Teoría de las comunicaciones Práctica 9: Seguridad

Documentos relacionados
Teoría de las comunicaciones Práctica 10: Seguridad

Teoría de las comunicaciones Práctica 10: Seguridad

Clase de Seguridad. Capa de aplicación (?) 11 de Junio de DC - FCEyN - UBA

Clase de Seguridad. Capa de (?) 10 de Junio de DC - FCEyN - UBA. (DC - FCEyN - UBA ) Clase de Seguridad 10 de Junio de / 58

TEMA 3: SERVICIO SSH

Clase de Seguridad. Capa de (?) 7 de Junio de DC - FCEyN - UBA. (DC - FCEyN - UBA ) Clase de Seguridad 7 de Junio de / 56

Redes de comunicación

Caso de Estudio: Sistema de Distribución de Información Correo Electrónico Universidad de Los Andes

UNIVERSIDAD TECNOLÓGICA DE LA SIERRA HIDALGUENSE Registro Plan de Curso

- Firma digital y cifrado de mensajes. Luis Villalta Márquez

Redes de Computadoras Práctica 5: La capa de transporte

Clase de Seguridad. Capa de (?) 2 de Octubre de DC - FCEyN - UBA. (DC - FCEyN - UBA ) Clase de Seguridad 2 de Octubre de / 51

Herramientas para proteger un sitio de E-commerce

Riesgos potenciales en los servicios de red. Vicente Sánchez Patón I.E.S Gregorio Prieto. Tema 2 SAD

Servicio de Notificaciones Electrónicas

Capítulo 8 Seguridad en Redes: Integridad de Mensajes e seguro. Basado en: Computer Networking: A Top Down Approach, Jim Kurose, Keith Ross.

Observación Si bien DNS usa ambos protocolos, sus partes vistas en la materia usan UDP 2 / 20

Clave Pública y Clave Privada

TEMA 4: SERVICIOS HTTP

CAPÍTULO 7: CONCEPTOS DE SEGURIDAD

Certificados e Infraestructura de Llave Pública

Implementación y análisis del protocolo HTTPS

UD 3:Implantación de técnicas de seguridad remoto. Seguridad perimetral

INSTRUCTIVO FORMULARIOS DE REGLAS DE FIREWALL PARA SERVICIOS RNMS AIG-090-RNMS

Entienda cómo la característica automática de la actualización de firma del IPS de Cisco trabaja

Capítulo 8: Seguridad en Redes - II

Resoluciones clase práctica de Capa de Aplicación

Túnel VPN de LAN a LAN entre dos PIXes usando el ejemplo de configuración PDM

REDES INTERNAS CORPORATIVAS

Aplicación Facebook Messenger

Seguridad en redes de computadoras

Certificados Digitales y Navegación segura

Administración y Gestión de Redes (Septiembre 2011).

Teoría de las Comunicaciones Departamento de Computación FCEyN - UBA

14 recomendaciones para evitar ser incluido en la lista negra.

Introducción SSL con la transacción y el intercambio de paquetes de la muestra

Proxy WebRTC de la configuración con CMS sobre Expressway con el dominio dual

VIRTUAL PRIVATE NETWORK (VPN)

Tipos de Cortafuegos Un cortafuego o firewall es un sistema que previene el uso y el acceso desautorizados a tu ordenador.

ARQUITECTURA DE REDES Ejercicios. Tema 2-L3.

Antes de comenzar con la configuración deberemos obligatoriamente chequear que el cableado se realice de la siguiente manera.

MÓDULO 2 NIVEL AVANZADO Las fuentes de información institucional Unidad didáctica 5: La seguridad en las operaciones telemáticas

Capítulo V. Alta y Consumo de Servicios

Tema: Despliegue de portal de servicios cautivos con autenticación proxy

Seguridad en Sistemas de Información

Firewalls & NAT Practices

Jorge de Nova Segundo

Dpto. Informática y Automática Seguridad en Sistemas Informáticos 1ª Convocatoria - Enero Apellidos: Nombre

Tema 6 Servicio de Correo Electrónico

REDES INTERNAS CORPORATIVAS SEGURAS

Servicio de Sellado de documentos vía correo-e. Francisco Jesús Monserrat Coll

RFCs que definen la arquitectura de servicios y protocolos específicos utilizados en IPsec

Configure las configuraciones del correo electrónico en el router de las RV34x Series

MANUAL SOBRE FIRMA ELECTRÓNICA

Errores debido del aborto de TLS del Módulo de servicios NGFW al error del error o de la validación de certificado del apretón de manos

Los mensajes en BGP están expuestos a las siguientes amenazas: Fabricación: Una parte no autorizada genera mensajes de actualización falsas.

Seguridad del protocolo HTTP

Teoría de las comunicaciones Práctica 4: Internetworking

Seguridad en la capa IP IPSec

Cortafuegos. Departamento de Sistemas Telemáticos y Computación (GSyC) Marzo de GSyC Cortafuegos 1

Teoría de las comunicaciones Práctica 5: Ruteo

Redes de Computadoras Práctica 6: La capa de red

Punto 2 Seguridad en la conexión de redes públicas. Juan Luis Cano

o Seguridad en el acceso a recursos: o Establecer identidad del solicitante (Autentificación). o Permitir o denegar el acceso (Autorizar).

POLÍTICAS DE DEFENSA EN PROFUNDIDAD: - DEFENSA PERIMETRAL. - DEFENSA INTERNA. - FACTOR HUMANO. Luis Villalta Márquez

Tecnologías Grid Seguridad en entornos grid

Bloque III Seguridad en la Internet

Acceso remoto a una máquina GNU/Linux (Ubuntu)

Conceptos sobre firma y certificados digitales

Que pretende controlar el FW

Administración y Gestión de Redes (Febrero 2010).

Teoría de las comunicaciones Práctica 8: Dominios y Servicios

SMTP. (Simple Mail Transfer Protocol).

Configuración de envío de alertas en SIABUC9

Universidad Diego Portales Redes de Datos (Code: CIT-2100)

INTRODUCCIÓN A LA ADMINISTRACIÓN DE REDES I N G. M O I S É S A L V A R E Z H U A M Á N

recomendamos el siguiente procedimiento:

Elementos de Configuración de Enrutadores Cisco ===============================

Protocolos y funcionalidad de la capa de Aplicación

Como configurar su cuenta de correo recién creada o nueva (Datos Técnicos, para encargados de soporte)

LABORATORIO DE REDES DE ÁREA LOCAL

Las redes privadas virtuales

ARQUITECTURA DE REDES Ejercicios. Tema 2-L1.

PROBLEMAS DE SERVICIOS Y TECNOLOGÍAS DE SEGURIDAD EN INTERNET

Guía de Instalación Versión 3.0. Cliente VPN. Sistema Ingresador de Información Periódica

Práctica de laboratorio: Uso de la CLI para recopilar información sobre dispositivos de red

Administración y Gestión de Redes (Junio 2010).

MANUAL DE CONFIGURACIÓN

GUÍA DE CONFIGURACIÓN DE CUENTAS DE EN THUNDERBIRD

Criptografía y firma digital

Configure el descifrado SSL en el módulo de FirePOWER usando el ASDM (la Administración del En-cuadro)

Administración y Gestión de Redes (Febrero 2006).

20, 21 y 22 Seguridad y Tarea 06

REDES PRIVADAS VIRTUALES VPN

Tema 2 LA SEGURIDAD EN LOS ELEMENTOS FÍSICOS EXISTENTES EN UNA RED

TEMA 6: CORREO ELECTRÓNICO

GnuPG. GnuPG. Una introducción. Unai Zalakain. Jornadas de Tecnología y Cultura Libre, Junio 2016

Transcripción:

Temas Teoría de las comunicaciones Práctica 9: Seguridad Criptografía simétrica y asimétrica, Firma Digital, Certificados, Conexiones Seguras, Firewalls Definiciones DMZ: Zona demilitarizada de la red. Tipicamente ubicada en la frontera de la red interna. Mensaje: M Criptograma: C Digesto: D Clave simétrica: K Clave pública de Alice: K + A Clave privada de Alice: K A Encriptar M utilizando la clave Q: E Q (M) = C con Q {K, K + A, K A } Desencriptar el C utilizando la clave Q: D Q (C) = M con Q {K, K + A, K A } Aplicar Función de Hash Criptográfico: F HC(M) = D Aclaración: La notación permite combinar cada algoritmo con cada tipo de clave para obtener distintos resultados. No todo algoritmo permite toda clave. Deberá aclararse qué algoritmo es el utilizado. Ejercicio 1 Del siguiente criptograma se conoce que las letras fueron encriptadas usando un cifrado César. pm fvb aopur aljouvsvnf jhu zvscl fvby zljbypaf wyvisltz, aolu fvb kvua buklyzahuk aol wyvisltz huk fvb kvua buklyzahuk aol aljouvsvnf. --iybjl zjoulply Describa una estrategia que se pueda usar para descubrir el desplazamiento. Asumir: que el texto original contenía letras sin tildes Ejercicio 2 Alice desea enviarle un mensaje a Bob de carácter importante. Ella quiere asegurarse de que nadie excepto Bob (incluida Trudy) pueda leerlo y que Bob pueda confiar en que el emisor es Alice. Diseñe una solución que garantice las propiedades de Confidencialidad y No repudio.

Aclaración: Completar los cuadrados con algoritmos y las casitas con los parámetros adicionales que estos toman. Ejercicio 3 Dado un algorítmo de clave pública (e.g.: RSA): a. Muestre una comunicación entre Alice y Bob utilizando clave pública para garantizar confidencialidad. b. Suponga que Trudy puede situarse en el medio de la comunicación (ie: MiTM), qué podría hacer para violar la confidencialidad de la comunicación? c. Explique qué información le faltaría a la clave pública para resolverlo. Ejercicio 4 Certificados digitales 1. Qué piezas de información contiene un certificado digital? Ayuda: openssl s_client www.dc.uba.ar:443. 2. Utilizando openssl genere un certificado digital para un hostname llamado CN AM E y muestre qué problemas acarrea. Ayuda: openssl req. 3. Se sabe que ssh admite autenticación por clave pública y privada además del método de challenge-response. Exiba un método para generar la clave y otro para habilitar la utilización de ella. Ayuda: Google.

Ejercicio 5 Muchos protocolos para establecer conexiones seguras usan handshakes para iniciar el sistema criptográfico. En este ejercicio tenga en mente SSL/TLS como sistema criptográfico a analizar. a. De los siguientes parámetros indique la etapa del algorítmo donde se utiliza: HELLO, Key Exchange o Data sharing. Parámetros Criptográficos Valor al azar Conjunto de Algoritmos de encripción Versión Protocolo Certificado del destinatario (Peer) Clave Maestra (Masterkey) Criptograma b. Muestre mediante un diagrama de secuencia una posible implementación de un handshake para establecer una conexión. Considere los mensajes enviados, y si se envian en plano o como criptogramas. En cada caso especificar. Ejercicio 6 El protocolo TLS es ampliamente utilizado para proteger conexiones HTTP en Internet. a. Muestre las propiedades que garantiza el protocolo aplicado a los siguientes protocolos: SMTP IMAP HTTP Confidencialidad No repudio Integridad b. Clasifique los siguientes conceptos según los atributos que brinde a una comunicación. Firma digital Criptografía simétrica Certificados digitales Message-digest Confidencialidad No repudio Integridad c. Explique cómo se relacionan los conceptos con los algorítmos criptográficos aplicados en TLS.

Ejercicio 7 El siguiente es un diagrama de una topología de la red interna de la compañía Siliconsec: Donde los sevicios provistos por Server son: Webserver y HTTP Proxy Resolver autoritativo de dominio Correo saliente y entrante Configure el Firewall de tal manera que todos los servicios se encuentren disponibles para internet pero que los usuarios pertenecientes a la red local puedan: Acceder a internet vía proxy Leer y enviar correos Ejercicio 8 El gerente de sistemas de la empresa Garbagerino se encuentra en viaje de negocios. Durante su estadía desea conectarse a los servicios de red que acostumbra (e-mail, facebook, chat) desde el lobby del hotel. Al preguntar la contraseña de dicha red, el empleado le informa que es una red wireless sin encripción. a. Identifique que problemas puede traer para nuestro gerente. b. Muestre y explique los comandos para generar un tunel sobre SSH de tipo Local. c. Al generar el tunel, el gerente observa el siguiente mensaje: ssh gerente-capo@garbagerino.com The authenticity of host garbagerino.com (156.93.26.2) can t be established. RSA key fingerprint is 5a:23:ba:45:e4:b2:24:bc:02:f8:ed:bc:46:73:73:36.

Are you sure you want to continue connecting (yes/no)? Cómo podría verificar la identidad del servidor? Ejercicio 9 Nos presentan la topología de red de la figura y nos dan la responsabilidad de definir y configurar las reglas de filtrado. El firewall externo tiene un módulo que chequea los correos que pasan por él y en caso de encontrar virus los filtra. El chequeo de virus se realiza sobre las partes Mime. Se pide: Indicar todas las reglas necesarias que permitan el correcto funcionamiento de la red. Se debe poder: Acceder a Internet desde las red interna. Descargar mails desde la red interna. Acceso universal a la DMZ. Interactuar de forma segura con el servidor web. Ejercicios de Parcial Ejercicio 10 Nos contratan para diagramar la red de una empresa. Se especifica que la red contará con unas 50 máquinas aproximadamente, para los empleados, donde es crucial mantener los mayores niveles de seguridad posibles. A estos hosts solo se les permite el acceso a internet para usar la web y la web en versión segura. Además, la empresa posee un servidor SMTP de donde salen y llegan los mails del dominio de la empresa y desde donde los hosts de los empleados deben poder descargar sus mails. Por último, se especifica que dentro de la red se debe hostear un servidor de DNS con la información del dominio. Se pide: a. Exponga un esquema de como diagramaría usted la red sabiendo que se cuenta con fondos para comprar un solo firewall del tipo que se desee. Explicite direccionamiento, tipo y reglas de firewall. b. En el momento de implementar la red se decidió dar soporte para que el protocolo de descarga de mails use la capa de TLS para comunicarse con sus clientes. La propiedad de integridad sobre los correos desde el server hasta los hosts está asegurada por esta capa?. En caso de responder afirmativamente a la pregunta, describa un mecanismo que se use para este fin.

Ejercicio 11 Una organización desea usar un sistema de firewall para proteger sus instalaciones con la topología que se presenta en la figura. El servidor en la DMZ ofrece los siguientes servicios Web. (seguro y no seguro) Mail. (saliente y entrante para la organización) DNS. (es resolver y además autoritativo de la zona) Desde la red interna solo está permitido acceder a los servicios de la DMZ y a un servidor externo (con IP conocida en internet). Por último se conoce que la compañia posee solamente un firewall de tipo stateful y varios stateless. a. Detalle como organizar y configurar los firewalls de manera de cumplir con la política enunciada. b. Pasado un tiempo se desarrollo un servicio web seguro (HTTPS) en el servidor externo para asegurar confidencialidad. Además, requiere autenticidad del lado de la organización (cliente). Disponiendo solamente de un certificado de la organización validado por una CA, proponga un esquema para lograr que los pedidos de la organización cumplan con los requerimientos de autenticidad. Ejercicio 12 Dada la topología de red de la figura nos dan la responsabilidad de configurar los firewalls de la misma. Se sabe que en el segmento DMZ hay un servidor web que debe ofrecer Web. (seguro y no seguro) Mail. (saliente y entrante para la organización) DNS. (es resolver y además autoritativo de la zona) Además, en la zona DMZ hay otro servidor con una base de datos. Desde la red interna se debe descargar el contenido del mismo todos las noches para tener una copia segura del mismo. Esto se hace con un servicio de replicación corriendo sobre un puerto conocido. Desde el exterior no se debe poder acceder a este servidor. Los hosts de la red interna deben tener permitido acceder a todos los servicios de la DMZ solamente. a. Indicar todo lo necesario respecto a los firewalls y explicitar las configuraciones correspondientes para el correcto funcionamiento de la red dada la política enunciada. Explicitar todas las asunciones que se hagan. b. Es recurrente en la empresa que ocurran peleas internas entre los empleados endilgandose la responsabilidad por tareas no realizadas. Por lo tanto se pide implementar algún mecanismo para garantizar la propiedad de NO REPUDIO en todos los mensajes que se mandan internamente. Describa un mecanismo posible para lograr el requerimiento. Ejercicio 13 La empresa Sinegociamostegarco diseñó un nuevo esquema de seguridad para la red interna colocando los servicios accedidos desde internet en una DMZ. Ésta cuenta con el servicio de intranet (sobre HTTP) para que los empleados

carguen las horas y tareas en las que fueran esclavizados cada mes y un Proxy HTTP para resolver los recursos HTTP provenientes de la intranet. Sin embargo no es clara la política de seguridad que tiene la empresa y por eso se pide: 1. Configurar ambos firewalls teniendo en cuenta que el servidor Proxy también es el DNS Resolver. 2. Establecer un criptosistema para garantizar la autenticidad del Proxy y del servidor de la intranet. Enumere los elementos utilizados y explique cómo esta solución impide ataques de Man in the middle. Si hacen falta cambios en las tablas de firewalling. Ejercicio 14 Sea una red con un solo host y un firewall stateless que la protege de la internet. Se sabe que el firewall permite definir reglas dinámicas con la siguiente sintaxis: < IP org, puerto org, IP dst, puerto dst, flags > {< r 1 >, < r 2 >,.., < r n >}. En cada uno de los campos de la regla se puede usar una variable independiente del resto: $1,$2,..,$N. Las reglas r 1,.., r n son las reglas estándar de cualquier firewall con la única diferencia que se pueden usar las variables ($1,..,$N) definidas en la premisa de la regla. Los flags pueden ser S (Syn), A (Ack) o R (Rst). A modo de ejemplo, la regla: < $1, 80, 190,0,0,1, $2, SA > {< $1, $2, 10,4,3,4, $2 >}. significa que si llega un paquete desde cualquier IP y el puerto 80 con destino a la IP 190.0.0.1 y cualquier puerto, con los flags de Syn y Ack encendidos se generará automáticamente la regla: <IP,Puerto,10.4.3.4, Puerto>siendo IP y Puerto los valores concretos del paquete recibido. Sabiendo que el host de la red interna no acepta intentos de conexión, pero se conecta a diversos servicios en la internet. Se pide: a. Definir el conjunto de reglas más restrictivo posible para garantizar que el host pueda abrir las conexiones que necesita. Es indispensable que nunca una regla permita el ingreso de tráfico sobre una conexión espuria, o sea, una conexión no iniciada por el host o que no esté establecida. b. Suponiendo que el host se comunica con servidores con los cuales negocia una clave secreta (simétrica). A partir de ese momento, todos los mensajes se acompañan de un hash de los mismos, cifrado con la clave. Explicar si el mecanismo se considera como una firma digital, o sea, presenta la propiedad de no repudio. Justifique. Bibliografía Computer Networks: A systems approach. 3ra Edición. Peterson & Davie. Capítulo 8: Network Security.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback