Ejercicios tema 2 sin solución PDF

Preview

Summary

Ejercicios tema 2...

Description

ARQUITECTURA DE REDES Ejercicios. Tema 2-L3. Ejercicio 1 En la figura se muestra el entorno de una organización con dos redes corporativas, RC1 y RC2, conectadas a través de Internet. Cada RC dispone de 8 ordenadores de usuario, O1 ....O8. La figura muestra también el ordenador OI1 que representa una máquina cualquiera conectada, asimismo, a Internet. O I1

O 1R C 1

O 1R C 2

IP R 1-In terfaz-R C 1 R1 R ED PR IVA D A CO RPO RA TIV A RC1

.

I PR 1-In terfaz-R C 2 R2 IN TE RN ET

R ED PR IVA D A CO RPO RA TIV A RC2

.

.

IPR 1-In terfaz-In tern et

IPR 2-In terfaz-In tern et

O 8R C 1

O 8R C 2

Los routers R1 y R2 incluyen la funcionalidad de translación de direcciones y Cortafuegos (Firewall). Para ello, cada uno dispone de una dirección pública para el acceso a Internet (IPR1-Interfaz-Internet e IPR2-Interfaz-Internet respectivamente). Ambos routers están configurados para que, en caso de que la dirección IP destino sea una dirección de un dispositivo de la otra Red Corporativa, inicien un túnel con destino al otro router. Las direcciones IP de los diversos dispositivos son las siguientes: En el caso de la RC1, se tienen las siguientes direcciones IP privadas: O1RC1: 10.0.1.1; O2RC1: 10.0.1.2; O3RC1: 10.0.1.3; O4RC1: 10.0.1.4 O5RC1: 10.0.1.5; O6RC1: 10.0.1.6; O7RC1: 10.0.1.7; O8RC1: 10.0.1.8 IPR1-Interfaz-RC1: 10.0.1.9 Dirección de red 10.0.1.0; máscara: 255.255.255.0 En el caso de la RC2, se tienen las siguientes direcciones IP privadas: O1RC2: 10.0.2.1; O2RC2: 10.0.2.2; O3RC2: 10.0.2.3; O4RC2: 10.0.2.4 O5RC2: 10.0.2.5; O6RC2: 10.0.2.6; O7RC2: 10.0.2.7; O8RC2: 10.0.2.8 IPR2-Interfaz-RC2: 10.0.2.9 Dirección de red 10.0.2.0; máscara: 255.255.255.0 Finalmente las direcciones IP públicas de los routers y del sistema OI1 son:

1

C. Fdez. del Val- Curso 2008-2009 IPR1-Interfaz-Internet 191.100.1.1 (máscara 255.255.255.0) IPR2-Interfaz-Internet: 192.100.1.1 (máscara 255.255.255.0) Dir IP OI1: 193.100.1.1 (máscara 255.255.255.0) 1.1

¿Pueden llegar datagramas con la dirección destino 10.0.1.1 a la Interfaz de conexión a Internet del router R1?

1.2

Considérese que O1RC1 inicia una comunicación con OI1. Indique las direcciones origen y destino de los datagramas en las dos interfaces del router R1

1.3

Supóngase que a continuación O1RC1 inicia una comunicación con O1RC2. Indique las direcciones origen y destino de los datagramas en las dos interfaces de ambos routers.

1.4

¿Se podrían utilizar como direcciones origen y destino de los túneles las direcciones 10.0.1.9 para R1 y 10.0.2.9 para R2?

Supóngase que en el entorno de la RC2 se incorporan dos Servidores de Información SI1 y SI2, tal como se muestra en la figura siguiente, los cuales deben aceptar comunicaciones desde Internet. O I1 I1

O 1R 1RC 1

O1R C 2

IP R 1 -In te rf az -R C 1

. R ED P R IV A D A CO RPORA T IVA RC1

.

IP R 1 -In ter fa z-R C 2

R1

R2 I N T ERN E T

R ED P R I V A D A CO RPO R AT IV A RC2

.

.

I PR 1 -I n terfa z-I n tern et I P R 2 -I n terfa z-I n tern et

O 8R 8RC 2

O8RC1

SERVIDOR D E IN FO R M A CIÓ N : S I1

SERVIDO R DE IN FO R M A CIÓ N : S I2

1.5

Asigne una dirección IP a los sistemas SI1, SI2 e interfaces necesarios para el funcionamiento del sistema.

1.6

Supóngase que OI1 desea establecer una comunicación con SI1. Indique las direcciones IP origen y destino de los datagramas de la comunicación entre OI1 y SI1 en ambos interfaces del router R2.

1.7

¿Cuántos ordenadores conectados a Internet pueden establecer comunicaciones de forma simultánea con SI1?

2

Solución

1.1 No, porque los routers de Internet no encaminan (descartan) datagramas con direcciones de red privada. 1.2

Sentido O1RC1 → OI1 IPR1-Interfaz RC1:

DO: 10.0.1.1; DD: 193.100.1.1

IPR1-Interfaz Internet:

DO: 191.100.1.1; DD: 193.100.1.1

R1 traduce la dirección de red privada 10.0.1.1 a la dirección de red pública 191.100.1.1 para que OI1 disponga de una dirección de red destino pública con el fin de que los datagramas con origen en OI1 y con destino a O1RC1 se puedan encaminar por Internet. Sentido OI1 → O1RC1 IPR1-Interfaz Internet:

DO: 191.100.1.1; DD: 193.100.1.1

IPR1-Interfaz RC1:

DO: 193.100.1.1; DD: 10.0.1.1

R1 traduce la dirección de red pública 191.100.1.1 a la dirección de red privada 10.0.1.1 para que el datagrama alcance su destino en RC1. 1.3

R1 Sentido O1RC1 → O2RC2 IPR1-Interfaz RC1:

DO: 10.0.1.1; DD: 10.0.2.1

IPR1-Interfaz Internet:

DO: 191.100.1.1; DD: 192.100.1.1

R1 encapsula el datagrama en otro datagrama con las direcciones de red pública origen y destino del túnel. R2 Sentido O1RC1 → O2RC2 IPR2-Interfaz Internet:

DO: 191.100.1.1; DD: 192.100.1.1

IPR2-Interfaz RC2:

DO: 10.0.1.1; DD: 10.0.2.1

R2 desencapsula (elimina las direcciones de red pública) el datagrama original para que alcance su destino en RC2. R2 Sentido O2RC1 → O1RC2 IPR2-Interfaz RC2:

DO: 10.0.2.1; DD: 10.0.1.1

IPR2-Interfaz Internet:

DO: 192.100.1.1; DD: 191.100.1.1

R2 encapsula el datagrama en otro datagrama con las direcciones de red pública origen y destino del túnel. R1 Sentido O2RC1 → O1RC2

3

C. Fdez. del Val- Curso 2008-2009

IPR2-Interfaz Internet:

DO: 192.100.1.1; DD: 191.100.1.1

IPR2-Interfaz RC2:

DO: 10.0.2.1; DD: 10.0.1.1

R1 desencapsula (elimina las direcciones de red pública) el datagrama original para que alcance su destino en RC1. 1.4

No porque corresponden a direcciones de red privada.

1.5

Vale cualquier rango de direcciones de red Pública no asignada a otra organización. Por ejemplo 192.100.2. 2. x, máscara 255.255.255.0 Asignamos: 192.100.2.1 para la interfaz del router R2; 192.100.2.2 para SI1 192.100.2.3 para SI2.

1.6 Sentido O11 → SI1 IPR2-Interfaz Internet:

DO: 193.100.1.1; DD:192.100.2.2

Interfaz R2-SI1

DO: 193.100.1.1; DD:192.100.2.2

R2 en este caso no realiza traducción de direcciones. Sentido SI1 → O1 Interfaz R2-SI1

DO: 192.100.2.2; DD: 193.100.1.1

IPR2-Interfaz Internet:

DO: 192.100.2.2; DD: 193.100.1.1

R2 en este caso no realiza traducción de direcciones. 1.7

No existe ninguna limitación a nivel de R2. La limitación en cuanto al número de comunicaciones simultáneas procedentes de ordenadores conectados a Internet vendría determinada por la capacidad del sistema operativo del SI1 en cuanto a manejo de puertos simultáneos.

Ejercicio 2 Una empresa “A” dispone de una sede central y una oficina interconectadas por Internet para constituir la “intranet” de la propia empresa (ver figura). Para acceso a Internet, tanto de los terminales de la sede central como de los terminales de la oficina A2, la empresa utiliza el proxy “P” localizado en la sede central. Los routers R1, R2, tienen funcionalidad de RPV IPsec. Los dispositivos F1 y F2 son Firewall. Los servidores S1 y S2 proporcionan servicios internos de la empresa. SI es un servidor en Internet.

4

Direcciones IP de algunos dispositivos: R1: 192.168.10.1/24; 80.25.42.3/24; P: 80.25.42.10/24; T1: 192.168.10.15/24; T2: 192.168.11.13/24

R2: 120.1.2.3/24; 192.168.11.1/24 SI: 100.22.33.44 S1: 192.168.10.22/24 S2: 192.168.11.12/24;

Se pide: 2.1 ¿Qué servicios de seguridad se deben proporcionar con IPsec a las comunicaciones entre la sede central y la oficina de esta empresa? Razone la respuesta. Autenticación (Autenticación de origen e integridad) Confidencialidad 2.2 Explique brevemente la funcionalidad de filtrado de tráfico de los dispositivos F1 y F2. F2: Filtrado hacia la red interna de la oficina: solamente deja pasar el tráfico de comunicaciones procedentes de terminales de la sede central ó del proxy P F2: Filtrado desde la red interna de la oficina: solamente deja pasar el tráfico con destino el proxy P ó equipos de la oficina. F1: Filtrado hacia la red interna de la sede central: solamente deja pasar el tráfico de comunicaciones procedentes de equipos de la oficina ó del proxy P F1: Filtrado desde la red interna de la sede central: solamente deja pasar el tráfico con destino el proxy P ó equipos de la oficina. 2.3 Considere que una aplicación cliente Web en el terminal T2 está accediendo a la correspondiente aplicación servidora Web en el servidor “SI”. 2.3.1. Indique los segmentos necesarios para el establecimiento de la conexión del nivel de transporte. En este caso se establecen dos conexiones de transporte, una entre el terminal T2 y el Proxy P y otra entre el Proxy y el servidor SI. 5

C. Fdez. del Val- Curso 2008-2009 La entidad TCP del terminal T2 comienza el establecimiento de la conexión TCP con el Proxy P mediante el envío de un segmento “SYN”. A continuación la entidad TCP transmisora del Proxy comienza el establecimiento de la conexión TCP con el servidor SI mediante el envío de un segmento “SYN”. La entidad TCP del servidor SI contesta con un segmento “SYNACK. A continuación el Proxy, por una parte finaliza el establecimiento de la conexión TCP con el servidor SI enviando el tercer segmento del establecimiento de la conexión TCP entre el Proxy y el servidor SI y por otra, envía el segmento “SYNACK” al terminal T2. Por último T2 enviará el tercer segmento de finalización de la fase de establecimiento al Proxy, quedando así establecidas las dos conexiones de transporte. En total han sido necesarios 6 segmentos. 2.3.2. Considere la transferencia de un segmento de datos de “SI” con destino a T2. Indique la estructura de las unidades de datos (protocolos de niveles 3 y 4) en las interfaces de entrada y salida del router R1 que transportan dicho segmento. Además, indique el contenido de los campos “Protocolo”, dirección origen” y dirección destino” de la cabecera IP. SI envía el segmento de datos al Proxy P en la conexión de transporte anteriormente establecida entre el Proxy y SI. Este segmento irá encapsulado en un paquete IP generado en SI (100.22.33.44) y con destino R1 (80.25.42.3), ya que este router hace función de NAT para el tráfico de la empresa A con Internet. A continuación el Proxy P envía los datos de este segmento en otro segmento de datos en la conexión de transporte establecida entre el Proxy y el terminal T2. Este segmento irá encapsulado en un paquete IP generado en P (80.45.22.10) y con destino al terminal T2 (192.168.11.13). En este caso el router R1 encapsula este paquete (en el túnel) en un nuevo paquete con origen en R1 (80.25.42.3) y destino R2 (120.1.2.3) y aplica IPsec protocolo ESP.

Entrada a R1 procedente de Internet: Cab IP [D.O: SI (100.22.33.44); D.D: R1 (80.25.42.3); Prot: TCP (6)]; Cab TCP

Salida de R1 con destino al Proxy: Paquete IP con origen en SI y destino el Proxy P. Cab IP [D.O: SI (100.22.33.44); D.D: P (80.25.42.10); Prot: TCP (6)]; Cab TCP

Entrada a R1 procedente del Proxy: Paquete IP con origen el Proxy y destino T2.

6

Cab IP [D.O: P (192.168.10.03); D.D: T3 (80.25.42.10); Prot: TCP (6)]; Cab TCP

Salida de R1 hacia Internet con destino a T2 a través del túnel RPV entre R1 y R2: Paquete anterior encapsulado en el protocolo ESP que a su vez va encapsulado en un nuevo paquete IP con origen R1 y destino R2. Cab IP [D.O: R1 (80.25.42.3); D.D: R2 (120.1.2.3); Prot: ESP (50)]; Cab ESP; Cab IP [D.O: P (80.25.42.10); D.D: T2 (192.168.11.13); Prot: TCP (6)]; Cab TCP

2.4 Considere ahora que el presidente de la empresa utilizando un cliente Web en el terminal T1 está accediendo a una aplicación corporativa Web en S2. Dicha comunicación está protegida con IPsec entre T1 y S2. Indique la estructura de las unidades de datos que transportan un segmento de datos con origen en S2 (protocolos de niveles 3 y 4) en las interfaces de entrada y salida del router R2. Además, indique el contenido de los campos “Protocolo”, dirección origen” y dirección destino” de la cabecera IP. Se establece una conexión de transporte entre T1 y S2. Cada segmento de esta comunicación va encapsulado en un paquete IP cuyas D.O: es S2 y D.D T1 A continuación el servidor S2 aplica el protocolo ESP en modo transporte. El router encapsula este paquete en un nuevo paquete IP con DO: (R1) y DD: R2 y aplica ESP en modo túnel. Entrada de R2 desde la red interna de la oficina: Cab IP[D.O:192.268.11.12; DD: 192.168.10.15; Prot: TCP (6)] -CAb ESP-DatosAut ESP Salida de R2 hacia Internet: CAb IP túnel [D.O: 120.1.2.3¸. 80.25.42.3; Prot ESP (50)]-CAb Esp-Cab IP [D.O:192.268.11.12; DD: 192.168.10.15; Prot: TCP (6)] -CAb ESP-Datos- Aut ESP-Aut ESP

7

C. Fdez. del Val- Curso 2008-2009

Ejercicio 3 Sea una organización que dispone de una Red de Área Local en la que se conectan diversos equipos de la Organización. Uno de los objetivos de la política de seguridad de la organización es permitir una comunicación entre las aplicaciones de dos cualesquiera usuarios de la red de forma confidencial y autenticada. Para ello se propone utilizar el protocolo IPSEC como una solución sencilla por estar integrado en el sistema operativo y, por tanto, en los protocolos de los equipos de esta organización. Además los equipos de la organización disponen de certificados de clave publica emitidos por una entidad considerada fiable por la organización. Se pretende utilizar esta infraestructura integrada con el protocolo IPSEC para la distribución de claves. De acuerdo al escenario propuesto se pide responder a las siguientes cuestiones: 3.1

¿Qué modalidad del protocolo IPSEC sería adecuada al contexto especificado? Razonar la respuesta.

3.2

Describir los contenidos de las unidades de datos que intercambiarían dos equipos cualesquiera de la Red de la organización. Explicar asimismo cómo se implementarían los servicios de confidencialidad y autenticación de acuerdo a la respuesta anterior.

3.3

Describir detalladamente un protocolo de seguridad de tres intercambios como máximo que permita distribuir entre dos equipos la clave de sesión y autenticación necesarias para el protocolo IPSEC. Para ello se indicará claramente el contenido de cada mensaje intercambiado y los mecanismos de seguridad asociados. Para este protocolo se exigen las siguientes condiciones:

8



Se utilizará la infraestructura de certificados de clave pública disponible en los equipos.



Un equipo (llamado A) será el responsable de iniciar el protocolo de seguridad.



El otro equipo (llamado B) generará la clave de sesión y autenticación y se las enviará al equipo A de forma confidencial.



Finalmente el equipo A enviará información para validar las claves enviadas.



Adicionalmente se exige que la entidad A pueda verificar que las claves fueron generadas por el equipo B. y la autenticación mutua de los equipos entre sí.

Solución 3.1 El protocolo IPSEC tiene dos modos de funcionamiento el modo túnel y el modo transporte. El modo túnel debería usarse para garantizar la confidencialidad y la autenticación de datos entre dos redes diferentes. En este caso los paquetes IP originales son encapsulados por un router externo en un nuevo paquete IP que se envía a una red pública protegiendo el paquete IP original con algoritmos de cifrado y autenticación. El paquete IP creado llegará al router externo de la Red destino que realizará la operación inversa. Si estamos en la misma Red de Área Local, como es el caso planteado en el ejercicio, debería usarse el modo transporte. En este caso se protegen los datos enviados cifrando los segmentos TCP o los datagramas UDP y autenticando los datos enviados sin necesidad de construir un nuevo paquete IP, puesto que estamos en la misma red. 3.2 Las unidades de datos intercambiadas incorporarán junto con la cabecera IP original una nueva unidad de datos denominada paquete ESP (Encapsulation Security Payload) que transporta las unidades de datos de nivel de transporte de forma confidencial y autenticadas. El paquete ESP contiene una cabecera, la carga útil y un campo opcional que contiene la autenticación de los datos (AESP: Autenticación ESP). AU T E N T I CA CI Ó N CABE CERA O RIG IN A L IP

CABE CERA ESP

T C P/ U D P

DATOS

FIN ESP

AESP

M O DO TRANSPORTE

CIFRADO

Paquete ESP

La carga útil son las unidades de datos de nivel de transporte cifradas con una clave simétrica previamente acordada entre las entidades. El campo de autenticación es una función Hash que se aplica a la concatenación del paquete ESP y la clave de autenticación previamente acordada entre las entidades

AESP  H (Cautenticacion PESP )

.

3.3 Utilizando el modelo de clave pública la forma de implementar los servicios de seguridad se realiza cifrando con las claves públicas y privadas de las entidades los contenidos a proteger. En concreto, para conseguir distribuir las claves de sesión de forma confidencialidad se deberá cifrar con la clave pública de la otra entidad. Para garantizar que una entidad es la responsable de la generación de uno datos habrá que

9

C. Fdez. del Val- Curso 2008-2009 cifrar con la clave privada de la entidad un resumen (hash) de esos contenidos. Para garantizar la autenticación mutua entre entidades se utiliza el mecanismo de desafíorespuesta, junto con la firma de contenidos. Por consiguiente se propone el siguiente protocolo de 3 intercambios: 1: A -> B: Sol_Claves, CertCPubA, N1 ; 2: B-> A:, CertCPubB, CertCPubA(Csesion||Cautth), CPrB(Hash[Csesion||Cautth]), CPrB(N1+1), N2; 3: A -> B: Csesion (DATOS), Cautth (Hash[DATOS]), CPrR1 (N2+1); En el primer intercambio, la entidad A envía a la entidad B una solicitud de claves de sesión y autenticación, su Certificado de Clave Pública (CertCPubA) y un Identificador de Uso Único generado aleatoriamente (N1) como mecanismo de desafío/respuesta para garantizar la autenticación de los equipos entre sí. En el intercambio 2, la entidad B envía a la entidad A su Certificado de Clave Pública (CertCPubB), las claves solicitadas por A cifradas con su clave publica (CertCPubA(Csesion||Cautth), un resumen (hash) de dichas claves firmado con la clave secreta de B (CPrB(Hash[Csesion||Cautth])), una contestación al desafío del mensaje 1 firmando el Identificador N1 con su clave privada y, finalmente, envía un nuevo Identificador de Uso Único N2. En el mensaje 3, la entidad A valida la clave de sesión y autenticación recibidas por B. Para ello envía una información cifrada y autenticada a B (Csesion (DATOS), Cautth (Hash[DATOS])). Adicionalmente responde al desafío de B firmando el identificador de usó único N2 (CPrR1 (N2+1)) enviado en el mensaje anterior por B.

10...