ARQUITECTURA DE REDES Ejercicios. Tema 2-L3.

Transcripción

1 ARQUITECTURA DE REDES Ejercicios Tema 2-L3 Ejercicio 1 En la figura se muestra el entorno de una organización con dos redes corporativas, RC1 y RC2, conectadas a través de Internet Cada RC dispone de 8 ordenadores de usuario, O1 O8 La figura muestra también el ordenador OI1 que representa una máquina cualquiera conectada, asimismo, a Internet OI1 O1RC1 O1RC2 IPR1-Interfaz-RC1 IPR1-Interfaz-RC2 RED PRIVADA CORPORATIVA RC1 R1 INTERNET R2 RED PRIVADA CORPORATIVA RC2 IPR1-Interfaz-Internet IPR2-Interfaz-Internet O8RC1 O8RC2 Los routers R1 y R2 incluyen la funcionalidad de translación de direcciones y Cortafuegos (Firewall) Para ello, cada uno dispone de una dirección pública para el acceso a Internet (IPR1-Interfaz-Internet e IPR2-Interfaz-Internet respectivamente) Ambos routers están configurados para que, en caso de que la dirección IP destino sea una dirección de un dispositivo de la otra Red Corporativa, inicien un túnel con destino al otro router Las direcciones IP de los diversos dispositivos son las siguientes: En el caso de la RC1, se tienen las siguientes direcciones IP privadas: O1RC1: 10011; O2RC1: 10012; O3RC1: 10013; O4RC1: O5RC1: 10015; O6RC1: 10016; O7RC1: 10017; O8RC1: IPR1-Interfaz-RC1: Dirección de red 10010; máscara: En el caso de la RC2, se tienen las siguientes direcciones IP privadas: O1RC2: 10021; O2RC2: 10022; O3RC2: 10023; O4RC2: O5RC2: 10025; O6RC2: 10026; O7RC2: 10027; O8RC2: IPR2-Interfaz-RC2: Dirección de red 10020; máscara: Finalmente las direcciones IP públicas de los routers y del sistema OI1 son: 1

2 C Fdez del Val- Curso IPR1-Interfaz-Internet (máscara ) IPR2-Interfaz-Internet: (máscara ) Dir IP OI1: (máscara ) 11 Pueden llegar datagramas con la dirección destino a la Interfaz de conexión a Internet del router R1? 12 Considérese que O1RC1 inicia una comunicación con OI1 Indique las direcciones origen y destino de los datagramas en las dos interfaces del router R1 13 Supóngase que a continuación O1RC1 inicia una comunicación con O1RC2 Indique las direcciones origen y destino de los datagramas en las dos interfaces de ambos routers 14 Se podrían utilizar como direcciones origen y destino de los túneles las direcciones para R1 y para R2? Supóngase que en el entorno de la RC2 se incorporan dos Servidores de Información SI1 y SI2, tal como se muestra en la figura siguiente, los cuales deben aceptar comunicaciones desde Internet OI1 O1RC1 O1RC2 RED PRIVADA CORPORATIVA RC1 IPR1-Interfaz-RC1 R1 INTERNET IPR1-Interfaz-RC2 R2 RED PRIVADA CORPORATIVA RC2 IPR1-Interfaz-Internet IPR2-Interfaz-Internet O8RC1 O8RC2 SERVIDOR DE INFORMACIÓN: SI1 SERVIDOR DE INFORMACIÓN: SI2 15 Asigne una dirección IP a los sistemas SI1, SI2 e interfaces necesarios para el funcionamiento del sistema 16 Supóngase que OI1 desea establecer una comunicación con SI1 Indique las direcciones IP origen y destino de los datagramas de la comunicación entre OI1 y SI1 en ambos interfaces del router R2 17 Cuántos ordenadores conectados a Internet pueden establecer comunicaciones de forma simultánea con SI1? 2

3 Solución 11 No, porque los routers de Internet no encaminan (descartan) datagramas con direcciones de red privada 12 Sentido O1RC1 OI1 IPR1-Interfaz RC1: DO: 10011; DD: IPR1-Interfaz Internet: DO: ; DD: R1 traduce la dirección de red privada a la dirección de red pública para que OI1 disponga de una dirección de red destino pública con el fin de que los datagramas con origen en OI1 y con destino a O1RC1 se puedan encaminar por Internet Sentido OI1 O1RC1 IPR1-Interfaz Internet: DO: ; DD: IPR1-Interfaz RC1: DO: ; DD: R1 traduce la dirección de red pública a la dirección de red privada para que el datagrama alcance su destino en RC1 13 R1 Sentido O1RC1 O2RC2 IPR1-Interfaz RC1: DO: 10011; DD: IPR1-Interfaz Internet: DO: ; DD: R1 encapsula el datagrama en otro datagrama con las direcciones de red pública origen y destino del túnel R2 Sentido O1RC1 O2RC2 IPR2-Interfaz Internet: DO: ; DD: IPR2-Interfaz RC2: DO: 10011; DD: R2 desencapsula (elimina las direcciones de red pública) el datagrama original para que alcance su destino en RC2 R2 Sentido O2RC1 O1RC2 IPR2-Interfaz RC2: DO: 10021; DD: IPR2-Interfaz Internet: DO: ; DD: R2 encapsula el datagrama en otro datagrama con las direcciones de red pública origen y destino del túnel R1 Sentido O2RC1 O1RC2 3

4 C Fdez del Val- Curso IPR2-Interfaz Internet: DO: ; DD: IPR2-Interfaz RC2: DO: 10021; DD: R1 desencapsula (elimina las direcciones de red pública) el datagrama original para que alcance su destino en RC1 14 No porque corresponden a direcciones de red privada 15 Vale cualquier rango de direcciones de red Pública no asignada a otra organización Por ejemplo x, máscara Asignamos: para la interfaz del router R2; para SI para SI2 16 Sentido O11 SI1 IPR2-Interfaz Internet: Interfaz R2-SI1 DO: ; DD: DO: ; DD: R2 en este caso no realiza traducción de direcciones Sentido SI1 O1 Interfaz R2-SI1 DO: ; DD: IPR2-Interfaz Internet: DO: ; DD: R2 en este caso no realiza traducción de direcciones 17 No existe ninguna limitación a nivel de R2 La limitación en cuanto al número de comunicaciones simultáneas procedentes de ordenadores conectados a Internet vendría determinada por la capacidad del sistema operativo del SI1 en cuanto a manejo de puertos simultáneos Ejercicio 2 Una empresa A dispone de una sede central y una oficina interconectadas por Internet para constituir la intranet de la propia empresa (ver figura) Para acceso a Internet, tanto de los terminales de la sede central como de los terminales de la oficina A2, la empresa utiliza el proxy P localizado en la sede central Los routers R1, R2, tienen funcionalidad de RPV IPsec Los dispositivos F1 y F2 son Firewall Los servidores S1 y S2 proporcionan servicios internos de la empresa SI es un servidor en Internet 4

5 Direcciones IP de algunos dispositivos: R1: /24; /24; R2: /24; /24 P: /24; SI: T1: /24; S1: /24 T2: /24 S2: /24; Se pide: 21 Qué servicios de seguridad se deben proporcionar con IPsec a las comunicaciones entre la sede central y la oficina de esta empresa? Razone la respuesta Autenticación (Autenticación de origen e integridad) Confidencialidad 22 Explique brevemente la funcionalidad de filtrado de tráfico de los dispositivos F1 y F2 F2: Filtrado hacia la red interna de la oficina: solamente deja pasar el tráfico de comunicaciones procedentes de terminales de la sede central ó del proxy P F2: Filtrado desde la red interna de la oficina: solamente deja pasar el tráfico con destino el proxy P ó equipos de la oficina F1: Filtrado hacia la red interna de la sede central: solamente deja pasar el tráfico de comunicaciones procedentes de equipos de la oficina ó del proxy P F1: Filtrado desde la red interna de la sede central: solamente deja pasar el tráfico con destino el proxy P ó equipos de la oficina 23 Considere que una aplicación cliente Web en el terminal T2 está accediendo a la correspondiente aplicación servidora Web en el servidor SI 231 Indique los segmentos necesarios para el establecimiento de la conexión del nivel de transporte En este caso se establecen dos conexiones de transporte, una entre el terminal T2 y el Proxy P y otra entre el Proxy y el servidor SI 5

6 C Fdez del Val- Curso La entidad TCP del terminal T2 comienza el establecimiento de la conexión TCP con el Proxy P mediante el envío de un segmento SYN A continuación la entidad TCP transmisora del Proxy comienza el establecimiento de la conexión TCP con el servidor SI mediante el envío de un segmento SYN La entidad TCP del servidor SI contesta con un segmento SYNACK A continuación el Proxy, por una parte finaliza el establecimiento de la conexión TCP con el servidor SI enviando el tercer segmento del establecimiento de la conexión TCP entre el Proxy y el servidor SI y por otra, envía el segmento SYNACK al terminal T2 Por último T2 enviará el tercer segmento de finalización de la fase de establecimiento al Proxy, quedando así establecidas las dos conexiones de transporte En total han sido necesarios 6 segmentos 232 Considere la transferencia de un segmento de datos de SI con destino a T2 Indique la estructura de las unidades de datos (protocolos de niveles 3 y 4) en las interfaces de entrada y salida del router R1 que transportan dicho segmento Además, indique el contenido de los campos Protocolo, dirección origen y dirección destino de la cabecera IP SI envía el segmento de datos al Proxy P en la conexión de transporte anteriormente establecida entre el Proxy y SI Este segmento irá encapsulado en un paquete IP generado en SI ( ) y con destino R1 ( ), ya que este router hace función de NAT para el tráfico de la empresa A con Internet A continuación el Proxy P envía los datos de este segmento en otro segmento de datos en la conexión de transporte establecida entre el Proxy y el terminal T2 Este segmento irá encapsulado en un paquete IP generado en P ( ) y con destino al terminal T2 ( ) En este caso el router R1 encapsula este paquete (en el túnel) en un nuevo paquete con origen en R1 ( ) y destino R2 (120123) y aplica IPsec protocolo ESP Entrada a R1 procedente de Internet: Cab IP [DO: SI ( ); DD: R1 ( ); Prot: TCP (6)]; Cab TCP Salida de R1 con destino al Proxy: Paquete IP con origen en SI y destino el Proxy P Cab IP [DO: SI ( ); DD: P ( ); Prot: TCP (6)]; Cab TCP Entrada a R1 procedente del Proxy: Paquete IP con origen el Proxy y destino T2 6

7 Cab IP [DO: P ( ); DD: T3 ( ); Prot: TCP (6)]; Cab TCP Salida de R1 hacia Internet con destino a T2 a través del túnel RPV entre R1 y R2: Paquete anterior encapsulado en el protocolo ESP que a su vez va encapsulado en un nuevo paquete IP con origen R1 y destino R2 Cab IP [DO: R1 ( ); DD: R2 (120123); Prot: ESP (50)]; Cab ESP; Cab IP [DO: P ( ); DD: T2 ( ); Prot: TCP (6)]; Cab TCP 24 Considere ahora que el presidente de la empresa utilizando un cliente Web en el terminal T1 está accediendo a una aplicación corporativa Web en S2 Dicha comunicación está protegida con IPsec entre T1 y S2 Indique la estructura de las unidades de datos que transportan un segmento de datos con origen en S2 (protocolos de niveles 3 y 4) en las interfaces de entrada y salida del router R2 Además, indique el contenido de los campos Protocolo, dirección origen y dirección destino de la cabecera IP Se establece una conexión de transporte entre T1 y S2 Cada segmento de esta comunicación va encapsulado en un paquete IP cuyas DO: es S2 y DD T1 A continuación el servidor S2 aplica el protocolo ESP en modo transporte El router encapsula este paquete en un nuevo paquete IP con DO: (R1) y DD: R2 y aplica ESP en modo túnel Entrada de R2 desde la red interna de la oficina: Cab IP[DO: ; DD: ; Prot: TCP (6)] -CAb ESP-Datos- Aut ESP Salida de R2 hacia Internet: CAb IP túnel [DO: ; Prot ESP (50)]-CAb Esp-Cab IP [DO: ; DD: ; Prot: TCP (6)] -CAb ESP-Datos- Aut ESP-Aut ESP 7

8 C Fdez del Val- Curso Ejercicio 3 Sea una organización que dispone de una Red de Área Local en la que se conectan diversos equipos de la Organización Uno de los objetivos de la política de seguridad de la organización es permitir una comunicación entre las aplicaciones de dos cualesquiera usuarios de la red de forma confidencial y autenticada Para ello se propone utilizar el protocolo IPSEC como una solución sencilla por estar integrado en el sistema operativo y, por tanto, en los protocolos de los equipos de esta organización Además los equipos de la organización disponen de certificados de clave publica emitidos por una entidad considerada fiable por la organización Se pretende utilizar esta infraestructura integrada con el protocolo IPSEC para la distribución de claves De acuerdo al escenario propuesto se pide responder a las siguientes cuestiones: 31 Qué modalidad del protocolo IPSEC sería adecuada al contexto especificado? Razonar la respuesta 32 Describir los contenidos de las unidades de datos que intercambiarían dos equipos cualesquiera de la Red de la organización Explicar asimismo cómo se implementarían los servicios de confidencialidad y autenticación de acuerdo a la respuesta anterior 33 Describir detalladamente un protocolo de seguridad de tres intercambios como máximo que permita distribuir entre dos equipos la clave de sesión y autenticación necesarias para el protocolo IPSEC Para ello se indicará claramente el contenido de cada mensaje intercambiado y los mecanismos de seguridad asociados Para este protocolo se exigen las siguientes condiciones: Se utilizará la infraestructura de certificados de clave pública disponible en los equipos Un equipo (llamado A) será el responsable de iniciar el protocolo de seguridad El otro equipo (llamado B) generará la clave de sesión y autenticación y se las enviará al equipo A de forma confidencial Finalmente el equipo A enviará información para validar las claves enviadas Adicionalmente se exige que la entidad A pueda verificar que las claves fueron generadas por el equipo B y la autenticación mutua de los equipos entre sí 8

9 Solución 31 El protocolo IPSEC tiene dos modos de funcionamiento el modo túnel y el modo transporte El modo túnel debería usarse para garantizar la confidencialidad y la autenticación de datos entre dos redes diferentes En este caso los paquetes IP originales son encapsulados por un router externo en un nuevo paquete IP que se envía a una red pública protegiendo el paquete IP original con algoritmos de cifrado y autenticación El paquete IP creado llegará al router externo de la Red destino que realizará la operación inversa Si estamos en la misma Red de Área Local, como es el caso planteado en el ejercicio, debería usarse el modo transporte En este caso se protegen los datos enviados cifrando los segmentos TCP o los datagramas UDP y autenticando los datos enviados sin necesidad de construir un nuevo paquete IP, puesto que estamos en la misma red 32 Las unidades de datos intercambiadas incorporarán junto con la cabecera IP original una nueva unidad de datos denominada paquete ESP (Encapsulation Security Payload) que transporta las unidades de datos de nivel de transporte de forma confidencial y autenticadas El paquete ESP contiene una cabecera, la carga útil y un campo opcional que contiene la autenticación de los datos (AESP: Autenticación ESP) AUTENTICACIÓN CABECERA ORIGINAL IP CABECERA ESP TCP/UDP DATOS FIN ESP AESP MODO TRANSPORTE CIFRADO Paquete ESP La carga útil son las unidades de datos de nivel de transporte cifradas con una clave simétrica previamente acordada entre las entidades El campo de autenticación es una función Hash que se aplica a la concatenación del paquete ESP y la clave de autenticación previamente acordada entre las entidades AESP H ( C ) autenticac ion PESP 33 Utilizando el modelo de clave pública la forma de implementar los servicios de seguridad se realiza cifrando con las claves públicas y privadas de las entidades los contenidos a proteger En concreto, para conseguir distribuir las claves de sesión de forma confidencialidad se deberá cifrar con la clave pública de la otra entidad Para garantizar que una entidad es la responsable de la generación de uno datos habrá que 9

10 C Fdez del Val- Curso cifrar con la clave privada de la entidad un resumen (hash) de esos contenidos Para garantizar la autenticación mutua entre entidades se utiliza el mecanismo de desafíorespuesta, junto con la firma de contenidos Por consiguiente se propone el siguiente protocolo de 3 intercambios: 1: A -> B: Sol_Claves, CertCPubA, N1 ; 2: B-> A:, CertCPubB, CertCPubA(Csesion Cautth), CPrB(Hash[Csesion Cautth]), CPrB(N1+1), N2; 3: A -> B: Csesion (DATOS), Cautth (Hash[DATOS]), CPrR1 (N2+1); En el primer intercambio, la entidad A envía a la entidad B una solicitud de claves de sesión y autenticación, su Certificado de Clave Pública (CertCPubA) y un Identificador de Uso Único generado aleatoriamente (N1) como mecanismo de desafío/respuesta para garantizar la autenticación de los equipos entre sí En el intercambio 2, la entidad B envía a la entidad A su Certificado de Clave Pública (CertCPubB), las claves solicitadas por A cifradas con su clave publica (CertCPubA(Csesion Cautth), un resumen (hash) de dichas claves firmado con la clave secreta de B (CPrB(Hash[Csesion Cautth])), una contestación al desafío del mensaje 1 firmando el Identificador N1 con su clave privada y, finalmente, envía un nuevo Identificador de Uso Único N2 En el mensaje 3, la entidad A valida la clave de sesión y autenticación recibidas por B Para ello envía una información cifrada y autenticada a B (Csesion (DATOS), Cautth (Hash[DATOS])) Adicionalmente responde al desafío de B firmando el identificador de usó único N2 (CPrR1 (N2+1)) enviado en el mensaje anterior por B 10