Embed Size (px)
Citation preview
Xarxes Multimèdia
Mòduls 5 i 6
PAC 3Pere Amengual GomilaMaig 2016
2
Xarxes Multimèdia - PAC 3
PRIMERA PART
Definiu els següents conceptes o termes, en un màxim de deu línies per cadascun d’ells:
(1) DNS
Domain Name System és un protocol de la capa d’aplicació que permet traduir adreces IP en en noms de domini alfanumèrics que es poden recordar de forma més senzilla.
Cada vegada que es fa servir un nom de domini, un servei DNS ha de traduir el nom en la corresponent adreça. Així, per exemple, el nom de domini www.exemple.com es podria traduir per 209.85.229.94.
El sistema de DNS és, de fet, una xarxa pròpia. Si un dels servidors no sap com traduir un nom de domini en concret, ho demana a un altre, i així successivament fins que es retorna l’adreça IP correcta.
(2) HTML 5
HTML5 és una especificació W3C que defineix la cinquena major revisió del llenguatge de marcatge d’hypertext HTML. Un dels majors canvis en HTML5 és la manera en que HTML adreça les aplicacions web fent servir models de processat que faciliten la interoperativitat, tant extenent, millorant i racionalitzant les opcions de marcatge disponibles com marcatge i APIs per aplicacions web complexes.
Altres noves característiques en HTML5 són, per exemple, la inclusió de funcions específiques per gràfics incrustats, àudio, vídeo i documents
interactius. Nous elements també permeten definir seccions de les pàgines web com <article>, o <nav> i altres
(3) certificat digital
Els certificats digitals són un mitjà pel qual els consumidors i les empreses poden fer servir les aplicacions de seguretat de la Infraestructura de Clau Pública (PKI)., que comprén la tecnologia que permet el comerç i comunicacions segures.
Un certificat digital autentifica els credencials web de l’emisor i permet al destinatari d’un missatge encriptat conéixer si les dades provenen d’una font de confiança. Els certificat sdigitals són emesos per una Autoritat de Certificació (CA). Es fan servir en signatures i encriptació de missatges. També es coneixen com certificats de clau pública o certificats d’identitat.
(4) IPsec
IPSEC és un conjunt estàndard de protocols que proporcionen autentificació de dades, integritat i confidencialitat en el procés de transferència de dades entre dos punts a través de xarxes IP.
IPSEC proporciona seguretat en les dades a nivell xarxa, és a dir, de paquet IP. Un paquet és un conjunt de dades que és organitzat per la seva transmissió a través d’una xarxa. Un paquet inclou una capçalera (l’origen de la qual és autenticat mitjançant el protocol AH) i unes dades (de les quals el protocol ESP n’assegura la confidencialitat i la autentificació).
3
Xarxes Multimèdia - PAC 3
SEGONA PART
Respondre a les següents qüestions, argumentant les respostes:
1. Es vol emprar una xarxa privada virtual (VPN). Concreteu com l’implementarieu i els protocols que s’utilitzarien.
Per implementar la nostra xarxa virtual VPN farem servir un servidor VPN basat en un NAS de Synology executant el sistema operatiu DSM 6.0 i el paquet VPN Server. Aquesta solució ens permet disposar d’un equip en funcionament les 24 hores amb un cost i consum energètic relativament baixos, alhora que també ens proporciona moltíssima funcionalitat addicional com servidor de fitxers en núvol privat, copies de seguretat, servidor web, serveis multimèdia, gravador de càmeres de vigilància IP, i un llarguíssim etcétera.
En primer lloc, cal instalar el paquet VPN Server que permetrà als usuaris accedir de manera remota i segura als seus recursos compartits dins la xarxa d’àrea local on hi ha el servidor.
A continuació haurem de configurar el tallafocs del router per obrir els ports de xarxa que farà servir l’aplicació. En concret, l’aplicació ens requereix l’apertura dels ports següents: tcp-1723 pel protocol PPTP, udp-1194 per OpenVPN, udp-1701, 4500 i 500 per L2TP/IPsec. Accedint al programa de gestió del router obrirem aquests ports però en el cas concret del router que volem configurar ho hem de fer mitjançant el portal Alejandra de Movistar.
Ara hem d’activar i configurar els tres protocols que suporta el servidor. En concret aquests són PPTP, OpenVPN i L2TP/IPsec.
Les captures de pantalla següents ens mostren les opcions de configuració entre les que destaquen el rang d’adreces de la xarxa privada (un rang diferent per cadascun dels protocols, el nombre
El servidor ens avisa de que els ports necessaris no estan encara oberts
4
Xarxes Multimèdia - PAC 3
màxim d’usuaris i, en el cas de L2TP/IPsec, els sistema d’autentificació escollit (MS-CHAP v2) i la clau d’autenticació IKE.
Pel que fa al client, cal configurar una nova connexió de xarxa específica per VPN que, en el cas de Windows 10 es realitza mitjançant aquesta pantalla del Tauler de control:
configuració del Protocol PPTP
configuració del Protocol OpenVPN
configuració del Protocol L2TP/IPsec
confirmació de l’estat del servidor VPN configuració de la connexió VPN a Windows 10
5
Xarxes Multimèdia - PAC 3
2. Citeu tres aplicacions multimèdia d’àudio i vídeo en temps real interactiu utilitzades en Internet. Quines tècniques utilitzen en Internet per satisfer els seus requeriments?
Les aplicacions multimèdia d’àudio i vídeo en temps real interactiu permeten als usuaris d’interactuar en temps real de forma síncrona. Entre aquestes destaquen
a) L’aplicació multidispositiu de videoconferència Skype1, que permet chat de text, àudio i video-conferència, conferència múltiple i enviament de fitxers, entre altres funcionalitats. Aquesta aplicació fa servir un protocol propietari basat en l’arquitectura p2p, les especificacions del qual són de codi tancat. La xarxa fa servir tres tipus d’entitats: supernodes, nodes ordinaris i el servidor de login. El senyal s’encripta fent servir RC4 i les dades de veu s’encripten amb AES.
b) Viber2 és una aplicació de comunicacions per mòbils i escriptori que permet enviar missatges, VOIP, text i realitzar video-trucades. Encara que fa servir un protocol propietari, alguns investigadors han fet servir tècniques d’enginyeria inversa per descobrir com l’aplicació fa servir UPD per les dades de veu i un protocol basat en TCP per connectar al servidor i intercanviar els missatges. Per donar d’alta nous comptes el servidor de Viber proporciona un certificat SSL que es fa servir per comunicar amb un servidor web de la companyia sobre HTTPS.
c) La solució Source-Connect Pro3, que permet als músics col·laborar amb entre ells des de qualsevol part del món fent servir només una connexió a Internet i un ordinador. Permet encriptació de dades,
gravació multipista, chat de vídeo, protecció dels streams d’àudio i suport MIDI. Es tracta d’una aplicació peer-to-peer sobre el protocol UDP que, addicionalment, també permet connexions a un servidor ftp per la transmissió de fitxers grans. Una característica única d’aquest sistema és que l’usuari pot configurar un mode VPN per una millor connectivitat i més seguretat i privacitat.
3. Què és SSL (Secure Sockets Layer, o capa de connexions segures)? Descriviu breument el seu funcionament, utilitzant algun diagrama o esquema que ho mostri. Detalleu una de les seves principals aplicacions.
El protocol SSL és un protocol desenvolupat per Netscape que proporciona una comunicació segura entre client i servidor en el nivel de transport i és un dels sistemes més utilitzats pel que fa a la seguretat web. S’intercala entre la capa d’aplicació (HTTP, SMTP, FTP...) i la capa de transport (TCP) de forma independent a l’aplicació que el fa servir. Xifrat i autenticació són les bases del seu funcionament.
SSL utilitza un sistema criptogràfic que fa servir dues claus per encriptar les dades: una pública coneguda per tothom i una privada o secreta que només coneix el receptor del missatge.
Quan un navegador web connecta a un lloc web fent servir SSL, el navegador primer demana al servidor que s’identifiqui, i aquest correspon enviant-li una copia del certificat SSL. El navegador comprova si el certificat és de confiança i, en cas afirmatiu, manda un
6
Xarxes Multimèdia - PAC 3
missatge al servidor. Aquest llavors respon amb un reconeixement signat digitalment per iniciar una sessió SSL encriptada. Això permet que les dades encriptades es puguin compartir entre el navegador i el servidor.
Una de les aplicacions més exteses d’SSL és el seu ús conjunt amb HTTP per assegurar la seguretat de les comunicacions web i així fer possible que els usuaris puguin enviar les seves dades personals per un navegador web. Aquesta seguretat en l’enviament de dades fa possible, entre altres aplicacions, el comerç electrònic segur, però també el fan servir per defecte serveis com el cercador google o la xarxa social facebook.
4. Detalleu una de les aplicacions de les funcions hash en la que es pugui veure el seu funcionament.
Una de les possibles aplicacions de les funcions hash és la de comprovar la integritat dels fitxers. A vegades és possible que en el procés de descàrrega de dades un fitxer important, com un instal·lador d’un programa o un sistema operatiu es baixin amb errors o que una tercera part intercepti la transmissió o faci servir tècniques d’enginyeria social per fer creure que un fitxer modificat o infectat és, en realitat, un altre.
Per aquest motiu, qui posa a disposició el fitxer autèntic també proporciona un hash que, quan es compara amb el hash de l’arxiu descarregat, ens indica si es tracta o no del mateix fitxer.
Un manera senzilla de generar el hash d’un fitxer és fer servir serveis com onlinemd5.com on senzillament pujant el fitxer i seleccionant
etapes de l’establiment d’una connexió SSL
pantalla de l’aplicació de hash en línia onlinemd5.com
7
Xarxes Multimèdia - PAC 3
el tipus de checksum (md5, sha1 o sha-256) s’ens proporciona un checksum que podrem fer servir.
Com exemple per comprovar el funcionament, es pot pujar el pdf del mòdul 6 dels materials de l’assignatura i comprovar-lo contra el hash següent: 649C1C2977A691FB0CC738AA5EAD263B. En cas afirmatiu, podrem afirmar que el fitxer dels materials del que disposem és el mateix que he pujat i no ha estat modificat. La comprovació, encara que ens pensem tenir el mateix fitxer, donarà negativa ja que he modificat el pdf amb subratllats i annotacions fent servir el progrma Adobe Acrobat Pro DC.
5. Quin és el sistema de xifrat més segur per a xarxes sense fils? Detalleu breument el seu funcionament
Encara que el sistema WPA2-Personal és prou segur per una xarxa a casa o a una petita empresa, la manera més segura de configurar una xarxa Wi-Fi és amb WPA2-Enterprise, el que implica configurar un servidor d’autentificació RADIUS que gestioni el procés d’autentificació.
L’esmentat procés d’autentificació es basa en 802.1X, que defineix la encapsulació del EAP (protocol Extensible d’Autenticació) sobre IEE 802, el que es coneix com “EAP sobre LAN” o EAPOL.
L’autentificació implica tres elements:
- Client/suplicant: un dispositiu client que participa en una autentificació 802.1x ha de disposar d’un element de programari anomenat suplicant instalat al seu stack de xarxa. El suplicant participa en la negociació inicial de la transacció EAP proporcionant credencials al autentificador
- Autentificador: dispositiu de xarxa, com un conmutador o un punt d’accés
- Servidor d’autentificació: habitualment un host executant un programari que suporta els protocols RADIUS i EAP.
El procés consta de les següents etapes:
1. Inicialització: quan es detecta un nou suplicant, el port en l’autentificador és activat i configurat en estat “no autoritzat”. Encara no es permet tràfic TCP ni UDP.
2. Iniciació: Per iniciar l’autentificació el servidor d’autentificació manda missatges EAP-Request que el suplicant respon amb un missatge EAP-Response quan els escolta. L’autentificador encapsula aquest missatge i el manda al servidor RADIUS.
3. Negociació: EL servidor RADIUS respon al autentificador, qui
esquema de sistema de xifrat WPA2-Enterprise
8
Xarxes Multimèdia - PAC 3
encapsula la petició d’EAP i la manda al suplicant.
4. Autentificació: si el servidor d’autentificació i el suplicant acorden el mètode EAP, comencen a mandar-se EAP-Requests i EAP-Responses fins que el servidor d’autentificació finalment accepta o rebutja el suplicant. Si l’autentificació té èxit, l’autentificador configura el port amb status autoritzat i es permet el tràfic normal.
TERCERA PART
Presenteu una aplicació concreta que permeti evidenciar alguns conceptes detallats en el tema 5 sobre el nivell d’aplicació. Presenteu breument l’aplicació (quina és la seva funcionalitat, en quin sistema operatiu es pot instal·lar... Haureu de justificar la vostra tria relacionant-la amb algun o alguns apartats dels materials de l’assignatura.
diagrama de la seqüència de la progressió 802.1X
9
Xarxes Multimèdia - PAC 3
10
Xarxes Multimèdia - PAC 3
11
Xarxes Multimèdia - PAC 3
Bibliografia i fonts consultades
Referències bibliogràfiques i en línia
(1) https://www.skype.com/es/
(2) Appleman M., Bosma J., Veerman G. Viber Communication Security. [en linia] disponeble a <http://www.academia.edu/5717224/Viber_Com-munication_Security_unscramble_the_scrambled_Contents>(3) http://source-elements.com/documents/Source-Connect%20Pro%203.1%20User%20Guide.pdf
Vangie Beal. DNS - Domain Name System. [en línia] disponible a <http://www.webopedia.com/TERM/D/DNS.html>
Webopedia. HTML5. [en línia] disponible a <http://www.webopedia.com/TERM/H/HTML5.html>
Techopedia. Digital Certificate. [en línia] disponible a <https://www.techopedia.com/definition/1775/digital-certificate>
Wikipedia contributors. Skype protocol. Wikipedia, The Free Encyclopedia. January 18, 2016, 00:58 UTC. Available at: https://en.wikipedia.or-g/w/index.php?title=Skype_protocol&oldid=700356697. Accessed May 7, 2016.
OVH. ¿Cómo funciona el certificado SSL OVH? [en línia] disponible a <https://www.ovh.es/ssl/funcionamiento-ssl.xml>
Wikipedia contributors. IEEE 802.1X. Wikipedia, The Free Encyclopedia. April 21, 2016, 18:37 UTC. Available at: https://en.wikipedia.org/w/index.php?title=IEEE_802.1X&oldid=716428827. Accessed May 7, 2016.
http://www.cnet.com/news/samsung-tvs-will-let-you-play-playstation-games-without-a-playstation-in-2015/
Imatges
Fotografia de portada: ADSLzone.net. vpnfy-1. [en línia] disponible a http://www.adslzone.net/app/uploads/2016/02/vpnify-1.jpg>La resta d’imatges (cc0) Pere Amengual Gomila
WPA2-Enterprise. [en línia] Disponible a <http://www.tp-link.us/FAQ-500.html>
Feix Bauer. Diagrama 802.1x. [en línia] Disponible a <https://en.wikipedia.org/wiki/IEEE_802.1X#/media/File:802-1X.png>
12
Xarxes Multimèdia - PAC 3
![Fent i Desfent [2]](https://img.dokumen.tips/doc/110x75/568c54c51a28ab4916c0212e/fent-i-desfent-2.jpg)
