74 RESULTADOSDE LA INVESTIGACIÓN
Una vez concluido el experimento, en este capítulo se exponen los resultados obtenidos en la presente investigación, describiendo lo realizado en cada fase de la misma. Luego se cotejan con investigaciones similares en la discusión de los resultados, para terminar con las conclusiones y recomendaciones pertinentes.
1. RESULTADOS DE LA INVESTIGACIÓN
1.1 Fase I: Diseño y selección de los elementos de escenarios de prueba
La aplicación del túnel VPN a una red de área amplia implica agregar 20 bytes adicionales de encabezado a cada paquete de datos existente antes de ser protegido. Por lo tanto, la presencia del túnel VPN hace que varíe el valor del reta rdo con respecto a una red en la que no se aplique la VPN.
En la investigación se plantearon dos ambientes de prueba: Uno sin
túnel VPN, que fue el escenario de control, y otro ambiente con túnel
VPN, en el cual se espera un retardo mayor debido al aumento del
encabezado del paquete y al tiempo requerido para encapsular y
desencapsular el paquete con la nueva información.
El hardware necesario para poder desarrollar el primer escenario de prueba fueron dos (2) computadoras interconectadas a dos (2) router por medio de cables UTP cat. 6 puntos a punto. Los router se interconectaron entre sí por medio de tarjetas E1 que manejan el estándar G.703, conectados con un cable cruzado. La figura 26 describe el primer escenario planteado.
Figura 26: Primer escenario de prueba. Fuente: Jakymec (2011)
El hardware necesario para poder desarrollar el segundo escenario de prueba fue idéntico al primero, la diferencia entre ellos no fue el hardware utilizado, sino la presencia del túnel VPN. La figura 27 describe el segundo escenario de prueba
Figura 27: Segundo escenario de prueba. Fuente: Jakymec (2011)
La configuración del router para hacer el túnel VPN se presenta en tres partes para su mejor comprensión. En la primera parte, se configuró la política de fase I IKE En esta serie de comandos se describe el encriptamiento a utilizar, hash para integridad, método de autenticación, tiempo de vida de la llave y grupo Diffie – Hellman utilizado, como se presenta en la figura 28.
crypto isakmp policy 10 encryption 3des
hash md5
authentication pre-share group 2
lifetime 3600
Figura 28: Configuración fase I: IKE. Fuente: Jakymec (2011)
Para la segunda parte, se configuró la llave compartida referida anteriormente, cuánto tiempo dura la asociación de seguridad y la fase II IPsec, como se observa en la figura 29:
crypto isakmp key cisco address 192.168.12.2
crypto ipsec security-association lifetime seconds 1800
crypto ipsec transform-set 50 ah-md5-hmac esp-3des esp-md5-hmac Figura 29: Configuración fase IIIPsec. Fuente: Jakymec (2011)
En la tercera parte se configuró y se aplicó un cripto mapa en la
interfaz E1 correspondiente. Dicho cripto mapa contiene la dirección IP del
vecino al que se va a conectar, el tiempo de vida de la asociación de
seguridad, la política IPsec descrita en el paso anterior y una lista de
acceso que define el tráfico capaz de activar el túnel VPN. Una vez
terminado el cripto mapa se ubica en la interfaz correspondiente, como se
muestra a continuación:
crypto map MYMAP 10 ipsec-isakmp set peer 192.168.12.2
set security-association lifetime seconds 900 set transform -set 50
match address 101
Figura 30: Configuración del cripto mapa. Fuente: Jakymec (2011)
El software utilizado en ambos ambientes de prueba está compuesto por el sistema operativo de las computadoras (fue el mismo para ambas) un (1) software generador de tráfico y un (1) analizador de protocolos.
Usando las tablas descritos anteriormente en la metodología, se procedió a elegir el hardware y software más adecuado para la investigación.
Tabla 6: Criterios técnicos de selección de los router. Fuente: Jakymec (2011).
Para el caso de los router se ofertaron tres modelos: El Cisco 2811, el
Junipe r J series 4350 y uno 3Com. Se seleccionó el modelo Cisco 2811
por las siguientes razones: Se consigue fácilmente en el mercado (existe
una buena cadena de comercialización del producto), los router están en la Universidad Rafael Belloso Chacín, ofrece un buen soporte a nivel online, rendimiento y calidad bastante aceptables a un precio no tan caro.
Tabla 7: Criterios técnicos de selección de las Laptop. Fuente:
Jakymec (2011).
Para elegir el computador a utilizar, se plantearon las siguientes
opciones : Laptop DELL Inspiron 1525, laptop Gateway MX3414
(W340UA) Notebook, y laptop Sony Vaio VGN-NW215T. Las laptop
elegidas fueron la Sony y la Dell, debido a que las máquinas ya estaban a
disposición (mientras que la Gateway había que comprarla), ofrecen
buenas prestaciones y son adecuadas para instalarles todo el software
necesario para la investigación.
Tabla 8: Criterios técnicos de selección del Sistema Operativo. Fuente:
Jakymec (2011).
Para elegir el sistema Operativo de las máquinas, se plantearon las siguientes opciones: Windows 7 Home Basic, Windows VISTA, y Linux, en la distribución UBUNTU. El sistema operativo seleccionado fue Windows 7 Home Basic, debido a que vino con la máquina seleccionada, con licencia original y tiene buenas prestaciones e n cuanto a rendimiento y robustez Tabla 9: Criterios técnicos de selección del generador de tráfico. Fuente:
Jakymec (2011)
Para generar tráfico se plantearon las siguientes opciones: El programa D-ITG, El constructor de paquetes Colasoft y el Solarwinds TFTP Server. El programa seleccionado para generar tráfico fue D-ITG, debido a que es un software gratis, con convenio de licencia libre (nació por un proyecto académico), tiene buenas prestaciones en cuanto a rendimiento y robustez, y el investigador ha utilizado ese software con anterioridad, a diferencia de los otros dos.
Para capturar y analizar el tráfico de red se plantearon las siguientes opciones: Los programas Wireshark, Dsniff y Ethercap, A continuación se presenta el proceso de elección del analizador de protocolos
Tabla 10: Criterios técnicos de selección del analizador de protocolos.
Fuente: Jakymec (2011)
El programa seleccionado para analizar los protocolos fue Wireshark,
debido a que es un software gratis, con convenido de licencia libre, tiene
buenas prestaciones en cuanto a rendimiento, robustez, es el programa
líder en el mercado en cuanto a analizadores de protocolos, corre en
cualquier sistema operativo y el investigador ha utilizado ese software con anterioridad, a diferencia de los otros dos.
Una vez decididos los equipos de hardware a utilizar, a continuación se presentan las hojas de especificaciones de cada uno de los elementos seleccionados. En la Tabla 11 se colocan las especificaciones de la laptop Dell
Tabla 11: Especificaciones de la laptop Dell. Fuente: Dell (2011)
PROCESADOR
Procesador Intel core 2 duo T5750 2 GHz Tecnología Multipolar Dual core
Computación de 64 bits Si Velocidad de Datos 667 MHz
Características Tecnología Intel Mobil, Dell diagnóstico de hardware. Dell centro de control. Dell recuperación.
Tipo conjunto de chips Intel Crestiline – GM GM965 MEMORIA CACHE
Tipo
Tamaño instalado
L2 2 MB
MEMORIA RAM
Tamaño instalado 2 GB (expansible a 4 GB)
Tecnología DDR2 SDRAM – 667 MHz
Conforme a la
estandarización de memoria
PC2 – 6400
Factor de Forma SO DIMM de 200 espigas Funciones de configuración 1 x 2 GB
CONEXIÓN REDES Conexión de Redes
NIC cableada
Soporte de LAN inalámbrico Protocolos de interconexión de datos
Adaptador de red
Marvell Yukón 88E8040 PCI – E Si
Ethernet 10 base T / 100 base TX, IEEE 802.11b/g,
SISTEMAS OPERATIVOS / SOFTWARE
OS proporcionado Microsoft Windows 7 home basic original 64 bits
En la tabla 12 se colocan las especificaciones de la segunda laptop utilizada (Sony Vaio VGN-NW215T).
Tabla 12: Especificaciones de la laptop Sony Vaio. Fuente: Sony (2011)
PROCESADOR
Procesador Intel Pentium T4300 2,1 GHz
Tecnología Dual core
Computación de 64 bits Si Velocidad de Datos 800 MHz
Características Tecnología Intel Mobil VAIO, diagnóstico de hardware, VAIO centro de control, VAIO recuperación
Tipo conjunto de chips Mobile Intel GL40 Express Chipset MEMORIA CACHE
Tipo
Tamaño instalado
L2 1 MB
MEMORIA RAM
Tamaño instalado 2 GB (expansible a 4 GB)
Tecnología DDR2 SDRAM – 800 MHz
Conforme a la
estandarización de memoria
PC2 – 6400
Factor de Forma SO DIMM de 200 espigas Funciones de configuración 1 x 2 GB
CONEXIÓN REDES Conexión de Redes
NIC cableada
Soporte de LAN inalámbrico Protocolos de interconexión de datos
Adaptador de red
Si
Ethernet 10 base T / 100 base TX /1000 base T, IEEE 802.11b/g/n,
SISTEMAS OPERATIVOS / SOFTWARE
OS proporcionado Microsoft Windows 7 home basic original 64 bits
Latabla 13 muestra las especificaciones de los router cisco 2811 que
se encuentran en la Universidad Rafael Belloso Chacín utilizados en la
presente investigación.
Tabla 13: Especificaciones técnicas del router CISCO 2811. Fuente:
CDW (2011)
MEMORIA RAM
Instalada 256 MB
Máximo tamaño soportado 768 MB
Tipo DDR SDRAM
MEMORIA FLASH Instalada
Máximo tamaño soportado
64 MB 256 MB
Tipo Flash
CONEXIONES DE RED
Conectividad Cableada
Interfaz LAN 2 FastEthernet integradas Interfaz WAN 1 Vwic – 2 mft – G703 modular Puerto de Consola 1 puerto a 115,2 Kbps máxima
Puertos USB 2
PROTOCOLOS
Protocolos Soportados TCP/IP, UDP/IP, 802.1X, 802.3af. SSHv2, entre otros
Protocolos de Enrutamiento RIP, EIGRP, OSPF, ISIS, BGP, estático.
Protocolos de VPN PPTP, L2TP, IPsec, GRE
Protocolos de Encriptamiento 128-bit AES , 192-bit AES , 256-bit AES , DES , SSL 3.0 , Triple DES
SISTEMAS OPERATIVOS / SOFTWARE
Sistema Operativo Cisco IOS ADVIPservices K9 (soporta teóricamente hasta 800 túneles)
En las figuras 31,32 y 33 se muestran las fotos de los equipos utilizados para realizar el experimento.
Figura 31: Foto del router CISCO 2811. Fuente: CDW (2011)
Figura 32: Foto Sony VAIO VGN -NW215T. Fuente: NOVALAN (2009)
Figura 33: Foto laptop Dell Inspiron 1525 Fuente: CNET (2008)
1.2 Fase II: Establecimiento de los volúmenes de tráfico para el experimento de la investigación:
En esta fase se definieron los volúmenes de tráfico a utilizar en el experimento, con la finalidad de obtener la cantidad de puntos necesarios para poder aplicar un método estadístico que permita modelar el comportamiento del volumen de tráfico sobre la latencia en los túneles VPN IPsec/UDP.
En ambos escenarios de prueba se usaron volúmenes de tráfico
comprendidos entre 100.000 bits hasta 2.000.000 bits, basados en el
trabajo de Naveda (2009), debido a que la interfaz E1 soporta hasta
2048Kbps. Para obtener una distribución uniforme de los puntos en el
rango solicitado se tomaron incrementos de 100.000 bits.
Cabe destacar que como la máxima unidad de transmisión del enlace son 1500 bytes, hubo que fragmentar los archivos en partes iguales del mismo tamaño, hasta obtener el volumen de tráfico deseado. En la Tabla 14 se muestran los volúmenes de tráfico utilizados, expresados en bytes y bits, para el escenario sin túnel.
Tabla 14: Archivos de muestra en escenario sin túnel. Fuente:
Jakymec(2011)
En la Tabla 15 se muestran los volúmenes de tráfico utilizados, expresados en bytes y bits, para el escenario con túnel. Cabe destacar que se tiene la misma cantidad de bits en los archivos, pero hay que añadirle el encabezado IPsec, lo cual hace que el tamaño de carga útil cambie.
Tabla 15: Archivos de muestra en escenario con túnel. Fuente:
Jakymec(2011).
1.3 Fase III: Determinar el efecto del volumen de tráfico sobre la latencia del enlace.
Una vez calculados los volúmenes de tráfico a ser empleados en la investigación, se procede a calcular la latencia promedio para ambos escenarios de prueba para luego comparar ambos valores.
En el primer escenario de prueba (sin túnel IPsec) se observó una
tendencia al alza en la latencia desde el primer hasta el último punto de
observación. En los puntos del uno (1) al diecinueve (19) se observa un
aumento muy ligero en la latencia, tendencia que explotó en el punto
número 20, cuando el enlace estaba saturado por completo (cabe
destacar que el valor obtenido en este punto es extremo, mas no atípico,
por lo cual debe ser considerado en el análisis estadístico). En la tabla 16
se observa el comportamiento promedio de la latencia conforme aumentaba el volumen de tráfico.
Tabla 16: Latencia promedio en escenario sin túnel. Fuente: Jakymec (2011)
En el segundo escenario de prueba (con túnel IPsec) se observó una
tendencia al alza parecida a la del caso anterior, pero los valores
explotaron a partir del valor 19. De hecho, la pérdida de paquetes en los
dos últimos valores fue muy grande, razón por la cual la latencia va
tendiendo a infinito. En el punto número 19, el enlace estaba saturado
casi por completo y en el 20 estaba saturado por completo (ambos valores
son extremos, mas no atípicos, por lo cual deben ser considerados en el
análisis estadístico). En la tabla 17 se observa el comportamiento promedio de la latencia conforme aumentaba el volumen de tráfico.
Tabla 17: Latencia promedio en escenario con túnel. Fuente: Jakymec (2011)
Todas las latencias promedio obtenidas en ambos escenarios son mayores que su retardo ideal para el mismo volumen de tráfico, indicando la consistencia de los valores obtenidos (El retardo ideal es el tiempo mínimo que se puede tardar un volumen de tráfico en llegar del origen al destino). Adicionalmente se puede comprobar en la tabla 18 que la latencia promedio en el escenario con túnel siempre es mayor al sin túnel, por el tiempo de procesamiento necesario en el router para hacer el proceso de encapsulado y desencapsulado adicional del túnel VPN.
Tabla 18: Comparación entre escenarios con y sin túnel. Fuente:
Jakymec (2011)
1.4 Fase IV: Generación de curvas y Modelado de la Latencia durante la transmisión de datos en el túnel VPN
Una vez determinados los valores de latencia promedio en cada uno de los puntos de muestra obtenidos en la fase anterior para ambos escenarios de prueba, se procedió a realizar el análisis estadístico de los datos para obtener el modelo que ajuste mejor a la realidad del experimento. La variable independiente para este caso es el volumen de tráfico y la variable dependiente es la latencia.
El análisis estadístico empezó de manera exploratoria, usando los
descriptivos de cada escenario. En el escenario sin túnel se observa que
la asimetría y la curtosis están entre +/- 2, indicando una distribución
normal de la muestra, cosa que en el escenario con túnel no ocurrió de
manera inicial (Sus valores de asimetría y curtosis son por encima de +/- 2, como se muestra en la tabla 19).
Tabla 19: Estadísticos descriptivos para ambos escenarios de prueba.
Fuente: Jakymec (2011)
Para poder solucionar el problema de asimetría habían dos formas de lograrlo: O se eliminaban valores extremos (cosa que anteriormente se explicó la imposibilidad de hacerlo porque no son valores atípicos) o una transformación logarítmica, con lo cual ambas muestras tuvieron una distribución normal, con asimetría y curtosis entre +/- 2 .
Una vez que ambas muestras tuvieran una distribución normal, se procedió a realizar la prueba t de student para muestras independientes, cuyos resultados se muestran en la tabla 20.
Descriptivos
1,0024 ,28065 ,4150
1,5899 ,8072 ,6915 1,575 1,25511 ,07 5,45 5,39 ,69
2,885 ,512
8,829 ,992
,6072 ,08908 ,4208
,7936 ,5761 ,5768 ,159 ,39838 ,05 1,72 1,66 ,58
,987 ,512
1,732 ,992
Media
Límite inferior Límite superior Intervalo de confianza
para la media al 95%
Media recortada al 5%
Mediana Varianza Desv. típ.
Mínimo Máximo Rango
Amplitud intercuartil Asimetría
Curtosis Media
Límite inferior Límite superior Intervalo de confianza
para la media al 95%
Media recortada al 5%
Mediana Varianza Desv. típ.
Mínimo Máximo Rango
Amplitud intercuartil Asimetría
Curtosis Factor
Con tunel
Sin tunel RETARDOS
Estadístico Error típ.
Tabla 20: Resultado de la prueba t de student. Fuente: Jakymec (2011)
Los resultados obtenidos en la prueba para muestras independientes indican que no existen diferencias estadísticamente significativas entre las dos muestras, debido a que el valor de t= 1.342 (para varianzas diferentes) es significativo a un valor de sig mayor a 0.05 (sig=0.187),
Seguidamente, se estimó el mejor modelo de regresión para la predicción de la latencia en función del volumen de tráfico, por medio del método de estimación curvilínea. Para el escenario sin túnel el modelo cuya gráfica ajustó mejor fue la exponencial, con un r
2= 0,887 (Ver tabla 21), Aunque hayan funciones que tengan un r
2superior al modelo exponencial, éste es el único que representa la realidad del volumen de tráfico sobre latencia.
Tabla 21: Estimaciones para la predicción de la latencia en escenario sin túnel. Fuente: Jakymec (2011)
Prueba de muestras independientes
3,042 ,089 1,342 38 ,187
1,342 22,790 ,193
Se han asumido varianzas iguales No se han asumido varianzas iguales RETARDOS
F Sig.
Prueba de Levene para la igualdad de
varianzas
t gl Sig. (bilateral) Prueba T para la igualdad de medias
Resumen del modelo y estimaciones de los parámetros Variable dependiente: Retardo Sin tunel
,896 154,829 1 18 ,000 -,062 6,37E-007
,718 45,922 1 18 ,000 -5,056 ,415
,390 11,497 1 18 ,003 ,807 -111287
,919 97,019 2 17 ,000 ,093 2,15E-007 2,01E-013
,944 89,939 3 16 ,000 -,125 1,33E-006 -1,1E-012 4,10E-019
,887 141,423 1 18 ,000 ,114 1,000
,987 1345,529 1 18 ,000 3,65E-007 1,031
,790 67,720 1 18 ,000 -,160 -335624
,887 141,423 1 18 ,000 -2,174 1,34E-006
,887 141,423 1 18 ,000 ,114 1,34E-006
Ecuación Lineal Logarítmica Inversa Cuadrático Cúbico Compuesto Potencia S Crecimiento Exponencial
R cuadrado F gl1 gl2 Sig.
Resumen del modelo
Constante b1 b2 b3
Estimaciones de los parámetros
La variable independiente esVolumen de tráfico.
Existe un crecimiento abrupto de la latencia en los últimos dos puntos de la gráfica (100.000 bits de diferencia) debido a la saturación del canal.
Como el protocolo de transporte empleado es UDP, él no tiene mecanismo de retransmisión de la data, y ante la gran pérdida de paquetes ocurrida en el último tramo de la curva, la latencia va tendiendo a infinito.
La ecuación general de una función exponencial es la siguiente:
Y= B
0X e ¨B
1t
En donde t es el volumen de tráfico, B
0= 0,114 y B
1= 3,4 x 10
-5Sustituyendo los valores en la ecuación general la función queda de la siguiente manera (La curva generada para el escenario sin túnel se presenta en la figura 34)
Y= 0,114 X e¨(1,34X10
-6) t
Figura 34: Curva generada para el escenario sin túnel. Fuente:
Jakymec (2011)
Para el escenario con túnel el modelo que mejor ajustó fue el exponencial, con un r
2= 0,810 (ver tabla 22). Aunque hayan otras curvas que ofrecen el mismo nivel de r
2(la compues ta y la crecimiento) o mejor (cúbica y potencia), es la única función que toca los puntos extremos, por ende se ajusta mejor a la realidad del tráfico y fue la elegida
Tabla 22: Estimaciones para la predicción de la latencia en escenario con túnel. Fuente: Jakymec (2011)
La ecuación general de una función exponencial es la siguiente:
Y= B
0X e ¨B
1t
En donde t es el volumen de tráfico, B
0= 0,034 y B
1= 2,49 x 10
-6Sustituyendo los valores en la ecuación general la función queda de la siguiente manera (La curva generada para el escenario con túnel se presenta en la figura 35),
Y= 0,034 X e¨ (2,49X 10
-6) t
Figura 35: Curva generada para el escenario con túnel. Fuente:
Jakymec(2011)
Resumen del modelo y estimaciones de los parámetros Variable dependiente:
latenciacontunel
Ecuación
Resumen del modelo Estimaciones de los parámetros
R cuadrado F gl1 gl2 Sig. Constante b1 b2 b3
Lineal ,578 34,294 1 25 ,000 -,241 1,26E-006
Logarítmica ,292 10,315 1 25 ,004 -3,267 ,317
Inversa ,063 1,683 1 25 ,206 ,853 -4166,540
Cuadrático ,744 34,962 2 24 ,000 ,202 -1,07E-006 1,30E -012
Cúbico ,875 53,665 3 23 ,000 -,158 3,57E-006 -5,39E -012 2,34E-018
Compuesto ,810 106,797 1 25 ,000 ,034 1,000
Potencia ,966 711,926 1 25 ,000 1,20E -006 ,966
S ,502 25,246 1 25 ,000 -,913 -
19682,170
Crecimiento ,810 106,797 1 25 ,000 -3,374 2,49E-006
Exponencial ,810 106,797 1 25 ,000 ,034 2,49E-006
La variable independiente esVolumendetrafico.
