[Anterior] [Siguiente] [Test]
TECNOLOGIA ATM

TECNOLOGIA ATM

 

CONCEPTO

Ø      ATM (Asynchronous Transfer Mode): Modo de Transferencia Asíncrono. ATM es una tecnología de transmisión orientada a la conexión que trabaja con unidades de datos de longitud fija (de 53 bytes) llamadas celdas. Cada celda ATM está constituida por una cabecera de 5 bytes que transporta la información de control y por un cuerpo de 48 bytes constituido por información útil (de usuario, de gestión, etc...).  En una red ATM las comunicaciones se establecen a través de un conjunto de dispositivos intermedios llamados switches. Por lo tanto ATM es una tecnología de switching.

 

Ø      ATM es el complemento de STM (Modo de Transmisión Sincrónica). El STM es usado en las redes de telecomunicaciones para transmitir paquetes de datos y voz a lo largo de grandes distancias. La red se basa en la tecnología de conmutadores donde una conexión se establece entre dos puntos antes de que empiece la transmisión de datos. De esta forma, los puntos finales localizan y reservan un ancho de banda para toda la conexión.

 

Ø      La función principal de una red digital de banda ancha es ofrecer servicios de transporte para diferentes tipos de tráfico a diferentes velocidades usando, como soporte, un limitado número de enlaces de comunicaciones de elevado ancho de banda.

La metodología tradicional de las redes de transporte digital se basaba en la multiplexación estática en el tiempo (TDM) de los diferentes servicios sobre los escasos troncales de comunicación. Esta tecnología de multiplexación es tanto utilizada a velocidades pleisócronas, como en JDS (Jerarquía Digital Sincronía).

Los nuevos tipos de datos, aplicaciones y requerimientos de los usuarios de este tipo de servicios obligó al desarrollo de una nueva tecnología que permitiera ofrecer este nuevo nivel de servicio. La nueva tecnología debería ser, además, lo suficientemente flexible como para asegurar un crecimiento rápido hacia las nuevas demandas que aparecerían en el futuro.

Después de un largo periodo de investigación y de diversas propuestas por parte de diferentes comités tecnológicos se define la nueva generación de tecnología para red de transporte digital de banda ancha: ATM

 

Canales conmutados

Otro requerimiento que se le pidió a ATM fue que dispusiera de mecanismos para el establecimiento de circuitos conmutados bajo demanda del DTE. Estas funcionalidades que, hasta la fecha, solo se exigían a las redes de banda estrecha (RTC, RDSI, X.25, Frame Relay, …) se hacen, cada vez más, necesarias en la capa de banda ancha (Cable-TV, Videoconfencia, …)

ATM define un protocolo de señalización entre el DTE y la red, llamado UNI, que permite a este segundo, la negociación de canales conmutados bajo demanda. El protocolo, basado en el Q.931 de RDSI, permite al DTE la creación de un canal (punto a punto o multipunto) con una determinada calidad de servicio (ancho de banda, retardo, …)

Otro protocolo (NNI) se encarga de la propagación de la petición de llamada dentro del interior de la red hacia el destino para su aceptación. El NNI es un protocolo no orientado a la conexión que permite la propagación de llamadas por múltiples caminos alternativos.

En el momento de definición de ATM se optó por un sistema de numeración de 20 bytes (basado en la numeración actual de la red telefónica básica) para los puntos terminales.

Escalabilidad

Uno de los principales problemas con los que se encuentran los administradores de las redes de transporte es cómo actuar frente a los continuos y cada vez más frecuentes cambios en los requerimientos tanto de cobertura como de ancho de banda.

ATM se diseñó como una red "inteligente". El objetivo era que los nodos que componían la red fueran capaces de descubrir la topología (nodos y enlaces) que les rodeaba y crearse una imagen propia de como estaba formada la red. Además, este procedimiento debía ser dinámico para que la inserción de nuevos nodos o enlaces en la red fueran detectados y asimilados automáticamente por los otros nodos.

Esta filosofía de red, que es muy común en las redes de banda estrecha (redes de routers, Frame Relay, ...), se implanta en la banda ancha con la tecnología ATM.

Los administradores de la red de transporte ATM pueden decidir libremente el cambio de ancho de banda de un enlace o la creación de uno nuevo (por ejemplo, para disponer de caminos alternativos) sin tener que, por ello, reconfigurar de nuevo la red. Todo los nodos afectados por la modificación topológica actuarán inmediatamente como respuesta al cambio (por ejemplo, usando el nuevo enlace para balancear tráfico)

Los problemas de cobertura tampoco significan ningún problema. Un nodo que se inserta en la red descubre, y es descubierto por, el resto de nodos sin ninguna intervención por parte del administrador.

Tecnología universal

Un balance general de los puntos anteriores permite ver como la tecnología de transporte ATM incorpora y mejora muchas de las técnicas utilizadas únicamente, hasta entonces, en las redes de banda estrecha. Esto quiere decir que ATM es también una tecnología válida para este tipo de redes.

ATM se define como una tecnología universal válida tanto como transporte digital de banda ancha, como para backbone de alta velocidad en redes LAN o integración de servicios en redes corporativas sobre enlaces de baja velocidad. ATM es una solución global extremo a extremo; es tanto una tecnología de infraestructura como de aplicaciones.

 

TOPOLOGÍA DE REDES  ATM

Con tecnología ATM se consigue crear una red de transporte de banda ancha de topología variable. Es decir, en función de las necesidades y enlaces disponibles, el administrador de la red puede optar por una topología en estrella, malla, árbol, etc. con una configuración libre de enlaces (E1, E3, OC-3, …)

Topología de ATM

ATM no tiene topología asociada

La gran ventaja es la indiscutible capacidad de adaptación a las necesidades que ATM puede ofrecer. Una empresa puede empezar a desarrollar su red de transporte de banda ancha en base a unas premisas de ancho de banda y cobertura obtenidas a raíz de un estudio de necesidades. La evolución de las aplicaciones puede conducir a que una de esas premisas quede obsoleta y que se necesite una redefinición del diseño. En este caso, el administrador dispone de total libertad para cambiar enlaces o añadir nodos allí donde sea necesario.


Modificación de enlaces

Pongamos, por ejemplo, el caso de una dependencia que accede al resto de la red de transporte ATM mediante un enlace E1 a 2Mbps. Por un crecimiento inesperado en el nombre de trabajadores en dicha dependencia, las necesidades de ancho de banda sobrepasan el umbral de los 2Mbps que, en el momento del diseño de la red, se consideró suficiente.

Cambio de enlaces

Libertad de actuación frente a cambios de enlace

Ante esta situación, el administrador de la red puede optar por dos soluciones. Una de ellas consiste en contratar un segundo enlace E1 para el acceso de la dependencia (un agregado de 4Mbps) o cambiar el enlace principal al otro nivel en la jerarquía (E3 a 34Mbps) Cualquiera de las dos actuaciones será detectada instantáneamente por los conmutadores ATM afectados sin necesidad de reconfigurar la red.

 

 

Ampliaciones sucesivas

Crecimiento en capas

Crecimiento ordenado en capas

Otro problema muy frecuente con el que se encuentran los administradores de las redes de transporte es cómo adaptarse a los cambios relativos a requerimientos de cobertura geográfica. Estos cambios, que muchas veces son debidos a cambios estratégicos de las empresas y por lo tanto imprevisibles, estaban asociados a graves problemas tecnológicos y económicos antes de la aparición de la tecnología ATM.

Como hemos explicado anteriormente, los nuevos nodos insertados, son descubiertos automáticamente por el resto de conmutadores que conforman la red ATM. El procedimiento asociado a añadir una nueva dependencia a la red de transporte ATM es tan sencillo como elegir el tipo de enlace (E1, E3, …) y instalar el nuevo conmutador. La red responderá automáticamente a esta ampliación sin ninguna necesidad de reconfigurar nada.

PNNI

En los dos puntos anteriores hemos explicado que los conmutadores que componen una red ATM son capaces de detectar, dinámicamente, los cambios de topología que ocurren a su alrededor. La base de todo este comportamiento es la existencia de un protocolo interno entre nodos: el PNNI

Un conmutador ATM intenta, continuamente, establecer relaciones PNNI con otros conmutadores por cada uno de sus puertos. Tan pronto se establece una de estas relaciones (por ejemplo, entre dos conmutadores adyacentes), se procede a un intercambio de información topológica entre ellos. De esta manera, cada conmutador puede hacerse una idea de como esta diseñada la red.

PNNI

PNNI permite organizar las redes en áreas

Frente a un cambio topológico (inserción de un nuevo nodo, fallo de un enlace existente, …) los nodos afectados notifican el evento a través de sus relaciones PNNI a el resto de conmutadores en la red. Este procedimiento está basado en el algoritmo SPF (Shortest Path First)

Para permitir que este tipo de protocolo no represente un problema a la escalabilidad de la red, el PNNI usa una aproximación jerárquica. La red puede ser dividida en áreas dentro de las cuales se ejecuta una copia independiente del algoritmo. Cada área, a su vez, puede estar compuesta por un número indeterminado de sub-áreas y así indefinidamente. Las redes basadas en tecnología ATM con PNNI pueden crecer hasta más de 2500 conmutadores.

 

 TRANSPORTE DE SERVICIOS TRADICIONALES

En el campo de las aplicaciones, una red de transporte digital ATM ofrece un conjunto nuevo de funcionalidades disponibles sin, por ello, dejar de ofrecer las funciones tradicionales.

Emulación de circuito

Mediante la emulación de circuito una red ATM se puede comportar exactamente igual que una red de transporte basada en tecnología SDH.

La técnica de emulación de circuito consiste en la creación de un canal permanente sobre la red ATM entre un punto origen y otro de destino a una velocidad determinada. Este canal permanente se crea con características de velocidad de bit constante (CBR). En los puntos extremos de la red ATM se disponen interfaces eléctricos adecuados a la velocidad requerida (E1, V.35, V.11, …) y los equipos terminales a ellos conectados dialogan transparentemente a través de la red ATM.

Emulación de circuito

Emulación de circuito

Los datos que envían los DTE en los extremos de la emulación de circuito, son transformados en celdas y transmitidos a través del circuito permanente CBR hacia su destino. A la vez que se procede a la transformación de la información en celdas, se ejecuta un algoritmo de extremo a extremo, que garantiza el sincronismo del circuito. Este conjunto de procedimientos está documentado en el método de adaptación a ATM AAL1.

Mediante la técnica de emulación de circuito, una red ATM puede comportarse como una red de transporte basada en la multiplexación en el tiempo (TDM). Este tipo de servicio permite transportar enlaces digitales de centralita, líneas punto a punto, enlaces E1 para codecs, etc. transparentemente.

El objetivo en la definición de ATM fue que ésta fuera la nueva generación de red de transporte de banda ancha, con un conjunto de funcionalidades nuevas, pero completamente compatible con los servicios tradicionales de transporte.

 

NUEVAS APLICACIONES NATIVAS EN ATM

En este último apartado enunciamos un pequeño conjunto de aplicaciones que disfrutan, actualmente, de los nuevos servicios ofrecidos por las redes de transporte ATM.

Broadcasting de vídeo

Mediante el uso de circuitos multipunto, una red ATM puede replicar en su interior una fuente de datos única hacia múltiples destinos. La replicación se realiza únicamente, siguiendo una estructura de árbol, allí donde el circuito multipunto se replica. De esta manera, el consumo de ancho de banda en el núcleo de la red se minimiza.

La aplicación más inmediata de los circuitos multipunto de ATM se encuentra en la distribución masiva de señal de vídeo desde un origen hasta múltiples destinatarios (televisión por cable, broadcasting de vídeo, …)

 

Broadcasting de vídeo

Los circuitos multipunto en aplicaciones de broadcasting de vídeo.


Videoconferencia

Las aplicaciones de videoconferencia pueden verse como un caso específico de broadcasting de vídeo en el que múltiples fuentes envían señal hacia múltiples destinos de manera interactiva.

Los circuitos multipunto conmutados abren un nuevo mundo de posibilidades para las aplicaciones de videoconferencia de alta calidad. Una determinada dependencia puede entrar a formar parte de la vídeo conferencia pidiendo, dinámicamente, una extensión de los circuitos multipunto correspondientes hacia su punto de conexión.

LAN virtual (VLAN)

Desde el punto de vista del transporte de datos LAN, las infraestructuras de comunicaciones ATM permiten la aplicación de la técnicas de redes virtuales. El administrador de la red puede hacer que un conjunto de dependencias conectadas a la red de transporte interconecten sus LAN de manera aislada de como lo hacen otras dependencias.

Las redes virtuales son muy útiles en aquellos casos en los que las dependencias conectadas a la red de transporte no forman parte de un mismo estamento y se requiere, por lo tanto, un invisibilidad de los datos para cada organismo.

Aunque aisladas, se podrían interconectar las diferentes redes virtuales mediante una función de routing disponible en cualquier punto de la red que, entre otras cosas, garantizase unas determinadas políticas de seguridad.

VLANs

ATM permite la creación de redes virtuales para el tráfico LAN

 

MODELO DE CAPAS Y FUNCIONALIDAD

PROTOCOLO ATM:

El protocolo ATM consiste de tres niveles o capas básicas (Ver figura No 3).

 

 

PRIMERA CAPA (CAPA FÍSICA)

 

La primera capa llamada capa física (Physical Layer), define los interfases físicos con los medios de transmisión y el protocolo de trama para la red ATM es responsable de la correcta transmisión y recepción de los bits en el medio físico apropiado. A diferencia de muchas tecnologías LAN como Ethernet, que especifica ciertos medios de transmisión, (10 base T, 10 base 5, etc.) ATM es independiente del transporte físico. Las celdas ATM pueden ser transportadas en redes SONET (Synchronous Optical Network), SDH (Synchronous Digital Hierarchy), T3/E3, TI/EI o aún en Modems de 9600 bps. Hay dos subcapas en la capa física que separan el medio físico de transmisión y la extracción de los datos:

 

 

La subcapa PMD (Physical Medium Depedent) tiene que ver con los detalles que se especifican para velocidades de transmisión, tipos de conectores físicos, extracción de reloj, etc., Por ejemplo, la tasa de datos SONET que se usa, es parte del PMD. La subcapa TC (Transmission Convergence) tiene que ver con la extracción de información contenida desde la misma capa física. Esto incluye la generación y el chequeo del Header Error Corrección (HEC), extrayendo celdas desde el flujo de bits de entrada y el procesamiento de celdas "idles" y el reconocimiento del límite de la celda. Otra función importante es intercambiar información de operación y mantenimiento (OAM) con el plano de administración.

 

SEGUNDA CAPA(CAPA ATM)

 

La segunda capa es la capa ATM. Ello define la estructura de la celda y cómo las celdas fluyen sobre las conexiones lógicas en una red ATM, esta capa es independiente del servicio. El formato de una celda ATM es muy simple. Consiste de 5 bytes de cabecera y 48 bytes para información.

 

Las celdas son transmitidas serialmente y se propagan en estricta secuencia numérica a través de la red. El tamaño de la celda ha sido escogido como un compromiso entre una larga celda, que es muy eficiente para transmitir largas tramas de datos y longitudes de celdas cortas que minimizan el retardo de procesamiento de extremo a extremo, que son buenas para voz, vídeo y protocolos sensibles al retardo. A pesar de que no se diseñó específicamente para eso, la longitud de la celda ATM acomoda convenientemente dos Fast Packets IPX de 24 bytes cada uno.

 

Los comités de estándares han definido dos tipos de cabeceras ATM: los User-to-Network Interface (UNI) y la Network to Network Interface (UNI). La UNI es un modo nativo de interfaz ATM que define la interfaz entre el equipo del cliente (Customer Premises Equipment), tal como hubs o routerss ATM y la red de área ancha ATM (ATM WAN). La NNI define la interfase entre los nodos de la redes (los switches o conmutadores) o entre redes. La NNI puede usarse como una interfase entre una red ATM de un usuario privado y la red ATM de un proveedor público (carrier). Específicamente, la función principal de ambos tipos de cabeceras de UNI y la NNI, es identificar las "Virtual paths identifiers" (VPIS) y los "virtual circuits" o virtual channels"(VCIS) como identificadores para el ruteo y la conmutación de las celdas ATM.

TERCERA CAPA (La capa de adaptación de ATM)

 

La tercer capa es la ATM Adaptation Layer (AAL). La AAL juega un rol clave en el manejo de múltiples tipos de tráfico para usar la red ATM, y es dependiente del servicio. Específicamente, su trabajo es adaptar los servicios dados por la capa ATM a aquellos servicios que son requeridos por las capas más altas, tales como emulación de circuitos, (Circuit Emulation), vídeo, audio, Frame Relay, etc. La AAL recibe los datos de varias fuentes o aplicaciones y las convierte en los segmentos de 48 bytes. Cinco tipos de servicio AAL están definidos actualmente:

 

La capa de Adaptación de ATM yace entre el ATM layer y las capas más altas que usan el servicio ATM. Su propósito principal es resolver cualquier disparidad entre un servicio requerido por el usuario y atender los servicios disponibles del ATM layer. La capa de adaptación introduce la información en paquetes ATM y controla los errores de la transmisión.

 

La información transportada por la capa de adaptación se divide en cuatro clases según las propiedades siguientes:

 

1.  Que la información que esta siendo transportada dependa

     o no del tiempo.

2.  Tasa de bit constante / variable.

3.  Modo de conexión.

Estas propiedades definen ocho clases posibles, cuatro se definen como B-ISDN Clases de servicios. La capa de adaptación de ATM define 4 servicios para equiparar las 4 clases definidas por B-ISDN:

  • AAL-1
  • AAL-2
  • AAL-3
  • AAL-4

 

 

La capa de adaptación se divide en dos subcapas:

 

1)Capa de convergencia (Convergence Sublayer (CS)) :

 

En esta capa se calculan los valores que debe llevar la cabecera y los payloads del mensaje. La información en la cabecera y en el payload depende de la clase de información que va a ser transportada.

2)Capa de Segmentación y reensamblaje (segmentation and reassembly (SAR))

 

Esta capa recibe los datos de la capa de convergencia y los divide en trozos formando los paquetes de ATM. Agrega la cabecera que llevara la información necesaria para el reensamblaje en el destino.

 

La figura siguiente aporta una mejor comprensión de ellas. La subcapa CS es dependiente del servicio y se encarga de recibir y paquetizar los datos provenientes de varias aplicaciones en tramas o paquete de datos longitud variable.

 

 

Estos paquetes son conocidos como (CS - PDU) CONVERGENCE SUBLAYER PROTOCOL DATA UNITS.

 

Luego, la subcapa recibe los SAR CS - PDU, los reparte en porciones del tamaño de la celda ATM para su transmisión.

 

También realiza la función inversa (reensamblado) para las unidades de información de orden superior. Cada porción es ubicada en su propia unidad de protocolo de segmentación y reemsable conocida como (SAR - PDU) SEGMENTATION AND REASSEMBLER PROTOCOL DATA UNIT, de 48 bytes.

 

Finalmente cada SAR - PDU se ubica en el caudal de celdas ATM con su header y trailer respectivos.

 

PROCEDIMIENTOS EN UNA RED ATM

NECESIDADES DE UN SISTEMA DE SEGURIDAD

El primer paso a la hora de construir un sistema de seguridad ATM es identificar las necesidades de seguridad de las comunicaciones sobre ATM:

1) Requerimientos Generales:

a) Autenticación. Se refiere a la necesidad de conocer si el usuario es el que dice ser.

b) Confidencialidad. Hace referencia a que sólo los usuarios autorizados pueden acceder al contenido de los datos.

c) Integridad. Este requerimiento se relaciona con que los datos no los pueden alteran terceras partes durante la transmisión.

d) No repudio. Esta necesidad implica que un usuario no puede negar el hecho de que ha accedido a un dato o servicio. Está probado que además del no repudio, una red pública segura al menos tiene que satisfacer los otros tres requerimientos.

Y un sistema de seguridad para una red también debe proporcionar servicios de gestión de claves seguras (por ejemplo distribución de claves) y control de acceso para los usuarios. Un buen esquema de gestión de claves es la base de todo sistema de seguridad. La seguridad procede del cifrado / descifrado. Si las claves utilizadas en el cifrado / descifrado las puede obtener fácilmente un atacante, entonces el sistema de seguridad será derrotado. Y en un sistema de red, debido a que existen muchos usuarios, la gestión y distribución de claves no se puede realizar manualmente, debe realizarse automáticamente o semiautomáticamente y el intercambio de claves se efectuará a través de la red. Una cuestión de gran importancia es el modo en que las claves se deben transferir a través de la red, especialmente cuando la red se inicializa. La autenticación es importante en sistemas de comunicación. En una red pública, todo, incluido las claves, debe autentificarse para evitar falsificaciones (o "spoofing"). La confidencialidad no sólo se necesita para proteger los datos de accesos no autorizados, sino también para garantizar la correcta distribución de claves simétricas. La integridad puede verse como cierto tipo de autentificación, que significa que los datos deberían ser los datos originales enviados por el que dice ser (sin falsificación). La gestión de claves, la autenticación, la confidencialidad y la integridad dependen entre sí. Deficiencias en cualquiera de ellas hará al sistema no seguro. El control de acceso es más importante en redes ATM que en otras redes.

Las redes ATM garantizan la calidad de servicio de la comunicación. La calidad de servicio se implementa clasificando el tráfico en diferentes categorías y encaminándolo en base a diferentes prioridades. Si el acceso a la red no se encuentra restringido, entonces nada se puede hacer respecto a la calidad de servicio.

2) Necesidades Específicas: El Forum ATM basándose en el análisis de los objetivos del cliente, operador y comunidad pública identifica como principales objetivos de seguridad para redes ATM:

a) Confidencialidad.

b) Integridad de los datos.

c) Responsabilidad.

d) Disponibilidad.

La responsabilidad significa que todas las invocaciones a servicios de red ATM y actividades de gestión de red sean responsables. Cualquier entidad debe ser responsable de las actividades que inicie. La responsabilidad incluye tanto a la autentificación como al no repudio.

Es muy importante para los operadores gestionar el sistema y la facturación de servicios. La responsabilidad significa que todas las entidades legítimas deberían poder acceder a facilidades ATM de forma correcta, no debe suceder ninguna denegación de servicio. Esto es importante para que pueda existir una calidad de servicio (o QoS, Quality of Service).

De acuerdo a estos objetivos el Forum propone las funciones principales que un sistema de seguridad ATM debería proporcionar:

a) Verificación de Identificadores. El sistema de seguridad debería poder establecer y verificar la identidad señalada y cualquier actor de una red ATM.

b) Acceso controlado y Autorización. Los actores no deberían obtener acceso a la información o recursos si no se encuentran autorizados para ello.

c) Protección de la Confidencialidad. Los datos almacenados y comunicados deben ser confidenciales.

d) Protección de la Integridad de los Datos. El sistema de seguridad debería garantizar la integridad de los datos almacenados y comunicados.

e) Responsabilidad fuerte: Una entidad no puede denegar la responsabilidad de sus acciones realizadas así como de sus efectos.

f) Registro de actividades. El sistema de seguridad debería soportar la capacidad de recuperar información sobre las actividades de seguridad de los elementos de red con la posibilidad de seguir la pista de esta información a individuos o entidades.

g) Reporte de Alarmas. El sistema de seguridad debería poder generar notificación de alarmas cerca de ciertos eventos ajustables y selectivos relacionados con la seguridad.

h) Auditoria. Cuando se produzcan transgresiones de seguridad, el sistema debería poder analizar los datos registrados relevantes a la seguridad.

 i) Recuperación de la seguridad. El sistema de seguridad debería poder recuperarse de las intrusiones con éxito o de los intentos de intrusión al sistema.

j) Gestión de la Seguridad. El sistema de seguridad debería poder gestionar los servicios de seguridad derivados de las necesidades anteriores.

De las diez necesidades, las dos últimas no proporcionan servicios de seguridad. Sin embargo, son necesarias para soportar el mantenimiento de los servicios de seguridad. Si el sistema de seguridad no puede recuperarse de los ataques y no puede proporcionar ningún servicio de seguridad, entonces el sistema no será seguro después de estos ataques. Por otra parte, los servicios e información de seguridad relativa a la seguridad deben ser gestionados de forma segura, son la base del sistema de seguridad.

 

IMPLEMENTACION DE LOS SERVICIOS DE SEGURIDAD

Tras identificar las necesidades de un sistema de seguridad ATM, se analiza la forma de implementar los servicios de seguridad en redes ATM. Para identificar el ámbito de seguridad ATM se observa la arquitectura de niveles de ATM que incluye básicamente tres planos:

seg2.gif (14505 bytes)

a) Plano de Usuario.

b) Plano de Control.

c) Plano de Gestión.

Cada plano incluye un conjunto de entidades. Las entidades del plano de usuario se utilizan para transferir datos de usuario. Las entidades del plano de control tratan del establecimiento de la conexión, de la liberación y de otras funciones de conexión (utilizan protocolos de señalización).

Las entidades del plano de gestión realizan funciones de coordinación y administración relacionadas con el plano de control y con el plano de usuario. El plano de gestión incluye las funciones P-NNI relativas al establecimiento de una infraestructura de encaminamiento.

Además de las entidades de estos tres planos, existen las entidades del nivel ATM. Las entidades del nivel ATM realizan la transferencia de datos ATM en nombre de las otras entidades de los tres planos.

 

COLOCACIÓN DE SERVICIOS DE SEGURIDAD EN REDES ATM.

Tras identificar las necesidades y el ámbito de la seguridad ATM, se analiza la forma de ubicar los servicios de seguridad en la arquitectura de red ATM. De acuerdo a la figura 2, el plano de usuario (o Plano U) es el plano que interactúa directamente con el usuario. Por tanto, para satisfacer los objetivos de seguridad del usuario, el plano de usuario debe proporcionar los servicios de seguridad como el control de acceso, la autenticación, la confidencialidad y la integridad de datos.

Otros servicios como el intercambio de claves, la infraestructura de certificación y la negociación de opciones de seguridad puede ser útil para satisfacer la diversidad de necesidades del usuario. Por tanto, también deberían ser soportados por el plano de usuario. Es importante proporcionar diferentes opciones de servicios de seguridad ya que existen diversas clases de tráfico en una red ATM. Las distintas conexiones tienen diferentes necesidades de seguridad. Los servicios de seguridad del plano de usuario deben proporcionar suficiente flexibilidad para satisfacer estas necesidades. En el plano de control ATM (o Plano C), se configurará la red para proporcionar un canal de comunicaciones para un usuario. De la figura 2, se observa que el plano de control puede interactuar con la tabla de conmutación o puede gestionar el canal virtual. Pueden realizarse diferentes ataques al plano de control, por tanto, es muy importante dotar de seguridad al plano de control. El punto clave a la hora de dotar de seguridad al plano de control es proporcionar autentificación y confidencialidad a la señalización. Si el receptor del mensaje o incluso una tercera parte puede verificar la fuente de este mensaje, entonces no puede suceder el ataque de denegación de servicios. También puede utilizarse la autentificación del plano de control para proporcionar la información de auditoria para la facturación correcta que debe ser inmune al repudio.

También es importante la seguridad del plano de gestión (o Plano G).

En el esquema de seguridad del plano de gestión se deben considerar entre otros los siguientes aspectos:

a)  La seguridad del arranque (o "bootstrapping").

b)  El descubrimiento del vecino autentificado.

c)  La seguridad del ILMI (Interim Local Management

     Interface).

d)  La seguridad de los circuitos virtuales permanentes.

En una infraestructura de seguridad, se debe proporcionar recuperación de la seguridad y gestión de la seguridad. Las partes principales de estos dos requerimientos deben implementarse en el plano de gestión.

Puesto que todos los datos deben transmitirse utilizando el nivel ATM, es muy importante hacer seguro el nivel ATM, se requieren la autentificación, confidencialidad, integridad, etc.

La seguridad del nivel ATM se debe implementar desde el punto de vista extremo a extremo, conmutador-extremo y conmutador-conmutador, figura 1. Puesto que los conmutadores pueden ver y reenviar células ATM, la integridad de datos para conmutador-conmutador y computador-conmutador es conveniente implementarla por célula ATM. Esto significa incluir una firma digital a cada célula ATM. Sin embargo, esto supone un coste ("overhead") no deseado. Por tanto se ha sugerido que la integridad sólo se proporcione desde el punto de vista computador-computador.

Es importante señalar que una cuestión es hacer seguro el nivel ATM y otra hacer seguro los niveles superiores. Una conexión del nivel ATM no es la misma que una conexión de nivel superior. Aunque se proteja y autentifique una conexión ATM, una conexión de nivel superior aún deberá protegerse y autentificarse. Esto es especialmente necesario cuando se establece una conexión para una red convencional (Ethernet, IEEE 802.3,...) que se conecta a un conmutador ATM. En este caso, la conexión se compartirá para todos los computadores de la red convencional. Las cuestiones de seguridad en este área aún no se han desarrollado plenamente.

 

SEGURIDAD EN TECNOLOGÍA ATM.

Señalización  ATM.

Los procedimientos de señalización Q.2931 (ITU-T) se utilizan para establecer conexiones punto a punto. La figura 3 muestra los mensajes extremo a extremo SETUP y CONNECT utilizados para conexiones punto a punto. Los otros mensajes como CALL PROCEEDING y CONNECT_ACK tienen significado local y no se incluyen en la figura 3. Los mensajes de señalización se identifican mediante la "referencia de llamada" y se protegen utilizando temporizadores de supervisión. Cuando expira el temporizador, la llamada terminará si no existe respuesta. Esta capacidad proporciona a los mensajes de señalización unicidad e indica que son recientes/nuevos.

Para SVCs, se puede incluir en los mensajes SETUP y CONNECT mecanismos de autentificación e intercambio de claves. Si el usuario llamado pone a uno un cierto flag del mensaje CONNECT, el emisor enviará utilizando la opción de mensaje "conexión disponible". Los elementos de información serán similares a los utilizados en los flujos OAM. La figura 4 muestra los servicios de seguridad que puede soportar cada nivel del Modelo OSI del ISO. El nivel físico puede soportar confidencialidad de datos utilizando protocolos de cifrado extremo a extremo. El nivel de enlace de datos también puede soportar confidencialidad de datos utilizando protocolos de cifrado enlace a enlace en vez de extremo a extremo. Los niveles de red y transporte pueden soportar autentificación, control de acceso, confidencialidad de datos e integridad de datos. El nivel de sesión no soporta según el ISO ningún servicio de seguridad. El nivel de presentación puede soportar confidencialidad de datos. El nivel de aplicación OSI puede soportar los cinco servicios de seguridad. La arquitectura de seguridad OSI sólo analiza los servicios que puede soportar cada nivel, no dice nada acerca de qué servicios debería soportar cada nivel.

La tecnología ATM se ha identificado como el modo de transferencia para implementar la RDSI (Red Digital de Servicios Integrados) de banda ancha, una red universal que soporta diferentes aplicaciones y categorías de clientes. Muchas de estas aplicaciones implican datos sensibles o flujos de información muy valiosa. Por tanto, la seguridad de red es una cuestión crítica en los servicios ATM ofrecidos.

 

ASPECTOS FINALES

Quizás la tecnología ATM sea la tecnología de red más compleja. El hacer seguro dicho sistema complejo es más difícil que diseñarlo. El objetivo de ATM es proporcionar una plataforma e infraestructura de comunicaciones de red unificada. La seguridad ATM como parte de esta infraestructura debe ser flexible y compatible con otras tecnologías: (LAN, MAN,..). Esto introduce más dificultades al área de la seguridad en ATM. Últimamente la Seguridad ha sido más y más importante en Entornos de Red con la aparición de las tecnologías de interconexión de redes. Las tecnologías de interconexión de redes permiten proporcionar los canales de comunicación a través de redes para que las máquinas de diferentes redes puedan comunicarse entre sí. Sin embargo, la comunicación entre redes se encuentra expuesta a toda clase de ataques en dicho entorno abierto. La mayor parte de las tecnologías de red que no integran mecanismos de seguridad desde un principio, deben rediseñarse para proporcionar ciertos Servicios de Seguridad.

La tecnología ATM (Asynchronous Transfer Mode) es un ejemplo de esto. Originalmente fue ideada como un "modo de transferencia" para implementar la tecnología de la Red Digital de Servicios Integrados de Banda Ancha permitiendo que todas las formas de tráfico de datos (voz, vídeo, texto, etc) puedan transferirse a través de las redes de telecomunicaciones. Pero ATM no se restringe a la Red Digital de Servicios Integrados de Banda Ancha. Se ha utilizado para proporcionar una infraestructura de red simplificada para varias conexiones de red, por ejemplo LAN (Local Area Network), MAN (Metropolitan Area Network) o WAN (Wide Area Network). ATM es una técnica orientada a la conexión. En ATM los computadores se conectan a través de una red de conmutadores ATM. Cuando dos partes desean comunicarse, primero solicitan un VC (Virtual Channel) de la red de conmutadores. A continuación las dos partes pueden enviarse datos entre sí. Aunque las partes de la comunicación pueden enviar datos de cualquier tamaño, ATM siempre emite datos en una unidad de tamaño fijo, denominada célula ATM. Una célula posee cinco bytes de cabecera y 48 bytes de carga útil.

La conmutación de células ATM se basa en el contenido de la cabecera cuya longitud es de cinco bytes. De este modo, cada célula puede circular a través de cada conmutador muy rápidamente. Para satisfacer diferentes necesidades de tráfico específicas, ATM también introduce el concepto de QoS (Quality of Service). Las cuestiones de seguridad ATM no obtuvieron suficiente atención hasta 1995, cuando un grupo dentro del Forum ATM se decidió a abordar dichas cuestiones. Por tanto, comparado con otras áreas de la seguridad, la seguridad en redes ATM aún está en proceso de desarrollo global.

 

 

 

 

[Anterior] [Siguiente] [Test]