Upload
alfamagal
View
214
Download
0
Embed Size (px)
Citation preview
7/31/2019 08_capaTransporteUDP
1/65
Universisdad de Los Andes
Facultad de IngenieraEscuela de Sistemas
Capa de Transporte
Mrida - VenezuelaProf. Gilberto Daz
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
2/65
Capa de Transporte
La capa de transporte no es una capa ms, es elcorazn de todos los protocolos de redes. Aqu selleva a cabo el control de la transmisin y lagestin de errores
Objetivo: El objetivo principal de esta capa esproporcionar servicios eficientes y confiables asus usuarios (generalemente los procesos de lacapa de aplicacin)
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
3/65
Capa de Transporte
La capa de transporte es generalmenteimplantada en el kernel de S.O, como un procesoo como una biblioteca de funciones.
Al software que realiza las funciones de estacapa se le conoce como Entidad de Transporte
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
4/65
Capa de Transporte
Esta capa hace ms confiable la transmisin deinformacin encargndose de la recuperacin deeventos como paquetes perdidos o paquetes malformados
Gracias a la capa de transporte losprogramadores de aplicaciones pueden escribircdigo segn un conjunto estndar de primitivasy hacer que esas aplicaciones funcionen en unaamplia variedad de redes
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
5/65
Capa de Transporte
De la misma forma como nosotros podemosencontrar dos tipos de servicios de red, tambintenemos dos tipos de servicios de transporte:
Orientado a conexin
No orientado a conexin
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
6/65
Capa de Transporte
Para proporcionar el servicio de transporte sedebe contar con ese conjunto de primitivas lascuales conforman la interfaz de la capa. Estainterfaz soporta los dos tipos de servicios
Orientado a conexin: (streams) donde seprovee un servicio confiable
No orientado a conexin: (datagram) aqui no
hay gestin de errores
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
7/65
Capa de Transporte
Berkeley SocketsEs la combianacin de una direccin IP y unpuerto. Fueron desarrollados en la Universidad deBerkeley en 1983 y son el mecanismo ms
ampliamente utilizado para implantaraplicaciones de red
socket crea un nuevo punto de comunicacinbind: conecta el socket a la direccin locallisten: anuncia que acepta conexionesaccept: bloquea el llamador hasta que un intento de
conexin arribaconnect: intenta activamente establecer una conexinsend: enva datos a travs de la conexinreceive: recibe datos a travs de la conexinclose: cierra la conexin
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
8/65
Capa de Transporte
Elementos Involucrados
DireccionamientoEstablecimiento de la conexin
Cerrando la conexinControl del Flujo y buffersMultiplexacinRecuperacin de fallas
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
9/65
Capa de Transporte
En Internet se utilizan dos protocolos principalesen la capa de transporte
User Datagram Protocol (UDP): Dedicado a
servicios no orientados a conexin. Esbsicamente el mismo protocolo IP slo queen la cabecera tiene informacin adicional
Transmission Control Protocol (TCP):
Dedicado a servicios orientados a conexiny proporciona mecanismos para establecerconexiones confiables
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
10/65
Capa de Transporte
User Datagram Protocol (UDP)
UDP proporciona a las aplicaciones una formade enviar datagramas IP encapsulados sin la
necesidad de establecer primero una conexin.
Los PDUs utilizados en UDP se denominansegmentos cuya cabecera es de 8 bytes. El
payload es el contenido del paquete
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
SourcePort
DestPort
UDPLength
Checksum
7/31/2019 08_capaTransporteUDP
11/65
Capa de Transporte
User Datagram Protocol (UDP)
El puerto de origen (Source port) es necesariocuando se necesita enviar una respuesta al nodo
de origen
El campo de longitud incluye los 8 bytes de lacabecera
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
SourcePort
DestPort
UDPLength
Checksum
7/31/2019 08_capaTransporteUDP
12/65
Capa de Transporte
User Datagram Protocol (UDP)
UDP no realiza tareas de:
Control de flujoControl de erroresRetransmisin de paquetes mal formados operdidos
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
13/65
Capa de Transporte
User Datagram Protocol (UDP)
Sin embargo, UDP es til en situaciones dondeun cliente hace una solicitud corta y el servidorda una respuesta igualmente corta.
Si el paquete se pierde simplemente se hace unreintento al transcurrir el timeout
Esto es mucho ms sencillo y no hay necesidadde mensajes adicionales para el establecimientode la conexin.
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
14/65
Capa de Transporte
Remote Procedure Call (RPC)
Este es un protocolo que utiliza UDP como base
En cierto sentido enviar un mensaje a unamquina remota y recibir una respuesta es comohacer un llamado a un procedimiento
En ambos casos se comienza con algunos
parmetros y se finaliza con algunos resultados
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
15/65
Capa de Transporte
Remote Procedure Call (RPC)
Esto hace que las aplicaciones de red seanmucho ms sencillas y fciles de entender.
Esta tcnica fue sugerida por Birell y Nelson en1984 permitiendo a los programas hacer llamadosa procedimientos localizados en mquinasremotas.
El procedimiento que hace el llamado esdenominado cliente y el procedimiento que esllamado es denominado servidor
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
16/65
Capa de Transporte
Remote Procedure Call (RPC)
Generalmente toda la complejidad se escondeutilizando bibliotecas con interfaces tanto para elservidor como para el cliente
Client stub
Server stub
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
17/65
Capa de Transporte
Remote Procedure Call (RPC)
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Client Clientstub
Operating System
Client CPU
Server Serverstub
Operating System
Server CPU
7/31/2019 08_capaTransporteUDP
18/65
Domain Name System (DNS)
Es uno de los pilares fundamentales de Internet. Surgicomo necesidad de extender el direccionamiento delcorreo electrnico al crecer ARPANET
DN
S
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
19/65
Domain Name System (DNS)
Es responsable de traducir nombres de dominios adirecciones IP.
Nombre de dominio Direccin IP
www.ula.ve 192.168.3.1
DN
S
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
20/65
Domain Name System (DNS)
Es una base de datos jerrquica distribuida a travsde Internet.Los datos se almacenan en una estructura de rbol.Cada servidor de dominio almacena una porcin de la
base de datos.
.
org ve
org ulaabsf
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
21/65
Domain Name System (DNS)
Cada porcin corresponde a la informacin de lasmquinas pertenecientes a un dominio determinado.
ve
org ulamail.ula.vewww.ula.ve
....
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
22/65
Pero...
Qu es un dominio?
Como acepcin inicial diremos que un dominio es unaforma de ver al mundo como una jerarqua. Laestructura ms usual es la de rbol.
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
23/65
Qu es un dominio?
Los dominios han sido utilizados por aos por sistemascomo el servicio postal y el servicio telefnico.
Para comprender mejor este concepto haremos unaresea sobre estos dos sistemas.
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
24/65
El servicio postal ha dividido al mundo en:
PaisesEstadosCiudades, pueblos y caserosCalles y avenidasEdificios, casas
Entonces nosotros tenemos direcciones de la siguienteforma:
Edif. General Masini, Calle 5 entre avs 18 y 19 Mridaedo Mrida - Venezuela
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
25/65
El servicio telefnico utiliza nmeros pero los agrupa encdigos que representan a
PaisesEstados (operadoras)Identificacin del individuoExtensin
De esta manera nosotros tenemos que para llamar a laUniversidad de Los Andes
24011110274 2401111119 274 2401111
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
26/65
El servicio postal la parte ms especfica viene alprincipio (ms a la izquierda)
Mientras que en el servicio telefnico la parte msespecfica va al final (ms a la derecha)
El nmero telefnico a marcar depende de donde
donde nos encontremos. Si estamos fuera del pais(119 274 2401111) o si es una llamada local(2401111). Esto es direcciones relativas.
En el caso del servicio postal la direccin completapuede ser utilizada sin importar la ubicacin del emisor(local o remota)
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
27/65
ARPANET evolucion utilizando un sistema dedirecciones absolutas:
usuario@mquina funcionaba desde cualquierubicacin
En el caso de UUCP se utilizaban direcciones
relativas:mquina!usuario funcionaba desde cualquierubicacin con un enlace directo a mquina y setena que enrutar el correo a travs de la red
hasta encontrar la mquina
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
28/65
El formato usuario@mquina fue mucho msaceptado, sobre todo en aquellos sitios donde se corria
algn tipo de software para correo.La estrategia utilizada era:
Buscar la mquina en una tabla y luego enviar elmensaje.
El problema se hizo inmanejable cuando se tenianmuchas mquinas, pues es muy complicado manteneruna tabla con un gran nmero de registros.
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
29/65
Qu es un dominio?
Luego de la revisin anterior podemos decir:
Un dominio es un sub rbol del rbol completo de DNSy representa todas las mquinas y nombres debajo del.
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
30/65
DNS trabaja bajo el principio de delegacin
Debido a que los datos se encuentran distribuidos,cuando un servidor recibe una solicitud para resolver elnombre de un host que se encuentra fuera de sudominio, es probable que ste no tenga la informacin
ve
ula
Resolver
bind9.sourceforge.net A
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
31/65
DNS trabaja bajo el principio de delegacin
Para atender la solicitud lo nico que necesita saber elservidor es como delegarle la solicitud a los servidoresdel dominio raiz (punto)
bind9.sourceforge.net A
.
ve
ula
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
32/65
DNS trabaja bajo el principio de delegacin
El servidor del dominio raiz responde diceindo que lepregunte al servidor del dominio .net
askes server@net
.
ve
ula
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
33/65
DNS trabaja bajo el principio de delegacin
El servidor local entonces le pregunta al servidor deldominio net
.
netbind9.sourceforge.net A
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
34/65
DNS trabaja bajo el principio de delegacin
ste a su vez responde que le pregunte al servidor deldominio sourceforge.net
.
netaskes [email protected]
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
35/65
DNS trabaja bajo el principio de delegacin
El servidor local le pregunta al servidor del dominiosourceforge.net
net
sourceforgebind9.sourceforge.net A
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
36/65
DNS trabaja bajo el principio de delegacin
El servidor del dominio sourceforge.net respondefinalmente con la direccin solicitada
net
sourceforge69.7.8.101
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
37/65
DNS trabaja bajo el principio de delegacin
El servidor local le responde al cliente la solicitud yalmacena la direccin en cuestin en el cache pararesponder a futuras solicitudes
ve
ula
Resolver
69.7.8.101
cache
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
38/65
DNS fue introducido en 1984
Desde sus inicios el desarrollo de DNS se llev a cabosin considerar la seguridad pues el tamao de la red, eltipo de usuarios, y la utilizacin de recursos nopropiciaban incidentes de seguridad.
A medida que Internet creci y ms usuarios seconectaron aparecieron amenazas en los diferenctesservicios y se hizo necesario considerar la seguridadde los mismos.
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
39/65
Vulnerabilidades en DNS
DNS utiliza el protocolo UDP el cual acarrea mltiplesvulnerabilidades.
UDP no tiene mecanismos para verificar el origen decada paquete. Esto lo hace susceptible a spoofing y
ataques de origen
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
40/65
Vulnerabilidades en DNS
Muchas de ellas son de ndole general, como lasmencionadas anteriormente, pero hay unas cuantasque son intrnsecas al protocolo DNS como tal.
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
41/65
Vulnerabilidades en DNS
Los cuatro problemas principales que podemosencontrar en DNS son:
cache spoofing
traffic diversion
distributed denial-of-service attacks (DDoS)
buffer overruns.
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
42/65
Ataque de Negacin deServicio Distribuido (DDoS)
utilizando el DNS
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Ataque de Negacin de Servicio Distribuido usando el
7/31/2019 08_capaTransporteUDP
43/65
DNS
Ingredientes
AtacanteVctimaServidores de DNS con recursinactivada
SRC:VICTIMA
DST:DNS-R
SRC:
DNS-R
DST:
VICTIMA
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Ataque de Negacin de Servicio Distribuido usando el
7/31/2019 08_capaTransporteUDP
44/65
DNS
SRC:VICTIMA
DST:DNS-R
SRC:DNS-R
DST:VICTIMA
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Ataque de Negacin de Servicio Distribuido usando el
7/31/2019 08_capaTransporteUDP
45/65
DNS
SRC:VICTIMA
DST:DNS-R
SRC:DNS-R
DST:VICTIMA
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Ataque de Negacin de Servicio Distribuido usando elDNS
7/31/2019 08_capaTransporteUDP
46/65
DNS
SRC:VICTIMA
DST:DNS-R
SRC:
DNS-R
DST:
VICTIMA
www.datos.com.ve IN TXT ?
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXX
512 Bytes (en UDP) o ms (con TCP)
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Ataque de Negacin de Servicio Distribuido usando elDNS
http://www.datos.com.ve/http://www.datos.com.ve/7/31/2019 08_capaTransporteUDP
47/65
DNS(Soluciones)
Contribuir NO teniendo servidores de DNS con recursinabierta al pblico
En ISPs Universidades En servidores de prueba, laboratorios, etc.
Validar los orgenes a nivel de enrutadores: (ej: cisco)
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
7/31/2019 08_capaTransporteUDP
48/65
Ataque de Cumpleaos
(envenenamiento de cache)
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Ataque de Cumpleaos(En enenamiento de Cache)
7/31/2019 08_capaTransporteUDP
49/65
(Envenenamiento de Cache)
Cual es la probabilidad que en un grupo de 23personas, 2 o mas tengan la misma fecha denacimiento?
Probabilidad es mayor a !!!
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Ataque de Cumpleaos(Envenenamiento de Cache)
7/31/2019 08_capaTransporteUDP
50/65
(Envenenamiento de Cache)
www.mibanco.com.ve
ROOT-SERVERS
Servidores del .VE
Servidores de:mibanco.com.ve
SRC: SRSPT: 33333
DST: SDPT:53
(src: 53 dst:33333)
(src: 53 dst:33333)
(src: 53 dst:33333)
(src: 53 dst:41234)
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Ataque de Cumpleaos(Envenenamiento de Cache)
7/31/2019 08_capaTransporteUDP
51/65
(Envenenamiento de Cache)
SRC:Spoofed
DST:VICTIMA
VICTIMA:DNS con Recursinactivado
mibanco.com.ve
www.mibanco.com.ve A?
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Ataque de Cumpleaos(Envenenamiento de Cache)
http://www.mibanco.com.ve/http://www.mibanco.com.ve/7/31/2019 08_capaTransporteUDP
52/65
(Envenenamiento de Cache)
SRC:Spoofed
DST:VICTIMA
VICTIMA:DNS con Recursinactivado
mibanco.com.ve
www.mibanco.com.ve A?
DDoS
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Ataque de Cumpleaos(Envenenamiento de Cache)
http://www.mibanco.com.ve/http://www.mibanco.com.ve/7/31/2019 08_capaTransporteUDP
53/65
(Envenenamiento de Cache)
SRC:Spoofed
DST:VICTIMA
VICTIMA:DNS con Recursinactivado
mibanco.com.ve
www.mibanco.com.ve A?
DDoS
SRC:mibanco..
DST:VICTIMA
QryID: 0-65536)SPT: Conocido
DPT: ConocidoA: 200.1.2.3QryID: RAND()
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Ataque de Cumpleaos(Envenenamiento de Cache)
http://www.mibanco.com.ve/http://www.mibanco.com.ve/7/31/2019 08_capaTransporteUDP
54/65
(Envenenamiento de Cache)
Probabilidad de xito de 100% con alrededorde 700 paquetes
Bsicamente es una carrera entre el
servidor autoritativo y el atacante, donde elatacante ya tiene la ventaja
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Ataque de Cumpleaos(Envenenamiento de Cache)
7/31/2019 08_capaTransporteUDP
55/65
(Envenenamiento de Cache)
Para minimizar la probabilidad deenvenenamiento:
Actualizar a BIND9
Utilizar servidores de DNS que generenpuertos origen aleatoriosMejorar el generador de nmeros aleatorios(/dev/random, algn dispositivo externo,etc.)
Las mismas previsiones del ataque DDoS
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
DNSSEC
7/31/2019 08_capaTransporteUDP
56/65
DNSSEC
Las extensiones de seguridad de DNS solucionan losproblemas relacionados con:
Integridad de los datos
Source spoofing
No! protegen contra
distributed denial-of-service attacks (DDoS)
buffer overruns.
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
DNSSEC
7/31/2019 08_capaTransporteUDP
57/65
DNSSEC
Esta extensin utiliza tecnologa ya conocida (PKI) parafuncionar y es totalmente transparente para losusuarios, es decir, ellos no necesitan realizar ningunaaccin para beneficiarse con DNSSEC.
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
DNSSEC
7/31/2019 08_capaTransporteUDP
58/65
DNSSEC
Esta extensin utiliza tecnologa ya conocida (PKI)para funcionar
Es totalmente transparente para los usuarios, esdecir, ellos no necesitan realizar ninguna accin para
beneficiarse con DNSSEC.
Esta disponible slo a partir de Bind9. Actualice!
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
DNSSEC
7/31/2019 08_capaTransporteUDP
59/65
El objetivo principal de esta extensin es garantizar laautenticidad e integridad de los datos
Esto se logra utilizando criptografa de claveasimtrica y simtrica
Puede utilizar tanto RSA como DSA
Se debe utilizar en conjunto con la restricciones paratransferencias de zonas
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Configuracin DNSSEC
7/31/2019 08_capaTransporteUDP
60/65
g
Lo primero que debemos hacer es restringirlatransferencias de zonas.
El comportamiento predefinido (no es por defectoporque no esta daado) de DNS es aceptar desde
cualquier mquina una lista completa de sus registros
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Configuracin DNSSEC
7/31/2019 08_capaTransporteUDP
61/65
g
options {allow-transfer { 192.168.4.154; };
};
O de una forma ms especfica
type master;zone "ejemplo.com" {
file "db.ejemplo.com";allow-transfer { 192.168.4.154; };
};
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Configuracin DNSSEC
7/31/2019 08_capaTransporteUDP
62/65
g
Para asegurar mucho ms nuestro servidorrestringimos tambin las actualizaciones
zone "ejemplo.com" {type master;
file "db.ejemplo.com";update-policy {grant allowed-www-updater self
www.ejemplo.com A;};
};
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Configuracin DNSSEC
7/31/2019 08_capaTransporteUDP
63/65
Finalmente configuramos TSIG para asegurar laautenticidad de la fuente de los datos
En el Master
key tsig-signing. {algorithm hmac-md5;secret "mZiMNOUYQPMNwsDzrX2ENw==";
};zone "ejemplo.com" {
type master;file "db.ejeplo.com";allow-transfer { key tsig-signing; };
};Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Configuracin DNSSEC
7/31/2019 08_capaTransporteUDP
64/65
En el Slavekey tsig-signing. {
algorithm hmac-md5;secret "mZiMNOUYQPMNwsDzrX2ENw==";
};
server 192.168.4.47 {transfer-format many-answers;keys { tsig-signing.; };
};zone "ejemplo.com" {
type slave;file "bak.ejemplo.com";allow-transfer { none; };
};Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Finalmente para proteger el servidor contra cache-
7/31/2019 08_capaTransporteUDP
65/65
poisoning
Evitamos la recursin
options {recursion no;
};
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz