PROBLEMAS DE SERVICIOS Y TECNOLOGÍAS DE SEGURIDAD EN INTERNET

Transcripción

1 PROBLEMAS DE SERVICIOS Y TECNOLOGÍAS DE SEGURIDAD EN PROBLEMA 1 Sean A y B dos organizaciones que forman parte de un sistema de Criptografía Asimétrica (o Clave Pública) y disponen de certificados de clave pública emitidos por una Autoridad de Certificación considerada fiable para ambas organizaciones En cada organización se dispone de un Router R A (organización A) y R B (organización B) que constituyen un túnel de cifrado a través de Internet Estos dos routers proporcionan un canal seguro entre las organizaciones compartiendo claves de sesión distribuidas en un protocolo de seguridad En cada organización se dispone de una Red de Área Local a la que se conectan los usuarios de cada organización Sean A 1 un usuario de la organización A y B 1 un usuario de la organización B Inicialmente se han propuesto los siguientes intercambios entre los routers R A y R B para implementar el protocolo de seguridad de distribución de claves e intercambiar datos: 1: R A -> R B : CertCPubR A ; 2: R B -> R A : CertCPubR B ; 3: R A -> R B : CPrR A (CS), CPrR A (N1); 4: R B -> R A : CPrR A (N1+1); 5: R A -> R B : CS (DATOS); 6: R B -> R A : CS (DATOS); En el primer intercambio, el router R A envía al router R B su certificado de clave pública (CertCPubR A ) En el segundo intercambio, el router R B envía, igualmente, al router R A su certificado de clave pública (CertCPubR B ) En un tercer intercambio, el router R A envía al router R B una clave de sesión (CS) generada de forma aleatoria y un número aleatorio (N1) cifrados con su clave privada (CPrR A ) En el intercambio 4 el router R B transmite al router R A el número aleatorio N1 recibido en el mensaje anterior incrementado (N1+1) y cifrado con la clave privada del router R A (CPrR A ) Finalmente, en los mensajes 5 y 6, los routers R A y R B intercambian datos de forma segura Con respecto a estos intercambios se pide responder a las siguientes cuestiones: a) Estudiar y describir las posibles inconsistencias o errores en el diseño del protocolo y analizar razonadamente si están implementados los siguientes servicios de seguridad: Autenticación de usuarios, Confidencialidad en la distribución de claves de sesión, Confidencialidad, integridad y no repudio de los datos b) En relación a aquellos servicios no proporcionados por el protocolo de seguridad, tratar de incorporarlos a él modificando los intercambios existentes con el menor número de cambios RAZONAR LA RESPUESTA c) Los usuarios A 1 y B 1 desean establecer una comunicación segura entre ellos Describir el funcionamiento de los routers R A y R B como túnel de cifrado en Internet indicando las direcciones IP de los datagramas intercambiados y los problemas de seguridad en las redes internas de las organizaciones Pág 1 de 9

2 PROBLEMA 2 Sea un usuario de Internet que posee en su sistema informático un navegador con un conjunto de Autoridades de Certificación de confianza Dicho usuario accede de forma habitual a su Banco para realizar distintas transacciones electrónicas (consulta de movimientos, transferencias, etc) Para ello utiliza los servicios de seguridad proporcionados por el conjunto de protocolos SSL (Secure Socket Layer) Así el navegador del usuario maneja certificados, firmados por una autoridad conocida para habilitar al usuario a hacer las transacciones necesarias Los certificados incluyen en un campo específico, además de otras informaciones, la dirección URL, del propio sitio Web seguro (Banco electrónico) al que se conecta el usuario Cuando el navegador recibe un certificado debería verificar que la dirección que figura en este campo coincide con la dirección a la que se esté conectando y que además el certificado está firmado por una autoridad legítima No obstante la versión actual navegador del usuario tiene un problema de seguridad: Esta versión no comprueba que la dirección a la que se está conectando el usuario coincida con la dirección que aparece en el certificado Un intruso conocedor del problema de esta versión del navegador pretende acceder a las cuentas bancarias de los usuarios Se pretende describir en detalle un posible ataque de un intruso para acceder a la información del usuario que utiliza su navegador con SSL y con el mencionado problema de seguridad Para ello se pide: a) Cuándo se inicia el ataque y en que consiste el mismo (suplantación, modificación, inserción etc) Razonar la respuesta b) Describir qué tipo de ataque se trata: activo o pasivo Razonar la respuesta c) Qué información necesita un intruso para realizar el ataque Razonar la respuesta d) Cómo el intruso captura las claves del usuario Razonar la respuesta Pág 2 de 9

3 PROBLEMA 3 Se pretende ahora estudiar la infraestructura hardware de los elementos de seguridad de la red corporativa del ejercicio anterior Para ello se ha pensado, en principio, en la siguiente configuración: PASARELA DE NIVEL DE APLICACIÓN (BASTION HOST) USUARIO EXTERNO APLICACIONES PROXY DE LA ORGANIZACIÓN SISTEMA INTERNO R R SISTEMAS INTERNOS ORGANIZACION RED: MÁSCARA: RED: MÁSCARA: SERVIDOR DE INFORMACIÓN R1:Router 1 R2:Router 2 Con respecto a esta infraestructura se pide contestar las siguientes cuestiones: a) Cuántas conexiones TCP se deberían establecer desde un cliente HTTP de un usuario externo y un servidor HTTP de un sistema interno de la organización? RAZONAR LA RESPUESTA b) Cuál será la dirección IP destino del datagrama originado por un usuario externo en su comunicación con un sistema interno de la organización? RAZONAR LA RESPUESTA c) Cuál debería ser el comportamiento del Router 1 si recibiera de Internet un paquete IP con la dirección destino ? RAZONAR LA RESPUESTA d) Cuál debería ser el comportamiento del Router 2 si recibiera de los sistemas internos de la organización un paquete IP con una dirección destino de Internet? RAZONAR LA RESPUESTA e) Finalmente, si la política de seguridad de la organización fuera la de no permitir el acceso directo al Servidor de Información, cómo se comportaría el Router R1 si recibiera de internet un paquete IP con la dirección destino ? Pág 3 de 9

4 PROBLEMA 4 Sea una organización que dispone de dos redes de área local corporativas situadas geográficamente distantes: una en Madrid (RAL 1) y otra en Barcelona (RAL 2) Cada una de las redes acceden a Internet a través de un router externo con dirección IP pública Uno de los objetivos de esta organización es poder intercambiar información entre sus dos redes corporativas de forma confidencial y autenticada Para ello se ha instalado el protocolo IPSEC en los routers externos y se ha configurado de forma apropiada de acuerdo a la política de seguridad de la Organización Inicialmente se ha establecido que el modo de funcionamiento del protocolo IPSEC sea el modo túnel para el trafico entre sistemas de la RAL 1 y la RAL 2 y viceversa Además las claves de cifrado y autenticación serán introducidas manualmente RAL / ROUTER EXTERNO ROUTER EXTERNO 2 RAL / a) Explicar el contenido de las unidades de datos generada por el router externo 1 cuando una máquina de la RAL 1 quiere comunicarse con una máquina de la RAL 2 Explicando claramente que contenidos van cifrados y en qué consiste la funcionalidad de autenticación de IPSEC y a qué campos se aplica b) Suponer que la política de seguridad de la Organización establece que las claves de cifrado y autenticación deberían distribuirse dinámicamente entre los routers Establecer un protocolo de seguridad de 4 intercambios (máximo) que permita distribuir estas claves de forma confidencial, garantizando la integridad y el no repudio Para ello supondremos que el router externo 1 y el router externo 2 disponen de certificado de clave pública Se pide describir claramente el contenido de cada intercambio y su función, razonado la respuesta c) Suponer que la organización desea, además, garantizar la confidencialidad y la autenticación en la comunicaciones entre dos máquinas cualesquiera de la misma Red de Área Local Proponer una solución basada en el protocolo IPSEC Razonar la respuesta d) Se supone ahora que la RAL 1 dispone de un sistema con información corporativa dotado de dirección pública de Internet ( ) La organización pretende que sus empleados desde casa puedan acceder a esta información de modo confidencial y autenticado Proponer una solución basada en IPSEC que permita a un usuario de Internet acceder a este sistema de forma confidencial y autenticada Razonar la respuesta Pág 4 de 9

5 PROBLEMA 5 En la figura se muestra el entorno de una organización con dos redes corporativas, RC1 y RC2, conectadas a través de Internet Cada RC dispone de 8 ordenadores de usuario, O1 O8 La figura muestra también el ordenador OI1 que representa una máquina cualquiera conectada, asimismo, a Internet OI1 O1RC1 O1RC2 IPR1-Interfaz-RC1 IPR1-Interfaz-RC2 RED PRIVADA CORPORATIVA RC1 R1 R2 RED PRIVADA CORPORATIVA RC2 IPR1-Interfaz-Internet IPR2-Interfaz-Internet O8RC1 O8RC2 Los routers R1 y R2 incluyen la funcionalidad de translación de direcciones y Cortafuegos (Firewall) Para ello, cada uno dispone de una dirección pública para el acceso a Internet (IPR1-Interfaz-Internet e IPR2-Interfaz-Internet respectivamente) Ambos routers están configurados para que, en caso de que la dirección IP destino sea una dirección de un dispositivo de la otra Red Corporativa, inicien un túnel con destino al otro router Las direcciones IP de los diversos dispositivos son las siguientes: En el caso de la RC1, se tienen las siguientes direcciones IP privadas: O1RC1: 10011; O2RC1: 10012; O3RC1: 10013; O4RC1: O5RC1: 10015; O6RC1: 10016; O7RC1: 10017; O8RC1: IPR1-Interfaz-RC1: Dirección de red 10010; máscara: En el caso de la RC2, se tienen las siguientes direcciones IP privadas: O1RC2: 10021; O2RC2: 10022; O3RC2: 10023; O4RC2: O5RC2: 10025; O6RC2: 10026; O7RC2: 10027; O8RC2: IPR2-Interfaz-RC2: Dirección de red 10020; máscara: Finalmente las direcciones IP públicas de los routers y del sistema OI1 son: IPR1-Interfaz-Internet (máscara ) IPR2-Interfaz-Internet: (máscara ) Dir IP OI1: (máscara ) Pág 5 de 9

6 a) Pueden llegar datagramas con la dirección destino a la Interfaz de conexión a Internet del router R1 Razone la respuesta b) Considérese que O1RC1 inicia una comunicación con OI1 Indique las direcciones origen y destino de los datagramas en las dos interfaces del router R1 Razone la respuesta (0,3p) c) Supóngase que a continuación O1RC1 inicia una comunicación con O1RC2 Indique las direcciones origen y destino de los datagramas en las dos interfaces de ambos routers Razone la respuesta d) Se podrían utilizar como direcciones origen y destino de los túneles las direcciones para R1 y para R2? Razone la respuesta Supóngase que en el entorno de la RC2 se incorporan dos Servidores de Información SI1 y SI2, tal como se muestra en la figura siguiente, los cuales deben aceptar comunicaciones desde Internet OI1 O1RC1 O1RC2 RED PRIVADA CORPORATIVA RC1 IPR1-Interfaz-RC1 R1 IPR1-Interfaz-RC2 R2 RED PRIVADA CORPORATIVA RC2 IPR1-Interfaz-Internet IPR2-Interfaz-Internet O8RC1 O8RC2 SERVIDOR DE INFORMACIÓN: SI1 SERVIDOR DE INFORMACIÓN: SI2 e) Asigne una dirección IP a los sistemas SI1, SI2 e interfaces necesarios para el funcionamiento del sistema Razone la respuesta f) Supóngase que OI1 desea establecer una comunicación con SI1 Indique las direcciones IP origen y destino de los datagramas de la comunicación entre OI1 y SI1 en ambos interfaces del router R2 Razone la respuesta g) Cuántas ordenadores conectados a Internet pueden establecer comunicaciones de forma simultánea con SI1? Razone la respuesta Pág 6 de 9

7 PROBLEMA 6 La figura representa la captura del tráfico en una Red de Área Local Esta información está estructurada en seis columnas (número de paquete, tiempo de la captura, origen, destino, protocolo e información del paquete) (Nótese que la columna protocolo está omitida) De acuerdo a la información contenida en la figura se pide contestar a las siguientes cuestiones: a) Identificar los números de paquetes que transportan mensajes SSL Razonar la respuesta b) Agrupar los mensajes SSL observados en la figura en las cuatro fases del protocolo SSL (Establecimiento de parámetros, Autenticación de Servidor, Intercambio de Clave Cliente, Fin de Intercambio) Razonar la respuesta c) Identificar la aplicación y el protocolo de transporte que incorpora los mensajes SSL de acuerdo a los paquetes capturados Razonar la respuesta d) Identificar los números de paquete de la captura que se correspondan con el inicio de una comunicación/conexión segura entre cliente y servidor Razonar la respuesta e) Identificar la dirección IP del cliente y del servidor Pág 7 de 9

8 PROBLEMA 7 Sea una organización que ha establecido un sistema de seguridad para que los usuarios accedan a sus sistemas informáticos OBD OSS ENCAMINADOR RED ORGANIZACION FASE 1: SSL+ Ticket con mecanismos seguridad USUARIO FASE 2 Ticket con mecanismos seguridad + Bloque criptográfico PROXY En concreto el sistema establecido se compone de dos fases: En una primera fase (Fase1) el usuario se conecta a un sistema denominado OSS (Ordenador Sistema de Seguridad) mediante la capa SSL (Secure Socket Layer) Si es reconocido como usuario legitimado para acceder a los recursos de la Organización se le concede un ticket telemático de larga duración denominado ticket Este ticket es un bloque de información que contiene un Sello de Tiempo, Identificación del Usuario, los Privilegios del Usuario, tiempo permitido de acceso y alguna otra información adicional Todo ello acompañado de mecanismos de seguridad asociados que se especificarán más adelante en los requisitos de seguridad En una segunda fase (Fase 2): el usuario accede a los recursos de la organización ubicados en el ODB (Ordenador Base datos) mediante un sistema Proxy de la organización Para ello el usuario deberá entregar el ticket con sus mecanismos de seguridad asociados de la fase 1, junto con nuevos mecanismos de seguridad especificados a continuación en los requisitos de seguridad Los requisitos de seguridad establecidos para este sistema son los siguientes: Se considera que las entidades OSS, OBD, PROXY y USUARIO forman parte de un modelo de criptografía pública y disponen de certificados emitidos por una entidad fiable creada a propósito de la aplicación de seguridad Se considera que un usuario está legitimado para acceder a los recursos de la Organización si se verifica su identidad mediante el uso de los certificados disponibles En la fase 1, Los mecanismos de seguridad que incorporará el ticket deberán garantizar que la información contenida ha sido generada por el Sistema OSS para posteriores disputas legales Además, esta información sólo será accesible por sistema PROXY En la fase 2 el usuario añade al ticket un bloque criptográfico que basándose en la hora y fecha actual garantice la actualidad del mensaje y la autenticación del usuario De acuerdo a estos requisitos de seguridad se pide contestar a las siguientes cuestiones: a) Describir los mensajes SSL necesarios para implementar la fase 1 de acuerdo a los requisitos de seguridad establecidos Razonar la respuesta explicando claramente como se verifica la legitimidad de un usuario b) Describir los mecanismos de seguridad necesarios para construir el ticket de acuerdo a los requisitos de seguridad establecidos para la fase 1 Razonar la respuesta c) Describir los mecanismos de seguridad necesarios para construir el bloque criptográfico de la fase 2 de acuerdo a los requisitos de seguridad establecidos d) Si un intruso capturase el ticket de la fase 1, podría acceder al sistema PROXY, haciéndose pasar por el usuario que pidió el ticket Pág 8 de 9

9 PROBLEMA 8 Considérese un sistema de compra electrónica en Internet implantado en una entidad A como cliente y una entidad B como servidora Este sistema de compra electrónica está basado en un protocolo de seguridad de 3 intercambios en los que las entidades A y B forman parte de un sistema de Criptografía Asimétrica En el intercambio 1, la entidad A solicita a la entidad B el inicio de una compra electrónica En el intercambio 2, la entidad B acepta la petición realizada en el intercambio 1 En el tercer intercambio, la entidad A envía un bloque de información conteniendo información sensible (número de tarjeta de crédito para efectuar la compra, identificación personal, datos del producto comprado, etc) Para que estos intercambios se produzcan de forma segura se han establecido los siguientes requisitos de seguridad: La entidad A debe tener garantía de la entidad B es auténtica La entidad B debe de tener garantía de que la entidad A es auténtica El bloque de información del intercambio 3 debe ir protegido con el servicio de confidencialidad La entidad B podrá verificar la identidad de la entidad que envío el bloque de información del intercambio 3 con el servicio de no repudio, así como verificar la integridad De acuerdo a estos requisitos, se pide crear cada uno de los mensajes del protocolo de seguridad indicando los elementos del mismo y explicando razonadamente los mecanismos y servicios de seguridad utilizados en cada uno Pág 9 de 9