PPPoE: protocolo para DNS

Internet es, básicamente, una red inmensa de ordenadores, en muchos aspectos muy similar a una red de área local (LAN), pero también con algunas diferencias: por su tamaño y por el papel que en él juegan los proveedores de Internet y sus servidores, la red global requiere un modo de funcionamiento particular. Este modo de funcionamiento toma la forma del Point-to-Point Protocol over Ethernet (PPPoE). ¿Qué función cumple este protocolo exactamente?

El establecimiento de una conexión a Internet desde un ordenador (u otro dispositivo equivalente) se realiza a través del rúter. El proveedor de servicios de Internet (PSI) comprueba si el cliente posee los derechos de acceso necesarios y, de ser así, hace posible el acceso. En la época en la que Internet empezaba a llegar a los domicilios particulares, entonces aún a través de una ISDN, esta comprobación se realizaba mediante el Point-to-Point Protocol (PPP). Con este protocolo, el dispositivo de marcación (el módem o el rúter) establece una conexión directa con el concentrador de acceso o punto de interconexión del proveedor de Internet, que se encarga de verificar los datos y permitir el acceso a la red.

Para los proveedores de Internet, el PPP tenía la ventaja de que no solo permitía comprobar los derechos de acceso, sino también establecer la cantidad de datos y el tiempo de marcación. Por aquel entonces aún era habitual pagar por minutos al usar Internet, de manera que el protocolo era muy conveniente para los proveedores. Sin embargo, con la llegada de la DSL y ante el aumento del número de dispositivos que requerían conexión a Internet en un mismo hogar, era necesario desarrollar otro método.

El protocolo PPPoE (PPP over Ethernet) ofrece las mismas ventajas que PPP, pero opera a través de Ethernet. Esta tecnología de red ha pasado a ser estándar en todas partes y permite establecer conexiones complejas y rápidas. En ella, la parte PPP conocida del paquete de datos se integra en la trama Ethernet.

El PPPoE es parte de la pila de protocolos TCP/IP y, más concretamente, de su capa más inferior, donde se encuentra el acceso a la red. Su funcionamiento se divide en dos fases que influyen, a su vez, en la estructura del protocolo. La primera es la fase de descubrimiento (PPPoE Discovery). En ella, el protocolo identifica la dirección MAC del punto de interconexión para poder usar Internet a través de él. La búsqueda de la dirección se realiza a través de un paquete de inicio o de broadcast: los paquetes de datos se lanzan a la red sin un destino concreto. El punto de interconexión, también llamado concentrador de acceso o punto de presencia (Point of Presence, PoP), responde luego estableciendo un canal de comunicación entre ambos usuarios de la red.

A continuación, comienza la segunda fase, la fase de sesión (PPPoE Session). En ella se controlan en primer lugar algunos detalles: el punto de interconexión comprueba, por ejemplo, los derechos de acceso del cliente. Luego se produce el uso en sí de Internet, que también es parte de esta fase.

Se puede saber qué fase se está desarrollando según el valor del campo ETHER_TYPE de la trama Ethernet, que será 0x8863 en la fase de descubrimiento y 0x8864 en la fase de sesión. Tras el campo de tipo, sigue la trama PPPoE o PPPoE Frame, integrada en el campo de datos de la trama Ethernet. La parte que corresponde al PPPoE puede dividirse a su vez en diferentes segmentos. En primer lugar, se indica la versión de PPPoE, pero, puesto que solo existe una versión del protocolo, este valor siempre será 1. A continuación, viene el tipo de PPPoE, que también será siempre 1.

Mientras que las dos primeras partes solo se componen de cuatro bits cada una, el campo siguiente tiene un byte (ocho bits): es el campo CODE, que tiene especial relevancia para la fase de descubrimiento y que muestra en qué paso se encuentran ambos participantes en ese momento. Si ya se ha llegado a la fase de sesión, este campo tendrá el valor 0x00. En la fase de descubrimiento, sin embargo, puede tener cinco valores diferentes:

• 0x09: PPPoE Active Discovery Initiation (PADI)
• 0x07: PPPoE Active Discovery Offer (PADO)
• 0x19: PPPoE Active Discovery Request (PADR)
• 0x65: PPPoE Active Discovery Session-confirmation (PADS)
• 0xa7: PPPoE Active Discovery Termination (PADT)

Como se puede ver, la fase de descubrimiento empieza con el paquete de inicio o de broadcast (PADI). En este paso, el cliente transmite también su propia dirección MAC para poder recibir una respuesta. En el siguiente paquete de datos del PoP, el punto de presencia da a conocer tanto su propia dirección MAC como su nombre (PADO). Es posible que más de un PoP responda al broadcast del cliente. El ordenador local (o su rúter) deberá entonces decidir, según los nombres, con qué PoP quiere establecer una conexión. El ordenador comunica su decisión al PoP elegido enviándole un paquete de solicitud de establecimiento de sesión (PADR). A continuación, el PoP responde para confirmar la conexión y asigna al dispositivo un ID o identificador de sesión (PADS). Al hacerlo, se establece la conexión a Internet. Si alguno de los dos participantes quiere interrumpirla, se lo comunicará al otro dispositivo con un paquete de datos de finalización (PADT).

El Point-to-Point Protocol over Ethernet ha tenido un papel muy importante en el desarrollo de la DSL y en la extensión del uso de Internet. El protocolo que lo precedió, el PPP, estaba diseñado para conexiones por línea conmutada, como la ISDN. Con la DSL, el estándar de Ethernet ha llegado a todas partes. Para ello ha sido necesario modificar el antiguo protocolo, que hasta entonces había tenido mucho éxito. Ethernet permite, además, que varios dispositivos compartan una misma línea de conexión a Internet, algo que tampoco era posible con el antiguo protocolo Point-to-Point.

En la mayoría de casos, el rúter contacta directamente con el proveedor de Internet y establece así también la conexión a Internet. Sin embargo, con el PPPoE, un dispositivo individual también puede comunicarse con el PoP. Para ello, en el rúter debe estar activado el llamado PPPoE Passthrough, que concede directamente la conexión solicitada por el dispositivo. El proceso completo de las fases de descubrimiento y de sesión tiene lugar entonces entre el ordenador (o dispositivo equivalente) y el PoP.

Además, el protocolo PPPoE ofrece un aspecto positivo que ya tenía el PPP: a través del protocolo es relativamente fácil solicitar los derechos de acceso del cliente. Existen diferentes métodos para hacerlo, pero el más sencillo consiste en pedir una contraseña mediante el protocolo de autenticación de contraseñas o Password Authentication Protocol (PAP). Con él, al cliente simplemente se le solicita una contraseña secreta. Este método funciona muy bien en teoría, pero ha dejado de ser totalmente seguro, ya que la transmisión de la contraseña no está encriptada y, por lo tanto, puede ser interceptada por terceros.

Un protocolo más seguro es el Challenge Handshake Authentication Protocol (CHAP), en el que se intercambia una combinación encriptada de una contraseña y un valor concreto. Puesto que el servidor del proveedor de red conoce la contraseña, puede descifrar la combinación y comprobar así los derechos de acceso. Un tercer método para comprobarlos es el protocolo de autenticación extensible o Extensible Authentication Protocol (EAP), que es un tipo de framework que ofrece diversas opciones de autenticación.