Laboratorio 1: Redes de Telecomunicaciones

Juan Carlos Trujillo Quintero 22 de octubre de 2013

Resumen En el presente laboratorio se explican las capas que se maniestan en el protocolo Ethernet e ICMP de los paquetes que se capturaron en la red inalmbrica establecida en clase con el enrutador TRENDNET.

1.

Introduccin

Inicialmente, se conecta al enrutador con una IP privada 192.168.1.1 y a partir de ste, todos en el saln se conectaron al host fuente con direccin IP 192.168.1.104 y nmero de mquina. Al ejecutar la prueba de ping se capturan paquetes de la red y se pueden estimar los tiempos de solicitud y de acuse de recibo de la red. El objetivo es identicar y explicar qu se enva y qu se recibe con el protocolo ICMP en la capa de red del protocolo Ethernet.

2.

Marco Terico

A continuacin se revisa la teora detrs del laboratorio realizado en clase para poder entender los protocolos y las capas del modelo OSI de Ethernet.

2.1.

Ping

Una vez conectados a la red inalmbrica, se ejecuta la herramienta ping que es una utilidad de aministracin de redes de computadoras que permite probar la accesibilidad a un host en una red con protocolo de Internet y medir los tiempos de retardo de ida y vuelta para mensajes enviados desde un host origen hasta un host destino. El principio de funcionamiento del ping es similar a como funciona un radar o un sonar, una seal es enviada hacia un objeto y se mide el tiempo que dura la seal en volver a su fuente para medir los tiempos y alcances. El comando que se ejecuta en clase es
user-PC@user$ ping 192.168.1.104

Que es la IP del host al cual se quera interrogar (mi mquina). Una vez se ejecuta este comando en la consola, se inicia la captura en Wireshark, obteniendo un archivo que se denomin lab1arp, y luego se aborta la interrogacin del host. La forma de operar de Ping es enviar un eco de paquetes de interrogacin bajo el protocolo ICMP (Internet Control Message Protocol, por sus siglas en ingle) hasta el host objetivo (especicado con la direccin IP insertada en la terminal) y espera por una respuesta bajo ICMP. En el proceso se mide el tiempo desde la transmisin hasta la recepcin (round-trip time) y reporta cualquier prdida de paquetes. El tiempo que se reporta en Wireshark es el tiempo desde que se inici la captura hsta donde se captura un paquete de respuesta o de interrogacin. En consola en cambio se muestra el tiempo medio de ida y vuelta que le toma a un paquete de interrogacin en ser respondido.

2.2.

ICMP

El Protocolo de Control de Mensajes de Internet (Internet Control Message Protocol, por sus siglas en ingls) es usado por los dispositivos en red como enrutadores, para enviar mensajes que indican que un servicio requerido (interrogado) no est disponible o que un host o enrutador no es posible alcanzarlo. ICMP puede ser usado tambin para retransmitir mensajes de interrogacin. La operacin de la Internet es monitoreada por los enrutadores, cuando algn error inesperado ocurre durante el procesamiento de paquetes en un router, el evento es reportado al transmisor por el ICMP [2].

Tipo de Mensaje Destination unreachable Time exceeded Parameter problem Source quench Redirect Echo and reply Timestamp request/reply Router advertisement/solicitation

Descripcin El paquete no pudo ser enviado Campo de tiempo de vida en 0 Campo de header invlido Paquete en choque Ensea a un router la geografa Comprueba si una mquina vive Lo mismo que echo pero con timestamp Encuentra un reuter cercano

Tabla 1: Los tipos principales de mensajes ICMP. Bits 0 07 Tipo 815 Cdigo 1623 2431 32 Resto del encabezado (datos)

Checksum

Tabla 2: Formato del encabezado de ICMP. 2.2.1. Estructura de ICMP

Existen cerca de na docena de tipos de mensajes ICMP que son encapsulados en un paquete IP. Los mensajes ms importantes de ICMP se muestran en la tabla 1. Los mensajes que ms nos interesan son ECHO y ECHO REPLY que son enviados por hosts para ver si un destino dado es alcanzable y actualmente opera (vive). Cuando se recibe el mensaje ECHO, se espera que el destino enve de vuelta un mensaje ECHO REPLY. Estos mensajes son usados en la utilidad ping para comprobar si un host est activo y en la Internet [2]. Una vez denido el protocolo ICMP, se procede a describir el formato de los datagramas que se reciben y envan. Todos los paquetes ICMP tienen un encabezado (header) de 8 bytes y una seccin de datos de tamao variable, como se meuestra en la tabla 2. Los primeros 4 bytes son consistentes. El primer byte del encabezado es para el tipo de ICMP. El segundo byte es utilizado para el cdigo de ICMP. El tercero y cuarto byte son checksum del mensaje entero ICMP. El contenido de los 4 bytes que quedan del encabezado varan dependiendo del tipo y el cdigo de ICMP. Los mensajes de error ICMP contienen una seccin de datos que incluye el encabezado IP completo junto a los 8 primeros bytes de los datos desde el paquete IP que caus el mensaje de error.El paquete ICMP es encapsulado en un nuevo paquete IP [3].

3.
3.1.

Procedimental
Descripcin General de ICMP (Utilidad ping )

El objetivo del laboratorio ya descrito es entender el mecanismo de interrogacin/respuesta en las que intervienen las capas fsica, de enlace de datos y de red en el modelo OSI de Ethernet, cuando la conexin se establece en el router TRENDNET con direccin IP 192.168.0.1. A continuacin, se interroga la red para poder enviar informacin al host destino, pero no se conoce el nmero de mquina del host al que se desea comunicar la informacin, por lo cual se ejecuta el Protocolo de Resolucin de Direcciones ARP. Posteriormente, se puede ejecutar el ping y se capturan en wireshark los mensajes que enva la fuente por broadcast hacia los hosts de la red. El primer bloque de mensajes se muestra en la gura 1. El mecanismo funciona de la siguiente manera: se desea enviar un mensaje desde un host hacia otro, en este caso los dems hosts de la red desean enviar un mensaje de ping hacia el destino (mi host). El mensaje, que est en la capa de red del host que desea enviar, pasa su mensaje (datagrama con direccin de fuente y direccin destino) a la capa de enlace para que lo enve a travs de su capa fsica, sin embargo, no se conoce el nmero de mquina (direccin destino en el datagrama) pero s se conoce la direccin IP del nodo al que se desea enviar el mensaje. Entonces, el host fuente debe resolver

Figura 1: Mensajes de ARP. primero el problema del nmero de mquina para conocer la direccin fsica del dispositivo host destino, para esto se ejecuta primero el ARP (Protocolo de Resolucin de Direcciones) que a partir de la direccin IP del host destino averigua o resuelve el nmero de mquina del mismo o viceversa. Entonces se ejecuta el ARP que es un trabajo de la capa de aplicacin del modelo OSI de Ethernet, que es el protocolo que sigue WLAN. Entonces al ejecutar el ARP el host fuente en su capa de aplicacin, enva el mensaje de ARP a todos los nodos de la red, interrogando el nmero de mquina del host destino a travs de la direccin IP conocida con el comando ifconfig. Entonces el encabezado del envo contiene la direccin destino (boadcast) = :::::, todos los receptores escuchen el mensaje, junto con el nmero de mquina de la direccin fuente (host) = 24:ec:99:fe:a1:90, por el puerto Type: ARP (0x0806) que lo hace llegar al protocolo ARP de los nodos. La direccin resuelta por el ARP se puede validar en consola con el comando
user@user:$ arp -a

Una vez el mensaje llega a todos los nodos, todos escuchan la trama que enva el host fuente, sin embargo, aquel que tiene la direccin IP buscada es el que responde al interrogante de ARP, como se observa en los mensajes subsiguientes, en donde el host fuente ahora responde a aquella direccin IP que requiri saber el nmero de mquina de la direccin IP deseada, pero este mensaje que surge como respuesta a la interrogacin del nmero de mquina del host receptor, as que el receptor destino debe armar su trama bajo protocolo ARP para responder a aquel request con direccin IP y nmero de mquina. El datagrama ahora es enviado bajo el puerto 0x0806 que lo hace llegar al protocolo ARP del receptor (inicialmente fuente) con el encabezado de direccin fuente (nmero de mquina interrogado) = 1e:65:e3:ec:4a (nmero de mquina de mi computador) y con la direccin destino (nmero de mquina de quien interrog) = 24:ec:99:fea1:90. Ahora bien, el host que interrog el nmero de mquina arma una tabla en la que contiene la direccin IP y el nmero de mquina del nodo que se interrog. La prxima vez que se desee eviar un mensaje a este host, no se debe ejecutar el protocolo ARP nuevamente, pues las direcciones IP y de mquina ya se conocen. Posteriormente, se ejecuta el protocolo ICMP. Este protocolo se ejecuta debido a que se utiliza el ping como interrogacin y respuesta, no por mensajes de error en el transporte de paquetes en la red (que tambin puede suceder). De esta manera, en la captura de paquetes en la red, se obtendrn mensajes ICMP de tipo ECHO y ECHO REPLY mencionados anteriormente. Esto se muestra en la gura 3. En la gura 4 se muestra el formato de ICMP. Debido a que el escenario en el que se mueve la comunicacin es entre una interrogacin y una respuesta (ECHO y ECHO REPLY), los nmeros de tipo del encabezado de la trama del protocolo ICMP cambiarn en 8 y 0 respectivamente. El nmero 08 (primer byte de la trama) del encabezado indica el tipo que es un echo (ping) request y el nmero 00 del encabezado indica el tipo que es un echo (ping) reply. La captura en wireshark muestra el tiempo en el que se atrapa el paquete, mientras que el tiempo mostrado en consola tty de Linux, es el tiempo

de ida y vuelta (tiempo de retraso) que tarda el mensaje en ir a travs de la red y volver a su transmisor para caracterizar la red en trminos de si est activa o si es alcanzable, como se muestra en la gura 4.

Figura 2: PING en red de rea local inalmbrica. El segundo byte es un nmero de cdigo de ICMP, para el caso de echo ping request y echo ping reply el nmero de cdigo para ambos identicadores es 00. Se observa adems que por cada echo request existen dos echo reply por parte del host interrogado con un timetolive (ttl) de 64 s. Adems, se observa que los bits que Ethernet (en capa de enlace) agrega en el datagrama a enviar son el nmero de mquina del destino y el nmero de mquina de la fuente.

Figura 3: Ejecucin de ICMP.

Figura 4: Formato de ICMP.

3.2.

Descripcin por capas de la comunicacin

En esta seccin se describir el proceso que se lleva a cabo en la comunicacin por capas dentro del modelo OSI de Ethernet para la subred que se conform en clase. A continuacin, se describen las capas que entran a jugar un papel importante dentro de la comunicacin.

ARP request/reply
Para esta primera parte se analiza el primer mensaje de tipo de protocolo ARP obtenido en la captura de paquetes que se muestra en la gura 5.

Figura 5: Mensaje del protocolo ARP. Cuando se enva un ARP request, se describen las capas que intervienen en la ejecucin de un ARP request. En la capa de aplicacin es donde se ejecuta el protocolo ARP. Cuando un host desea enviar un mensaje a otro, la fuente arma el datagrama (en su capa de enlace) con la direccin fuente u, seguido de la direccin destino v y luego la carga til (informacin de la capa de red) como se muestra en la gura 6. Sin embargo, la capa de 5

enlace no conoce la direccin de mquino del destino, por lo tanto, se recurre a la capa de aplicacin para que ejecute el protocolo ARP, de manera que u enva ese mensaje a todos los hosts de la red, con el datagrama que se muestra en la gura 7. De la gura 5 se observa que la fuente ubicada en 24:ec:99:fe:a1:90 enva broadcast (hace las veces de destino) a todos los hosts, requiriendo saber quin tiene la direccin IP 0.0.1.104, que es la que se obtiene despus de ejecutar una compuerta AND bit a bit (bitwise) con la mscara que dene los nmeros de nodo MASK = 0.0.255.255.
Direccin de fuente (u) Direccin destino (v ) Informacin de la capa de red

Figura 6: Datagrama que forma la capa de enlace con la informacin de la capa de red.
Correccin de errores CRC

Rx 11111... (Broadcast)

Tx Nmero Mq. u

ARP request Informacin de la capa de enlace

Figura 7: Datagrama enviado por ARP. De la gura 8 se observa que los primeros 14 bytes del mensaje corresponden a los encabezados de la capa de enlace de la que se hablar posteriormente, mientras que los bytes restantes corresponden a la informacin para la capa de aplicacin (en la ejecucin de ARP). Estos bits corresponden a el tipo de Hardware o protocolo utilizado en el proceso de comunicacin que para el caso es Ethernet (01) = 00 01. Posteriormente se agrega al datagrama de la capa de enlace el nmero de puerto que hace llegar el mensaje ARP de un host al protocolo ARP de otro host (destino). Luego de esto, se agrega el identicador del tipo de protocolo usado en la red que es IP (0x0800), y seguido de un cdigo que identica si es request (00 01) o reply (00 02). A continuacin se observan los siguientes campos. Primero se encuentra la direccin de mquina del transmisor, que en el caso de ARP request, esta direccin es la del host que interroga (24:ec:99:fe:a1:90). Despus se encuentra la direccin IP del transmisor, que en ARP request es la del host que interroga (192.168.192.168 = c0:a8:c0:a8). Seguido se encuentra la direccin de mquina del receptor, que como no se conoce (es lo que se desea averiguar), se enva en cero (00:00:00:00:00:00) y posteriormente, se encuentra la direccin IP del receptor (192.168.1.104), que s se conoce y se desea, en este caso, averiguar el nmero de mquina de un host cuya direccin IP es conocida.

Figura 8: Mensaje de ARP (carga til del protocolo Ethernet). En la capa de red, donde se ejecuta el protocolo Ethernet, se observan las tramas que utiliza la capa para enviar un datagrama a un destino. Cuando un host enva un mensaje a otro, la capa de red (Ethernet) incluye dentro del mensaje las direcciones fuente y destino como se muestra en la gura 6. Estas direcciones se muestran en wireshark en la gura 9. Se observa que para resolver la direccin destino, se enva como direccin fuente el nmero de mquina de la fuente (u) que es 24:ec:99:fe:a1:90 y se enva con direccin destino a todos los hosts (broadcast) 6

Figura 9: Direcciones fuente y destino en capa de red (Ethernet). de la red con nmero :::::. En los siguientes 2 bytes, el protocolo Ethernet agrega el identicador de tipo de ejecucin, el servicio que brinda Ethernet (capa de red) a la capa de enlace (para ejecutar ARP). Esto es, se indica a la capa de enlace lo que debe preparar para ejecutar el protocolo ARP (las tramas que debe agregar para realizar ARP reply/request), a nivel de la capa de enlace en la comunicacin, que para el caso de ARP es 0x0806, que es el campo que sigue en el encabezado de la trama en la capa de enlace. En la capa fsica, se observan los tiempos y los tamaos de los datagramas recibidos con sus respectivos errores y tasas de transmisin. Esta capa es la encargada de que si en un transmisor se enva un 1 lgico, en el receptor, el 1 lgico enviado se detecte como un 1 lgico recibido. Cuando se enva un ARP reply, el destino v recibi el mensaje enviado por u y est preparado para enviar una respuesta. En este caso, las capas que intervienen en la comunicacin de este mensaje de respuesta son las mismas, slo se intercambian los destinos y fuentes. En la gura 10 se observa la jerarqua de un ARP reply. En la capa de aplicacin, se tiene que ahora v es el transmisor y u el receptor. Lo que enva v es la respuesta al interrogante de u: su direccin de mquina. En la gura 11a se observa la trama para la ejecucin de ARP reply. En esta ocasin, la fuente (v ) ubicada en 00:1e:65:e3:ec:4a enva su respuesta al destino (u) ubicado en 24:ec:99:fe:a1:90. De la gura 11a se observa que los primeros 14 bytes del mensaje corresponden a los encabezados de la capa de enlace por tanto el anlisis es equivalente al que se efectu anteriormente. Como se est realizando un ARP reply, se cambia el identicador de reply (00 02). Los siguientes campos se denen en el mismo orden como se denieron en un ARP request, sin embargo como los papeles de transmisores y receptores se han invertido, tamben lo hacen estas direcciones. Primero se encuentra la direccin de mquina del transmisor, que en el caso de ARP reply, esta direccin es la del host que responde (00:1e:65:e3:ec:4a). Despus se encuentra la direccin IP del transmisor, que en ARP request es la del host que responde (192.168.1.104 = c0:a8:01:65). Seguido se encuentra la direccin de mquina del receptor (u) que es (24:ec:99:fe:a1:90) y posteriormente, se encuentra la direccin IP del receptor (u) en (192.168.1.101 = c0:a8:01:65). En la capa de red, las tramas intercambian posiciones. En la gura 11b se muestra la informacin para la capa de red en el ARP reply. En este caso, el host al que se quera conocer su direccin de mquina conocida su direccin IP, la enva dentro del datagrama de ARP reply, entonces se enva como direccin fuente el nmero de mquina del destino (v ) que es 00:1e:65:e3:ec:4a y se enva con direccin destino a quien la requiri (u) con nmero de mquina 24:ec:99:fe:a1:90. Al igual que en ARP request, en los siguientes 2 bytes, el protocolo Ethernet agrega el identicador de tipo de ejecucin, que es el protocolo ARP, que para el caso de ARP es 0x0806, que es el campo que sigue en el encabezado de la trama en la capa de enlace. 11b

4.

Ataque del Hombre en el Medio (Man-in-the-Middle Attack)

Este es un concepeto frecuentemente encontrado en redes de telecomunicaciones y hace referencia a un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modicar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. Existen una gran variedad de ataques y a continuacin se mencionan los ms conocidos o ms comnmente encontrados. Es comnmente abreviado como

Figura 10: Ejecucin de ARP reply.

(a)

(b)

Figura 11: Trama de las capas a ) de enlace y b) de red. MITM.

4.1.

ARP Poisoning (o ARP Spoong)

El ARP Poisoning es un ataque de tipo MITM para redes Ethernet, que permite al atacante capturar el trco que pasa por la red y tambin detenerlo (una denegacin de servicio o DoS). El ataque consiste en enviar algunos mensajes ARP falsos o spoofed que contienen las direcciones MAC manipuladas segn la conveniencia del atacante. Estos mensajes confunden a los dispositivos de red (principalmente a los switchs). Como resultado los frames de las vctimas son enviados al atacante o a un destino no vlido en el caso de una DoS. Este ataque puede ser prevenido o limitado utilizando entradas estticas en las tablas ARP de los Hosts o usando tecnologas de seguridad en capa de acceso como 802.1x o NAP Network Access Protection.

4.2.

DNS Spoong

El protocolo DNS Domain Name System convierte nombres en direcciones IP, como por ejemplo www.google.com a 64.233.161.147 y tambin la resolucin inversa. La forma en que se ataca es utilizando respuestas falsas a las peticiones de resolucin DNS (los request) enviadas por una vctima. Existen dos mtodos en los que puede basarse el atacante: DNS ID Spoong y Cache poisoning (envenenamiento de la cach). Dado que existe este ataque se vuelve muy importante que los servidores de cach de DNS hagan sus consultas utilizando ID aleatorios. Otros ataques de tipo MITM son DHCP Spoong STP Mangling Port stealing ICMP redirection

IRDP spoong Route mangling 802.1x/NAC/NAP En general el uso de tecnologas de control de acceso como 802.1x/NAC/NAP sera suciente para impedir o mitigar todos los ataques MITM de tipo local. Lamentablemente no todas las empresas u organizaciones pueden costear estas tecnologas. Una forma de proteger nuestras redes de estos ataques es reemplazando todos los protocolos inseguros por protocolos seguros, que aunque no impiden estos ataques de forma denitiva, los hacen intiles para el atacante, debido a que se ve imposibilitado de descifrar o alterar la comunicacin.

Conclusiones
Es importante destacar que la ejecucin del protocolo ARP no se lleva a cabo en la capa de enlace o de red, hace parte de la capa de aplicacin en el modelo OSI de Ethernet. Por cada request que se realiza por parte del host fuente existen dos echo reply por parte del host destino, debido a la seal de acknowledgement que se enva como acuse de recibo del paquete/trama/datagrama. Debido a que los hosts se encuentran en una misma subnet y a pesar de que al enrutador estaban conectados ms de cuatro hosts, el tiempo medio de idavuelta es pequeo, de aproximadamente 64 s y todos los hosts estn activos y alcanzables para intercambiar paquetes entre ellos. Es fundamental en redes de telecomunicaciones disear los enlaces de tal manera que se preserve la seguridad o por lo menos disminuirla en gran medida, debido a que los ataques MITM pueden hacer colapsar a la red y debido a que el ataque se hace de manera , no es posible avisar a los hosts que existe robo/prdida de informacin.

Referencias
[1] A. Tanenbaum, D. Wetherall. Computer Networks. 5th Edition. 2011. pp. 465-466. [2] Internet Control Message Protocol (ICMP). Wikipedia. Disponible Online. [3] Ataque Man-in-the-Middle o JAMUS. Wikipedia. Disponible Online. [4] A. Tanenbaum, D. Wetherall. Computer Networks. 5th Edition. 2011. pp. 859.