Embed Size (px)
Citation preview
La telefonía IP convierte el computador en un teléfono. Es un servicio que permite realizar llamadas desde redes que utilizan el protocolo de comunicación IP (Internet Protocol), es decir, el sistema que permite comunicar computadores de todo el mundo a través de las líneas telefónicas. Esta tecnología digitaliza la voz y la comprime en paquetes de datos que se reconvierten de nuevo en voz en el punto de destino. Algunas formas de acceder a este servicio son:
Comunicación entre usuarios de PC conectados a Internet. Mediante el uso de computadoras multimediales y un programa adecuado se puede entablar una conversación en tiempo real con otra computadora similar ubicada en cualquier parte del planeta.
La segunda modalidad es la que posibilita la comunicación entre dos usuarios, aunque uno de ellos no esté conectado a Internet. Una persona conectada a través de su PC con Internet puede llamar a un teléfono fijo.
La tercera modalidad, y la más reciente, permitió ampliar las comunicaciones. Dos teléfonos fijos pueden comunicarse entre sí por medio del protocolo IP; uno de ellos llama a una central conectada a Internet y ésta lo comunica con el otro teléfono fijo de manera similar a la descrita anteriormente.Telefona IP
Introduccin
La telefona IP conjuga dos mundos histricamente separados: la transmisin de voz y la de datos. Se trata de transportar la voz, previamente convertida a datos, entre dos puntos distantes. Esto posibilitara utilizar las redes de datos para efectuar las llamadas telefnicas, y yendo un poco ms all, desarrollar una nica red que se encargue de cursar todo tipo de comunicacin, ya sea vocal o de datos.
Es evidente que el hecho de tener una red en vez de dos, es beneficioso para cualquier operador que ofrezca ambos servicios, vase gastos inferiores de mantenimiento, personal cualificado en una sola tecnologa,...
Redes de datos versus redes de voz
Las redes desarrolladas a lo largo de los años para transmitir las conversaciones vocales, se basaban en el concepto de conmutacin de circuitos, o sea, la realizacin de una comunicacin requiere el establecimiento de un circuito fsico durante el tiempo que dura sta, lo que significa que los recursos que intervienen en la realizacin de una llamada no pueden ser utilizados en otra hasta que la primera no finalice, incluso durante los silencios que se suceden dentro de una conversacin tpica.
En contraposicin a esto tenemos las redes de datos, basadas en el concepto de conmutacin de paquetes, o sea, una misma comunicacin sigue diferentes caminos entre origen y destino durante el tiempo que dura, lo que significa que los recursos que intervienen en una conexin pueden ser utilizados por otras conexiones que se efecten al mismo tiempo.
Es obvio que el segundo tipo de redes proporciona a los operadores una relacin ingreso/recursos mayor, es decir, con la misma cantidad de inversin en infraestructura de
red, obtiene mayores ingresos con las redes de conmutacin de paquetes, pues puede prestar ms servicio a sus clientes. Otra posibilidad sera que prestar ms calidad de servicio, velocidad de transmisin, por el mismo precio.
Pero bueno, si las redes de conmutacin de paquetes son tan buenas, por qu no se utilizan ya para las llamadas telefnicas? Bueno, este tipo de redes tambin tiene desventajas. Transportan la informacin dividida en paquetes, por lo que una conexin suele consistir en la transmisin de ms de un paquete. Estos paquetes pueden perderse, y adems no hay una garanta sobre el tiempo que tardarn en llegar de un extremo al otro de la comunicacin.
Imaginad por tanto una conversacin de voz, que se pierde de vez en cuando, paquetes perdidos, y que sufre retrasos importantes en su cadencia. Si alguna vez habis chateado, entenderis lo que digo. A veces durante estas conversaciones de Chat, recibimos dos o tres preguntas seguidas de nuestro interlocutor, y es que como lo que nosotros escribimos no le llega, pues l sigue con otras preguntas.
Estos problemas de calidad de servicio telefnico a travs de redes de conmutacin de paquetes van disminuyendo con la evolucin de las tecnologas involucradas, y poco a poco se va acercando el momento de la integracin de las redes de comunicaciones de voz y datos.
La telefona vocal hasta ahora
Lo que tenemos hasta hoy es una red de acceso, que incluye el cableado desde el hogar del abonado hasta las centrales locales y el equipamiento necesario, y una red de transporte, que incluye las centrales de rango superior y los enlaces de comunicaciones que las unen. La comunicacin se lleva a cabo por conmutacin de circuitos.
Como ya hemos indicado anteriormente todos los recursos destinados a intervenir en el desarrollo de una conversacin telefnica no pueden ser utilizados por otra llamada hasta que la primera no finaliza.
La telefona vocal con IP
En la telefona IP el cambio fundamental se produce en la red de transporte: ahora esta tarea es llevada a cabo por una red basada en el protocolo IP, de conmutacin de paquetes, por ejemplo Internet. En cuanto a la red de acceso, puede ser la misma que en el caso anterior, fsicamente hablando (bucle de abonado).
Los elementos necesarios para que se puedan realizar llamadas vocales a travs de una red IP dependen en gran medida de qu terminal se utiliza en ambos extremos de la conversacin. Estos pueden ser terminales IP o no IP.
Entre los primeros est el telfono IP, un ordenador multimedia, un fax IP,... Entre los segundos est un telfono convencional, un fax convencional,...
Los primeros son capaces de entregar a su salida la conversacin telefnica en formato de paquetes IP, adems de ser parte de propia red IP, mientas que los segundos no, por lo que necesitan de un dispositivo intermedio que haga esto antes de conectarlos a la red IP de transporte.
Hay que sealar que en el caso de que uno o ambos extremos de la comunicacin telefnica sean un terminal IP, es importante conocer de qu modo estn conectados a Internet. Si es
de forma permanente, se les puede llamar en cualquier momento. Si es de forma no permanente, por ejemplo, a travs de un Proveedor de Acceso a Internet (PAI) va mdem, no se les puede llamar si en ese momento no estn conectados a Internet.
Gateway
El Gateway es el elemento encargado de hacer de puente entre la red telefnica convencional (RTB) y la red IP. Cuando un telfono convencional trata de hacer una llamada IP, alguien tiene que encargarse de convertir la seal analgica en un caudal de paquetes IP, y viceversa. Esta es una de las funciones del Gateway, que tambin ofrece una manera de que un dispositivo no IP pueda comunicarse con otro IP. Por una parte se conecta a una central telefnica, y por la otra a una red IP.
Gatekeeper
El Gatekeeper acta en conjunción con varios Gateway, y se encarga de realizar tareas de autenticación de usuarios, control de ancho de banda, encaminamiento IP,... Es el cerebro de la red de telefonía IP. No todos los sistemas utilizados por los PSTI's son compatibles (Gateway, Gatekeeper) entre s. Este ha sido uno de los motivos que ha impedido que la telefona IP se haya extendido con mayor rapidez. Actualmente esto se est corrigiendo, y casi todos los sistemas estn basados en el protocolo H.323.
Llamadas telfono a telfono
En este caso tanto el origen como el destino necesitan ponerse en contacto con un Gateway. Supongamos que el telfono A descuelga y solicita efectuar una llamada a B. El Gateway de A solicita informacin al Gatekeeper sobre como alcanzar a B, y ste le responde con la direccin IP del Gateway que da servicio a B. Entonces el Gateway de A convierte la seal analgica del telfono A en un caudal de paquetes IP que encamina hacia el Gateway de B, el cul va regenerando la seal analgica a partir del caudal de paquetes IP que recibe con destino al telfono B. Fijaos como el Gateway de B se encarga de enviar la seal analgica al telfono B.
Por tanto tenemos una comunicacin telefnica convencional entre el telfono A y el Gateway que le da servicio (Gateway A), una comunicacin de datos a travs de una red IP, entre el Gateway A y el B, y una comunicacin telefnica convencional entre el Gateway que da servicio al telfono B (Gateway B), y ste. Es decir, dos llamadas telefnicas convencionales, y una comunicacin IP. Si las dos primeras son metropolitanas, que es lo normal, el margen con respecto a una llamada telefnica convencional de larga distancia o internacional, es muy grande.
Llamadas PC a telfono o viceversa
En este caso slo un extremo necesita ponerse en contacto con un Gateway. El PC debe contar con una aplicacin que sea capaz de establecer y mantener una llamada telefnica. Supongamos que un ordenador A trata de llamar a un telfono B. En primer lugar la aplicacin telefnica de A ha de solicitar informacin al Gatekeeper, que le proporcionar la direccin IP del Gateway que da servicio a B. Entonces la aplicacin telefnica de A establece una conexin de datos, a travs de la Red IP, con el Gateway de B, el cul va regenerando la seal analgica a partir del caudal de paquetes IP que recibe con destino al telfono B. Fijaos como el Gateway de B se encarga de enviar la seal analgica al telfono B.
Por tanto tenemos una comunicacin de datos a travs de una red IP, entre el ordenador A y el Gateway de B, y una comunicacin telefnica convencional entre el Gateway que da servicio al telfono B (Gateway B), y ste. Es decir, una llamada telefnica convencional, y una comunicacin IP. Si la primera es metropolitana, que es lo normal, el margen con respecto a una llamada telefnica convencional de larga distancia o internacional, es muy grande.
Llamadas PC a PC
En este caso la cosa cambia. Ambos ordenadores slo necesitan tener instalada la misma aplicacin encargada de gestionar la llamada telefnica, y estar conectados a la Red IP, Internet generalmente, para poder efectuar una llamada IP. Al fin y al cabo es como cualquier otra aplicacin Internet, por ejemplo un chat.
Actores de la Telefona IP
En primer lugar tenemos al Proveedor de Servicios de Telefona por Internet (PSTI, o ISTP en ingls). Proporciona servicio a un usuario conectado a Internet que quiere mantener una comunicacin con un telfono convencional, es decir, llamadas PC a telfono. Cuenta con Gateways conectados a la red telefnica en diversos puntos por una parte, y a su propia red IP por otra. Cuando un usuario de PC solicita llamar a un telfono normal, su red IP se hace cargo de llevar la comunicacin hasta el Gateway que da servicio al telfono de destino. Esto significa que para que los usuarios de PC de un PSTI puedan llamar a muchos pases, ste necesita tener una gran cantidad de Gateways. O no?
Pues no. Conforme se van extendiendo los PSTI por todo el mundo, lo que se hace es establecer acuerdos econmicos con otros PSTI, para intercambiar llamadas IP. T finalizas las llamadas que originan mis usuarios, y que tengan como destino telfonos que tus Gateways cubren de forma local, y viceversa. En vez de llevar a cabo estos acuerdos bilaterales, lo que se suele hacer es trabajar con intermediarios, que tienen acuerdos con PSTI's de todo el mundo. Estos intermediarios son conocidos como Proveedores de Servicios de Clearinghouse (PSC, o CSP en ingls).
Ejemplos de los anteriores son Peoplecall, Deltathree, Net2Phone, WowRing y PhoneFree, todos ellos PSTI, e ITXC, IpVoice, KPNQwest y NTT, todos ellos PSC's. Go2Call.com ayuda a comparar precios entre PSTI's.
Operadores
Con lo visto, no parece descabellado asegurar que el futuro de la telefona pasa por las redes IP. Entonces, qu pasa con los operadores tradicionales? Tranquilos, no les pasar nada, a no ser que no se den cuenta de que la telefona IP no es su competidor, sino su aliado. La mayora de ellos han puesto en marcha proyectos de telefona IP, y el que no lo haya hecho ya se puede dar prisa. Por el contrario existen nuevos operadores, que desde sus inicios han apostado fuerte por esta tecnologa, y cuyo crecimiento est asegurado.
Todos los estudios al respecto dan como imparable el desarrollo de la telefona IP, y ya se hacen apuestas sobre cuando el nmero de minutos de comunicaciones vocales cursadas por redes IP superar a los cursados por las redes tradicionales.
Voz sobre Protocolo de Internet, también llamado Voz IP, VozIP, VoIP (por sus siglas en inglés), es un grupo de recursos que hacen posible que la señal de voz viaje a través de Internet empleando un protocolo IP (Protocolo de Internet). Esto significa que se envía la señal de voz en forma digital, en paquetes, en lugar de enviarla en forma digital o analógica, a través de circuitos utilizables sólo para telefonía como una compañía telefónica convencional o PSTN (sigla de Public Switched Telephone Network, Red Telefónica Pública Conmutada).Los Protocolos que se usan para enviar las señales de voz sobre la red IP se conocen como protocolos de Voz sobre IP o protocolos IP. Estos pueden verse como aplicaciones comerciales de la "Red experimental de Protocolo de Voz" (1973), inventada por ARPANET.El tráfico de Voz sobre IP puede circular por cualquier red IP, incluyendo aquellas conectadas a Internet, como por ejemplo las redes de área local (LAN).Es muy importante diferenciar entre Voz sobre IP (VoIP) y Telefonía sobre IP.
VoIP es el conjunto de normas, dispositivos, protocolos, en definitiva la tecnología que permite comunicar voz sobre el protocolo IP.
Telefonía sobre IP es el servicio telefónico disponible al público, por tanto con numeración E.164, realizado con tecnología de VoIP.
Ventajas La principal ventaja de este tipo de servicios es que evita los cargos altos de telefonía (principalmente de larga distancia) que son usuales de las compañías de la Red Pública Telefónica Conmutada (PSTN). Algunos ahorros en el costo son debidos a utilizar una misma red para llevar voz y datos, especialmente cuando los usuarios tienen sin utilizar toda la capacidad de una red ya existente la cual pueden usar para VoIP sin un costo adicional. Las llamadas de VoIP a VoIP entre cualquier proveedor son generalmente gratis, en contraste con las llamadas de VoIP a PSTN que generalmente cuestan al usuario de VoIP.
El desarrollo de codecs para VoIP (aLaw, g.729, g.723, etc.) ha permitido que la voz se codifique en paquetes de datos de cada vez menor tamaño. Esto deriva en que las comunicaciones de voz sobre IP requieran anchos de banda muy reducidos. Junto con el avance permanente de las conexiones ADSL en el mercado residencial, éste tipo de comunicaciones, están siendo muy populares para llamadas internacionales.
Hay dos tipos de servicio de PSTN a VoIP: "Discado Entrante Directo" (Direct Inward Dialling: DID) y "Números de acceso". DID conecta a quien hace la llamada directamente al usuario VoIP mientras que los Números de Acceso requieren que este introduzca el número de extensión del usuario de VoIP. Los Números de acceso son usualmente cobrados como una llamada local para quien hizo la llamada desde la PSTN y gratis para el usuario de VoIP.
Estos precios pueden llegar a ser hasta 50 veces más económicos que los precios de operadores locales.
Funcionalidad [editar]VoIP puede facilitar tareas que serían más difíciles de realizar usando las redes telefónicas comunes:
Las llamadas telefónicas locales pueden ser automáticamente enrutadas a un teléfono VoIP, sin importar dónde se esté conectado a la red. Uno podría llevar consigo un teléfono VoIP en un viaje, y en cualquier sitio conectado a Internet, se podría recibir llamadas.Números telefónicos gratuitos para usar con VoIP están disponibles en Estados Unidos de América, Reino Unido y otros países de organizaciones como Usuario VoIP.
Los agentes de Call center usando teléfonos VoIP pueden trabajar en cualquier lugar con conexión a Internet lo suficientemente rápida.Algunos paquetes de VoIP incluyen los servicios extra por los que PSTN (Red Publica Telefónica Conmutada) normalmente cobra un cargo extra, o que no se encuentran disponibles en algunos países, como son las llamadas de 3 a la vez, retorno de llamada, remarcación automática, o identificación de llamada. Móvil [editar]Los usuarios de VoIP pueden viajar a cualquier lugar en el mundo y seguir haciendo y recibiendo llamadas de la siguiente forma:
Los subscriptores de los servicios de las líneas telefónicas pueden hacer y recibir llamadas locales fuera de su localidad. Por ejemplo, si un usuario tiene un número telefónico en la ciudad de Nueva York y está viajando por Europa y alguien llama a su número telefónico, esta se recibirá en Europa. Además si una llamada es hecha de Europa a Nueva York, esta será cobrada como llamada local, por supuesto el usuario de viaje por Europa debe tener una conexión a Internet disponible.Los usuarios de Mensajería Instantánea basada en servicios de VoIP pueden también viajar a cualquier lugar del mundo y hacer y recibir llamadas telefónicas.Los teléfonos VoIP pueden integrarse con otros servicios disponibles en Internet, incluyendo videoconferencias, intercambio de datos y mensajes con otros servicios en paralelo con la conversación, audio conferencias, administración de libros de direcciones e intercambio de información con otros (amigos, compañeros, etc). Repercusión en el comercio [editar]La Voz sobre IP está abaratando las comunicaciones internacionales y mejorando por tanto la comunicación entre proveedores y clientes, o entre delegaciones del mismo grupo.
Asimismo, la voz sobre IP se está integrando, a través de aplicaciones específicas, en portales web. De esta forma los usuarios pueden solicitar una llamada de X empresa o programar una llamada para una hora en concreto, que se efectuará a través de un operador de Voz IP normalmente.
Futuro de la Voz sobre IP [editar]El ancho de banda creciente a nivel mundial, y la optimización de los equipos de capa 2 y 3 para garantizar el QoS (Quality of Service) de los servicios de voz en tiempo real hace que el futuro de la Voz sobre IP sea muy prometedor. En Estados Unidos los proveedores de voz sobre IP como Vonage consiguieron una importante cuota de mercado. En España, gracias a las tarifas planas de voz, los operadores convencionales consiguieron evitar el desembarco masivo de estos operadores. Sin embargo la expansión de esta tecnología está viniendo de mano de los desarrolladores de sistemas como Cisco y Avaya que integran en sus plataformas redes de datos y voz. Otros fabricantes como Alcatel-Lucent, Nortel Networks, Matra, Samsung y LG también desarrollan soluciones corporativas de voz sobre IP en sus equipos de telecomunicaciones.
El Estándar VoIP (H.323) [editar]Definido en 1996 por la UIT (Unión Internacional de Telecomunicaciones) proporciona a los diversos fabricantes una serie de normas con el fin de que puedan evolucionar en conjunto.
Características principales [editar]Por su estructura el estándar proporciona las siguientes ventajas:
Permite controlar el tráfico de la red, por lo que se disminuyen las posibilidades de que se produzcan caídas importantes en el rendimiento. Las redes soportadas en IP presentan las siguientes ventajas adicionales: Es independiente del tipo de red física que lo soporta. Permite la integración con las grandes redes de IP actuales.Es independiente del hardware utilizado.Permite ser implementado tanto en software como en hardware, con la particularidad de que el hardware supondría eliminar el impacto inicial para el usuario común.Permite la integración de Vídeo y TPV VoIP no es un servicio, es una tecnología En muchos países del mundo, IP ha generado múltiples discordias, entre lo territorial y lo legal sobre esta tecnología, está claro y debe quedar en claro que la tecnología de VoIP no es un servicio como tal, sino una tecnología que usa el Protocolo de Internet (IP) a través de la cual se comprimen y descomprimen de manera altamente eficiente paquetes de datos o datagramas, para permitir la comunicación de dos o más clientes a través de una red como la red de Internet. Con esta tecnología pueden prestarse servicios de Telefonía o Videoconferencia, entre otros.
Arquitectura de red [editar]El propio Estándar define tres elementos fundamentales en su estructura:
Terminales: Son los sustitutos de los actuales teléfonos. Se pueden implementar tanto en software como en hardware.Gatekeepers: Son el centro de toda la organización VoIP, y serían el sustituto para las actuales centrales. Normalmente implementadas en software, en caso de existir, todas las comunicaciones pasarían por él.Gateways: Se trata del enlace con la red telefónica tradicional, actuando de forma transparente para el usuario.Con estos tres elementos, la estructura de la red VoIP podría ser la conexión de dos delegaciones de una misma empresa. La ventaja es inmediata: todas las comunicaciones entre las delegaciones son completamente gratuitas. Este mismo esquema se podría aplicar para proveedores, con el consiguiente ahorro que esto conlleva.
Protocolos de VoIP: Es el lenguaje que utilizarán los distintos dispositivos VoIP para su conexión. Esta parte es importante ya que de ella dependerá la eficacia y la complejidad de la comunicación. Por orden de antigüedad (de más antiguo a más nuevo): H.323 - Protocolo definido por la ITU-TSIP - Protocolo definido por la IETFMegaco (También conocido como H.248) y MGCP - Protocolos de controlSkinny Client Control Protocol - Protocolo propiedad de CiscoMiNet - Protocolo propiedad de MitelCorNet-IP - Protocolo propiedad de SiemensIAX - Protocolo original para la comunicación entre PBXs Asterisk (Es un estándar para los demás sistemas de comunicaciones de datos, actualmente está en su versión 2 - IAX2)Skype - Protocolo propietario peer-to-peer utilizado en la aplicación SkypeIAX2 - Protocolo para la comunicación entre PBXs Asterisk en reemplazo de IAXJingle - Protocolo abierto utilizado en tecnología JabberMGCP- Protocolo propietario de CiscoweSIP [1] - Protocolo licencia gratuita de VozTelecom [2]
Como hemos visto VoIP presenta una gran cantidad de ventajas, tanto para las empresas como para los usuarios comunes. La pregunta sería ¿por qué no se ha implantado aún esta tecnología?. A continuación analizaremos los aparentes motivos, por los que VoIP aún no se ha impuesto a las telefonías convencionales.
Parámetros de la VoIP [editar]Este es el principal problema que presenta hoy en día la penetración tanto de VoIP como de todas las aplicaciones de IP. Garantizar la calidad de servicio sobre Internet, que solo soporta "mejor esfuerzo" (best effort) y puede tener limitaciones de ancho de banda en la ruta, actualmente no es posible; por eso, se presentan diversos problemas en cuanto a garantizar la calidad del servicio.
Códecs [editar]La voz ha de codificarse para poder ser transmitida por la red IP. Para ello se hace uso de Códecs que garanticen la codificación y compresión del audio o del video para su posterior decodificación y descompresión antes de poder generar un sonido o imagen utilizable. Según el Códec utilizado en la transmisión, se utilizará más o menos ancho de banda. La cantidad de ancho de banda suele ser directamente proporcional a la calidad de los datos transmitidos.
Entre los codecs utilizados en VoIP encontramos los G.711, G.723.1 y el G.729 (especificados por la ITU-T)
Estos Codecs tienen este tamaño en su señalización:
G.711: bit-rate de 56 o 64 Kbps.G.722: bit-rate de 48, 56 o 64 Kbps.G.723: bit-rate de 5,3 o 6,4 Kbps.G.728: bit-rate de 16 Kbps.G.729: bit-rate de 8 o 13 Kbps.Esto no quiere decir que es el ancho de banda utilizado, por ejemplo el Codec G729 utiliza 31.5 Kbps de ancho de banda en su transmisión.
Retardo o latencia [editar]Una vez establecidos los retardos de tránsito y el retardo de procesado la conversación se considera aceptable por debajo de los 150 ms. Pérdida de tramas (Frames Lost):
Durante su recorrido por la red IP las tramas se pueden perder como resultado de una congestión de red o corrupción de datos. Además, para tráfico de tiempo real como la voz, la retransmisión de tramas perdidas en la capa de transporte no es práctico por ocasionar retardos adicionales. Por consiguiente, los terminales de voz tienen que retransmitir con muestras de voz perdidas, también llamadas Frame Erasures. El efecto de las tramas perdidas en la calidad de voz depende de como los terminales manejan las Frame Erasures.
En el caso más simple, el terminal deja un intervalo en el flujo de voz, si una muestra de voz es perdida. Si muchas tramas son perdidas, sonara grietoso con silabas o palabras perdidas. Una posible estrategia de recuperación es reproducir las muestras de voz previas. Esto funciona bien si sólo unas cuantas muestras son perdidas. Para combatir mejor las ráfagas de errores usualmente se emplean sistemas de interpolación. Basándose en muestras de voz previas, el decodificador predecirá las tramas perdidas. Esta técnica es conocida como Packet Loss Concealment (PLC).
La ITU-T G.113 apéndice I provee algunas líneas de guía de planificación provisional en el efecto de perdida de tramas sobre la calidad de voz. El impacto es medido en términos de Ie, el factor de deterioro. Este es un número en la cual 0 significa no deterioró. El valor más grande de Ie significa deterioro más severo. La siguiente tabla está derivada de la G.113 apéndice I y muestra el impacto de las tramas perdidas en el factor Ie.
Calidad del servicio [editar]La calidad de este servicio se está logrando bajo los siguientes criterios:
La supresión de silencios, otorga más eficiencia a la hora de realizar una transmisión de voz, ya que se aprovecha mejor el ancho de banda al transmitir menos información.Compresión de cabeceras aplicando los estándares RTP/RTCP.Priorización de los paquetes que requieran menor latencia. Las tendencias actuales son: CQ (Custom Queuing) (Sánchez J.M:, VoIP'99): Asigna un porcentaje del ancho de banda disponible.PQ (Priority Queuing) (Sánchez J.M:, VoIP'99): Establece prioridad en las colas.WFQ (Weight Fair Queuing) (Sánchez J.M:, VoIP'99): Se asigna la prioridad al tráfico de menos carga.DiffServ: Evita tablas de encaminados intermedios y establece decisiones de rutas por paquete.La implantación de IPv6 que proporciona mayor espacio de direccionamiento y la posibilidad de tunneling.
VPNUna red privada virtual o VPN (siglas en inglés de virtual private network), es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet.
Ejemplos comunes son, la posibilidad de conectar dos o más sucursales de una empresa utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la infraestructura de Internet.Medios [editar]Para hacerlo posible de manera segura es necesario proporcionar los medios para garantizar la autentificación, integridad y confidencialidad de toda la comunicación:
Autentificación y autorización: ¿Quién está del otro lado? Usuario/equipo y qué nivel de acceso debe tener.Integridad: de que los datos enviados no han sido alterados. Para ello se utiliza funciones de Hash. Los algoritmos de hash más comunes son los Message Digest (MD2 y MD5) y el Secure Hash Algorithm (SHA).Confidencialidad: Dado que los datos viajan a través de un medio tan hostil como Internet, dichos datos son susceptibles de intercepción, por lo que resulta fundamental el cifrado de los mismos. De este modo, la información no debe poder ser interpretada por nadie más que los destinatarios de la misma. Se hace uso de algoritmos de cifrado como Data Encryption Standard (DES), Triple DES (3DES) y Advanced Encryption Standard (AES).No repudio: es decir, un mensaje tiene que ir firmado, y el que lo firma no puede negar que el mensaje lo envió él.
Requerimientos básicos [editar]Identificación de usuario: las VPN deben verificar la identidad de los usuarios y restringir su acceso a aquellos que no se encuentren autorizados.Codificación de datos: los datos que se van a transmitir a través de la red pública (Internet), antes deben ser cifrados, para que así no puedan ser leídos. Esta tarea se realiza con algoritmos de cifrado como DES o 3DES que solo pueden ser leidos por el emisor y receptor.Administración de claves: las VPN deben actualizar las claves de cifrado para los usuarios. Tipos de VPN [editar]Básicamente existen tres arquitecturas de conexión VPN:
VPN de acceso remoto [editar]Es quizás el modelo más usado actualmente, y consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles, aviones preparados, etcétera) utilizando Internet como vínculo de acceso. Una vez autentificados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. Muchas empresas han reemplazado con esta tecnología su infraestructura dial-up (módems y líneas telefónicas).
VPN punto a punto [editar]Este esquema se utiliza para conectar oficinas remotas con la sede central de la organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta las conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, típicamente mediante conexiones de banda ancha. Esto permite eliminar los costosos vínculos punto a punto tradicionales, sobre todo en las comunicaciones internacionales. Es más común el siguiente punto, también llamado tecnología de túnel o tunneling.
Tunneling [editar]Internet se construyó desde un principio como un medio inseguro. Muchos de los protocolos utilizados hoy en día para transferir datos de una máquina a otra a través de la red carecen de algún tipo de cifrado o medio de seguridad que dichos datos. Este tipo de técnica requiere de forma imprescindible tener una cuenta de acceso seguro en la máquina con la que se quiere comunicar los datos.
VPN interna VLAN [editar]Este esquema es el menos difundido pero uno de los más poderosos para utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet como medio de conexión, emplea la misma red de área local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna. Esta capacidad lo hace muy conveniente para mejorar las prestaciones de seguridad de las redes inalámbricas (WiFi).
Un ejemplo clásico es un servidor con información sensible, como las nóminas de sueldos, ubicado detrás de un equipo VPN, el cual provee autenticación adicional más el agregado del cifrado, haciendo posible que sólo el personal de recursos humanos habilitado pueda acceder a la información.
Implementaciones [editar]El protocolo estándar de hecho es el IPSEC, pero también tenemos PPTP, L2F, L2TP, SSL/TLS, SSH, etc. Cada uno con sus ventajas y desventajas en cuanto a seguridad, facilidad, mantenimiento y tipos de clientes soportados.
Actualmente hay una línea de productos en crecimiento relacionada con el protocolo SSL/TLS, que intenta hacer más amigable la configuración y operación de estas soluciones.
Las soluciones de hardware casi siempre ofrecen mayor rendimiento y facilidad de configuración, aunque no tienen la flexibilidad de las versiones por software. Dentro de esta familia tenemos a los productos de SonicWALL, WatchGuard, Nortel, Cisco, Linksys, Netscreen (Juniper Networks), Symantec, Nokia, U.S. Robotics, D-link, etc.Las aplicaciones VPN por software son las más configurables y son ideales cuando surgen problemas de interoperatividad en los modelos anteriores. Obviamente el rendimiento es menor y la configuración más delicada, porque se suma el sistema operativo y la seguridad del equipo en general. Aquí tenemos por ejemplo a las soluciones nativas de Windows, GNU/Linux y los Unix en general. Por ejemplo productos de código abierto como OpenSSH, OpenVPN y FreeS/Wan.En ambos casos se pueden utilizar soluciones de firewall ("barrera de fuego" en castellano o cortafuego), obteniendo un nivel de seguridad alto por la protección que brinda, en detrimento del rendimiento.
Ventajas [editar]Integridad, confidencialidad y seguridad de datos.Las VPN reducen los costos y son sencillas de usar.Facilita la comunicación entre dos usuarios en lugares distantes.Se utiliza más en campus de universidades. Tipos de conexión [editar] Conexión de acceso remoto [editar]Una conexión de acceso remoto es realizada por un cliente o un usuario de una computadora que se conecta a una red privada, los paquetes enviados a través de la conexión VPN son originados al cliente de acceso remoto, y éste se autentica al servidor de acceso remoto, y el servidor se autentica ante el cliente.
Conexión VPN router a router [editar]Una conexión VPN router a router es realizada por un router, y este a su vez se conecta a una red privada. En este tipo de conexión, los paquetes enviados desde cualquier router no se originan en los routers. El router que realiza la llamada se autentifica ante el router que responde y este a su vez se autentica ante el router que realiza la llamada y también sirve para la intranet.
Conexión VPN firewall a firewall [editar]Una conexión VPN firewall a firewall es realizada por uno de ellos, y éste a su vez se conecta a una red privada. En este tipo de conexión, los paquetes son enviados desde cualquier usuario en Internet. El firewall que realiza la llamada se autentica ante el que responde y éste a su vez se autentica ante el llamante.OpenVPN es una solución de conectividad basada en software: SSL (Secure Sockets Layer) VPN Virtual Private Network (red virtual privada), OpenVPN ofrece conectividad punto-a-punto con validación jerárquica de usuarios y host conectados remotamente, resulta una muy buena opción en tecnologías Wi-Fi (redes inalámbricas EEI 802.11) y soporta una amplia configuración, entre ellas balanceo de cargas entre otras. Está publicado bajo la licencia GPL, de software libre.OpenVPN, es un producto de software creado por James Yonan en el año 2001 y que ha estado siendo mejorado desde entonces.
Ninguna otra solución ofrece una mezcla semejante de seguridad a nivel empresarial, seguridad, facilidad de uso y riqueza de características.
Es una solución multiplataforma que ha simplificado mucho la configuración de VPN's dejando atrás los tiempos de otras soluciones difíciles de configurar como IPsec y haciéndola más accesible para gente inexperta en este tipo de tecnología.
Supongamos que necesitamos comunicar diferentes sucursales de una organización. A continuación veremos algunas soluciones que se han ofrecido como respuesta a este tipo de necesidades.
En el pasado las comunicaciones se realizaban por correo, teléfono o fax. Hoy en día hay factores que hacen necesaria la implementación de soluciones más sofisticadas de conectividad entre las oficinas de las organizaciones a lo largo del mundo.
Dichos factores son:
La aceleración de los procesos de negocios y su consecuente aumento en la necesidad de intercambio flexible y rápido de información.Muchas organizaciones tienen varias sucursales en diferentes ubicaciones así como también tele trabajadores remotos desde sus casas, quienes necesitan intercambiar información sin ninguna demora, como si estuvieran físicamente juntos.La necesidad de las redes de computación de cumplir altos estándares de seguridad que aseguren la autenticidad, integridad y disponibilidad.
Líneas dedicadasLas necesidades antes mencionadas se satisfacían en principio colocando líneas dedicadas entre las diferentes ubicaciones remotas a un costo mucho mayor que el de simple acceso a Internet. Se necesitaban conexiones físicas reales necesitando de un proveedor en cada sitio resultando en una solo línea de comunicación entre dos partes.
Por ejemplo, para una red de 4 nodos en la cual se buscase comunicación de todos con todos, habría que tender 6 líneas de comunicación.
Además, para dar conectividad a trabajadores domésticos o viajeros se implementaban servicios RAS1 para aquellos que necesitaban conectarse temporalmente mediante conexiones de módem o líneas ISDN2 donde la organización se comportaba como un proveedor de Internet (ISP).
Acceso mediante Internet y VPNs
Con la llegada de Internet y la baja de costos en conectividad se desarrollaron nuevas tecnologías. Surgió entonces la idea de utilizar a Internet como medio de comunicación entre los diferentes sitios de la organización. Surge así la idea de las VPN's que son “Virtuales” y “Privadas”. Virtuales porque no son redes directas reales entre partes, sino solo conexiones virtuales provistas mediante software sobre la red Internet. Además son privadas porque solo la gente debidamente autorizada puede leer los datos transferidos por este tipo de red logrando la seguridad mediante la utilización de modernos mecanismos de criptografía. Retomando el ejemplo anterior de una organización con cuatro sitios, ahora solo necesitamos cuatro conexiones a Internet en lugar de las seis dedicadas de antes. Además los que se conectan temporalmente, también lo hacen mediante una conexión a Internet, mucho más barata y accesible desde muchos lugares, como por ejemplo de cybers cafés.
Usos de las VPN's [editar]Las VPN's se usan generalmente para:
Conexión entre diversos puntos de una organización a través de InternetConexiones de trabajadores domésticos o de campo con IP's dinámicasSoluciones extranet para clientes u organizaciones asociadas con los cuales se necesita intercambiar cierta información en forma privada pero no se les debe dar acceso al resto de la red interna.Además brinda una excelente fiabilidad en la comunicación de usuarios móviles así como también al unir dos puntos distantes como agencias de una empresa dentro de una sola red unificada. Implementación de VPN [editar]Supongamos que se tienen dos sitios de una organización conectados a Internet. En ambos se contará con un equipo de conexión a la red de redes que cumplirá la función de ruteo hacia y desde Internet así como firewall para protegerse de accesos no autorizados. El software VPN debe estar instalado en ese firewall o algún dispositivo protegido por él. Uno de los sitios será el “servidor” y será el sitio que contiene la información y sistemas que queremos compartir, mientras que al otro lo llamaremos “cliente”. El servidor será entonces configurado para aceptar conexiones desde el cliente (y viceversa). Llegado este punto habremos logrado tener dos sitios comunicados como en una red directa real pero aún no es una VPN dado que falta implementar la “privacidad”, pues cualquier nodo intermedio de Internet puede leer la información que viaja sin protección. Lo que se debe hacer seguidamente es establecer mecanismos de cifrado que mediante uso de claves aseguren que solo equipos o personas dueños de esas claves puedan acceder a los datos enviados por la VPN. Todos los datos enviados del punto A al B deberán ser cifrados antes de ser enviados y descifrados en el otro extremo para posteriormente ser entregados normalmente a su destinatario final. Uno de los factores que diferencian a una implementación de VPN de otra, son los mecanismos que utilicen para cifrar y distribuir claves a todos los integrantes de dicha red.
Protocolos [editar]Las soluciones de VPN pueden ser implementadas a diferentes niveles del modelo OSI de red.
Implementaciones de capa 2 - Enlace
El encapsulamiento a este nivel ofrece ciertas ventajas ya que permite transferencias sobre protocolos no-IP, como por ejemplo IPX4 de Netware Systems. Teóricamente, las tecnologías implementadas en capa 2 pueden tunelizar cualquier tipo de paquetes y en la mayoría de los casos lo que se hace es establecer un dispositivo virtual PPP5 con el cual se establece la conexión con el otro lado del túnel.
Algunos ejemplos de estas tecnologías:
PPTP: Point to Point Tunneling Protocol. Desarrollado por Microsoft, es una extensión de PPP.Su principal desventaja es que solo puede establecer un túnel por vez entre pares.
L2F: Layer 2 Forwarding. Desarrollado por la empresa Cisco principalmente, ofrece mejores posibilidades que PPTP principalmente en el uso de conexiones simultáneas.L2TP: Layer 2 Tunneling Protocol. Usado por Cisco y otras fabricantes, se ha convertido en estándar de la industria y combina las ventajas de PPTP y L2F y además eliminando
las desventajas. Dado que esta solución no ofrece mecanismos de seguridad, para su uso deberá ser combinada con otros mecanismos generalmente implementados en capa 3 del modelo OSI.L2Sec: Layer 2 Security Protocol. Desarrollado para proveer una solución con seguridad, utiliza para ellos SSL/TLS aunque impone una sobrecarga bastante grande en la comunicación para lograrlo.
Implementaciones de capa 3 - Red
IPsec es la tecnología más aceptada en este punto y fue desarrollada como un estándar de seguridad de Internet en capa 3. IPsec se pude utilizar para encapsular cualquier tráfico de capa 3 pero no el tráfico de capas inferiores, por lo que no se podrá utilizar para protocolos no-IP como IPX o mensajes de broadcast. Su principal ventaja es que puede ser usado prácticamente en cualquier plataforma existiendo una gran variedad de soluciones tanto de software como de hardware.
Existen dos métodos principales usados por IPsec:
Modo Tunnel. Todos los paquetes IP son encapsulados en un nuevo paquete y enviados a través del túnel siendo desempaquetados en el otro extremo y posteriormente dirigidos a su destinatario final. En este modo, se protegen las direcciones IP de emisor y receptor así como el resto de los metadatos de los paquetes.Modo Transporte. Solo la carga útil (payload) de la sección de datos es cifrada y encapsulada. La sobrecarga entonces, es sensiblemente menor que en el caso anterior, pero se exponen los metadatos a posibles atacantes que podrán ver quien se está comunicando con quien.
Implementaciones de capa 7 - Aplicación
También es posible establecer túneles en la capa de aplicación y de hecho son ampliamente utilizados hoy en día siendo algunas aproximaciones soluciones como SSL6 y TLS7. El usuario accede a la VPN de la organización a través de un browser iniciando la conexión en un sitio web seguro (HTTPS-Secured website).
Además, existen otros productos como SSL-Explorer y otros que ofrecen una combinación de gran flexibilidad, seguridad fuerte y facilidad de configuración. La seguridad es lograda mediante cifrado del tráfico usando mecanismos SSL/TLS, los cuales han probado ser muy seguros y están siendo constantemente sometidos a mejoras y pruebas.
Implementación OpenVPN
OpenVPN es una excelente nueva solución para VPN que implementa conexiones de capa 2 o 3, usa los estándares de la industria SSL/TLS para cifrar y combina todos las características mencionadas anteriormente en las otras soluciones VPN. Su principal desventaja por el momento es que hay muy pocos fabricantes de hardware que lo integren en sus soluciones. De todos modos no hay que preocuparse siempre que contemos con un Linux en el cual podremos implementarlo sin ningún problema mediante software.
Seguridad en VPN [editar]Para cifrar datos se usan Passwords o claves de cifrado.
OpenVPN tiene dos modos considerados seguros, uno basado en claves estáticas pre-compartidas y otro en SSL/TLS usando certificados y claves RSA.
Cuando ambos lados usan la misma clave para cifrar y descifrar los datos, estamos usando el mecanismo conocido como “clave simétrica” y dicha clave debe ser instalada en todas las máquinas que tomarán parte en la conexión VPN.
Si bien SSL/TLS + claves RSA es por lejos la opción más segura, las claves estáticas cuentan con la ventaja de la simplicidad.
Veremos a continuación ese método y otros que aportan mayor seguridad y facilidad de distribución.
Cifrado simétrico y claves pre-compartidas
Cualquiera que posea la clave podrá descifrar el tráfico, por lo que si un atacante la obtuviese comprometería el tráfico completo de la organización ya que tomaría parte como un integrante más de la VPN.
Es por ello que mecanismos como IPsec cambian las claves cada cierto período de tiempo, asociando a las mismas ciertos períodos de tiempo de validez, llamados “tiempo de vida” o “lifetime”. Una buena combinación de tiempo de vida y largo de la clave asegurarán que un atacante no pueda descifrar la clave a tiempo, haciendo que cuando finalmente la obtenga (porque lo hará), ya no le sirva por estar fuera de vigencia. IPSec utiliza su propio protocolo para intercambiar claves llamado IKE9 que ha sido desarrollado desde mediados de los noventa y aún no ha sido terminado.
Cifrado asimétrico con SSL/TLS
SSL/TLS usa una de las mejores tecnologías de cifrado para asegurar la identidad de los integrantes de la VPN.
Cada integrante tiene dos claves, una pública y otra privada.
La pública es distribuida y usada por cualquiera para cifrar los datos que serán enviados a la contraparte quien conoce la clave privada que es la única que sirve para descifrar los datos. El par de clave pública/privada es generado a partir de algoritmos matemáticos que aseguran que solo con la clave privada es posible leer los datos originales. El día que alguien encuentre algún defecto a ese algoritmo, todos aquellos conectados a Internet estarán comprometidos en forma instantánea.
Es de destacar que la clave privada debe permanecer secreta mientras que la clave pública debe ser intercambiada para que nos puedan enviar mensajes.
Seguridad SSL/TLS
Las bibliotecas SSL/TLS son parte del sofware OpenSSL que vienen instaladas en cualquier sistema moderno e implementan mecanismos de cifrado y autenticación basadas en certificados. Los certificados generalmente son emitidos por entidades de reconocida confiabilidad aunque también podemos emitirlos nosotros mismos y usarlos en nuestra propia VPN. Con un certificado firmado, el dueño del mismo es capaz de demostrar su identidad a todos aquellos que confíen en la autoridad certificadora que lo emitió.
Ventajas y Desventajas de OpenVPN [editar]Ventajas OpenVPN provee seguridad, estabilidad y comprobados mecanismos de cifrado sin sufrir la complejidad de otras soluciones VPN como las de IPsec.
Además ofrece ventajas que van más allá que cualquier otra solución como ser:
Posibilidad de implementar dos modos básicos, en capa 2 o capa 3, con lo que se logran túneles capaces de enviar información en otros protocolos no-IP como IPX o broadcast (NETBIOS).Protección de los usuarios remotos. Una vez que OpenVPN ha establecido un túnel el firewall de la organización protegerá el laptop remoto aun cuando no es un equipo de la red local. Por otra parte, solo un puerto de red podrá ser abierto hacia la red local por el remoto asegurando protección en ambos sentidos.Conexiones OpenVPN pueden ser realizadas a través de casi cualquier firewall. Si se posee acceso a Internet y se puede acceder a sitios HTTPS, entonces un túnel OpenVPN debería funcionar sin ningún problema.Soporte para proxy. Funciona a través de proxy y puede ser configurado para ejecutar como un servicio TCP o UDP y además como servidor (simplemente esperando conexiones entrantes) o como cliente (iniciando conexiones).Solo un puerto en el firewall debe ser abierto para permitir conexiones, dado que desde OpenVPN 2.0 se permiten múltiples conexiones en el mismo puerto TCP o UDP.Las interfaces virtuales (tun0, tun1, etc.) permiten la implementación de reglas de firewall muy específicas.Todos los conceptos de reglas, restricciones, reenvío y NAT10 pueden ser usados en túneles OpenVPN.Alta flexibilidad y posibilidades de extensión mediante scripting. OpenVPN ofrece numerosos puntos para ejecutar scripts individuales durante su arranque.Soporte transparente para IPs dinámicas. Se elimina la necesidad de usar direcciones IP estáticas en ambos lados del túnel.Ningún problema con NAT. Tanto los clientes como el servidor pueden estar en la red usando solamente IPs privadas.Instalación sencilla en cualquier plataforma. Tanto la instalación como su uso son increíblemente simples.Diseño modular. Se basa en un excelente diseño modular con un alto grado de simplicidad tanto en seguridad como red.
Desventajas
No tiene compatibilidad con IPsec que justamente es el estándar actual para soluciones VPN.Falta de masa crítica.Todavía existe poca gente que conoce como usar OpenVPN.
Al día de hoy sólo se puede conectar a otras computadoras. Pero esto está cambiando, dado que ya existen compañías desarrollando dispositivos con clientes OpenVPN integrados. Comparación entre OpenVPN e IPsec VPN [editar]
