ARQUITECTURA DE REDES Ejercicios. Tema 2-L1.

Transcripción

1 ARQUITECTURA DE REDES Ejercicios. Tema 2-L1. Ejercicio 1 Se desea diseñar un protocolo de seguridad entre dos entidades A y B. Estas entidades forman parte de un servicio telemático proporcionado por las Administraciones Publicas que permite intercambiar información, entre dos usuarios del servicio, de forma confidencial y con servicio de no repudio. En este contexto, se dispone de una tercera entidad, denominada C, que realiza funciones de Autoridad de Certificación. Con el protocolo a diseñar, los usuarios no pueden negar haber realizado un intercambio de datos. Además, este protocolo de seguridad debe garantizar la actualidad de los intercambios realizados. Para la implementación del protocolo se han definido tres fases: fase 1 (intercambios 1, 2, 3 y 4), fase 2 (intercambios 5, 6, 7) y, finalmente, la fase 3 (intercambios 8 y 9), en la que las entidades A y B intercambian datos. Como requisito de diseño del protocolo no se distribuirá ninguna clave de sesión en las fases 1 y 2. 1: A->C: Solicitud, Certificado_Usuario 2: C->A: Certificado (A) 3: B->C: Solicitud, Certificado_Usuario 4: C->B: Certificado (B) 5: A->B: N1; 6: B->A: + N2; 7: A->B: ; 8: A->B: DATOSA-B + + ; 9: B->A: DATOSB-A + + ; De acuerdo al enunciado, se pide: 1.1 Describa en cada fase, los intercambios realizados, servicios implementados y mecanismos empleados, rellenando los espacios en blanco con los elementos y/o bloques necesarios para la implementación del protocolo. 1.2 Supóngase que un intruso captura el mensaje 8 y se le presenta a la entidad B un tiempo posterior al de la implementación del protocolo. Podría B garantizar el origen de los datos y la actualidad del mensaje? Solución 1.1 1: A->C: Solicitud, Certificado_Usuario 1

2 C. Fdez. del Val- Curso : C->A: Certificado(A) 3: B->C: Solicitud, Certificado_Usuario 4: C->B: Certificado(B) 5: A->B: N1; 6: B->A: (N1, Clave_Priv_B), Certificado(B) + N2; 7: A->B: (N2, Clave_Priv_A), Certificado(A); 8: A->B: (DATOSA-B, Clave_Sesion1) + (Clave_Sesion1, Clave_Pub_B) + [(DATOSA-B, Hash), Clave_Priv_A] ; 9: B->A: (DATOSB-A, Clave_Sesion2) + (Clave_Sesion2, Clave_Pub_A) + [(DATOSB-A, Hash), Clave_Priv_B] ; En la fase 1, las entidades A y B solicitan a la autoridad de Certificación C, un certificado de clave pública. De esta forma el protocolo de seguridad podrá utilizar la criptografía de clave pública para la implementación de servicios de confidencialidad, autenticación y no repudio. En la fase 2, los usuarios A y B se autentifican entre sí, utilizando un mecanismo de desafío/respuesta: Cada una de las entidades genera un número aleatorio y se lo envía a la otra entidad. Ésta última deberá enviar a la primera ese mismo número aleatorio cifrado con su clave privada. Este mecanismo garantiza la actualidad de los intercambios (los números aleatorios se generan en el momento actual) y la identidad de las entidades pares (se cifra con la clave privada). Nótese que es necesario que las entidades tengan el certificado de la otra entidad (su clave pública) para verificar quien es la entidad que ha cifrado el número aleatorio. Este certificado se puede mandar en el mismo mensaje o puede haberse conseguido con anterioridad. En la fase 3, las entidades A y B intercambian DATOS entre ellas. De acuerdo a los requisitos del enunciado se debe de garantizar la confidencialidad y el no repudio. Una solución es cifrar los datos con una clave de sesión que se envía protegida con la clave pública de la otra entidad. Con ello se garantiza la confidencialidad de la información. Para garantizar el no repudio, se hace un resumen de los datos (función Hash) y se cifra este resumen con la clave privada de la entidad. 1.2 Si un intruso captura el mensaje 8 y se lo hace llegar a la entidad B, ésta no puede garantizar que venga de la entidad A, analizando exclusivamente el mensaje, aunque la entidad B puede verificar que ese mensaje fue una vez generado por la entidad A ya que aparece firmado con su clave privada. No obstante, si ese mensaje, capturado por un intruso, se envía en un instante posterior implica que se tendrán que implementar las tres fases del protocolo diseñado. Es evidente que el intruso no podrá generar el mensaje 7, en el que tendrá que firmar un desafío (numero aleatorio N2) con la clave privada de la entidad A. Es decir, la garantía del origen de los datos y la actualidad del mensaje solo se puede obtener de la implementación de las tres fases del protocolo. 2

3 Ejercicio 2 Un cliente del Banco CAJAMADRID recibe el siguiente correo electrónico: Apreciado Cliente de Banca en Línea, Caja Madrid siempre trata de encontrar sus expectativas mas altas. Por eso usamos la última tecnología en seguridad para nuestros clientes. Por lo tanto nuestro departamento de antifraude ha desarrollado un nuevo sistema de seguridad que elimine cualquier posibilidad del acceso de la tercera persona a sus datos, cuentas ni fondos. Este sistema esta construido en la utilización de una pregunta secreta y respuesta. Su respuesta secreta seria usada para confirmar su identidad cuando haga una operación de pagos. Es obligatorio para todos los clientes de Caja Madrid Banca en Línea usar este sistema de seguridad. Nuestro consejo para usted es que introduzca su pregunta secreta y su respuesta de su cuenta cuanto antes. Si el registro no es realizado dentro de 14 días su cuenta será suspendida temporalmente hasta que su registro sea completado. Esto solo le va a costar unos minutos de su tiempo y va a tener una seguridad mucho mas elevada. Para comenzar el registro por favor pinche aquí: Atentamente, Luis Pérez Monreal. Departamento de seguridad y asistencia al cliente. Caja Madrid. El cliente pincha dicho enlace y obtiene la siguiente pantalla 3

4 C. Fdez. del Val- Curso A continuación el cliente teclea su DNI y su clave de acceso a CAJAMADRID que es de 4 dígitos, por lo que la Web falsa dispone de los datos del cliente para poder acceder a su cuenta en CAJAMADRID. Se pide: 2.1 Cómo se denominan este tipo de amenazas? Se trata de una amenaza activa de suplantación de identidad del servidor. Realmente nadie puede impedir que un usuario dé sus datos personales a cualquiera. Lo que sucede es que Internet aumenta los intentos de falsificación y por tanto el riesgo de falsificaciones de identidad. 2.2 Cómo puede darse cuenta el cliente de que la página Web a la que está accediendo no es la página Web de CAJAMADRID? Razone la respuesta. Porque la parte protocolo de la URL de páginas seguras es https y en este caso es http, por tanto no es una página de una web con acceso seguro. 2.3 Compare el acceso a la Web de CAJAMADRID con el acceso a esta Web falsa Indique las unidades de datos intercambiadas y los protocolos implicados en el caso de acceso a la Web falsa hasta que se visualiza la primera pantalla de dicha Web en el terminal del cliente. Los protocolos implicados son TCP y http El cliente Web del terminal accede al servidor web falso mediante la petición Get del protocolo http. Esta acción provoca que la entidad TCP del terminal comience el establecimiento de la conexión TCP con dicha web falsa. El primer segmento que genera la entidad TCP del terminal es el segmento SYN. El servidor de la Web falsa envía el segmento TCP SYNACK y el terminal envia el tercer segmento TCP y la petición Get de http que llegarán al servidor de la Web falsa. A continuación el servidor de la web falsa envía la respuesta http en un segmento TCP. Esta respuesta es la pág web que se visualiza en el terminal del cliente. 4

5 2.3.2 Indique las unidades de datos intercambiadas y los protocolos implicados en el caso de acceso a la Web de CAJAMADRID hasta que se visualiza la primera pantalla de dicha Web en el terminal del cliente. En este caso los protocolos implicados son TCP, SSL (protocolos de autenticación Handsake y de transporte Record ) y http. El cliente Web del terminal accede al servidor CAJAMADRID mediante la petición Get del protocolo http. Esto provoca que la entidad TCP del terminal establezca la conexión TCP con el servidor CAJAMADRID. El primer segmento que genera la entidad TCP del terminal es el segmento SYN. El servidor de CAJAMADRID envía el segmento TCP SYNACK y el terminal envía el tercer segmento TCP para finalizar la conexión TCP. A continuación tiene lugar un intercambio de información entre terminal y servidor CAJAMADRID por el puerto 443 (https) mediante unidades de datos del protocolo de autenticación de SSL en cuatro fases: intercambio de capacidades criptográficas; autenticación del servidor CAJAMADRID (mediante el envío de su clave pública); autenticación del terminal (opcional) e intercambio de claves; y finalización. Después, el servidor CAJAMADRID envía la respuesta http que pasa al protocolo de transporte SSL. Este protocolo fragmenta la respuesta http, comprime cada unidad de datos, la cifra y añade un código de autenticación a cada unidad. Estas unidades recibidas en el terminal cliente constituyen la página web que se visualiza en el mismo. 2.4 Proponga un método de acceso alternativo al que emplea CAJAMADRID para hacer frente a este tipo de ataques. Lo más sencillo es añadir al método de identificación inicial un segundo requisito de información adicional que, en principio, sólo pueda estar en manos del usuario autorizado. Por ejemplo: - Código enviado al usuario por mensaje a su teléfono móvil - Mensaje al teléfono móvil pidiendo una determinada contraseña identificada por las coordenadas de una relación de contraseñas organizadas por filas y columnas y única para cada usuario. 5

6 C. Fdez. del Val- Curso Ejercicio 3 A continuación se describe un conjunto de intercambios relativos a un protocolo de seguridad en el que intervienen tres entidades A, B y C. 1:C->A: CPuC, T; 2:C->B: CPuC, T; 3:C->A: CPrC (CS,T); 4:A->B: CPrC (CS,T). En el primer intercambio, la entidad C envía a la entidad A su clave pública (CPuC) y un sello de tiempo (T). En el segundo intercambio, la entidad C envía estos mismos parámetros a la entidad B. En un tercer intercambio, la entidad C envía a la entidad A una clave de sesión (CS) generada de forma aleatoria y un sello de tiempo (T) cifrados con su clave privada (CPrC). Finalmente, en el intercambio 4 la entidad A retransmite a la entidad B el mismo contenido cifrado enviado por la entidad C a la entidad A en el mensaje 3. Con respecto a estos intercambios se pide responder a las siguientes cuestiones: 3.1. Indique cual es el objetivo de este protocolo 3.2. Analice qué servicios de seguridad (confidencialidad, autenticación y no repudio) pueden ser implementados con estos intercambios. Razone la respuesta 3.3. En relación a aquellos servicios no proporcionados por el protocolo de seguridad, tratar de incorporarlos a él por medio de nuevos intercambios o modificando los ya existentes con el menor número de cambios. Razone la respuesta Solución 3.1 El objetivo del protocolo de seguridad es la distribución de una clave simétrica de sesión desde C a A y B, con el fin de tener una comunicación segura entre las entidades A y B. En concreto aquí C envía la clave de sesión a la entidad A y esta se la envía a la entidad B. 3.2 La confidencialidad respecto a la distribución de la clave de sesión no está garantizada. La entidad C distribuye una clave de sesión (CS) a la entidades A cifrándola con su clave privada (CPrC). A su vez la entidad A envía la misma clave de sesión (CS) a la entidad B que va cifrada con la clave privada de C CPrC. Cualquier entidad que disponga de la clave pública de C (CPuC) o cualquier intruso que interceptara los mensajes 1 y/o 2 podría descifrar los mensajes 3 y 4 y de esta forma obtener la clave de sesión. El servicio de autenticación aparece reflejado, en parte, con la utilización de sellos de tiempo que garantizan la actualidad de los mensajes intercambiados. Por otro lado, en los mensajes 3 y 4 la clave de sesión (CS) junto con el sello de tiempo (T) aparecen cifrados con la clave privada de C, este hecho garantizaría que ha sido la entidad C quien ha generado la clave y la ha distribuido entre las entidades A y B. Sin embargo, en los mensajes 1 y 2 la identidad de la entidad C no está plenamente garantizada, cualquier intruso podría reemplazar la clave pública de C por otra fraudulenta. 6

7 El servicio de no repudio aparece incorporado en los mensajes 3 y 4 de forma que la entidad C no podría negar que generó una clave de sesión (CS) en un instante dado (sello de tiempo, T) puesto que firmó estos contenidos con su clave privada (CPrC). 3.3 Una propuesta modificación del protocolo de seguridad inicial con el fin de incorporar aquellos servicios de seguridad no contemplados es la siguiente: 1a:C->A: CPuC, CPrC(T); 1b:A->C: CPuA; 2a:C->B: CPuC, CPrC T); 2b:B->C: CPuB 3: C->A: CPuA[CPrC (CS,T)],CPuB[CPrC (CS,T)]; 4: A->B: CPuB[CPrC (CS,T)]. En esta propuesta hemos incorporado en los mensajes iniciales 1 y 2 el cifrado del sello de tiempo actual (T) con la clave privada de C (CPrC). Este nuevo contenido, CPrC(T), garantiza la identidad de la entidad C y, por lo tanto, su autenticación frente a las entidades A y B. Las entidades A y B se podrían adicionalmente autentificar enviando a la entidad C una firma del sello de tiempo (CPrA(T), CPrB(T)) en los mensajes 1b y 2b respectivamente. En esta propuesta hemos incorporado dos nuevos mensajes 1b y 2b, con los que se hace llegar a la entidad C las claves públicas de A y B (CPuA, CPuB). El objetivo es que la entidad C, en posesión de estas claves públicas, pueda distribuir de forma confidencial la clave de sesión. Así, en el mensaje 3, la entidad C firma con su clave privada y cifra con la clave pública de A y la clave pública de B una clave de sesión (CS) y un sello de tiempo (T). De estos contenidos una parte es para que la entidad A recoja la clave de sesión (CPuA[CPrC (CS,T)]) y otra parte (CPuB[CPrC (CS,T)]) es para que la entidad A se lo retransmita a la entidad B. Cifrando con la claves públicas de A y de B se garantiza que sólo estas entidades podrán acceder a la información cifrada. 7