Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Peering, BGP y Sistemas Autónomos (AS)




 ¿Cómo funciona por dentro internet? ¿Qué es un Sistema Autónomo? ¿Qué es un ASN? ¿Qué es el protocolo BGP? ¿Es importante el peering? ¿Qué es un punto neutro de intercambio de tráfico?






¿Cómo funciona internet?


El protocolo de enrutamiento en Internet es el BGP (Border Gateway Protocol). Cualquier red (ISP, redes académicas, operadores, ..) necesita un AS (Sistema Autónomo), asignado por el Registro Regional de Internet, para poder "hablar" BGP. Cada sistema autónomo en Internet tiene un identificador (ASN)


Un Sistema Autónomo (en inglés, Autonomous SystemAS) se define como “un grupo de redes IP que poseen una política de rutas propia e independiente”. Esta definición hace referencia a la característica fundamental de un Sistema Autónomo: realiza su propia gestión del tráfico que fluye entre él y los restantes Sistemas Autónomos que forman Internet. Un número de AS o ASN se asigna a cada AS, el que lo identifica de manera única a sus redes dentro de Internet.

Autonomous System Number (ASN).

Los Sistemas Autónomos se comunican entre sí mediante routers, los que intercambian información para tener actualizadas sus tablas de ruteo mediante el protocolo BGP  (Border Gateway Protocol)  e intercambian el tráfico de Internet que va de una red a la otra. A su vez cada Sistema Autónomo es como una Internet en pequeño, ya que su rol se llevaba a cabo por una sola entidad, típicamente un Proveedor de Servicio de Internet (ISP) o una gran organización con conexiones independientes a múltiples redes, las cuales se apegaban a una sola y clara política de definición de trayectorias La nueva definición RFC 19301 fue necesaria debido a que múltiples organizaciones podían utilizar BGP con números de AS privados con un ISP que conecta a todas estas organizaciones a Internet. Aún considerando que el ISP podía soportar múltiples sistemas autónomos, Internet solo considera la política de definición de trayectorias establecida por el ISP. Por lo tanto, el ISP debería contar con un ASN registrado.

ASN en España:

http://bgp.he.net/country/ES



Sistemas Autónomos (ASN)


  • Cada AS está identificado por un número único denominado ASN (Autonomous System Number)
  • Los ASN están delegados por IANA (Internet Asigned Number Authority) a los RIR (Regional Internet Registries) por bloques.
  • Cada RIR asigna un ASN a cada organización.
  • Hasta 2007 los ASN eran un número de 16 bits. Ahora se ofrecen de 32 bits, aunque no todos los sistemas son compatibles con la nueva numeración.
  • Los ASN del 65512 al 65534 están reservados para uso privado y no pueden anunciarse en Internet.
A partir del 1 de Enero de 2009 al solicitar un Sistema Autónomo (AS) a RIPE se asigna por defecto un AS de 32 bits (hasta ahora los AS eran de 16 bits), aunque se nos permite solicitar también ASs de 16 bits hasta el 1 de Enero de 2011.

Enlaces consulta ASN




Tipos:

  • Multihomed - Está conectado a más de un AS, de manera que puede permanecer conectado a Internet en el caso de fallo de una de las conexiones.
  • Stub - Sólo está conectado a otro AS.
  • Transit - Proporciona conexión entre distintos AS. (ISP)


Existen 5 Registros Regionales de Internet: (RIR)


  • AfriNIC: África (8 de abril de 2005)
  • APNIC: Asia y Pacífico
  • ARIN: Norte América
  • LACNIC: Latino América y Caribe
  • RIPE NCC: Europa, Oriente Medio y Asia Central

Cada RIR se ocupa:

  • Asignar bloques de direcciones IPv4 y IPv6 y de AS
  • No se ocupan de la gestión de los nombres de dominio (tarea de ICANN: Internet Corporation for Assigned Names and Numbers )

ISP vs AS

  • Un ISP es una entidad administrativa que puede tener uno o más ASN asignados dependiendo de su arquitectura y distribución geográfica
  • En general, un ASN se puede asignar a un ISP pero también a una red corporativa
  • Por lo tanto no todos los AS son ISP, pero todos los ISP deben tener uno o mas ASN asignados

BGP (Border Gateway Protocol)


  • BGP es un protocolo de routing de pasarela externa (interdomain routing protocol).
  • BGP utiliza el puerto 179/tcp para transportar el protocolo entre vecinos BGP.
  • BGP fue creado para proporcionar CIDR (Classless Interdomain Routing)
  • Es el EGP (Exterior Gateway Protocol) más utilizado.
  • Permite intercambiar información de encaminamiento entre sistemas autónomos.
para intercambiar rutas BGP los routers necesitan información:
  • Número de Versión de BGP
  • Número de AS
  • Router ID (RID) de BGP

Formas de BGP y Relaciones de Peering

BGP puede establecer dos tipos de peering
  • iBGP
  • eBGP

 

Diferencias entre EGP y IGP

  • IGP (Interior Gateway Protocol) sirven para intercambiar rutas dentro de los AS
 Objetivos:
- Provisión de caminos óptimos (según una cierta métrica)
- Rápida convergencia

 Dos grandes familias en Internet: Estado de Enlaces y Vector de Distancias

  •  EGP (Exterior Gateway Protocol) sirven para intercambiar rutas entre diferentes AS
 Objetivos:
- Mantener conectividad (más que optimicidad)
- Gran número de sistemas autónomos: Escalabilidad, estabilidad (a pesar de cambios frecuentes en topologías)
 - Control administrativo (aplicación de políticas de encaminamiento): el administrador puede tomar decisiones

Anunciar Rutas

Para anunciar rutas en BGP tenemos tres formas de hacerlo.
  • Comando network
  • Comando aggregate-address
  • Redistribución de IGPs

Atributos







    • Well-Known: Se reconocen en todas las implementaciones de BGP
      • Mandatory: Tienen que ser incluidos en todas la actualizaciones
        • Next-Hop: Dirección IP que alcanza el destino
        • Origin: i(IGP), e(EGP), ?(incompleto)
        • AS-Path: Número de ASs para alcanzar el destino y lista de los mismos
      • Discretionary: No tienen que ser incluidos en todas las actualizaciones
        • Local-Preference: Indica el path para salir del AS
        • Atomic Aggregator: Informa a los peers BGP que existe una ruta menos específica a un destino
    • Optional: No necesitan ser soportados por el proceso BGP
      • Transitive: Los routers los anunciarán, aunque ellos no los soporten
        • MED: Le dice al peer eBGP el path preferido para entrar en el AS
        • Community: Agrupa redes para asignación de políticas
        • Agregator: Incluye la IP y el AS del router que origina la ruta agregada
      • Non Transitive: Los routers no los anunciarán


    Para evitar los bucles de enrutamiento, BGP utiliza el atributo AS_PATH. Cada vez que un router anuncia un prefijo a un vecino BGP externo (eBGP), le agrega su numero de sistema autónomo (ASN) al atributo de AS_PATH. Esto resulta en que el atributo AS_PATH muestre la información sobre los diversos sistemas autónomos por los que un paquete debe pasar para llegar a su destino. Cuando un router recibe un anuncio de un prefijo con su propio ASN en el AS_PATH, rechaza el anuncio


    • AS_PATH Incluye información sobre los AS que deben atravesarse para alcanzar el destino
    • ORIGIN Es un atributo obligatorio que identifica al origen de una ruta
    • NEXT_HOP (Establece la dirección IP del encaminador frontera que debe utilizarse como siguiente salto en la ruta
    • LOCAL_PREF Parámetro opcional que indica la preferencia local hacia rutas externas.
    • MULTI_EXIT_DISC Cuando existen más de una conexión entre dos AS, el originante puede sugerir al otro extremo una ruta preferida

    Imagen Cisco Catalyst 4507R-E


    Internet está basado en el peering

    El intercambio de nivel regional, nacional y / o internacional de tráfico IP se conoce generalmente como "peering".

    Un intercambio de Internet Neutral (o punto de intercambio de Internet, IXP) es un punto de encuentro, una infraestructura compartida que permite a las diferentes redes (Servicios de Internet y proveedores de contenido, carriers, ...) intercambiar tráfico entre ellos a través de acuerdos de intercambio. El propósito de un intercambio de Internet Neutral es permitir la interconexión directa de las redes. Los Intercambios de internet mejoraran el costo, la latencia, el ancho de banda, la eficiencia de enrutamiento y la tolerancia a fallos.

    El intercambio de tráfico entre operadores se suele realizar en puntos neutros como por ejemplo CATNIX es el IXP (punto neutro de intercambio de internet) en Cataluña, así como ESpanix es el punto neutro de España en Madrid. El Punto Neutro Vasco se llama EuskoNIX y se encarga de la zona del País Vasco.

    Hay más de 130 puntos intercambios en el mundo distribuidos en 415 sitios alrededor de 35 países (325 IXP en el mundo)


    • París es la ciudad con más IXP: 7
     Los mayores IXP de Europa son:
    • AMS-IX (Amsterdam) 2157 Gb/S*
    • DE-CIX (Frankfurt) 2528 Gb/S*
    • LINX (London) 1607 Gb/S*
    • NL-IX (Holanda)  3332 Gb/S*
    • Equinix (USA-Europa) 
    * Datos mes Marzo 2013

    Tráfico Espanix diario actualizado cada 5 minutos (Tráfico en Gb/s)



    ¿Qué es el peering?


    Para definirlo de forma sencilla "Peering" es el intercambio de tráfico entre dos operadores de red, y este puede ser gratuito, o de pago.

    Para conectar dos operadores con peering gratuito simplemente se realiza una interconexión gratuita, es decir, ninguna de las partes cobra a la otra, sin embargo el peering de pago es lo mismo, pero una de las partes cobra para que puedas conectarte.

    Dicho de otra manera Peering es una relación entre ISPs o de otras redes de Internet en el que el intercambio de tráfico del cliente, generalmente de forma gratuita. Esto difiere de los acuerdos de tránsito habituales pagadas en las dos redes que envían cada otro tráfico sólo va entre sus redes y sus clientes. Ni envía el tráfico destinado a salir con el resto de Internet. Mientras peering puede ocurrir en cualquier lugar donde dos redes pueden conectarse entre sí, por lo general se realiza en un punto de cambio.

    Ejemplos:

    Según la política de peering de Teléfonica hace falta justificar 6.0Gbps de tráfico para poneren marcha un peering con ellos.

    Es conocido por responsables de redes de operadoras de Internet, las dificultades para realizar peering con Telefónica de España en los distintos puntos neutros de acceso donde se encuentra asociado, pese a que de la lectura de las condiciones y la letra de las normas de asociación de estos puntos neutros esta precisamente la de realizar acuerdos de peering con el objeto de mejorar el transito entre redes, lo cual no es un problema para también tener negocio sobre las propias redes.

    Para ello, telefónica dispone de varios AS, siendo uno de ellos, el conocido con AS bueno y el otro como el AS malo. En uno, la operadora llega a acuerdos internacionales con operadoras o grandes Carriers, pero pone condiciones muy elevadas para la interconexión con dicho AS.

    En el año 2008:

    Después de varios años de negativa de Telefónica Movistar a firmar un acuerdo de interconexión con OVH, compañía francesa de alojamiento web y servidores, esta llevó el asunto a la CMT (Comisión del Mercado de las Telecomunicaciones).

    LA CMT ha dictado una resolución para que se firme el acuerdo en un plazo de cinco días. En caso de no acatar esta resolución, Telefónica Movistar tendría una multa de 10000 euros cada día.

    Si eres un usuario de Barcelona y tienes adsl de telefónica y quieres conectar con el ordenador de tu vecino  de arriba que tiene adsl de Jazztel, lo lógico sería que la conexión pasara de telefónica a Jazztel por el punto neutro más cercano en Barcelona . Pero seguramente pasas por Amsterdam ya que no todos los operadores están utilizando los puntos neutros españoles (hacer un traceroute de prueba), seguramente por temas económicos o comerciales, y esto perjudica a la red porque se aumenta el tráfico en ciertos tramos por donde no sería necesario pasar y alarga el tiempo al enviar la señal de un punto a otro.

    Podemos uar el comando tracert en Windows para ver por dónde pasan los paquetes hasta llegar su destino.

    Diferencias entre Peering y Tránsito IP

    Cuando no es posible conectarse físicamente a todos los operadores del mundo para establecer acuerdos de peering existen los acuerdos de tránsito IP. Este tipo de acuerdos permiten enviar y recibir tráfico a los operadores con los que no tenemos conexión directa, a través de un tercero que hace de intermediario y cobrará por ese tráfico. El operador de tránsito IP suele facturar por capacidad del enlace y/o volumen de tráfico intercambiado.

    ¿Qué es un punto de intercambio de tráfico neutro IXP?


    Un punto de intercambio es una instalación en la interconexión de redes, tales como las instalaciones de  CATNIX, ESpanix y EuskoNIX.

    Un punto neutro de intercambio es generalmente un switch ethernet que todos los participantes se conectan a utilizar y establecer sesiones BGP entre sus redes. Muchos puntos de intercambio, o con los proveedores de colocación que los acogen, también ofrecen cruce privado de conexiones, cables que van directamente entre las redes en sus instalaciones, que las redes se pueden utilizar para las interconexiones. Cruces privados son útiles cuando se conecta dos redes tienen una gran cantidad de tráfico que pasa entre ellos, y no quiero llenar la capacidad del punto de intercambio.


    El peering de redes se hace por varias razones. A veces se  piensa que es más barato, y a veces lo que realmente es. Otras veces se piensa en que mejora el rendimiento, y a veces lo hace. También se trata de  mirar de ganar más control sobre sus rutas


    Root servers DNS (DNS réplicas)



    El CATNIX aloja desde el año 2005 una réplica del servidor raíz de nombres F, gestionado por la institución norteamericana Internet Systems Consortium (ISC). Esta réplica permite aumentar la calidad de servicio en la mejora del tiempo de respuesta para las consultas en el servidor de nombres (DNS), así como incrementar la seguridad, ya que garantiza el servicio en caso de ataques de denegación de servicio distribuido (DDoS).

    El DNS es uno de los pilares de internet y se basa en una estructura jerárquica, donde millones de servidores en el mundo tienen parte de la información necesaria para que el sistema funcione. La raíz del sistema está integrada por 13 servidores, los cuales son llamados con las primeras 13 letras del abecedario (de la A a la M). De estos servidores raíz, todos iguales entre ellos, 10 se encuentran en los Estados Unidos, mientras que sólo dos están en Europa y uno en Japón. El reducido número de estos servidores raíz y la elevada concentración en los EE.UU. se traduce en una debilidad en cuanto a seguridad y estabilidad, especialmente por lo que hace a los ataques DDoS. Es por este motivo que disponer de réplicas distribuidas alrededor del mundo es de vital importancia para mejorar la seguridad y disponibilidad de este servicio fundamental para el funcionamiento de la red, ya que cuando el DNS no funciona o se degrada su acceso, las aplicaciones habituales (web, correo, etc.) se ven inutilizadas o penalizadas. Actualmente, hay 51 réplicas del servidor F en el mundo, una decena de ellas en Europa.

    2 comentarios:

    Diego De Santiago dijo...

    Muy interesante el artículo, pero se implementa mucha seguridad en esos aspectos.

    Alejandro Ojeda dijo...

    Si alguien esta interesado en probar lo anterior, de forma real, le sera practicamente imposible por los requerimientos del RIPE. Pero existe, por lo menos, una Darknet que brinda la posibilidad de experimentar con BGP. Por si alguien esta interesado se llama Distributed Network 42 (dn42): http://www.dn42.net

    Unos articulos, por si se quiere participar en dn42:
    http://www.localnet.org.es/2013/08/distributed-network-42-con-openwrt.html
    http://www.localnet.org.es/2013/09/distributed-network-42-con-openwrt-bgp.html

    Publicar un comentario en la entrada

    Los comentarios pueden ser revisados en cualquier momento por los moderadores.

    Serán publicados aquellos que cumplan las siguientes condiciones:
    - Comentario acorde al contenido del post.
    - Prohibido mensajes de tipo SPAM.
    - Evite incluir links innecesarios en su comentario.
    - Contenidos ofensivos, amenazas e insultos no serán permitidos.

    Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.