Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Capa Transport D
Capa Transport D
Facultad de Ingeniera
Escuela de Sistemas
Capa de Transporte
Mrida - Venezuela
Prof. Gilberto Daz
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Capa de Transporte
La capa de transporte no es una capa ms, es el
corazn de todos los protocolos de redes. Aqu se
lleva a cabo el control de la transmisin y la
gestin de errores
Objetivo: El objetivo principal de esta capa es
proporcionar servicios eficientes y confiables a
sus usuarios (generalemente los procesos de la
capa de aplicacin)
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Capa de Transporte
La capa de transporte es generalmente
implantada en el kernel de S.O, como un proceso
o como una biblioteca de funciones.
Al software que realiza las funciones de esta
capa se le conoce como Entidad de Transporte
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Capa de Transporte
Esta capa hace ms confiable la transmisin de
informacin encargndose de la recuperacin de
eventos como paquetes perdidos o paquetes mal
formados
Gracias a la capa de transporte los
programadores de aplicaciones pueden escribir
cdigo segn un conjunto estndar de primitivas
y hacer que esas aplicaciones funcionen en una
amplia variedad de redes
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Capa de Transporte
De la misma forma como nosotros podemos
encontrar dos tipos de servicios de red, tambin
tenemos dos tipos de servicios de transporte:
Orientado a conexin
No orientado a conexin
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Capa de Transporte
Para proporcionar el servicio de transporte se
debe contar con ese conjunto de primitivas las
cuales conforman la interfaz de la capa. Esta
interfaz soporta los dos tipos de servicios
Orientado a conexin: (streams) donde se
provee un servicio confiable
No orientado a conexin: (datagram) aqui no
hay gestin de errores
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Capa de Transporte
Berkeley Sockets
Es la combianacin de una direccin IP y un
puerto. Fueron desarrollados en la Universidad de
Berkeley en 1983 y son el mecanismo ms
ampliamente utilizado para implantar
aplicaciones de red
socket
bind:
listen:
accept:
Capa de Transporte
Elementos Involucrados
Direccionamiento
Establecimiento de la conexin
Cerrando la conexin
Control del Flujo y buffers
Multiplexacin
Recuperacin de fallas
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Capa de Transporte
En Internet se utilizan dos protocolos principales
en la capa de transporte
User Datagram Protocol (UDP): Dedicado a
servicios no orientados a conexin. Es
bsicamente el mismo protocolo IP slo que
en la cabecera tiene informacin adicional
Transmission Control Protocol (TCP):
Dedicado a servicios orientados a conexin
y proporciona mecanismos para establecer
conexiones confiables
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Capa de Transporte
User Datagram Protocol (UDP)
UDP proporciona a las aplicaciones una forma
de enviar datagramas IP encapsulados sin la
necesidad de establecer primero una conexin.
Los PDUs utilizados en UDP se denominan
segmentos cuya cabecera es de 8 bytes. El
payload es el contenido del paquete
Source
Port
Dest
Port
UDP
Length
Checksum
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Capa de Transporte
User Datagram Protocol (UDP)
El puerto de origen (Source port) es necesario
cuando se necesita enviar una respuesta al nodo
de origen
El campo de longitud incluye los 8 bytes de la
cabecera
Source
Port
Dest
Port
UDP
Length
Checksum
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Capa de Transporte
User Datagram Protocol (UDP)
UDP no realiza tareas de:
Control de flujo
Control de errores
Retransmisin de paquetes mal formados o
perdidos
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Capa de Transporte
User Datagram Protocol (UDP)
Sin embargo, UDP es til en situaciones donde
un cliente hace una solicitud corta y el servidor
da una respuesta igualmente corta.
Si el paquete se pierde simplemente se hace un
reintento al transcurrir el timeout
Esto es mucho ms sencillo y no hay necesidad
de mensajes adicionales para el establecimiento
de la conexin.
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Capa de Transporte
Remote Procedure Call (RPC)
Este es un protocolo que utiliza UDP como base
En cierto sentido enviar un mensaje a una
mquina remota y recibir una respuesta es como
hacer un llamado a un procedimiento
En ambos casos se comienza con algunos
parmetros y se finaliza con algunos resultados
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Capa de Transporte
Remote Procedure Call (RPC)
Esto hace que las aplicaciones de red sean
mucho ms sencillas y fciles de entender.
Esta tcnica fue sugerida por Birell y Nelson en
1984 permitiendo a los programas hacer llamados
a procedimientos localizados en mquinas
remotas.
El procedimiento que hace el llamado es
denominado cliente y el procedimiento que es
llamado es denominado servidor
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Capa de Transporte
Remote Procedure Call (RPC)
Generalmente toda la complejidad se esconde
utilizando bibliotecas con interfaces tanto para el
servidor como para el cliente
Client stub
Server stub
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Capa de Transporte
Remote Procedure Call (RPC)
Client CPU
Server CPU
Client Client
stub
Server Server
stub
Operating System
Operating System
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
DNS
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Nombre de dominio
Direccin IP
192.168.3.1
DNS
www.ula.ve
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
.
org
sf
ab
ve
org
ula
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
ve
mail.ula.ve
www.ula.ve
....
org
ula
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Pero...
Qu es un dominio?
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Qu es un dominio?
Los dominios han sido utilizados por aos por sistemas
como el servicio postal y el servicio telefnico.
Para comprender mejor este concepto haremos una
resea sobre estos dos sistemas.
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Qu es un dominio?
Luego de la revisin anterior podemos decir:
Un dominio es un sub rbol del rbol completo de DNS
y representa todas las mquinas y nombres debajo de
l.
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
ve
Resolver
bind9.sourceforge.net A
ula
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
bind9.sourceforge.net A
ve
ula
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
askes server@net
ve
ula
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
bind9.sourceforge.net A
net
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
askes server@sourceforge.net
net
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
net
bind9.sourceforge.net A
sourceforge
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
net
69.7.8.101
sourceforge
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
cache
ve
Resolver
69.7.8.101
ula
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Vulnerabilidades en DNS
DNS utiliza el protocolo UDP el cual acarrea mltiples
vulnerabilidades.
UDP no tiene mecanismos para verificar el origen de
cada paquete. Esto lo hace susceptible a spoofing y
ataques de origen
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Vulnerabilidades en DNS
Muchas de ellas son de ndole general, como las
mencionadas anteriormente, pero hay unas cuantas
que son intrnsecas al protocolo DNS como tal.
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Vulnerabilidades en DNS
Los cuatro problemas principales que podemos
encontrar en DNS son:
cache spoofing
traffic diversion
distributed denial-of-service attacks (DDoS)
buffer overruns.
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Ataque de Negacin de
Servicio Distribuido (DDoS)
utilizando el DNS
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Atacante
Vctima
Servidores de DNS con recursin
activada
SRC:
VICTIMA
DST:
DNS-R
SRC:
DNS-R
DST:
VICTIMA
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
DST:
DNS-R
SRC:
DNS-R
DST:
VICTIMA
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
SRC:
VICTIMA
DST:
DNS-R
SRC:
DNS-R
DST:
VICTIMA
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
SRC:
VICTIMA
DST:
DNS-R
SRC:
DNS-R
DST:
VICTIMA
www.datos.com.ve IN TXT ?
XXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXX
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
En ISPs
Universidades
En servidores de prueba, laboratorios, etc.
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Ataque de Cumpleaos
(envenenamiento de cache)
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Ataque de Cumpleaos
(Envenenamiento de Cache)
Probabilidad es mayor a
!!!
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Ataque de Cumpleaos
(Envenenamiento de Cache)
ROOT-SERVERS
(src: 53 dst:
33333)
www.mibanco.com.ve
(src: 53 dst:
41234)
(src: 53 dst:
33333)
Servidores de:
mibanco.com.ve
(src: 53 dst:
33333)
SRC: SR
SPT: 33333
DST: S
DPT:53
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Ataque de Cumpleaos
(Envenenamiento de Cache)
www.mibanco.com.ve A?
SRC:
DST:
Spoofed VICTIMA
VICTIMA:
DNS con Recursin
activado
mibanco.com.ve
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Ataque de Cumpleaos
(Envenenamiento de Cache)
www.mibanco.com.ve A?
SRC:
DST:
Spoofed VICTIMA
VICTIMA:
DNS con Recursin
activado
DDoS
mibanco.com.ve
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Ataque de Cumpleaos
(Envenenamiento de Cache)
www.mibanco.com.ve A?
SRC:
DST:
Spoofed VICTIMA
DDoS
QryID: 0-65536)
SPT: Conocido
mibanco.com.ve
VICTIMA:
DNS con Recursin
activado
SRC:
DST:
mibanco.. VICTIMA
DPT: Conocido
A: 200.1.2.3
QryID: RAND()
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Ataque de Cumpleaos
(Envenenamiento de Cache)
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Ataque de Cumpleaos
(Envenenamiento de Cache)
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
DNSSEC
Las extensiones de seguridad de DNS solucionan los
problemas relacionados con:
Integridad de los datos
Source spoofing
No! protegen contra
distributed denial-of-service attacks (DDoS)
buffer overruns.
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
DNSSEC
Esta extensin utiliza tecnologa ya conocida (PKI) para
funcionar y es totalmente transparente para los
usuarios, es decir, ellos no necesitan realizar ninguna
accin para beneficiarse con DNSSEC.
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
DNSSEC
Esta extensin utiliza tecnologa ya conocida (PKI)
para funcionar
Es totalmente transparente para los usuarios, es
decir, ellos no necesitan realizar ninguna accin para
beneficiarse con DNSSEC.
Esta disponible slo a partir de Bind9. Actualice!
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
DNSSEC
El objetivo principal de esta extensin es garantizar la
autenticidad e integridad de los datos
Esto se logra utilizando criptografa de clave
asimtrica y simtrica
Puede utilizar tanto RSA como DSA
Se debe utilizar en conjunto con la restricciones para
transferencias de zonas
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Configuracin DNSSEC
Lo primero que debemos hacer es restringir la
transferencias de zonas.
El comportamiento predefinido (no es por defecto
porque no esta daado) de DNS es aceptar desde
cualquier mquina una lista completa de sus registros
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Configuracin DNSSEC
options {
allow-transfer { 192.168.4.154; };
};
O de una forma ms especfica
type master;
zone "ejemplo.com" {
file "db.ejemplo.com";
allow-transfer { 192.168.4.154; };
};
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Configuracin DNSSEC
Para asegurar mucho ms nuestro servidor
restringimos tambin las actualizaciones
zone "ejemplo.com" {
type master;
file "db.ejemplo.com";
update-policy {
grant allowed-www-updater self
www.ejemplo.com A;
};
};
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Configuracin DNSSEC
Finalmente configuramos TSIG para asegurar la
autenticidad de la fuente de los datos
En el Master
key tsig-signing. {
algorithm hmac-md5;
secret "mZiMNOUYQPMNwsDzrX2ENw==";
};
zone "ejemplo.com" {
type master;
file "db.ejeplo.com";
allow-transfer { key tsig-signing; };
};
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Configuracin DNSSEC
En el Slave
key tsig-signing. {
algorithm hmac-md5;
secret "mZiMNOUYQPMNwsDzrX2ENw==";
};
server 192.168.4.47 {
transfer-format many-answers;
keys { tsig-signing.; };
};
zone "ejemplo.com" {
type slave;
file "bak.ejemplo.com";
allow-transfer { none; };
};
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz
Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz