TCP, UDP y DNS - · PDF fileSe encarga de que los datos se envíen de forma fiable. ......
-
Upload
truongkhanh -
Category
Documents
-
view
216 -
download
0
Transcript of TCP, UDP y DNS - · PDF fileSe encarga de que los datos se envíen de forma fiable. ......
TCP, UDP y DNS
Angélica Flórez Abril, MSc.
Universidad Pontificia BolivarianaBucaramanga, Colombia
Octubre, 2010
Angélica FA- All rights reserved
Modelo OSI Y TCP/IP
Aplicación
Presentación
Sesión
Transporte
Red
Enlace de datos
FísicaCapa 1
Capa 2
Capa 3
Capa 4
Capa 5
Capa 6
Capa 7
Aplicación
Transporte
Internet
Acceso a la Red
FísicaCapa 1
Capa 2
Capa 3
Capa 4
Capa 5
FUNCIONES:
Comunicación lógica: comunicación entre procesos en los hosts.
Encapsulamiento: segmentos
WAN
Internet
InternetInternet
Aplicación
Transporte
Internet
Acceso a la Red
Física
Aplicación
Transporte
Internet
Acceso a la Red
Física
Funciones de la capa de Transporte
Se encarga de que los datos se envíen de forma fiable.
También se denomina capa extremo-a-extremo.
Direccionamiento en punto de servicio Puerto con el cual se encuentra asociado el mensaje que se
envía. Una conexión lógica conecta un par de puertos.
Segmentación y reensamblado Un mensaje se divide en segmentos. Cada segmento tiene un número de secuencia.
Control de conexión Conexión: asociación lógica de carácter temporal entre dos
entidades. TCP: Conexión fiable. UDP: No garantiza la entrega, el orden, ni la protección ante
duplicados.
Capa 1
Capa 4
Capa 2
Capa 5
Capa 3
Aplicación
Transporte
Internet
Acceso a la Red
Física
Encapsulamiento TCP/IP
AplicaciónDatos
Transporte
Internet
Acceso a la red
Física
Creación de los datos a transmitir
Encapsulamiento TCP/IP
AplicaciónDatos
Transporte
Internet
Acceso a la red
Física
DatosTCP
Empaqueta los datos, creando un encabezado TCPpara formar el
segmento.
Segmento
Encapsulamiento TCP/IP
AplicaciónDatos
Transporte
Internet
Acceso a la red
Física
DatosTCP
DatosTCPIP
Segmento Adiciona la dirección de la
capa de red destino, formando
el paquete .
Paquete
Encapsulamiento TCP/IP
AplicaciónDatos
Transporte
Internet
Acceso a la red
Física
DatosTCP
DatosTCPIP
DatosTCPIP TH
Segmento
Paquete Adiciona la dirección MAC
destino, forma la trama (frame).
Trama
Encapsulamiento TCP/IP
AplicaciónDatos
Transporte
Internet
Acceso a la red
Física
DatosTCP
DatosTCPIP
DatosTCPIP TH
Envío de bits
Segmento
Paquete
Trama Transmisión de la trama por el
medio
TCP/UDPTCP/UDP
Procesos Cliente y Servidor
INTERNET
Red Servidor Web
Red del usuario
Proceso Proceso
Socket Socket
API – Application Programming Interface
Sistema Operativo
Adaptado de: Kurose. Computer Networking. A top-down approach. 2008. p.87
TCP – Transmission Control Protocol
• Conexión fiable para transferir los datos entre dos hosts.– Números de Secuencia– ACK
• Conexión Asociación lógica de carácter temporal entre dos entidades.
• Cabecera Segmento TCP contiene el puerto origen y destino.
• Conexión lógica dos puertos.– Open– Close– Send– Receive– Status
TCP Segment
Imagen tomada de: http://www.juniper.net/techpubs/
UDP – User Datagram Protocol
• Orientado a transacciones• No garantiza:
– La entrega– La conservación del orden secuencial– Protección frente a duplicados.
• Ej: DNS – Domain Name System
Imagen tomada de: http://learn-networking.com/featured/how-the-transport-layer-works
UDP Format
Imagen tomada de: http://learn-networking.com/featured/how-the-transport-layer-works
UDP pseudo
header
UDP
header
Protocolos TCP/IP
SMTP TELNET FTP DNS SNMP NFS RPC TFTP
TCP UDP
IPICMP
ARP RARP
ARPANET LAN WAN …
OSPF
Modelo de Referencia OSI
Aplicación
Presentación
Sesión
Transporte
Red
Enlace de datos
FísicaCapa 1
Capa 2
Capa 3
Capa 4
Capa 5
Capa 6
Capa 7 Aplicación
Presentación
Sesión
Transporte
Red
Enlace de datos
Física Capa 1
Capa 2
Capa 3
Capa 4
Capa 5
Capa 6
Capa 7Protocolo
Interfaz
DNS – Domain Name System
RFC: 1034 y 1035
DNS UDP Port: 53 BD distribuida Jerarquía de servidores DNS Protocolo para la consulta en la BD distribuida
Empleado por otras aplicaciones para traducir direcciones de host a direcciones IP.
DNS – Domain Name SystemPROPIEDADES
Administración Distribuida
Rendimiento Consultas resueltas en un tiempo adecuado
Confiabilidad Al ser una pieza clave en la red, debe ser muy
confiable.
Uso Utilización de diversas formas de consulta.
Ejemplo: Nombres de host (URL), inverso (desde una IP), alias, entre otros.
Funcionamiento del DNS (1)
INTERNET
Red del usuarioRed Servidor Web
URL: www.upb.edu.co/bucaramanga
Servidor DNS
200.15.30.21
Caché
Hosts File
Zonas Autorit.
Zonas Autorit.
Funcionamiento del DNS (2)
INTERNET
Red del usuarioRed Servidor Web
Servidor DNS
Dirección host: www.upb.edu.co
DNS Query
200.15.30.21
Caché
Hosts File
Zonas Autorit.
Zonas Autorit.
Funcionamiento del DNS (3)
INTERNET
Red del usuarioRed Servidor Web
Servidor DNS
DNS Reply
200.15.30.21
Caché
Hosts File
Zonas Autorit.
Zonas Autorit.
Consulta la BD
Acceso al Servidor Web (1)
INTERNET
Red del usuarioRed Servidor Web
HTTP Request
Servidor DNS
200.15.30.21
URL: www.upb.edu.co/bucaramanga
IP: 200.15.30.21
Caché
Hosts File
Zonas Autorit.
Zonas Autorit.
Acceso al Servidor Web (2)
INTERNET
Red del usuarioRed Servidor Web
Responde la
solicitud
HTTP Response
Servidor DNS
200.15.30.21
Caché
Hosts File
Zonas Autorit.
Zonas Autorit.
DNS – Domain Name SystemBD JERÁRQUICA
DNS – Domain Name SystemCONCEPTOS
Zonas Cada dominio tiene una zona de DNS.
Autoridad A cada zona le corresponde una región de autoridad.
Se define la administración de la zona.
Respuestas autoritativas.
DNS – Domain Name SystemCONCEPTOS
DNS Primario Servidor Autoritativo de cada zona
DNS Secundario Se considera como contingencia o redundancia
También actúa como servidor autoritativo
Transferencia de Zonas Posibilidad de tener la misma información en varios servidores DNS
Usa el protocolo de transferencia de zonas (AXFR)
DNS – Domain Name SystemREGISTROS
TypeA: Asocia un nombre a una dirección IP
Ej: mail.upb.edu.co,200.15.30.10,A
NS: Identifica el nombre del DNS autoritativo Ej: dns.upb.edu.co,NS
CNAME: Alias que se le asigna a una máquina Ej: mariposa, mail.upb.edu.co, CNAME
MX: Define el alias para el Mail Server Ej: mail.upb.edu.co,MX
PTR: Resolución inversa Ej: 10.30.15.200.in-addr.arpa,mail.upb.edu.co
TTL: Time to Live. Define cuando un recurso puede ser eliminado del caché.
RR (Resource Records): Name, Value, Type, TTL
DNS Recursivo
Imagen tomada de: http://technet.microsoft.com/en-us/library/cc723704.aspx
DNS Message
Imagen tomada de: http://arantxa.ii.uam.es/~rc2lab/pr2008/prac4/index.html
Type and Query Type
Tomado de: TCP/IP Illustrated.
Name Value Description Type Query Type
A 1 IP Address X X
NS 2 Name Server X X
CNAME 5 Cannonical Name X X
HINFO 13 Host Info X X
MX 15 Mail exchange record X X
AXFR 252 Request for zone transfer X
* Or any 255 Request for all records X
DNS – Domain Name SystemATAQUES Y VULNERABILIDADES
o Posibles vectores de ataquesAtaques con amplificación
Aseguramiento de las transferencias de zona
Certificación de autoridad
Caché poisoning
o Vulnerabilidades de la aplicación que implementa el servicio Ej: BIND9
DNS – Domain Name SystemVULNERABILIDADES
Referenciado de: AGESIC. Seguridad en DNS y DNSSEC.
Servidor DNS
Primario
Cliente
Servidor DNS
Secundario
Archivos de zona
CachingForwarding
Actualizaciones dinámicas
Master
Slaves
Resolver
Man in the middle
Caché Poisoning
DNS Amplification
Cambios en datos
secundarios
Spoofingdurante los
AXFR
Archivos de zona corruptos
Spoofing de las actualizaciones
DNS – Domain Name SystemDNS AMPLIFICATION
Servidor DNS
Con recursión
Víctima
CachingForwarding
DNS Amplification
Atacante
Src: IP VíctimaDst: IP DNS
Src: IP DNSDst: IP Víctima
El atacante envía varias peticiones con una dirección IP falsa
El DNS permite recursión El DNS envía la respuesta a la víctima El DNS refleja el ataque Producen DoS de la víctima Solución: Restringir la recursión a una lista de
máquinas confiables. OJO: La recursión no puede ser eliminada, puede
ser controlada.
DNS – Domain Name SystemCACHÉ POISONING
Servidor DNS
con recursión
Víctima
CachingForwarding
DNS Spoofing
Objetivos: DoS o enmascarar una entidad de confianza envenenando los cachés del DNS.
Cuando el DNS no tiene la respuesta consulte en el caché.
El servidor DNS puede pasar la consulta a otro servidor DNS.
Sí el servidor consultado tiene información incorrecta, se almacena ésta en el DNS que realiza la consulta.
Comúnmente conocido como DNS Spoofing. Ejemplo: En julio de 1997, Eugene Kashpureff dirigió el
tráfico hacia InterNIC a AlterNIC (página suplantada). Solución: Validaciones fuertes. OJO: Las aplicaciones de DNS actualizadas hacen el
ataque más difícil, pero no imposible.
Caché erróneo
1
2
3
4
5
Web Server
suplantadoWeb Server
DNS – Domain Name SystemSEGURIDAD EN DNS
o DNSSEC: Domain Name System Security ExtensionsProtege el DNS de inyección de datos falsificados.
Utilización de firmas digitales Valida quién origina la respuesta (autenticidad)
Integridad y autenticidad de los datos que se transfieren en el servicio DNS.
OJO: La información no es cifrada por DNSSEC, luego no provee confidencialidad o alta disponibilidad.
Posible utilización de IPSEC (tiene infraestructura de distribución de claves públicas)
DNS – Domain Name SystemDNSSEC en una Zona
Firma los RRSetsutilizando la clave privada de cada
zona
Publicar las firmas para cada RRSetsen el archivo de la
zona
Publicar la clave pública de la zona en el archivo de
zona
Cadena de Confianza
DNS – Domain Name SystemDNSSEC en el Cliente
Verificar la firma que contiene las respuestas DNS
Cadena de Confianza
DNS – Domain Name SystemSEGURIDAD EN DNS
o RRSets:
Nombre Prop. TTL Clase Tipo RDATA
www.mired.com. 7200 IN A 172.16.2.3
www.mired.com. 7200 IN A 172.17.1.4
www.mired.com. 7200 IN A 172.18.3.5
DNS – Domain Name SystemSEGURIDAD EN DNS
oNuevos RR:DNSKEY: clave pública con la que se firman las
zonas
RRSIG: Hash cifrado del RRSet (con la clave pública de la zona)
NSEC: Respuesta cuando el nombre requerido o el RR no existan en un archivo de zona.
DS: Hash de la clave pública de la zona hija, firmada por la clave privada del padre. (Redes o cadenas de confianza).
DNS – Domain Name SystemSEGURIDAD EN DNS
o Ejemplo DNSKEY:
mired.com. 86400 IN DNSKEY 256 3 5
( AQPSKmynfzW4kyBv015MUG2DeIQ3Cbl+
BBZH4b/0PY1kxkmvHjcZc8nokfzj31GajIQK
Y+5CptLr3buXA10hWqTkF7H6RfoRqXQeog
mMHfpftfMv1LyBUgia7za6ZEzOJBOztyvhjL7
42iU/TpPSEDhm2SNKLijfUppn1UaNvv4w== )
Clave pública
Algoritmo:
RSA/SHA1
Protocolo: 3
(siempre)
Bit clave de
zona: 7
Activado
Referencias
1. Kurose, James. Computer and Networking. 5th Ed. Pearson Education. 2009. 2. Stallings, William. Comunicaciones y Redes de Computadores. 7ª. Edición. Editorial
Prentice Hall. 2004.3. Tanenbaum, Andrew S. Redes de Computadoras. 4ª. Edición. Editorial Prentice Hall. 2004.4. Forouzan, Behrouz A. Transmisión de datos y redes de comunicaciones. 2ª. Edicición.
Editorial MacGrawHill. 2002.5. López, D. DNS Secutiry Extensions. Consultado de
http://www.slidefinder.net/d/dns_security_extensions_dnssec_aplicaciones/7826518.
• R. Arends, R. Austein, M. Larson, D. Massey, S. Rose, “DNS Security Introduction and Requirements”, draft-ietf-dnsext-dnssec-intro-08.
• R. Arends, R. Austein, M. Larson, D. Massey, S. Rose, “Resource Records for the DNS Security Extensions”, draft-ietf-dnsext-dnssec-records-06.
• R. Arends, R. Austein, M. Larson, D. Massey, S. Rose, “Protocol Modifications for the DNS Security Extensions”, draft-ietf-dnsext-dnssec-protocol-04.
• Agesic: Agencia de Gobierno Electrónico y Sociedad de la Información. Seguridad DNS y DNSSEC. Ciclo de charlas 2010.
TCP, UPD Y DNSAngélica Flórez Abril, MSc.
Universidad Pontificia BolivarianaBucaramanga, Colombia
Octubre, 2010
MUCHAS GRACIAS!!!!Angélica FA- All rights reserved