Examen Parcial II de Sistemas Telemáticos para Medios Audiovisuales GSyC, Universidad Rey Juan Carlos 21 de junio de 2011 SEGURIDAD ATENCIÓN: Si ya has usado NetGUI con otro diagrama de red, cierra NetGUI y ejecuta clean-netgui.sh antes de volver a lanzar NetGUI. En NetGUI, en el menú Archivo elige la opción Abrir y carga el nombre de archivo /opt/stma/seg. Se cargará el escenario mostrado en la figura 1. NO ARRANQUES NINGUNA MÁQUINA. Es importante que las arranques en el orden indicado. Si en algún momento quieres volver a tener el escenario en su estado inicial, cierra NetGUI, ejecuta clean-netgui.sh y ejecuta después /opt/stma/seg/reset-lab. En la figura 1 se muestra la conexión de dos pequeñas empresas a Internet. Estas entidades quedan representadas en la figura de la siguiente forma: Empresa 40 tiene las siguientes máquinas: pc41, pc42 y el router firewall r40. Empresa 50 tiene las siguientes máquinas: pc51 (en una subred privada), pc52 (en otra subred privada) y el router firewall r50. En Internet se tienen la máquina pc1, y los routers r1, r2 y r3. Las máquinas r40 y r50 están funcionando como firewalls a los que se les ha configurado únicamente las siguientes reglas: Políticas por defecto para las cadenas de entrada y reenvío (INPUT y FORWARD) configuradas para descartar paquetes. Política por defecto para la cadena de salida (OUPUT) configurada para aceptar paquetes. Al arrancar el router r40 ha ejecutado el script /bin/fw.sh y al arrancar el router r50 ha ejecutado el script /bin/fw.sh. Estos scripts aplican las reglas descritas previamente. 1. Suponiendo que r40 está recién arrancado, en la máquina r40 se ejecutan las siguientes órdenes: iptables -t filter -A FORWARD -s 24.0.0.0/23 -p tcp -j ACCEPT iptables -t filter -A FORWARD -d 24.0.1.41 -p tcp -j ACCEPT Sin ejecutar ninguna otra orden adicional, indica cuál de las siguientes afirmaciones es FALSA: (A) Dichas órdenes permiten mantener conexiones TCP entre pc41 y pc1. (B) Dichas órdenes permiten mantener conexiones TCP entre pc41 y pc42. (C) Dichas órdenes permiten mantener conexiones TCP entre pc41 y r1. (D) Dichas órdenes permite mantener conexiones TCP entre pc41 y r40. 2. Suponiendo que r40 está recién arrancado, en la máquina r40 se ejecutan las siguientes órdenes: iptables -t filter -A FORWARD -i eth0 -j DROP iptables -t filter -A FORWARD -s 30.0.0.100 -j ACCEPT Sin ejecutar ninguna otra orden adicional, indica cuál de las siguientes afirmaciones es correcta: (A) Puede llegar tráfico de pc1 a pc41 porque la segunda regla es más específica que la primera. 1
(B) Puede llegar tráfico de pc1 a pc41 porque la regla que lo permite está detrás. (C) NO puede llegar tráfico de pc1 a pc41 porque la regla que no lo permite está delante. (D) Al ser las dos reglas incompatibles, no se puede ejecutar la segunda regla pues produce un error. 3. En pc52 está lanzado un servidor de telnet en el puerto 23. Suponiendo que r50 está recién arrancado, indica cuál de los siguientes conjuntos de reglas, ejecutado en r50, permite que pueda accederse a dicho servidor desde cualquier máquina de Internet, sin permitir ni impedir ni modificar ningún otro tráfico adicional: (A) iptables -t nat -A PREROUTING -i eth0 -d 26.0.0.50 -j DNAT --to-destination 10.0.1.52 iptables -t nat -A POSTROUTING -s 10.0.0.50 -o eth0 -j SNAT --to-source 26.0.0.50 (B) iptables -t filter -A FORWARD -i eth0 -o eth1 -p tcp --dport 23 -j ACCEPT iptables -t nat -A PREROUTING -i eth0 -d 26.0.0.50 -j DNAT --to-destination 10.0.1.52 (C) iptables -t filter -A FORWARD -i eth0 -o eth1 -p tcp --dport 23 -j ACCEPT iptables -t nat -A PREROUTING -i eth0 -d 26.0.0.50 -j DNAT --to-destination 10.0.1.52 iptables -t filter -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT (D) iptables -t filter -A FORWARD -i eth0 -o eth1 -p tcp --dport 23 -j ACCEPT iptables -t filter -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT 4. La captura telnet-1.cap corresponde a una sesión de telnet. Indica cuál de las siguientes afirmaciones es correcta: (A) La sesión ha sido realizada por el usuario ana con contraseña ana (B) En la sesión se ha escrito la orden pwd (C) En la sesión se ha escrito la orden /home/stma (D) No se puede deducir de la captura el nombre del usuario ni las órdenes introducidas. 2
Se ha diseñado un sistema de comunicación llamado TorTon que pretende que los usuarios puedan intercambiar información con ciertas propiedades de seguridad. El mensaje se va enviando a través de una serie de nodos, elegidos por el nodo origen de la comunicación. El nodo origen de una comunicación tiene que indicar en el mensaje que envía dos tipos de información: La Secuencia de Nodos que tiene que seguir el mensaje que envía El Contenido del Mensaje, que incluye el texto del mensaje y la dirección del nodo que envía originalmente el mensaje. Cuando un nodo recibe un mensaje comprueba si viene destinado a él. Si él no es el destino del mensaje se lo envía al siguiente salto de la Secuencia de Nodos que viene en el mensaje. Ejemplo con 5 ordenadores, X, B, C, D, Z, con direcciones IP IP X, IP B, IP C, IP D, IP Z respectivamente: Supongamos que X quiere enviar el texto de mensaje mensajep araz a Z a través de la ruta X B C D Z, y que X conoce K + B, K+ C, K+ D, K+ Z. 1 o ) X le envía a B un datagrama IP en cuyo campo de datos va la siguiente información: Secuencia de Nodos: < K + B (IP C, K + C (IP D, K + D (IP Z, K + Z (IP Z)))) > 2 o ) B descifra la secuencia de nodos recibida, y aprende que el siguiente salto es IP C. B le envía entonces a C un datagrama IP con el resto de la Secuencia de Nodos y con el mismo Contenido del Mensaje: Secuencia de Nodos: < K + C (IP D, K + D (IP Z, K + Z (IP Z))) > 3 o ) C descifra la secuencia de nodos recibida, y aprende que el siguiente salto es IP D. C le envía entonces a D un datagrama IP con el resto de la Secuencia de Nodos y con el mismo Contenido del Mensaje: Secuencia de Nodos: < K + D (IP Z, K + Z (IP Z)) > 4 o ) D descifra la secuencia de nodos recibida, y aprende que el siguiente salto es IP Z. D le envía entonces a Z un datagrama IP con el resto de la Secuencia de Nodos y con el mismo Contenido del Mensaje: Secuencia de Nodos: < K + Z (IP Z) > 5 o ) Z descifra la Secuencia de Nodos recibida, y descubre que él mismo (IP Z ) es el siguiente salto, por lo que el mensaje está destinado a Z. Entonces Z descifra el Contenido del Mensaje. 5. Indica cuál de las siguientes afirmaciones relativas al sistema TorTon es correcta: (A) Cuando Z recibe el mensaje puede descifrarlo y puede estar seguro de que es X y no otro nodo el que generó el texto del mensaje. (B) Cuando Z recibe el mensaje no puede descifrar el Contenido del Mensaje. (C) Cuando Z recibe el mensaje puede descifrar el Contenido del Mensaje pero no puede estar seguro de que es X el que generó el texto del mensaje. (D) Cualquier nodo puede descifrar el contenido del mensaje usando K + X 6. Indica cuál de las siguientes afirmaciones relativas al sistema TorTon es correcta: (A) Cualquier nodo intermedio por el que pasa un mensaje puede saber cuál es el nodo destino final del mensaje. (B) Cualquier nodo intermedio por el que pasa un mensaje puede saber cuál es el nodo que originó el mensaje. (C) Cuando el destino final recibe el mensaje NO puede estar seguro de que éste haya pasado por la secuencia de nodos especificada por el nodo origen del mensaje. (D) Cualquier nodo intermedio por el que pasa un mensaje puede saber cuál es el resto de la Secuencia de Nodos por la que pasará el mensaje. 7. Indica cuál de las siguientes afirmaciones relativas al sistema TorTon es correcta: (A) Los nodos intermedios pueden saber cuál es el texto del mensaje que va en el Contenido del Mensaje. (B) Sólo el nodo destino final del mensaje puede conocer cuál es el texto del mensaje que va en el Contenido del Mensaje. (C) Cambiando la Secuencia de Nodos se puede conseguir que el mensaje llegue a un nodo F distinto de Z, pudiendo F descubrir cuál es el texto del mensaje que va en el Contenido del Mensaje. (D) El sistema Torton no proporciona confidencialidad. 3
CALIDAD DE SERVICIO ATENCIÓN: Si ya has usado NetGUI con otro diagrama de red, cierra NetGUI y ejecuta clean-netgui.sh antes de volver a lanzar NetGUI. Lanza NetGUI con p6-netgui.sh En NetGUI, en el menú Archivo elige la opción Abrir y escribe como nombre de archivo /opt/stma/cs Se cargará el escenario mostrado en la figura 2. NO ARRANQUES NINGUNA MÁQUINA. Es importante que las arranques en el orden indicado. Si en algún momento quieres volver a tener el escenario en su estado inicial, cierra NetGUI, ejecuta clean-netgui.sh y ejecuta después /opt/stma/cs/reset-lab Si te has equivocado y has lanzado el escenario con netgui.sh, haz /opt/stma/cs/reset-lab antes de volverlo a lanzar con p6-netgui.sh En la figura 2 se muestra un escenario de 3 usuarios, con sus respectivas redes domésticas, conectados a través de un Proveedor de Servicios Internet (ISP): Usuario1: tiene el router u1-r y el pc u1-pc. Usuario2: tiene el router u2-r y el pc u2-pc. Usuario3: tiene el router u3-r y el pc u3-pc. ISP: tiene el router isp-r. Los usuarios han contratado con el ISP los siguientes servicios: Usuario1: u1-r isp-r máximo ancho de banda 1Mbps y cubeta de 10k. isp-r u1-r política TBF con máximo ancho de banda 128kbps y cubeta de 10k. Usuario2: u2-r isp-r máximo ancho de banda 128kbps y cubeta de 10k. isp-r u2-r política TBF con máximo ancho de banda 256kbps y cubeta de 10k. Usuario3: u3-r isp-r máximo ancho de banda 128kbps y cubeta de 10k. isp-r u3-r política HTB con máximo ancho de banda 1Mbps repartido de la siguiente forma: garantizando al menos 512kbps para el tráfico que viene del usuario1 garantizando al menos 512kbps para el tráfico que viene del usuario2 Todos los TBF tendrán por defecto un valor de 50ms de latencia. El router isp-r no tiene configurado el control de tráfico. Si quieres puedes configurarlo atendiendo a los servicios que han contratado los usuarios para probar las siguientes preguntas. 4
8. El usuario1 empieza a enviar al usuario3 tráfico a 1Mbps. Simultáneamente el usuario2 envía 256 kbps al usuario3. Indica cuál de las siguientes afirmaciones es correcta: (A) El router isp-r admite 1Mbps en su interfaz eth0, consulta su tabla de encaminamiento y decide que debe reenviarlo a través de su interfaz eth2. El router isp-r descarta tráfico en su interfaz eth2, enviando a través de eth2 a 512kbps aproximadamente. (B) El router isp-r admite 1Mbps en su interfaz eth0, consulta su tabla de encaminamiento y decide que debe reenviarlo a través de su interfaz eth2. El router isp-r descarta tráfico en su interfaz eth2, enviando a través de eth2 a 896 kbps aproximadamente. (C) El router isp-r admite 128kbps en su interfaz eth0 (descartando 896 kbps), consulta su tabla de encaminamiento y decide que debe reenviarlo a través de su interfaz eth2. El router isp-r no descarta tráfico en su interfaz eth2 y envía a través de eth2 a 128 kbps aproximadamente. (D) El router isp-r admite 128kbps en su interfaz eth0 (no descarta nada de tráfico, almacena en un buffer todo el tráfico que va desde 128kbps a 1 Mbps), consulta su tabla de encaminamiento y decide que debe reenviarlo a través de su interfaz eth2. El router isp-r no descarta tráfico en su interfaz eth2 y envía a través de eth2 a 128 kbps aproximadamente. 9. El usuario2 y el usuario3 utilizando el máximo ancho de banda que han contratado con el ISP envían simultáneamente tráfico al usuario1. Indica cuál de las siguientes afirmaciones es correcta: (A) El usuario1 recibe aproximadamente 256kpbs, no se descarta nada de tráfico ya que el límite en el tráfico contratado por el usuario1 está en 1 Mbps. (B) El usuario1 recibe aproximadamente 128kbps, está garantizado que este ancho de banda está compartido a partes iguales entre el usuario2 y el usuario3. (C) El usuario1 recibe aproximadamente 128kbps, no está garantizado qué porcentaje de tráfico recibe del usuario2 y qué porcentaje de tráfico recibe del usuario3. (D) El usuario1 recibe aproximadamente 1Mbps que es el límite en el tráfico contratado por el usuario1. 10. En isp-r debe haberse definido la siguiente regla: tc qdisc add dev <XXX> ingress handle ffff: tc filter add dev <XXX> parent ffff: protocol ip prio 2 u32 match ip src <YYYY>/32 police rate 1Mbit burst 10k drop flowid :1 donde <XXX> es el nombre de la interfaz e <YYYY> es una dirección IP. Indica cuál de los siguientes valores es posible: (A) Interfaz eth0 y dirección IP es 101.0.0.10 (B) Interfaz eth2 y dirección IP es 103.0.0.10 (C) Interfaz eth0 y dirección IP es 101.0.1.100 (D) Interfaz eth2 y dirección IP es 103.0.1.100 5
!"#$%"$#& $'(%$)*&+,&./012344&./012344& $'(%$)*&-,& Figura 1: Seguridad 6
Figura 2: Calidad de servicio 7