Make your own free website on Tripod.com

PPP, ¿qué es y para qué sirve?

 

Las computadoras se comunican a través de Internet mediante el protocolo conocido como TCP/IP (Transmission Control Protocol/Internet Protocol). Para utilizar los servicios que se requieren, es necesario que su computadora se convierta en un nodo de Internet, por lo cual deberá establecer una conexión que soporte el protocolo TCP/IP.

Cuando nos conectamos a una red mediante un módem y una línea telefónica, existen dos tipos de conexión que soporta el TCP/IP : SLIP (Serial Line Internet Protocol) y PPP (Point-to-Point Protocol). SLIP y PPP son dos protocolos diferentes que en realidad permiten obtener el mismo resultado. En la UAM se ha optado por utilizar el PPP debido a que los servidores de comunicaciones que se tienen instalados han demostrado un mejor comportamiento con este protocolo, además de que es más nuevo y estándar que el SLIP.

El PPP es un protocolo que permite establecer una comunicación tipo TCP/IP sobre una línea telefónica, convirtiendo al equipo remoto, en el momento de la conexión, en un nodo de Internet, con una dirección IP temporal que se asigna dinámicamente cada vez que se establece un enlace.

En la UAM contamos con 40 líneas agrupadas en cuatro números telefónicos, las cuales llegan a bancos de módems conectados a servidores de comunicaciones, que son los que manejan el protocolo PPP. La dirección IP que se asigne a su computadora para esa sesión dependerá del módem que se encuentre libre al momento de hacer la llamada.                                                        

Además del equipo descrito anteriormente, existe un servidor en donde se encuentran registrados los usuarios de la UAM autorizados a hacer uso de este servicio, de tal forma que, antes de asignarle una dirección IP a quien se conecte por un módem, los servidores de comunicaciones revisan si la cuenta y el password recibidos están registrados en el servidor. Esto evita que personas ajenas a la UAM puedan hacer uso de dichos recursos, en detrimento de la disponibilidad que deben tener para su personal.

 

CARACTERISTICAS DEL PPP

Las características  son:

 

 

 Autentificación con PPP

Con el PPP, cada sistema puede obligar al otro ordenador a identificarse usando uno de los dos protocolos de autentificación disponibles. Estos son el Protocolo de Autentificación por Contraseña (PAP), y el Protocolo de Autentificación por Reto (CHAP). Cuando se establece una conexión, cada extremo puede pedir al otro que se autentifique, independientemente de que sea el llamante o el llamado. Más adelante, utilizaré relajadamente “cliente” y “servidor” cuando quiera distinguir entre el sistema autentificado y el autentificador. Un demonio PPP puede pedir a la otra máquina autentificación enviando otra petición más de configuración de LCP indicando el protocolo de autentificación deseado.

 

 PAP frente a CHAP

PAP, que es utilizado por muchos proveedores de Internet (ISP), funciona básicamente de la misma forma que el procedimiento normal de registro. El cliente se autentifica a sí mismo enviando un nombre de usuario y una contraseña (opcionalmente encriptada) al servidor, la cual es comparada por el servidor con su base de datos de claves o secrets. [1] Esta técnica es vulnerable a los intrusos que pueden intentar obtener la contraseña escuchando en una línea serie y a otros que hagan sucesivos intentos de ataque por el método de prueba y error.

CHAP no tiene estos defectos. Con CHAP, el autentificador (i.e. el servidor) envía una cadena de “reto” generada aleatoriamente al cliente, junto a su nombre de ordenador. El cliente utiliza el nombre del ordenador para buscar la clave apropiada, la combina con el reto, y encripta la cadena utilizando una función de codificación de un solo sentido. El resultado es devuelto al servidor junto con el nombre del ordenador cliente. El servidor realiza ahora la misma computación, y advierte al cliente si obtiene el mismo resultado.

Otra característica de CHAP es que no solicita autentificación al cliente solamente al comienzo de la sesión, sino que envía retos a intervalos regulares para asegurarse de que el cliente no ha sido reemplazado por un intruso, por ejemplo cambiando la línea telefónica, o debido a una configuración errónea del módem que causa que el demonio PPP no se perciva que la llamada original de teléfono se ha cortado y algún otro se ha conectado.

El pppd mantiene las claves secretas para el CHAP y el PAP en dos ficheros separados, llamados /etc/ppp/pap-secrets y /etc/ppp/chap-secrets respectivamente. Si introduce un ordenador remoto en alguno de los dos ficheros, tendrá un buen control de cual de los protocolos CHAP o PAP se utilizará para autentificarnos con él y viceversa.

Por omisión, pppd no pide autentificación al ordenador remoto, pero aceptará el autentificarse a sí mismo cuando se lo pida el ordenador remoto. Como CHAP es mucho más fuerte que PAP, el pppd intenta usar el anterior siempre que es posible. Si el otro ordenador no lo acepta, o pppd no encuentra una clave CHAP para el sistema remoto en su fichero chap-secrets, cambia al PAP. Si tampoco tiene clave PAP para su compañero, renunciará a autentificarse. Como consecuencia de esto, se cerrará la conexión.

Este comportamiento puede ser modificado de varias formas. Por ejemplo, cuando se añade la palabra auth, pppd solicitará al otro ordenador que se autentifique. pppd aceptará el uso de CHAP o PAP para ello, siempre y cuando tenga una clave para su compañero en su base de datos CHAP o PAP respectivamente. Hay otras opciones para activar o no un determinado protocolo de autentificación, pero no las describiré aquí. Puede leer la página de manual del pppd(8) para más detalles.

Si todos los sistemas con los que conversa PPP están de acuerdo en autentificarse con usted, debería poner la opción auth en el fichero global /etc/ppp/options y definir contraseñas para cada sistema en el fichero chap-secrets. Si un sistema no acepta CHAP, añada una entrada para él al fichero pap-secrets. De esta forma, puede asegurarse de que ningún sistema sin autentificar se conecta a su ordenador.