F FA AC CU UL LT TA AD D D DE E I IN NG GE EN NI IE ER R A A E ES SP PE EC CI IA AL LI IZ ZA AC CI I N N E EN N S SE EG GU UR RI ID DA AD D I IN NF FO OR RM M T TI IC CA A S SE EG GU UR RI ID DA AD D E EN N R RE ED DE ES S Y Y S SI IS ST TE EM MA AS S O OP PE ER RA AT TI IV VO OS S
A AC CT TI IV VI ID DA AD D 1 1 A AN N L LI IS SI IS S D DE E P PR RO OT TO OC CO OL LO OS S
Objetivos:
1. Analizar la estructura de una trama Ethernet 2. Analizar la estructura de algunos protocolos de la capa de red (Internet) 3. Analizar la estructura de un segmento TCP y UDP 4. Analizar la funcionalidad de algunas aplicaciones estndares TCP/IP
Informacin bsica / preparacin
Los protocolos de comunicaciones definen las reglas para la transmisin y recepcin de la informacin entre los nodos de la red, de modo que para que dos nodos se puedan comunicar entre si es necesario que ambos empleen la misma configuracin de protocolos.
Dentro de las redes LAN existe una cantidad importante de protocolos de comunicacin en los diferentes niveles del modelo TCP/IP y su anlisis forma parte importante del quehacer en el mbito de la seguridad en redes ya que de acuerdo a su nivel de vulnerabilidad se pueden comenzar contramedidas que permitan minimizar los riesgos.
A nivel de capa 1 y 2 (nivel Fsico y de Enlace en el modelo OSI o de Acceso a la Red en el modelo TCP/IP) existe una gran cantidad de tecnologas dependiendo si estamos en una red LAN (Ethernet, Token Ring, FDDI, IEEE 802.11, etc,) o WAN (HDLC, PPP, Frame Relay, ATM, MPLS, etc.). Dado que los proveedores de servicio se encargan de parte de la seguridad WAN, para esta actividad nos concentraremos en la tecnologa LAN ms usada a nivel mundial, Ethernet o IEEE 802.3.
CORPORACIN UNIVERSITARIA AMERICANA
Msc. Javier Henriquez Celedon - 2014
En el nivel de Red (Internet) encontramos muchos protocolos liderados por IP y en donde se destacan ICMP, ARP, que son los que analizaremos, sin olvidar RARP, IGMP, RIP, EIGRP, OSPF, IS-IS, etc.
En el nivel de Transporte los protocolos bsicos son TCP y UDP que son claramente diferenciables por sus caractersticas de ser o no fiable u orientados o no a conexin, usar puertos para las conexiones cliente-servidor y, en el caso de TCP, usar banderas en el proceso de conexin.
Finalmente analizaremos tres (3) aplicaciones TCP/IP muy usadas como lo son HTTP, HTTPS, DNS y DHCP.
Nota: Existen varias herramientas para el anlisis de protocolos de red (sniffer) tales como WireShark, Fiddler, SoftPerfect, etc. En esta actividad usaremos el SoftPerfect Network Protocol Analyzer Portable (snpa_portable) para realizar los anlisis.
SoftPerfect Network Protocol Analyzer est formado por una serie de utilidades de monitoreo capaces de capturar el ms pequeo bit de datos transitando por una red local y su conexin a Internet, analizarlo y presentar los resultados de una forma amena y fcilmente accesible a los administradores de redes, especialistas en seguridad, desarrolladores de aplicaciones de red y cualquiera que necesite una radiografa clara del trfico de red, con cada segmento de un area local detallado.
El trfico de red analizado por SoftPerfect Network Protocol Analyzer se basa en una serie de protocolos, como por ejemplo AH, ARP, ESP, ICMP, ICMPv6, IP, IPv6, IPX, LLC, MSG, REVARP, RIP, SAP, SER, SNAP, SPX, TCP y UDP, a lo
CORPORACIN UNIVERSITARIA AMERICANA
Msc. Javier Henriquez Celedon - 2014
que hemos de sumar HTTP, SMTP, POP, IMAP, FTP, TELNET y dems protocolos.
Para tener mayor informacin sobre el uso de esta herramienta, puede visitar la pgina http://www.softperfect.com/products/networksniffer/manual/index.htm#intro
Paso 1: Ejecute el SoftPerfect Network Protocol Analyzer Portable.
A fin de analizar protocolos de las capas 2 y 3, inicialmente vaya a la opcin Filter Filter Settings, en la ventana que se despliega seleccione en la parte izquierda Protocols y en la derecha ICMP (se activara automticamente IP). Seleccione la tarjeta de red (Network Interface) Luego de esto hacer clic en el botn Start Capture.
Para generar trfico ICMP, ejecute el comando ping a su puerta de enlace. a. Qu relacin guardan los protocolos ICMP e IP? En qu nivel de TCP/IP estn?
CORPORACIN UNIVERSITARIA AMERICANA
Msc. Javier Henriquez Celedon - 2014
____________________________________________________________ ____________________________________________________________ ____________________________________________________________ b. En la parte izquierda de la pestaa de Capture se visualizan en forma de carpeta los protocolos que intervienen en esta captura. Expanda el ICMP header y determine la funcin del campo Type y algunos posibles valores con su significado ____________________________________________________________ ____________________________________________________________ ___________________________________________________________ c. Expanda el IPv4 header y determine la funcin y posibles valores para los campos Versin, Type of service, Flags, Time to live y Protocol ____________________________________________________________ ____________________________________________________________ d. Expanda el Ethernet header y determine la funcin y posibles valores para el campo Type ____________________________________________________________ ____________________________________________________________ e. Pruebe el comando ping con otros parmetros e indique si Usted considera que se podra ver afectada la seguridad de una red con este comando o si no tiene injerencia. En caso de considerar que puede afectar la seguridad, cmo sera y cul o cules podran ser las contramedidas?. ____________________________________________________________ ___________________________________________________________
Paso 2: Ejecute el SoftPerfect Network Protocol Analyzer Portable.
A fin de analizar protocolos de las capas 2 y 3, inicialmente vaya a la opcin Filter Filter Settings, en la ventana que se despliega seleccione en la parte izquierda
CORPORACIN UNIVERSITARIA AMERICANA
Msc. Javier Henriquez Celedon - 2014
Protocols y en la derecha ARP. Seleccione la tarjeta de red (Network Interface) Luego de esto hacer clic en el botn Start Capture.
a. Se puede notar que sin ejecutar ningn comando se comienza a generar trgico ARP en la red. Qu tipo de trfico es? Por qu sucede esto sin solicitud de nuestro PC?. ____________________________________________________________ ____________________________________________________________ ____________________________________________________________ b. El valor FF-FF FF- FF- FF- FF de la columna MAC Destination a qu hace referencia?. ____________________________________________________________ ___________________________________________________________ c. Qu protocolo almacena este valor en uno de sus campos?. ____________________________________________________________ d. En que instante en el uso de ARP se tiene ese valor en el campo en mencin? ____________________________________________________________ ____________________________________________________________ e. Cmo sabe un hosts dentro de una red que recibe un requerimiento de ARP que dicha solicitud es para l?. En qu campo del mensaje ARP se almacena dicha informacin?. ____________________________________________________________ ___________________________________________________________ f. En el paso anterior al escoger el protocolo ICMP se activ tambin el IP, por qu no sucedi lo mismo con ARP? ____________________________________________________________ ___________________________________________________________
CORPORACIN UNIVERSITARIA AMERICANA
Msc. Javier Henriquez Celedon - 2014
Paso 3: Ejecute el SoftPerfect Network Protocol Analyzer Portable.
A fin de analizar protocolos de las capas 2, 3, 4 y 5, inicialmente vaya a la opcin Filter Filter Settings, en la ventana que se despliega seleccione en la parte izquierda Protocols y en la derecha TCP (se activara automticamente IP). Seleccione la tarjeta de red (Network Interface) y luego Start Capture.
a. Habr un navegador para iniciar el trfico. Qu protocolos se registran?. Por qu esos? ____________________________________________________________ ____________________________________________________________ ___________________________________________________________ b. Realice una nueva captura (Ctrl +N), pero esta vez quite las opciones Protocols del Filter Settings y vaya a Ports all mismo y seleccione y adiciones HTTP y HTPS. Tendr siempre el mismo efecto del punto anterior?. Por qu? ____________________________________________________________ ____________________________________________________________ c. Cmo sera el proceso si quiere capturar mensajes DNS?. Cmo configura el analizador y que operacin podra hacer en el equipo para generar trfico DNS?. ____________________________________________________________ ____________________________________________________________ d. Sobre que protocolo se encapsula y cules seran los valores relevantes de este ltimo?. ____________________________________________________________ ____________________________________________________________
Analice las repercusiones de esta informacin en el mbito de la seguridad en redes.