En informática , Windows Vista y Windows Server 2008 de Microsoft introdujeron en 2007/2008 una nueva pila de redes denominada pila TCP/IP de próxima generación [1] , para mejorar la pila anterior de varias maneras. [2] La pila incluye la implementación nativa de IPv6 , así como una revisión completa de IPv4. La nueva pila TCP/IP utiliza un nuevo método para almacenar ajustes de configuración que permite un control más dinámico y no requiere reiniciar la computadora después de un cambio en los ajustes. La nueva pila, implementada como un modelo de pila dual , depende de un modelo de host fuerte y presenta una infraestructura para habilitar componentes más modulares que uno puede insertar y quitar dinámicamente.
La pila TCP/IP de próxima generación se conecta a las NIC a través de un controlador de especificación de interfaz de controlador de redtcpip.sys (NDIS). La pila de red, implementada en implementa las capas de transporte , red y enlace de datos del modelo TCP/IP . La capa de transporte incluye implementaciones para TCP , UDP y protocolos RAW sin formato . En la capa de red, los protocolos IPv4 e IPv6 se implementan en una arquitectura de doble pila . Y la capa de enlace de datos (también llamada capa de encuadre ) implementa los protocolos 802.3 , 802.1 , PPP , Loopback y tunelización . Cada capa puede acomodar cuñas de la Plataforma de filtrado de Windows (WFP), que permiten introspeccionar los paquetes en esa capa y también alojar la API de llamada de WFP. La API de red se expone a través de tres componentes: [1]
La interfaz de usuario para configurar, solucionar problemas y trabajar con conexiones de red también ha cambiado significativamente con respecto a versiones anteriores de Windows. Los usuarios pueden utilizar el nuevo "Centro de redes y recursos compartidos" para ver el estado de sus conexiones de red y acceder a todos los aspectos de la configuración. Un solo icono en el área de notificación (bandeja del sistema) representa la conectividad a través de todos los adaptadores de red, ya sean cableados o inalámbricos. La red se puede explorar utilizando el Explorador de red , que reemplaza a "Mis sitios de red" de Windows XP . Los elementos del Explorador de red pueden ser un dispositivo compartido, como un escáner, o un recurso compartido de archivos. El servicio de reconocimiento de ubicación de red (NLA) identifica de forma única cada red y expone los atributos de la red y el tipo de conectividad para que las aplicaciones puedan determinar la configuración de red óptima. Sin embargo, las aplicaciones tienen que utilizar las API de NLA explícitamente para estar al tanto de los cambios de conectividad de red y adaptarse en consecuencia. Windows Vista utiliza el protocolo de descubrimiento de topología de capa de enlace (LLTD) para presentar gráficamente cómo se conectan los diferentes dispositivos a través de una red, como un mapa de red . Además, el Mapa de red utiliza LLTD para determinar la información de conectividad y el tipo de medio (cableado o inalámbrico), de modo que el mapa sea topológicamente preciso. La capacidad de conocer la topología de la red es importante para diagnosticar y resolver problemas de red y para transmitir contenido a través de una conexión de red. Cualquier dispositivo puede implementar LLTD para aparecer en el Mapa de red con un ícono que representa el dispositivo, lo que permite a los usuarios acceder con un solo clic a la interfaz de usuario del dispositivo. Cuando se invoca LLTD, proporciona metadatos sobre el dispositivo que contienen información estática o de estado, como la dirección MAC , la dirección IPv4/IPv6, la intensidad de la señal , etc.
Windows Vista clasifica las redes a las que se conecta como Públicas , Privadas o Dominio y utiliza el reconocimiento de ubicación de red para cambiar entre los tipos de red. Los diferentes tipos de red tienen diferentes políticas de firewall. Una red abierta, como una red inalámbrica pública, se clasifica como Pública y es la más restrictiva de todas las configuraciones de red. En este modo, no se confía en otros equipos de la red y se deshabilita el acceso externo al equipo, incluido el uso compartido de archivos e impresoras. Una red doméstica se clasifica como Privada y permite compartir archivos entre equipos. Si el equipo está unido a un dominio, la red se clasifica como Red de dominio ; en este tipo de red, las políticas las establece el controlador de dominio . Cuando se conecta por primera vez a una red, Windows Vista solicita que se elija el tipo de red correcto. En las conexiones posteriores a la red, el servicio se utiliza para obtener información sobre a qué red está conectado y cambiar automáticamente a la configuración de red para la red conectada. Windows Vista presenta un concepto de perfiles de red. Para cada red, el sistema almacena la dirección IP , el servidor DNS , el servidor proxy y otras características de red específicas de la red en el perfil de esa red. De esta forma, cuando se conecte posteriormente a esa red, no será necesario volver a configurar los ajustes, sino que se utilizarán los que estén guardados en su perfil. En el caso de las máquinas móviles, los perfiles de red se eligen automáticamente en función de las redes disponibles. Cada perfil forma parte de una red pública , privada o de dominio .
La pila de redes de Windows Vista admite la arquitectura de capa dual de Protocolo de Internet (IP) en la que las implementaciones de IPv4 e IPv6 comparten capas de transporte y trama comunes . Windows Vista proporciona una interfaz gráfica de usuario para la configuración de propiedades de IPv4 e IPv6. IPv6 es ahora compatible con todos los componentes y servicios de red. El cliente DNS de Windows Vista puede utilizar el transporte IPv6. Internet Explorer en Windows Vista y otras aplicaciones que utilizan WinINet (Windows Mail, uso compartido de archivos) admiten direcciones IPv6 literales ( RFC 2732). El Firewall de Windows y el complemento Políticas IPsec admiten direcciones IPv6 como cadenas de caracteres permitidas. En el modo IPv6, Windows Vista puede utilizar el protocolo de resolución de nombres de multidifusión local de enlace (LLMNR), como se describe en RFC 4795, para resolver nombres de hosts locales en una red que no tiene un servidor DNS en ejecución. Este servicio es útil para redes sin un servidor de administración central y para redes inalámbricas ad hoc . IPv6 también se puede utilizar en conexiones de acceso telefónico basadas en PPP y PPPoE . Windows Vista también puede actuar como cliente/servidor para compartir archivos o DCOM sobre IPv6. También se incluye soporte para DHCPv6 , que se puede utilizar con IPv6. IPv6 se puede utilizar incluso cuando no está disponible la conectividad IPv6 nativa completa, utilizando el túnel Teredo ; esto incluso puede atravesar la mayoría de las traducciones de direcciones de red (NAT) simétricas IPv4 también. También se incluye soporte completo para multidifusión , a través de los protocolos MLDv2 y SSM . El ID de interfaz IPv6 se genera aleatoriamente para direcciones IPv6 autoconfiguradas permanentes para evitar la determinación de la dirección MAC en función de los ID de empresa conocidos de los fabricantes de NIC.
El soporte para redes inalámbricas está integrado en la propia pila de red como un nuevo conjunto de API llamado Native Wifi , y no emula conexiones cableadas, como era el caso con versiones anteriores de Windows. Esto permite la implementación de características específicas inalámbricas como tamaños de trama más grandes y procedimientos de recuperación de errores optimizados. Native Wifi está expuesto por Auto Configuration Module (ACM) que reemplaza Wireless Zero Configuration de Windows XP . El ACM es extensible, por lo que los desarrolladores pueden incorporar funcionalidad inalámbrica adicional (como roaming inalámbrico automático) y anular la configuración automática y la lógica de conexión sin afectar el marco integrado. Es más fácil encontrar redes inalámbricas dentro del alcance y saber qué redes están abiertas y cuáles están cerradas. Las redes inalámbricas ocultas, que no anuncian su nombre ( SSID ), tienen un mejor soporte. La seguridad para redes inalámbricas se mejora con un soporte mejorado para estándares inalámbricos más nuevos como 802.11i . EAP-TLS es el modo de autenticación predeterminado. Las conexiones se realizan en el nivel de conexión más seguro compatible con el punto de acceso inalámbrico. WPA2 se puede utilizar incluso en modo ad-hoc. Windows Vista también ofrece un servicio de itinerancia rápida que permite a los usuarios pasar de un punto de acceso a otro sin perder la conectividad. Se puede utilizar la autenticación previa con el nuevo punto de acceso inalámbrico para conservar la conectividad. Las redes inalámbricas se administran desde el cuadro de diálogo Conectarse a una red dentro de la GUI o desde el comando netsh wlan desde el shell. Las opciones para redes inalámbricas también se pueden configurar mediante la directiva de grupo .
Windows Vista mejora la seguridad al unirse a un dominio a través de una red inalámbrica. Puede utilizar el inicio de sesión único para utilizar las mismas credenciales para unirse a una red inalámbrica, así como al dominio alojado dentro de la red. En este caso, se utiliza el mismo servidor RADIUS para la autenticación PEAP para unirse a la red y la autenticación MS-CHAP v2 para iniciar sesión en el dominio. También se puede crear un perfil inalámbrico de arranque en el cliente inalámbrico, que primero autentica el equipo en la red inalámbrica y se une a la red. En esta etapa, la máquina aún no tiene acceso a los recursos del dominio. La máquina ejecutará un script, almacenado en el sistema o en una unidad USB, que la autentica en el dominio. La autenticación se puede realizar mediante una combinación de nombre de usuario y contraseña o certificados de seguridad de un proveedor de infraestructura de clave pública (PKI) como VeriSign .
Windows Vista incluye Windows Connect Now , que permite configurar una red inalámbrica mediante varios métodos admitidos en el estándar Wi-Fi Protected Setup . Implementa una API de código nativo, Web Services for Devices (WSDAPI) para admitir Devices Profile for Web Services (DPWS) y también una implementación de código administrado en WCF . DPWS permite una detección de dispositivos más sencilla, como UPnP, y describe los servicios disponibles para esos clientes. Function Discovery es una nueva tecnología que actúa como una capa de abstracción entre aplicaciones y dispositivos, lo que permite que las aplicaciones detecten dispositivos haciendo referencia a la función del dispositivo, en lugar de por su tipo de bus o la naturaleza de su conexión. Plug and Play Extensions (PnP-X) permite que los dispositivos conectados a la red aparezcan como dispositivos locales dentro de Windows conectados físicamente. La compatibilidad con UPnP también se ha mejorado para incluir la integración con PnP-X y Function Discovery .
La pila de redes de Windows Vista también utiliza varias optimizaciones de rendimiento, que permiten un mayor rendimiento al permitir una recuperación más rápida de las pérdidas de paquetes, cuando se utiliza un entorno de alta pérdida de paquetes, como las redes inalámbricas. Windows Vista utiliza el algoritmo NewReno ( RFC 2582) que permite a un remitente enviar más datos mientras vuelve a intentarlo en caso de que reciba un acuse de recibo parcial, que es el acuse de recibo del receptor solo para una parte de los datos que se han recibido. También utiliza acuses de recibo selectivos ( SACK ) para reducir la cantidad de datos que se retransmitirán en caso de que una parte de los datos enviados no se haya recibido correctamente, y Forward RTO-Recovery (F-RTO) para evitar la retransmisión innecesaria de segmentos TCP cuando aumenta el tiempo de ida y vuelta . También incluye la capacidad de detección de inaccesibilidad de vecinos tanto en IPv4 como en IPv6, que rastrea la accesibilidad de los nodos vecinos. Esto permite una recuperación de errores más rápida, en caso de que falle un nodo vecino. NDIS 6.0, introducido en Windows Vista, admite la descarga de tráfico IPv6 y cálculos de suma de comprobación para IPv6, mejor capacidad de administración, escalabilidad y rendimiento con menor complejidad para minipuertos NDIS y modelos más simples para escribir controladores de filtro ligero (LWF). Los controladores LWF son una combinación de controladores intermedios NDIS y un controlador de minipuerto que eliminan la necesidad de escribir un protocolo y un minipuerto separados y tienen un modo de derivación para examinar solo las rutas de datos y control seleccionadas. La pila TCP/IP también proporciona compatibilidad con conmutación por error para cambios de puerta de enlace predeterminada al intentar enviar periódicamente tráfico TCP a través de una puerta de enlace no disponible detectada previamente. Esto puede proporcionar un rendimiento más rápido al enviar tráfico a través de la puerta de enlace predeterminada principal en la subred.
Otro cambio significativo que apunta a mejorar el rendimiento de la red es el redimensionamiento automático de la ventana de recepción TCP . La ventana de recepción ( RWIN ) especifica cuántos datos está preparado para recibir un host y está limitada, entre otras cosas, por el espacio de búfer disponible. En otras palabras, es una medida de cuántos datos puede enviar el transmisor remoto antes de requerir un acuse de recibo de los datos pendientes. Cuando la ventana de recepción es demasiado pequeña, el transmisor remoto con frecuencia encontrará que ha alcanzado el límite de cuántos datos pendientes puede transmitir, aunque haya suficiente ancho de banda disponible para transmitir más datos. Esto conduce a una utilización incompleta del enlace. Por lo tanto, el uso de un tamaño de RWIN mayor aumenta el rendimiento en tales situaciones; un RWIN de ajuste automático intenta mantener la tasa de rendimiento tan alta como lo permita el ancho de banda del enlace. La funcionalidad de ajuste automático de la ventana de recepción monitorea continuamente el ancho de banda y la latencia de las conexiones TCP individualmente y optimiza la ventana de recepción para cada conexión. El tamaño de la ventana aumenta en situaciones de alto ancho de banda (~5 Mbit/s+) o alta latencia (>10 ms).
Las implementaciones tradicionales de TCP utilizan el algoritmo TCP Slow Start para detectar la velocidad a la que se puede transmitir sin saturar el receptor (o los nodos intermedios). En pocas palabras, especifica que la transmisión debe comenzar a una velocidad lenta, transmitiendo unos pocos paquetes. Este número está controlado por la ventana de congestión , que especifica la cantidad de paquetes pendientes que se han transmitido pero para los que aún no se ha recibido un acuse de recibo del receptor. A medida que se reciben los acuses de recibo, la ventana de congestión se expande, un segmento TCP a la vez, hasta que no llega un acuse de recibo. Luego, el remitente supone que con el tamaño de la ventana de congestión de ese instante, la red se congestiona. Sin embargo, una red de alto ancho de banda puede soportar una ventana de congestión bastante grande sin saturarse. El algoritmo de inicio lento puede tardar bastante tiempo en alcanzar ese umbral, lo que deja la red infrautilizada durante un tiempo significativo.
La nueva pila TCP/IP también admite la Notificación de Congestión Explícita (ECN) para mantener el impacto en el rendimiento debido a la congestión de la red lo más bajo posible. Sin ECN, un segmento de mensaje TCP es descartado por algún enrutador cuando su búfer está lleno. Los hosts no reciben aviso de la congestión en construcción hasta que los paquetes comienzan a descartarse. El remitente detecta que el segmento no llegó al destino; pero debido a la falta de retroalimentación del enrutador congestionado, no tiene información sobre el grado de reducción en la tasa de transmisión que necesita hacer. Las implementaciones TCP estándar detectan esta caída cuando se agota el tiempo de espera de confirmación del receptor. Luego, el remitente reduce el tamaño de su ventana de congestión , que es el límite en la cantidad de datos en tránsito en cualquier momento. Múltiples caídas de paquetes pueden incluso resultar en un restablecimiento de la ventana de congestión, al Tamaño Máximo de Segmento de TCP , y un Inicio Lento de TCP . La reducción exponencial y solo el aumento aditivo producen un comportamiento de red estable, lo que permite que los enrutadores se recuperen de la congestión. Sin embargo, la eliminación de paquetes tiene impactos notables en transmisiones sensibles al tiempo como la transmisión de medios, porque lleva tiempo que la eliminación se note y se retransmita. Con el soporte ECN habilitado, el enrutador establece dos bits en los paquetes de datos que indican al receptor que está experimentando congestión (pero aún no está completamente bloqueado). El receptor, a su vez, le permite al remitente saber que un enrutador enfrenta una congestión y luego el remitente reduce su velocidad de transmisión en cierta cantidad. Si el enrutador todavía está congestionado, establecerá los bits nuevamente y, eventualmente, el remitente reducirá aún más la velocidad. La ventaja de este enfoque es que el enrutador no se llena lo suficiente como para descartar paquetes y, por lo tanto, el remitente no tiene que reducir la velocidad de transmisión significativamente para causar demoras graves en transmisiones sensibles al tiempo; ni corre el riesgo de una subutilización grave del ancho de banda. Sin ECN, la única forma en que los enrutadores pueden decirles algo a los hosts es descartando paquetes. ECN es como Random Early Drop , excepto que los paquetes se marcan en lugar de descartarse. La única salvedad es que tanto el emisor como el receptor, así como todos los enrutadores intermedios, tienen que ser compatibles con ECN. Cualquier enrutador en el camino puede evitar el uso de ECN si considera que los paquetes marcados con ECN no son válidos y los descarta (o, más típicamente, toda la configuración de la conexión falla debido a un equipo de red que descarta paquetes de configuración de conexión con indicadores ECN establecidos). Los enrutadores que no conocen ECN aún pueden descartar paquetes con normalidad, pero hay algunos equipos de red hostiles a ECN en Internet. Por este motivo, ECN está deshabilitado de forma predeterminada. Se puede habilitar mediante el comando [3]netsh interface tcp set global ecncapability=enabled .
En versiones anteriores de Windows, todo el procesamiento necesario para recibir o transferir datos a través de una interfaz de red lo realizaba un único procesador, incluso en un sistema con varios procesadores. Con adaptadores de interfaz de red compatibles, Windows Vista puede distribuir el trabajo de procesamiento de tráfico en la comunicación de red entre varios procesadores. Esta característica se denomina escalamiento del lado de recepción . Windows Vista también admite tarjetas de red con motor de descarga TCP , que tienen cierta funcionalidad relacionada con TCP/IP acelerada por hardware. Windows Vista utiliza su sistema de descarga TCP Chimney para descargar a dichas tarjetas los trabajos de encuadre, enrutamiento, corrección de errores y reconocimiento y retransmisión necesarios en TCP. Sin embargo, para la compatibilidad de aplicaciones, solo se descarga a la NIC la funcionalidad de transferencia de datos TCP, no la configuración de la conexión TCP. Esto eliminará algo de carga de la CPU. El procesamiento de tráfico tanto en IPv4 como en IPv6 se puede descargar. Windows Vista también admite NetDMA, que utiliza el motor DMA para permitir que los procesadores se liberen de las molestias de mover datos entre los búferes de datos de la tarjeta de red y los búferes de la aplicación. Requiere que se habiliten arquitecturas DMA de hardware específicas, como Intel I/O Acceleration .
Compound TCP es un algoritmo modificado para evitar la congestión de TCP , cuyo objetivo es mejorar el rendimiento de la red en todas las aplicaciones. No está habilitado de forma predeterminada en la versión anterior al Service Pack 1 de Windows Vista, pero sí en SP1 y Windows Server 2008. Utiliza un algoritmo diferente para modificar la ventana de congestión, que toma prestado de TCP Vegas y TCP New Reno . Por cada reconocimiento recibido, aumenta la ventana de congestión de forma más agresiva, alcanzando así el rendimiento máximo mucho más rápido, lo que aumenta el rendimiento general. [4]
La pila de redes de Windows Vista incluye una funcionalidad integrada de calidad de servicio (QoS) basada en políticas para priorizar el tráfico de red. La calidad de servicio se puede utilizar para administrar el uso de la red por parte de aplicaciones o usuarios específicos, al limitar el ancho de banda disponible para ellos, o se puede utilizar para limitar el uso del ancho de banda por parte de otras aplicaciones cuando se ejecutan aplicaciones de alta prioridad, como aplicaciones de conferencias en tiempo real, para garantizar que obtengan el ancho de banda que necesitan. La limitación del tráfico también se puede utilizar para evitar que las grandes operaciones de transferencia de datos utilicen todo el ancho de banda disponible. Las políticas de QoS se pueden limitar por nombre de ejecutable de la aplicación, ruta de carpeta, direcciones IPv4 o IPv6 de origen y destino, puertos TCP o UDP de origen y destino o un rango de puertos. En Windows Vista, las políticas de QoS se pueden aplicar a cualquier aplicación en la capa de red , eliminando así la necesidad de reescribir las aplicaciones utilizando API de QoS para que sean conscientes de la calidad de servicio. Las políticas de QoS se pueden configurar por máquina o por objetos de política de grupo de Active Directory , lo que garantiza que todos los clientes de Windows Vista conectados al contenedor de Active Directory (un dominio, un sitio o una unidad organizativa) [5] aplicarán las configuraciones de política.
Windows Vista admite las clases de perfil Wireless Multimedia (WMM) para QoS en redes inalámbricas certificadas por Wi-Fi Alliance : BG (para datos de fondo), BE (para datos no en tiempo real de mejor esfuerzo ), VI (para videos en tiempo real) y VO (para datos de voz en tiempo real). [6] Cuando tanto el punto de acceso inalámbrico como la NIC inalámbrica admiten los perfiles WMM, Windows Vista puede proporcionar un tratamiento preferencial a los datos enviados.
Windows Vista incluye una API de QoS especializada denominada qWave ( Quality Windows Audio/Video Experience ), [7] que es un módulo de calidad de servicio preconfigurado para datos multimedia dependientes del tiempo, como transmisiones de audio o video. qWave utiliza diferentes esquemas de prioridad de paquetes para flujos en tiempo real (como paquetes multimedia) y flujos de máximo esfuerzo (como descargas de archivos o correos electrónicos) para garantizar que los datos en tiempo real tengan la menor cantidad de retrasos posible, al tiempo que proporciona un canal de alta calidad para otros paquetes de datos.
qWave tiene como objetivo garantizar el transporte en tiempo real de redes multimedia dentro de una red inalámbrica. qWave admite múltiples transmisiones simultáneas de multimedia y datos. qWave no depende únicamente de esquemas de reserva de ancho de banda, como los que ofrece RSVP para proporcionar garantías de calidad de servicio, ya que el ancho de banda en una red inalámbrica fluctúa constantemente. Como resultado, también utiliza un monitoreo continuo del ancho de banda para implementar garantías de servicio. [7]
Las aplicaciones deben usar explícitamente las API de qWave para utilizar el servicio. Cuando la aplicación multimedia solicita a qWave que inicie una nueva transmisión multimedia, qWave intenta reservar ancho de banda mediante RSVP . Al mismo tiempo, utiliza sondas de QoS para asegurarse de que la red tenga suficiente ancho de banda para admitir la transmisión. Si se cumplen las condiciones, se permite la transmisión y se le da prioridad para que otras aplicaciones no consuman su parte de ancho de banda. Sin embargo, los factores ambientales pueden afectar la recepción de las señales inalámbricas, lo que puede reducir el ancho de banda, incluso si no se permite que ninguna otra transmisión acceda al ancho de banda reservado. Debido a esto, qWave monitorea continuamente el ancho de banda disponible y, si disminuye, se informa a la aplicación, lo que crea un bucle de retroalimentación , de modo que pueda adaptar la transmisión para que se ajuste al rango de ancho de banda inferior. Si hay más ancho de banda disponible, qWave lo reserva automáticamente e informa a la aplicación de la mejora. [7]
Para probar la calidad de la red, se envían paquetes de sondeo a la fuente y se analizan las estadísticas (como el tiempo de ida y vuelta, la pérdida, la fluctuación de latencia, etc.) de su ruta y los resultados se almacenan en caché. El sondeo se repite después de intervalos de tiempo específicos para actualizar el caché. Siempre que se solicita la transmisión, se busca en el caché. qWave también serializa la creación de múltiples transmisiones simultáneas, incluso entre dispositivos, de modo que las sondas enviadas para una transmisión no se vean interferidas por otras. qWave utiliza búferes del lado del cliente para mantener la velocidad de transmisión dentro del rango de la parte más lenta de la red, de modo que los búferes del punto de acceso no se vean sobrecargados, lo que reduce la pérdida de paquetes. [7]
qWave funciona mejor si tanto la fuente como el receptor (cliente) del flujo multimedia son compatibles con qWave. Además, el punto de acceso inalámbrico (AP) debe tener QoS habilitado y admitir la reserva de ancho de banda. También puede funcionar sin AP compatibles con QoS; sin embargo, dado que qWave no puede reservar ancho de banda en este caso, debe depender de la aplicación para adaptar el flujo en función del ancho de banda disponible, que no solo se verá afectado por las condiciones de la red, sino también por otros datos en la red. qWave también está disponible para otros dispositivos como parte de las tecnologías Windows Rally . [7]
Para proporcionar una mayor seguridad al transferir datos a través de una red, Windows Vista proporciona mejoras en los algoritmos criptográficos utilizados para ofuscar los datos. La compatibilidad con algoritmos de curva elíptica Diffie-Hellman (ECDH) de 256 bits, 384 bits y 512 bits, así como con el Estándar de cifrado avanzado (AES) de 128 bits, 192 bits y 256 bits, se incluye en la propia pila de red. La compatibilidad directa con conexiones SSL en la nueva API Winsock permite que las aplicaciones de socket controlen directamente la seguridad de su tráfico a través de una red (por ejemplo, proporcionando políticas de seguridad y requisitos para el tráfico, consultando configuraciones de seguridad) en lugar de tener que agregar código adicional para admitir una conexión segura. Los equipos que ejecutan Windows Vista pueden ser parte de redes aisladas lógicamente dentro de un dominio de Active Directory . Solo los equipos que se encuentran en la misma partición de red lógica podrán acceder a los recursos del dominio. Aunque otros sistemas puedan estar físicamente en la misma red, a menos que estén en la misma partición lógica, no podrán acceder a los recursos particionados. Un sistema puede ser parte de múltiples particiones de red.
Windows Vista también incluye un marco de host de protocolo de autenticación extensible (EAPHost) que proporciona extensibilidad para los métodos de autenticación para tecnologías de acceso a redes protegidas de uso común, como 802.1X y PPP. [8] Permite a los proveedores de redes desarrollar e instalar fácilmente nuevos métodos de autenticación conocidos como métodos EAP.
Una característica planificada en la nueva suite TCP/IP conocida como "Compartimentos de enrutamiento", utilizaba una tabla de enrutamiento por usuario , compartimentando así la red según las necesidades del usuario, de modo que los datos de un segmento no pasaran a otro. Sin embargo, esta característica se eliminó antes del lanzamiento de Windows Vista y está previsto que se incluya posiblemente en una versión futura de Windows. [9]
Windows Vista también incorpora la Protección de acceso a la red (NAP), que garantiza que los equipos que se conectan a una red cumplan con un nivel requerido de estado del sistema , tal como lo ha establecido el administrador de la red. Con NAP habilitado en una red, cuando un equipo con Windows Vista intenta unirse a una red, se verifica que el equipo esté actualizado con actualizaciones de seguridad, firmas de virus y otros factores, incluida la configuración de IPsec y los ajustes de autenticación 802.1X , especificados por el administrador de la red. Se le concederá acceso total a la red solo cuando se cumplan los criterios; en caso contrario, se le puede negar el acceso a la red o se le puede conceder acceso limitado solo a ciertos recursos. Opcionalmente, se le puede conceder acceso a servidores que le proporcionarán las últimas actualizaciones. Una vez que se instalan las actualizaciones, se le concede al equipo acceso a la red. Sin embargo, Windows Vista solo puede ser un cliente NAP, es decir, un equipo cliente que se conecta a una red habilitada para NAP. Los servidores de verificación y política de estado deben ejecutar Windows Server 2008 .
La configuración de IPsec ahora está completamente integrada en el Firewall de Windows con el complemento de Seguridad avanzada y la herramienta de línea de comandos netsh advfirewall para evitar reglas contradictorias y ofrecer una configuración simplificada junto con un firewall de autenticación. Se pueden configurar reglas de filtrado de firewall avanzadas (excepciones) y políticas de IPsec, por ejemplo, por dominio, perfiles públicos y privados, direcciones IP de origen y destino, rango de direcciones IP, puertos TCP y UDP de origen y destino, todos o varios puertos, tipos específicos de interfaces, tráfico ICMP e ICMPv6 por tipo y código, servicios, cruce de borde, estado de protección de IPsec y usuarios y computadoras específicos según cuentas de Active Directory .
Antes de Windows Vista, la configuración y el mantenimiento de la configuración de la política IPsec en muchos escenarios requerían la configuración de un conjunto de reglas para la protección y otro conjunto de reglas para las exenciones de tráfico. Los nodos IPsec en Windows Vista se comunican mientras negocian simultáneamente comunicaciones protegidas y, si se recibe una respuesta y se completa la negociación, las comunicaciones posteriores están protegidas. Esto elimina la necesidad de configurar filtros IPsec para exenciones para el conjunto de hosts que no admiten o no pueden admitir IPsec, permite configurar la comunicación entrante protegida iniciada requerida y la comunicación saliente opcional. IPsec también permite proteger el tráfico entre los controladores de dominio y los equipos miembro, al mismo tiempo que permite texto sin formato para las uniones de dominio y otros tipos de comunicación. Las uniones de dominio protegidas IPsec están permitidas si se usa NTLM v2 y si tanto los controladores de dominio como los equipos miembro ejecutan Windows Server 2008 y Windows Vista respectivamente.
IPsec es totalmente compatible con IPv6, AuthIP (que permite una segunda autenticación), integración con NAP para la autenticación con un certificado de estado, compatibilidad con Network Diagnostics Framework para la negociación fallida de IPsec, nuevos contadores de rendimiento de IPsec y una detección mejorada de fallas en los nodos del clúster y una renegociación más rápida de las asociaciones de seguridad. Hay compatibilidad con algoritmos más sólidos para la negociación del modo principal (algoritmos DH más sólidos y Suite B) y la integridad y el cifrado de datos (AES con CBC, AES-GMAC, SHA-256, AES-GCM).
Se espera que la capacidad de ayudar al usuario a diagnosticar un problema de red sea una característica de red nueva e importante. Hay un amplio soporte para diagnósticos en tiempo de ejecución tanto para redes cableadas como inalámbricas, incluyendo soporte para la base de información de administración TCP (MIB)-II y un mejor registro y seguimiento de eventos del sistema. La pila TCP/IP de Vista también es compatible con ESTATS, que define estadísticas de rendimiento extendidas para TCP y puede ayudar a determinar la causa de cuellos de botella en el rendimiento de la red. Windows Vista puede informar al usuario de la mayoría de las causas de fallas de transmisión de red, como dirección IP incorrecta, configuración incorrecta de DNS y puerta de enlace predeterminada, falla de puerta de enlace, puerto en uso o bloqueado, receptor no listo, servicio DHCP no en ejecución, falla de resolución de nombres NetBIOS sobre TCP/IP, etc. Los errores de transmisión también se registran exhaustivamente, lo que se puede analizar para encontrar mejor la causa del error. Windows Vista tiene un mayor conocimiento de la topología de red en la que se encuentra el equipo host, utilizando tecnologías como Universal Plug and Play . Con esta nueva tecnología de conocimiento de red, Windows Vista puede proporcionar ayuda al usuario para solucionar problemas de red o simplemente proporcionar una vista gráfica de la configuración de red percibida.
La pila de red de Windows Vista incluye Windows Filtering Platform [10] , que permite que las aplicaciones externas accedan y se conecten a la tubería de procesamiento de paquetes del subsistema de red. WFP permite filtrar, analizar o modificar los paquetes entrantes y salientes en varias capas de la pila de protocolos TCP/IP. Debido a que WFP tiene un motor de filtrado incorporado, las aplicaciones no necesitan escribir ningún motor personalizado, solo necesitan proporcionar la lógica personalizada para que el motor la use. WFP incluye un motor de filtrado base que implementa las solicitudes de filtrado. Luego, los paquetes se procesan utilizando el motor de filtrado genérico , que también incluye un módulo de llamada , donde se pueden conectar las aplicaciones que proporcionan la lógica de procesamiento personalizada. WFP se puede utilizar para inspeccionar paquetes en busca de malware, restringir paquetes de forma selectiva, como en los firewalls, o proporcionar sistemas de cifrado personalizados, entre otros. En su lanzamiento inicial, WFP estuvo plagado de errores que incluían fugas de memoria y condiciones de carrera. [11]
El Firewall de Windows en Windows Vista se implementa a través de WFP. [12]
Windows Vista incluye un importante soporte de punto a punto con la introducción de nuevas API y protocolos. Se introduce una nueva versión del Protocolo de resolución de nombres de punto (PNRP v2), así como un conjunto de API de tabla de enrutamiento distribuido de punto a punto, gráficos de punto a punto, agrupación de punto a punto, denominación de punto a punto y administración de identidad de punto a punto. Se pueden crear y administrar contactos con el nuevo subsistema de punto a punto: la presencia sin servidor permite a los usuarios administrar información de presencia en tiempo real y realizar un seguimiento de la presencia de otros usuarios registrados en una subred o en Internet. Un nuevo servicio People Near Me permite descubrir y administrar contactos en la misma subred y utiliza Windows Contacts para administrar y almacenar información de contactos; las nuevas capacidades permiten a los pares enviar invitaciones de aplicaciones a otros pares (también se admite la colaboración ad hoc) sin un servidor centralizado. Windows Meeting Space es un ejemplo de una aplicación de este tipo.
PNRP también permite crear una red superpuesta llamada Graph . Cada par en la red superpuesta corresponde a un nodo en el gráfico. Todos los nodos en un gráfico comparten información de contabilidad responsable del funcionamiento de la red como un todo. Por ejemplo, en una red de gestión de recursos distribuidos, qué nodo tiene qué recurso necesita ser compartido. Dicha información se comparte como Records , que se inundan a todos los pares en un gráfico. Cada par almacena el Record en una base de datos local. Un Record consta de un encabezado y un cuerpo. El cuerpo contiene datos específicos de la aplicación que está utilizando la API; el encabezado contiene metadatos para describir los datos en el cuerpo como pares de nombre-valor serializados utilizando XML , además de información de autor y versión. También puede contener un índice de los datos del cuerpo, para una búsqueda rápida. Un nodo también puede conectarse a otros nodos directamente, para una comunicación que no necesita ser compartida con todo el Graph. La API también permite la creación de una red superpuesta segura llamada Group , que consta de todos o un subconjunto de nodos en un Graph. A diferencia de un gráfico, un grupo puede ser compartido por varias aplicaciones. Todos los pares de un grupo deben ser identificables mediante un nombre único, estar registrados mediante PNRP y tener un certificado de firma digital denominado Certificado de miembro del grupo (GMC). Todos los registros intercambiados están firmados digitalmente. Los pares deben ser invitados a un grupo. La invitación contiene el GMC que les permite unirse al grupo. [13]
Una nueva función de redes entre pares de Windows Internet Computer Names ( WICN ) permite que una máquina conectada a IPv6 obtenga un nombre de dominio personalizado o único. Si la computadora está conectada a Internet, los usuarios pueden especificar un nombre de host seguro o no seguro para su computadora desde un comando de consola, sin necesidad de registrar un nombre de dominio ni configurar un DNS dinámico. WIIC se puede utilizar en cualquier aplicación que acepte una dirección IP o un nombre DNS; PNRP realiza toda la resolución de nombres de dominio a nivel de punto a punto.
Otra característica prevista en Windows Vista habría proporcionado una nueva configuración de red similar a un dominio conocida como Castle, pero no se incluyó en la versión. Castle habría hecho posible tener un servicio de identificación, que proporciona autenticación de usuario, para todos los miembros de la red, sin un servidor centralizado. Habría permitido que las credenciales de usuario se propagaran a través de la red peer to peer, lo que las haría más adecuadas para una red doméstica.
People Near Me (anteriormente People Nearby ) es un servicio peer to peer diseñado para simplificar la comunicación y la colaboración entre usuarios conectados a la misma subred. [14] People Near Me es utilizado por Windows Meeting Space para la colaboración y el descubrimiento de contactos. [15] People Near Me fue incluido como parte de la estrategia de plataforma móvil de Microsoft, como se reveló durante la Conferencia de Ingeniería de Hardware de Windows de 2004. [16] [17] People Near Me utiliza Contactos de Windows para administrar la información de contacto; de forma predeterminada, un usuario puede recibir invitaciones de todos los usuarios conectados a la misma subred, pero un usuario puede designar a otro usuario como un contacto de confianza para permitir la colaboración a través de Internet, aumentar la seguridad y determinar la presencia de estos contactos. [18] [19]
El nuevo Servicio de transferencia inteligente en segundo plano (BITS) 3.0 de Windows Vista tiene una nueva característica llamada Neighbor Casting que admite transferencias de archivos entre pares dentro de un dominio ; esto facilita el almacenamiento en caché entre pares , lo que permite a los usuarios descargar y servir contenido (como actualizaciones de WSUS ) de pares en la misma subred, recibir notificaciones cuando se descarga un archivo, acceder al archivo temporal mientras la descarga está en progreso y controlar las redirecciones HTTP. Esto ahorra ancho de banda en la red y reduce la carga de rendimiento en el servidor. BITS 3.0 también utiliza contadores de protocolo de dispositivo de puerta de enlace de Internet para calcular con mayor precisión el ancho de banda disponible.
El controlador de modo kernel HTTP en Windows Vista, Http.sys, se ha mejorado para soportar autenticación del lado del servidor, registro, nombres de host IDN, seguimiento de eventos y mejor capacidad de administración a través de netsh http y nuevos contadores de rendimiento. WinINet , el controlador de protocolo para HTTP y FTP maneja direcciones literales IPv6, incluye soporte para Gzip y descompresión deflate para mejorar el rendimiento de codificación de contenido, soporte para nombres de dominio internacionalizados y seguimiento de eventos. WinHTTP , la API de cliente para aplicaciones y servicios basados en servidor, admite IPv6, AutoProxy , codificación de transferencia fragmentada HTTP/1.1 , cargas de datos más grandes, certificados SSL y de cliente , autenticación de servidor y proxy, manejo automático de redirecciones y conexiones keep-alive y protocolo HTTP/1.0, incluyendo soporte para conexiones keep-alive (persistentes) y cookies de sesión. Winsock se ha actualizado con nuevas API y soporte para seguimiento de eventos. Se ha mejorado la compatibilidad del proveedor de servicios en capas de Winsock con instalaciones y eliminaciones registradas, una nueva API para instalar LSP de manera confiable, un comando para eliminar LSP de manera confiable, funciones para categorizar LSP y eliminar la mayoría de los LSP de la ruta de procesamiento para servicios críticos del sistema y compatibilidad con Network Diagnostics Framework.
Winsock Kernel (WSK) es una nueva interfaz de programación de red (NPI) en modo kernel independiente del transporte que proporciona a los desarrolladores de clientes TDI un modelo de programación similar a los sockets, similar a los que se admiten en Winsock en modo usuario . Si bien existen la mayoría de los mismos conceptos de programación de sockets que en Winsock en modo usuario, como socket, creación, enlace, conexión, aceptación, envío y recepción, Winsock Kernel es una interfaz de programación completamente nueva con características únicas, como E/S asincrónica que utiliza IRP y devoluciones de llamadas de eventos para mejorar el rendimiento. TDI es compatible con Windows Vista para compatibilidad con versiones anteriores.
Con Windows Vista se introdujo una nueva versión del protocolo Server Message Block (SMB). [20] Tiene una serie de cambios para mejorar el rendimiento y agregar capacidades adicionales. Windows Vista y los sistemas operativos posteriores utilizan SMB 2.0 cuando se comunican con otras máquinas que ejecutan Windows Vista o posterior. SMB 1.0 continúa utilizándose para conexiones a cualquier versión anterior de Windows o a Samba . Samba 3.6 también incluye soporte para SMB 2.0. [21]
Remote Differential Compression (RDC) es un protocolo de sincronización cliente-servidor que permite sincronizar datos con una fuente remota mediante técnicas de compresión para minimizar la cantidad de datos enviados a través de la red. Sincroniza archivos calculando y transfiriendo solo las diferencias entre ellos sobre la marcha. Por lo tanto, RDC es adecuado para la sincronización eficiente de archivos que se han actualizado de forma independiente, o cuando el ancho de banda de la red es pequeño o en escenarios donde los archivos son grandes pero las diferencias entre ellos son pequeñas.
El subprograma del Panel de control de dispositivos Bluetooth introducido con Windows XP era una ventana con pestañas que mostraba los dispositivos emparejados en una pestaña Dispositivos . Cuando se seleccionaba un dispositivo en esta pestaña, se mostraba la categoría del dispositivo, la última hora de conexión, la dirección MAC y el tipo de conexión del dispositivo seleccionado. Los dispositivos siempre se agrupaban por categorías (como teléfonos y módems ). En Windows Vista, Dispositivos Bluetooth forma parte del propio Shell de Windows (la pestaña Dispositivos anterior ya no está disponible porque ya no es necesaria). En Windows Vista, los usuarios ahora pueden filtrar, agrupar y ordenar los dispositivos Bluetooth por sus propiedades; escalar los iconos de los dispositivos; y buscar dispositivos conectados o emparejados. Las nuevas propiedades introducidas para los dispositivos Bluetooth incluyen Autenticado , Conexión en uso , Método de descubrimiento , Cifrado , Emparejado y Versión ; los usuarios pueden agrupar, ordenar y buscar dispositivos en función de estas propiedades, y todas las propiedades se muestran en el nuevo Panel de detalles.
La pila Bluetooth de Windows Vista se ha mejorado con soporte para más identificadores de hardware, mejoras de rendimiento EDR, salto de frecuencia adaptativo para coexistencia Wi-Fi y soporte del protocolo Orientado a Conexión Sincrónica (SCO), que es necesario para los perfiles de audio. [22] La pila Bluetooth de Windows Vista admite una interfaz de controlador de dispositivo en modo kernel además de la interfaz de programación en modo usuario, lo que permite a terceros agregar soporte para perfiles Bluetooth adicionales como SCO, SDP y L2CAP. Esto faltaba en la pila Bluetooth incorporada del Service Pack 2 de Windows XP, que tuvo que ser reemplazada completamente por una pila de terceros para obtener soporte de perfiles adicional. También proporciona soporte RFCOMM utilizando sockets además de puertos COM virtuales. [23] KB942567 llamado Windows Vista Feature Pack for Wireless agrega soporte para Bluetooth 2.1+EDR y soporte para activación remota desde S3 o S4 para módulos Bluetooth autoalimentados. [22] Este paquete de características, aunque inicialmente solo estaba disponible para OEM, finalmente se incluyó en Windows Vista Service Pack 2.