martes, 9 de septiembre de 2008

Protocolos de Enrutamiento I (IS-IS)

El anterior Post y un correo pidiéndome documentación para el examen BSCI, me ha hecho recordar que uno de los propósitos de este blog era aunar información de mi breve etapa como profesor de Cisco (a la que no renuncio si el estrés laboral me empuja a dejar esto).

Los protocolos de enrutamiento fueron los que me decidieron a decantarme por el mundo de las redes. Vi la luz cuando hice mi primer "debugging" y apareció la incipiente ineligencia de dos máquinas que se transmiten información sobre cómo llevar datos a diferentes destinos. Por motivos puramente logísticos empezaré con IS-IS, un protocolo que probablemente no veas nunca si no trabajas para un proveedor de servicios de Internet...

IS-IS es un protocolo de enrutamiento interior desarrollado en los años 80 por Digital Equipement (DEC) y llamado originalmente DECnet Phase V. Después fue adoptado por la International Standard Organization (ISO) como protocolo de enrutamiento para la Interconexión de Sistemas Abiertos (OSI). Su desarrollo estuvo motivado por la necesidad de un sistema no propietario que pudiera sopotar un gran esquema de direccionamiento y un diseño jerárquico.

Los grandes proveedores de servicios de Internet han venido usando IS-IS desde su introducción y recientemente se ha comenzado a implementar en otros mercados. IS-IS permite trabajar con Type of Service (ToS) para la ingeniería de tráfico, aunque esta característica no estaba todavía implementada en la IOS de Cisco cuando yo veía asiduamente routers.

Al igual que OSPF, IS-IS utiliza el algoritmo Dijkstra (Shortest Path First –SPF) para el calculo de rutas y tiene una jerárquia de dos capas; pero mientras que OSPF suele emplearse como solución empresarial (aunque también en ISPs), IS-IS sólo suele verse en ISPs. Estos dos protocolos mantienen un buen número de similaridades pero cada uno de ellos tiene un vocabulario propio.

Existen diferencias importantes en el modo de operar de IS-IS y OSPF, por ejemplo, en el modo en que la dirección de área es asignada. En IS-IS, la dirección de área y de host son asignados al router entero, mientras que en OSPF el direccionamiento es asignado al nivel de interfaz. Por lo tanto un router IS-IS unicamente estará en un área (Todos los routers de Nivel 1 necesitan un router de Nivel 1-2 para conectarles a otra área. El router de Nivel 1-2 puede ver el resto del SA y se ofrece como ruta por defecto al área de Nivel 1.

El rol del DR es ligeramente diferente. El DIS en IS-IS existe para los Niveles 1 y 2 en los medios multiacceso, pero no existe un router designado de backup. Mientras que en OSPF es elegido para “toda la vida”, en IS-IS si un router se levanta en la red con una prioridad mayor, el DIS existente es depuesto. En IS-IS cada router formas una adyacencia con cada uno de los otros routers del medio. Sin embargo, los paquetes de estado-enlace (LSPs, equivalentes a los LSAs de OSPF) son enviados solamente por el DIS.

Mientras que OPSF está encapsulado sobre IP, IS-IS es independiente del protocolo de Capa de Red, corre directamente en lo alto de la Capa de Enlace de Datos. Es un protocolo de Capa de Red con su propio paquete de Capa 3.

Direccionamiento ISO en IS-IS

Es necesario recordar que IS-IS es un protocolo CLNP, no TCP/IP. Esto significa que aunque soporte el enrutamiento IP, IS-IS aún se comunica a través de PDUs CLNS. Es por tanto necesario implementar un esquema de direccionamiento ISO para hacer funcionar IS-IS. La dirección ISO es también conocida como dirección NET (Network Entity Title). Esta dirección es utilizada igual que si se tratara de una dirección IP para identificar unívocamente un router dentro de una red. La NET en un dispositivo Cisco puede tomar una variedad de formatos NSAP (Network Service Access Point).

 

Cuando IS-IS enruta tráfico IP, la información de enrutamiento es transportada en la actualiazaciones IS-IS, necesitando los routers participantes una dirección ISO. Estas direcciones pueden ser de dos tipos dependiendo del tipo de dispositivo: NSAP (Network Service Access Point) y NET address. Las direcciones de IS-IS tienen una longitud variable de entre 8 y 20 octetos, y contienen tres secciones: Área (empleada para el enrutamiento entre áreas usando enrutamiento de Nivel 2),

ID (empleada para enrutar a un host o router dentro del área usando enrutamiento de Nivel 1) y

SEL (utlizada para enrutar a una entidad/aplicación dentro del host o ES).

En realidad la parte de direccionamiento del área se subdivide para el enrutamiento interno y externo: Initial Domain Part (IDP) y Domain Specific Part (DSP).

IDP es empleado para el enrutamiento externo al dominio o SA. Esta campo es proporcionado por la ISO e identifica a la organización responsable de la asignación del formato para el resto de direcciones que definen la estructura DSP. Contiene dos subcampos: AFI (Authority and Format Identifier), ocupa el primer octeto de la dirección y declara la autoridad a cargo de la publicación de direcciones y el formato del resto de estas. IDI (Initial Domain Identifier), no es más que una suborganización declarada dentro de la AFI.

DSP es empleado para el enrutamiento dentro del SA. Se subdivide en los siguientes campos: High Order DSP (tipicamente el área dentro del Sistema Autónomo), System ID (un valore entre 1 y 8 octetos que debe tener la misma longitud en el SA –Cisco usa 6 para permitir el uso de la dirección MAC para autoconfigurar el sistema), NSEL (tiene una longitud de un byte e identifica el servicio particular de la capa de red al que enviar el paquete).

La dirección NET es la dirección del host, el valor en el campo NSEL es configurado a 0x00, no especificando el protocolo de capa superior dentro del host. Por lo tanto el paquete puede ser enrutado al destino pero sin especificar el proceso de destino. Si embargo, en los routers no hay porotocolos de capa superior que identificar ya que son Sistemas Intermedios transitorios. Por lo tanto nos referimos al NSAP de un router como NET, porque el campo NSEL se configura a 00.

El NSAP es la dirección ISO completa. No sólo define el área y el host de destino dentro del área, sino que también especifica dónde enviar el paquete entrante una vez que éste ha alcanzado el host. El campo NSEL de una dirección ISO especifica el protocolo de capa superior y cumple el mismo propósito que el campo de protocolo de una cabecera IP.

Reglas del direccionamiento ISO:

-         La dirección ISO se asigna al sistema, no a la interfaz.

-         Generalmente el router tiene una dirección NET, aunque puede tener hasta tres. Las direcciones múltiples son usadas para las transiciones.

-         Si existen mútiples NETs en un router todas tienen que tener el mismo System ID.

-         La dirección de área debe ser la misma para todos los routers en el mismo área.

-         Todos los routers de Nivel 2 deben tener un System ID único para todo el dominio.

-         Todos los routers de Nivel 1 deben tener un System ID único para todo el área.

-         El System ID debe tener la misma longitud en todos los ISs y ESs dentro del dominio de enrutamiento.

El examen BSCI se concentra en el formato Standard de 8 octetos.

Estructura Jerárquica en IS-IS

Se definen dos tipos de routers: Un router de Nivel 1 negocia el primer nivel de enrutamiento, encontrando el destino final dentro del área. Un router de Nivel 2 encuentra el área dentro de la que se encuentra el destino final. Ambos tipos de routers se combinan con los routers de Nivel 1-2 que corren ambos procesos de Nivel 1 y 2 y puden ser considerados como un tercer tipo de router.

Router de Nivel 1: O router Intra-area. Es similar a un Stub Router en OSPF. Su conocimiento de la red es limitado al área y emplea una ruta por defecto al router de Nivel 2 más cercano para enrutar tráfico externo al área donde se encuentra. Los router de Nivel 1 tienen una base de datos de estado-enlace idéntica entre ellos.

Router de Nivel 2: Router Inter-area. Son necesarios para el enrutamiento entra áreas distintas tal como los routers de backbone en OSPF. Los routers de Nivel 2 se comunican via Hellos que sólo son comprendidos entre ellos. Su base de datos de estado-enlace es también idéntica.

Router de Nivel 1-2: Son routers tanto Intra como Inter-area, una característica similar a los routers fronterizos de área en OSPF, que pueden tener vecinos en diferentes áreas porque envían Hellos tanto de Nivel 1 como de Nivel 2 y por tanto pueden comunicarse con ambos tipos de routers. Almacenan una base de datos de estado-enlace de Nivel 1 y otra para el Nivel 2 con la información necesaria para el enrutamiento Inter-area.

Estos routers informan a los routers de Nivel 1 de que son routers de Nivel 2 y que pueden enviar tráfico a otras áreas. Pueden informar también a otros routers de Nivel 2 de las áreas a las que está conectado. Esta es la configuración por defecto de un router Cisco.

Principios Básicos de Enrutamiento IS-IS

  1. Cuando un router recibe tráfico que enrutar a un destino remoto, reliza una consulta a su tabla de enrutamiento.
  2. El router extrae del paquete la información relativa al System ID y SEL para revelar la información de área de la dirección de destino. Si la dirección de destino de área es la misma que la suya, enruta el paquete hacia el System ID usando su base de datos de Nivel 1.
  3. Si el área de destino es diferente:

a)     Si es un router de Nivel 1 envía el paquete al router de Nivel 2 más cercano.

b)     Si se trata de un router de Nivel 2, busca la ruta en la base de datos de envio.

c)      Resuelve la dirección al emparejamiento más largo (tendrá las rutas externas sumarizadas).

Áreas en IS-IS

Las áreas en IS-IS están definidas en el enlace, lo que significa que el router entero está en un área, al contrario que en OSPF, donde las áreas se definen el nivel de interfaz. Para que las actualizaciones de enrutamiento de Nivel 2 puedan ser intercambiadas, todos los routers de Nivel 2 deben ser contiguos.

Redes e Interfaces

Los routers con una capa de enlace de datos común se convierten en vecinos IS-IS si los paquetes Hello que ambos intercambian cumplen ciertos criterios. El proceso difiere ligeramente dependiendo del medio, pero la información que viaja en los paquetes Hello es esencialmente la misma. Cada paquete declara el origen y las capacidades de la interfaz. Una vez formada la adyacencia de produce el intercambio de información de enrutamiento en forma LSPs, de esta manera, cada router recaba la información de las redes conectadas de cada router para crear una tabla de topología detallada e idéntica.

Para crear o mantener una adyacencia, ambas interfaces deben concordar en lo siguiente:

-         El tamaño máximo del paquete (MTU) debe ser el mismo.

-         Cada uno de los routers debe estar configurado en el mismo Nivel de Enrutamiento (Niveles 1 ó 2) de manera que puedan decodificar los Hellos envíados por el otro router.

-         Si ambos routers son de Nivel 1 deben estar configurados en el mismo área.

-         Para que un router de Nivel 1 pueda comunicarse con un router de Nivel 2, uno de ellos debe estar configurado como un router de Nivel 1-2.

-         El System ID debe ser único para cada router.

-         Si la autenticación está configurada, debe ser idéntica en ambos routers.

-         Los intervalos de envio de Hellos (incluído el Holddown timer) deben coincidir, de otra manera resultaría en un enlace que flapea o cálculos DPF interminables.

IS-Is define dos tipos de red: subredes broadcast y redes punto-a-punto.

Adyacencias en Enlaces Punto-a-Punto: Un enlace punto-a-punto conecta dos routers. Después de que cada uno de los routers reciba un paquete Hello, cada uno declara el otro extremo como alcanzable y cada extremo envía un CSNP, que contiene una lista de todos los enlaces almacenados en la BBDD de estado-enlace, lo que conlleva una sincronización de las BBDD de estado-enlace de cada máquina.

Los Hellos periódicos mantienen la adyacencia. Si un router no recibe un Hello dentro del tiempo de espera (holdtime) el vecino es declarado caído y la BBDD purgada de cualquier entrada asociada a ese router. El intevalo de Hellos por defecto es cada 10 seg. El holdtime es de 30 seg.

Adyacencias en enlaces Broadcast: En estos enlaces cada router sólo recibe paquetes enviados por el DIS (designated Intermediate System) –esto se hace para controlar la cantidad de tráfico que necesita ser generada y manterner las adyacencias y las BBDD. El DIS tiene la responsabilidad de inundar con LSPs a todos los sistemas IS-IS conectados, más exáctamente, el DIS inyecta los LSPs para el pseudonodo.

El pseudonodo representa la LAN, con cada router simulando una interfaz en un router imaginario. Este router imaginario es el llamado pseudonodo. Como si fuera un router real, el psedonodoinyecta un LSP cuando existe un cambio en el status de sus conexiones.

Las adyacencias con los otros routers son mantenidas por el DIS. Si hay un problema con éste o un router con prioridad más alta aparece en la red, es identificado rápidamente y un nuevo router es elegido en lugar del viejo DIS. La elección está basada en la prioridad y declarada en la interfaz. En el caso de que todas estén configuradas por defecto a 64, el mayor número SNPA (dirección de enlace de datos) determina el DIS.

Adyacencias en enlaces NBMA: Un enlace NBMA no es ni un medio de Broadcast ni un enlace punto-a-punto. Usando PVCs, las redes NBMA (FR, ATM, X.25) proporcionan múltiples conexiones con una sóla interfaz, lo que puede ser visto como una forma de LAN. La confusión surge cuando IS-IS ve que el enlace es multiacceso, como no tiene conocimiento de nubes WAN multiacceso, cree que el medio es alguna forma de LAN con capacidad de Broadcast. Cisco recomienda que los enlaces sean configurados como una serie de enlaces punto-a-punto.

Tipos de paquetes IS-IS

Existen 3 tipos de paquetes:

-         Hello. Crean y mantienen relaciones entre vecinos y adyacencias. Pueden ser:

·         LAN Nivel 1. Generados por routers de Nivel 1 ó 1-2.

·         LAN Nivel 2. Generados por routers de Nivel 2 ó 1-2.

·         Punto-a-Punto. Generados por routers de Nivel 1, 2 y 1-2.

-         LSP. Llevan información sobre los vecinos conectados al router. Pueden ser de dos tipos:

·         Nivel 1. Generados por routers de Nivel 1 ó 1-2.

·         Nivel 2. Generados por routers de Nivel 2 ó 1-2.

-         Paque de Número de Secuencia (SNP). Describen los LSPs en la BBDD de estado-enlace del router que transmite. La información es condensada y nunca inundada, sino que sólo es vista entre vecinos. Los SNP aseguran la sincronización de la BBDD de estado-enlace mediante grupos de distribución de LSPs en LAN y sin ACKs explicitos individuales, ACKs de LSPs individuales y, por último, la petición de LSPs al iniciarse. Existen dos tipo de SNP para cada Nivel de enrutamiento:

·         SNP Completo (CSNP), que incluye cada LSP en la BBDD: Nivel 1 y Nivel 2.

·         SNP Parcial (PSNP), Incluye un subconjunto de LSPs, empleado para solicitar LSPs individuales y agradecer la recepción de estos LSPs: Nivel 1 y Nivel 2.

Operación de IS-IS Integrado

  1. Los Routers IS-IS evían paquetes Hello por todas sus interfaces para descubrir vecinos y forma adyacencias.
  2. Los routers que compartenun mismo enlace de datos se convierten en vecinos.
  3. Crean paquetes de estado-enlace (LSPs) basadaos en las interfaces locales y en los prefijos de red aprendidos de los routers adyacentes. Estos paquetes son enviados a todos los vecinos, excepto al vecino del que se recibió.
  4. Cuando se reciben nuevos o diferentes LSPs se añaden a la BBDD de estado-enlace.
  5. Los routers calculan el algoritmo SPF para cada destino y construye el Shortest Path Tree (SPT) y la BBDD de envio (o tabla de enrutamiento).

Esto asegura que cada router tiene el mismo conjunto de LSPs y que las BBDD de estado-enlace son idénticas entre ellos.

Los LSP´s son generados ante los cambios en la red:

-         Cuando una adyacencia se levanta o se cae.

-         Cuando la interfaz d eun router cambia de estado o se le asigna una nueva métrica.

-         Cuando una ruta IP cambia (a causa de la redistribución, por ejemplo).

Métrica

IS-IS tiene cuatro métricas definidas en ISO 10589:

  1. Default. Llamada Coste. Es la única que se establece obligatoriamente en el Standard. Cisco configura por defecto todas las interfaces con un valor de 10.
  2. Delay (Retardo).
  3. Expense (Gasto, costo).
  4. Error (Confiabilidad de la ruta).

Las métricas ISO son configuradas en la interfaz de salida usando un entero entre 0 y 63. Un campo de 10 bits describe la ruta total al destino, permitiendo un valor entre 0 a 1023. Cisco incrementó el tamaño de la métrica a 24 bits.

La métrica por defecto o Coste es la única que actualmente soportan los routers CISCO que trabajan con IS-IS integrado.

Diseño de Áreas

Los típicos diseños IS-IS incluyen los siguientes:

  1. Red plana con enrutamiento de Nivel 1. El diseño no es escalable pero a cambio sólo habrá una BBDD de SPF y no existirán problemas de enrutamiento subóptimo entre áreas.
  2. Red plana con enrutamiento de Nivel 2. Si la red se expande se le añaden áreas de Nivel 1.
  3. Red plana con enrutamiento de Nivel 1-2 (Cisco x defecto). Permite la migración sencilla a un diseño jerárquico que soluciona los problemas de enrutamiento subóptimo. Demanda más recursos de los routers al mantener dos BBDD SPF.
  4. Red jerárquica donde el core corre enrutamiento de Nivel 2 y áreas de Nivel 1 conectándose al core. Routers de Nivel 1-2 crean las conexiones entre áreas. Las desventajas son el consumo de recursos de los dispositivos y la posibilidad de enrutamiento subóptimo. La configuración de la métrica de las interfaces de salida determinan las decisiones de enrutamiento, lo requiere un conocimiento detallado de la topología de la red. Algunos desarrollos recientes permite cierta filtración de rutas que permitiría a los routers de Nivel 2 pasar información de enrutamiento específica al Nivel 1.

La configuración por defecto de los routers Cisco en el Nivel 1-2 permite superar ciertas trampas potenciales, como por ejemplo el aislamiento de un área ante un problema de conexión entre routers de Nivel 1 y 2 si no existen rutas alternativas.

Sumarización de Rutas

Las reglas de sumarización en IS-IS son las mismas que en el diseño OSPF multi-area:

-         Los routers de Nivel 1-2 pueden sumarizar las rutas que mantienen dentro de su área y propargarlas a los routers de Nivel 2. Similar a la sumarización que llevan a cabo los ABR en OSPF.

-         Si un router de Nivel 1-2 está configurado para sumarización, esta se debe configurar en todos los routers que inyectan actualizaciones al Nivel 2 del mismo área. Si un router no advirtiera rutas sumarizadas todo el tráfico destinado a esa área se le enviaría a él, ya que IS-IS usa enrutamiento por el emparejamiento más largo (la máxima coincidencia en la ruta para llegar al destino).

-         No se pueden sumarizar rutas de Nivel 1 dentro del mismo área.

Configuración y Verificación de IS-IS Integrado

Para habilitar el proceso de enrutamiento IS-IS:

Router(config)# router isis [optional tag]

La etiqueta (tag) es opcional y se emplea para proporcionar un nombre al proceso de enrutamiento si más de un proceso IS-IS se configura en el router.

El siguiente paso es configurar la NET para el proceso de enrutamiento:

Router(config-router)# net 00.000x.xyxy.xyxy.xyxy.00

La dirección contiene la dirección del área y el System ID para el router. Para el que se puede utilizar una de las direcciones MAC del router.

Finalmente deben especificarse activamente las interfaces que participarán en el enrutamiento IS-IS. Este es el equivalente al comando network de publicación de redes en otros protocolos de enrutamiento.

Router(config)# interface type number

Router(config-if)# ip router isis [tag]

Por defecto, los routers Cisco vienen configurados para participar en enrutamiento de Nivel 1-2. El comando para designar un router como de Nivel 1, 2 ó ambos es:

Router(config-router)# is-type {level-1|level-1-2|level-2-only}

Aunque el sistema esté funcionando como router de Nivel 1-2 se puede controlar el tipo de adyacencias que se establecen en base a la interfaz. Por defecto, el router tratará de generar ambos tipos de adyacencias.

Router(config-if)# isis circuit-type {level-1|level-1-2|level-2-only}

Es posible configurar el coste para un interfaz determinada mediante la configuración de la métrica por defecto para el enrutamiento de Nivel 1 o de Nivel 2.

Router(config-if)# isis metric default-metric {level-1|level-2}

Para configurar el intervalo entre hellos en función de la interfaz:

Router(config-if)# isis hello-interval seconds {level-1|level-2}

Es posible configurar el número de segundos entre retransmisiones de las PDUs de estado-enlace (LSPs) en los enlaces punto-a-punto. El número de sengundos debe ser un número entero mayor que el round-trip delay entre cualesquiera dos ISs de la red. Debemos ser conservadores si no queremos un gran número de retransmisiones:

Router(config-if)# isis retransmit-interval seconds

Para configurar el retraso entre transmisiones de paquetes estado-enlace por interfaz:

Router(config-if)# isis lsp-interval milliseconds

Para especificar el número de paquetes hello que un vecino debe echar de menos antes de declarar la adyacencia caída (por defecto es 3):

Router(config-if)# isis hello-multiplier multiplier {level-1|level-2}

Por supuesto, es posible configurar la prioridad para determinar la eleccion del Sistema Intermedio Designado (DIS):

Router(config-if)# isis priority value {level-1|level-2}

Asignación de contraseñas. Se pueden asignar contraseñas diferentes para los distintos niveles de enrutamiento. Si no se determina un Nivel particular el Nivel por defecto es 1. La autenticación está deshabilitada por defecto, para habilitarla:

Router(config-if)# isis password password {Nivel-1|Nivel-2}

Es posible forzar una ruta por defecto dentro de un dominio de enrutamiento IS-IS. A menos que específicamente se configure la redistribución de rutas en el dominio, los routers Cisco no lo harán. El siguiente comando fuerza al router fronterizo a redistribuir la ruta por defecto o generar una ruta por defecto en su LSP de Nivel 2. Es posible también utilizar un route-map[1] para advertir la ruta por defecto dependiendo de la existencia de otra ruta en la tabla de enrutamiento.

Router(config-router)# default-information originate [route-map map-name]

Para sumarizar direcciones de un Nivel dado:

Router(config-router)# summary-address address mask {level-1|level-1-2|                         level-2}

Uno de los comandos de verificación y solución de problemas más útiles en IS-IS es:

 show clns {protocols|interface|neighbors}

 Aunque IS-IS sólo esté funcionando con IP, es necesario inspeccionar la información CLNS como las adyacencias entre vecinos.

 El comando show isis route proporciona información sobre las rutas de Nivel 1 y el comando show clns route muestra la información de Nivel 2 de la tabla de enrutamiento.

 Para ver los contenidos de la BBDD de estado-enlace: show isis database. El comando show isis spf-log proporciona información sobre la frecuencia y motivos por los que un router ha corrido una sesión de calculo completa SPF.

 Los comandos debug IS-IS más frecuentemente utilizados son debug isis adj-packets y debug isis update-packets.


1. Mecanismo empleado para administrar y modificar la información de enrutamiento definiendo condiciones para la redistribución de rutas desde un protocolo a otro en BGP.

viernes, 29 de agosto de 2008

Un inmenso ¿agujero? de seguridad en BGP (Border GAteway Protocol)


Se ha hecho pública una técnica para interceptar inadvertidamente el tráfico de Internet a una escala hasta ahora desconocida.

La táctica hace uso de protocolo de enrutamiento BGP. A grandes rasgos, un protocolo de enrutamiento permite que los routers (dispositivos que transportan el tráfico informático) puedan comunicarse de manera autónoma (sin la intervención de un ingeniero) y poder decidir por si solos hacia dónde y de qué manera envían el tráfico para que llegue a un determinado destino. BGP es un protocolo muy usado entre Proveedores de Servicios de Internet o ISP (Telefónica, British Telecom, etc), para anunciar a los otros proveedores los caminos hacia sus redes.

No es el primer agujero en los protocolos fundamentales de Internet que se descubre en las últimas fechas (DNS) y esto se debe en gran medida a que los protocolos fueron diseñados en los años '70 bajo la asunción de que cada nodo en la red sería confiable. Este no parece ser el caso.

Se trata de una vulnerabilidad a un ataque de los llamados man-in-the-middle (hombre en el medio) en los que se podría engañar a BGP para redireccionar el tráfico a la red del atacante. Parace que con un router que "hable" BGP el atacante podría interceptar tráfico con destino a una dirección concreta pero no dependiendo de la dirección IP de origen.

La vulnerabilidad, dicen los expertos, no es un fallo sino que más bien explota la forma en que BGP fue diseñado, para mantener el nivel de interconectividad que la maya de Internet necesita para funcionar. Esto se hace a través de relaciones de confianza entre Sistemas Autónomos o AS (básicamente los diferentes proveedores de servicios en todo el mundo). Como las tablas de direcciones de Internet son inmensas, ya no sólo un router no puede conocerlas todas, sino que los propios AS tampoco conocen las de otros AS, confiando unos en otros para mandar el tráfico a su destino.

Cuando a un router (pongamos Router A) le llega un paquete IP dirigido a un determinado destino buscará en su tabla de enrutamiento cual es el siguiente salto (router) a donde enviar ese tráfico. Si dos routers (B y C) en dos AS distintos pueden enviar el tráfico a su destino (porque así se lo han comunicado a A mediante BGP), El Router A elegirá la ruta (el router a donde enviar el tráfico) con un prefijo más específico, por ejemplo, si el Router B puede enviar el tráfico a su destino porque conoce la red entera donde la dirección IP de destino se encuentram pero el Router C conoce una pequeña porción de esa red,el router A enviará el tráfico a C.

Parace que para interceptar ese tráfico bastaría con que un administrador malicioso publicara (insertara manualmente en BGP) un rango de direcciones IP más concreto de los advertidos por otros routers o AS. El router empezará a publicar que él puede llegar a estos destinos y en pocos minutos la información se habrá esparcido por Internet.

El problema ahora es ¿cómo se va a distinguir en las rutas BGP de los routers un cambio malicioso de un legítimo?

Cisco mueve ficha en la misma dirección que Microsoft


Se ha hecho público que Cisco ha comprado PostPath, proveedor de software y correo electrónico por 215 millones de dólares.

PostPath posee un servidor de correo electrónico y colaboración con funciones equivalentes a Microsoft Exchange desarrollado sobre la base de Linux. Además, se prevee que Cisco ofrezca a sus clientes colocar el servidor en "la nube" y vender servicios de correo electrónico, calendario o mensajería instantánea corporativa a sus clientes, lo que Microsoft ya ha empezado a a hacer con Live Meeting 2007. Cisco ya compró WebEx el año pasado para desplegar ofertas de software así que la deriva hacia la empresa de servicios continua...

miércoles, 27 de agosto de 2008

JG Ballard. Arte enfermizo

"Creo en el poder de la imaginación para rehacer el mundo, para liberar la verdad que llevamos dentro, para frenar la noche, para trascender la muerte"...

Ballard es uno de esos poco artistas capaces de inspirar un adjetivo, el Collins English Dictionary define el adjetivo ballardiano como: “Referente a James Graham Ballard (J. G. Ballard; nacido en 1930), novelista británico, o a su obra. (2) Que se parece o sugiere las condiciones descritas en los relatos o novelas de Ballard, esp. la modernidad distópica, los desoladores paisajes creados por el hombre y los efectos psicológicos del desarrollo tecnológico, social o ambiental”



Tenía ganas de escribir sobre la exposición que todavía puede visitarse en el Centro de Cultura Contemporánea de Barcelona sobre Ballard. Escritor de ciencia-ficción, artista del surrealismo y del pop-art, Ballard es un artista de culto por sus visiones extrañas y perturbadoras y los relatos y novelas escritos durante una prolífica carrera de 50 años.

El autor de El mundo sumergido o la novela autobiográfica El imperio del sol, que fue llevada al cine por Spielberg con ciertas licencias narrativas, es un irritante explorador del alma humana y de nuestras oscuras pulsiones que plasmó en estremecedoras metáforas constantes en su imaginario: píscinas vacías, accidentes de coche... Realmente el mundo de Ballard es bastante perturbador, como lo es la película basada en el relato Crash que después se hizo novela (recuerdo que fuí a verla con mi amigo Daniel y que prácticamente nos quedamos solos en el cine)

Es difícil discernir el hilo conductor de la exposición, que trata de sumergirte en la mente del artista enfermizo que fue, pero se la recomiendo a sus seguidores, tanto a los de su etápa de escritor de ciencia-ficción como para los de la etapa que siguió a la traumática muerte de su esposa.

"Creo en la belleza de los accidentes de coche, en la paz del bosque sumergido, en las excitaciones de la playa de vacaciones desierta, en la poesía de los hoteles abandonados"...

lunes, 25 de agosto de 2008

¿Un librepensador es un esclavo de Satán?


Al menos eso es lo que piensa este pastor baptista. Así lo publicita en su iglesia. Supongo que el slogan le traerá muchos fieles!

domingo, 24 de agosto de 2008

Tonto el que no Lea


Según leo en El País (24/08/2008), algunas escuelas del estado de Washington en EEUU podrían empezar a pagar a los alumnos más aplicados en un intento por mejorar el rendimiento académico.

De las últimas cifras que se disponen (2006), se extrae que sólo el 12% (¡do-ce!) de los alumnos de octavo grado (13 a 14 años) sabe leer con fluidez y apenas un 9% está en condiciones de aprobar matemáticas. No es una encuesta chapuza, se trata del informe anual que elabora el Departamento de Educación.

Parece ser además, que cada año estos centros registran una media de 250 incidentes violentos.



viernes, 1 de agosto de 2008

Cerrado por vacaciones


Levanto el chiringuito para pasar dos semanas en estupenda compañia en Cádiz....

jueves, 31 de julio de 2008

Microsoft Live Meeting. Verdades y Mentiras



Compartir aplicaciones de manera que dos usuarios puedan trabajar al mismo tiempo sobre el mismo documento es una de las funcionalidades de Live Meeting. La infraestructura necesaria la puede albergar Microsoft para sus clientes (un nuevo servicio que Ms ofrece y que puede que pronto se extienda a otros de sus productos), pero también puede desplegarse "en casa del cliente" con Office Communication Server y su cliente: Ms Office Communicator.

La comunicación entre cliente y servidor (no es peer to peer, sino que quien comparte la aplicación sube datos al servidor que este luego decarga al resto de clientes) se hace a través de un protocolo propietario: PSOM (Persistent Shared Object Model), TCP 8057, transportado sobre TLS (Transport Layer Security), como la comunicación es encriptada y Ms dice poco sobre cómo funciona el protocolo no hay mucho más que hablar sobre ello. Básicamente funciona como el cine (ojo, no de cine). Dependiendo del ancho de banda que se detecta en los extremos se hace variar el bitrate del codec para enviar más o menos fotogramas por segundo. Lo que se envían son los cambios en el entorno, lo que no varía no se envia y de este modo de ahorra ancho de banda. Esta es la preocupación. ¿cuanto ancho de banda consume la aplicación?

Vamos por partes ¿cuales son los datos del fabricante? Es obligado decir que lo que dice el fabricante es bastante poco. Bueno, a parte de hablar poco sobre el ancho de banda, dice que su aplicación consume poco (dependiendo del ancho de banda disponible entre 13 y 138 kbps de pico); de modo que hemos comprobado si lo que dice es verdad.

Pués bien, lo que nosotros hemos encontrado es que las medias de una sesión completa varían entre 50 y 100 kbps aproximadamente. Preocupados por los picos de subida de ancho de banda tomamos muestras cada 10 segundos del consumo de ancho de banda. Esta información no es nada desdeñable porque nos permite conocer el número de sesiones concurrentes que pueden ser establecidas y dimensionar la red para que la "experiencia del usuario" sea la esperable. No voy a dar datos, de muestra un botón: