el trato que reci birá n el paquete por pa rte de la red Las rutas se pueden m ezclar: al confl uir en un punto dos trafi cos dis tintos con eti quetas dis tintas pueden perder s u si ngula ri dad y ser trata dos de igual forma . Normalmente se eleva a uno de los servidores raíz. Así. El problema es que es soft-s ta te(típi camente refres ca la conexión cada 30 segundos): genera mucho tra fico pa ra di nami cas poco cambiantes(las rutas no suelen cambiar ca da 30 segundos). anunciando una FEC y una etiqueta por ca da una de las i nterfa ces de salida . y secundari os ( que obtienen la base de da tos por trans ferencia de un primario). para asociarlas de una forma i rresoluble. FIRMAS U SANDO COMPENDIOS. Con solici tud expli ci ta : cuando llega una FEC nueva .

solicita al raíz la dirección para consultar a un servidor D NS que pueda resolverla. el raíz le consta y el servidor D NS envía la consulta recursiva a otro . el servidor DN S que no puede resolver el nom bre. si la consulta era recursiva. Así.habilitados para ese dominio y el raíz le devuel ve la IP para contactarlos.