realizată de Alex Silva 2 ani în urmă
246
Mai multe ca aceasta
datos
fragmentos
comprimir
anañadir mac
crifrar
incorporar cabedecera de deregistro de ssl
subprotocolos
utilizacion de conexion
establecimiento de conexion
clave premaestra
servidor completo
opciones de los algoritmos
preferencias sobre algoritmos criptograficos
Siglas: secure sockets layer
implementa
integridad de datos
encriptacion
autenticacion del servidjor por parte del cliente
negociacion de parametros
puede ser uan capa adicional
serivico que hace que la conexion entre 2 sockets sea segura
basado en firmas de clave publica
encabezado ESP
modo tunel
modo transporte
servicios
intercambio de claves
cifrado
autenticacion
hash firmado HMAC
tiene la clave secreta comaprtida
en IPv6 es obligatorio
MUCHOS PROBLEMAS DE IP spoofing
verifica si cumplen reglas
inspecciona paquetes
filtros de paquetes
Clave publica
vulnerable a man in the midle, yo no se si la clave es real
firmas digitales y certificados
estrategias
firmas de clave publica
computacionalmente costoso
Firma de resumenes de mensajes
mensaje
algoritmo sha-1
algoritmo RSA CON AL CLAVE PRIVADA DE ALICE
hash firmado
se envia a bob
sha-2
sha-1
funcion hash debe cumplir
ejemplos
MD5
SHA
salidas diferentes con incluso 1 bit de modificacion
dado p no se pueda encontrar el hash
dado el hash p, impisble de sacar p
economico y rapido
No se firma todo el mensaje se firma un resumen del mismo obtenido mediante una funcion hash
se encripta con clave privada y luego con clave publica se puede obtener el mensaje, si da igual me certifica q es de la persona
SA
VARIAS AUTORIDADES
PKI
public key infraestructure
cadena de confianza de certificados
no hay solo una clave privada
autoridades de certificacion
Estandar X.509
se calcula el hash y se firma con la clave privada de lautoridad
certificados de clave publica
cuello de botella
firmas de clave simetrica, para firmar paquetes
fundamento
deben intercambiar primero la clave compartida secreta
solo el emisor y receptor conocen la clave, por lo que solo el emisor pudo firmar el paquete
con autoridad central
sin autoridad central
se intercambia la clave secreta mediante encriptacion de clave publica o mediante protocolo de intercambio de clave
se le añade al paquete la clave compartida secreta y se aplica un hash
condiciones
que el receptor no haya podiudo elaborar el mensaje el mismo
que el emisor no pueda repudiar mas tarde el contenido del mensaje
veriricar la identidad del transmisor
equivalente a una firma escrita
centros de distribucion de claves
Kerberos
B
TGS
tickets
AS
authenticacion
vulnerable a ataque de repeticion
KDC
protocolo de intercambio de claves diffe-hellman
vulnerable al man in the middle
g a la y mod n
g a la x mod n
g
n
siempre se usa una diferente por las dudas
Algoritmo RSA
es muy costoso, generalmente primero se usa RSA y luego se pasa una encriptacion de clave simetrica
numeros primos, clave privada clave publica
d
e
P = C a la d mod n
C= P a la e mod n
se separa en bloques y se encadenan los bloques con un vector iniciacion y la salida retroalmienta al siguiente bloque
si es siempre el mismo resutlado se puede hacer ingenieria inversa
triple des
retrocompatiblidad
Algoritmo AES
funciona en base a columnas
Algoritmo DES
transpocision
mitades pasan, las otras a una funcion
erxpansion y separacion
estudia como quebrar los algo de encriptacion
los algoritmos deben ser publicos las claves secretas
codigo
crifrado
cifrado por bloque
relleno de una sola vez
para desencriptar se vuelve a aplicar el XOR
se aplica un XOR bit a bit
se elige una clave llamada relleno
se traduce a una secuencia de bits
cifrado por transposicion
reordena bytes
cifrado por sustitucion
criptoanalisis
buscar patrones + analisis estadistico
fuerza bruta
se puede por hardware
sustituye bytes
Hexagono parkerian
control o poseciond e datos
autenticidad
utilidad
el mismo triangulo
triangulo de seguridad
confidencialdiad
Redundancia
distinguir entre mensajes validos y no validos
Actualizacion
si el mensaje es actual
DoS
Ataque del intermediario
Man in the middle
Degeneacion de servicio distribuida
atacar otras maquinas y luego atacar todas juntas a otra
Denegacion de servicio DHCP
agotar las direcciones ip disponibles
denegacion de servicio servidor web
Inundacion ICMP(PING) o UDP
Inundacion SYN
activos
Spoofing
Spoofing Web
suplanta una apgina web
Spoofing DNS
no es tan facil
hay que alterar la IP origen del paquete con la DNS falta, para que el servidor de menor jerarquía vea que la respuesta proviene de la IP del servidor de mayor jerarquía.
proceso
si la respeusta llega antes suplanta la respuesta del server
si el servidor DNS no tiene la ip, pregunta al servidor de la jerarquia superior
inmedietamente una respuesta con la alteracion deseada suplantando la ip del servidor superior
enviar consulta al servidor dns
alteracion de la asignacion DNS a un ir de un servidor para dirigir el trafico hacia otro
Sppofin IP
Ataque smurf
se envian pings con broadcast suplantando la IP de origen, la victima recibira todas las respuestas
Suplanta el IP origen del atacante por la victima
las respuestas estaran dirigidas a la victima
Spoofing ARP
se desvia el trafico hacia el atacante
envio de informacion ARP incorrecta a los equipos atacados
pasivos
Escaneo de puertos
proposito
obtener informacion de objetivos a atacar para detercar vulnerabilidades
Sniffing
propositos
analizar el trafico
ver el mensaje
disponiblidad
integridad
no repudio
autentificacion
Confidencialesidad o privacidad
torrent
trozos con hash
trackers
espejos
estructura de arbol
El proveedor de un servicio coloca copias de su contenido (página web) en nodos en distintas ubicaciones, e indica a los clientes usar esos nodos.
get condicional
niveles de cache en los servidores mas cercanos
lista de etiquetas hash
fecha y hora de ultimo acceso
stubs
funciones en la nube
usa tcp o udp dependiendo de la confiabilidad
php
CGI
que pueden aceptar entradas y generar páginas HTML en respuesta.
nterfaz que permite a un servidor web comunicarse con programas externos
Subtopic
css
PROCESO
etc
obtener los recuros de las pagina meditante las urls
obtener el html y interpretarlo
realizar un request hhtp a l aruta
solicitar una conexion tcp a los puertos
obtener ip del dns
verificar si hay cookies asociado al dns solicitado
URI
URL
paginas
dinamicas
estaticas
verbos
trabaja sobre tcp puerto 80 o 443(https)
controla el proceso de intercambio de documentos web
variacion en el retardo
solu
buffer en el receptor
multimedia en tiempo real
registros autorizados
cuando expira el registor se repite el proceso
brindados por la autoridad inmediata superior
todo el dominio completo
por ejemplo del dns edu.ar
direccionamiento anycast
13 servidores raiz
connect
crear socket
close
acept
listen
bind
crear sockect
voz porque los paquetes retransmitidos no tienen valor
RPC
DNS
TCP Reno
se reconoce el tipo de señal de congestion
congestion leve
aplica decremento multiplicativo y continua con incremento aditivo
congestion severa
se vuelve a un inicio lento con un umbral menor
inicio lento
cuando pasa de un umbral se pasa a AIMD
ventana pequeña, por cada ack se va a aumentado la ventana
hay que trabajar muy cerca de la congestion
round trip time
decremento multiplicativo
incremento aditivo
punto optimo
disminyendo la ventana deslizante del emisor cuando se detecta congestion
Algoritmo AIMD
el numero a envitar de bytes es el meno informado por ambas ventana
vetana de control de flujo
ventana de congestion
perdida de paquetes
ack repetidos
paquetes marcados
reenvio de datos que ya se recibiendos
sack
se confirman rangos de bytes posteriores recibnidos
sindrome de la ventana tonta
muchas catualizaciones de ventana pequeñas
cuando se retiran de a pocos bytes en el buffer receptos
algoritmo de clark
minima de bytes antes de enviar un anuncio de ventana
problema del emisior que escribe pocos datos en el buffer
confirmacion de recepcion con retardo
algoritmo de nagle
se van enviando cuando lleguen los acks
se bloquea la comunicacion si se pieden los nuevos valores de W si antes se transmitio 0
se envian periodicamente W
se mueven los limites de los numeros de secuencia
el recepto avisa el tamaño de la ventana
simetrica
usado en TCP
Liberacion de una conexion normal
despues de un tiempo los temporizadores liberan la conexion
si se pierde el ack
cierra la conexion
Si se pierden los mensajes FIN
temporizador
reenvia fin
se envia un segmento de fin de conexion y un ack en cada sentido
trata la conexion como dos conexiones simplex
fin
primitvas close
Asimetrica
no sirve si los host no conocen la cantidad de datos a enviar
uno puede cortar la conexion sin recibir todos los datos
SEQ
ACK
Mensaje syn
Acuerdo de 3 vias
Llegan datos de una conexión anterior o antiguos. Serán rechazados por no seguir la secuencia
SYN retrasado
control de congestion
control de flujo
entrega confiable
adaptarse dinamicamente a topologias
proporcionar flujo de bytes confiable extremo extremo
byes no mensajes
Protocolos libres de colisiones
descendente binario
Token ring
Mapa de bits
csma
problema
Si dos emisores colisionan, las estaciones siguen transmitiendo tramas ya dañadas , perdiendo tiempo.
Si se produce una collision
se produce una señal para avisar a los demas
se detecta y se detiene la transmision
El emisor transmite y recibe al mismo tiempo.
persisntente -p
en otro caso
si hay colision esperasr
transmitir tan pronto el canal este libre con una probabilidad p
Para trafico bajo, valores de p grandes
Para trafico elevado, pequeños P
no persistente
si esta ocupado
esperar un tiempo aleatorio y repetir
si esta libre
transmitir
para trafico elevado
persistente
si hay colision
esperar
transmitir tan pronto el canal este libre
si detecta el canal ocupado, espera continuamente hasta que se desocupe
las ranuras de dan por un dispositivo central( beacon)
se puede transmitir solo al comienzo de una ranura
protoloco aloha
sino hubo una colision o error
entonces espera un tiempo aleatorio y reenvia la trama
si la trama reenviada es chequeada por el transmisor y esta Ok, sabe que llego bien
el recepto de un mensaje reenvia la trama
Cualquier transmisor puede transmitir en cualquier momento.
para poco trafico
tdma
fdma
Lan Inalambricas
tipos de coordinacion
centralizada
distribuida
CSMA/CA
Retroceso exponencial para evitar colisiones de los RTS
Problema: Aún pueden haber colisiones, si dos máquinas envían dos RTS al mismo tiempo…
Nav
CSMA/CA Virtual
RTS y CTS
coordinacion distribuida
problema de la terminal expuesta
Problema de la terminal oculta
CSMA/CD
Retroceso exponenical binario
ranurado
Direcionamiento MAC para ethernet, unicos en el mundo
para construir arboles de expansion
fuera de una red
tuneles
modificacion de bgp
pim
pim disperso
pim denso
fuera de varias redes
protocolo igmp
arbol de expansion
enrutamiento multidestino
paquetes para todos
ibgp
bgp
los enrutadores se comunican mediante tcp
baasado en vector de camino
acuerdo entre pares
servicio de transito o proveedor-cliente
anuncio de paquetes entre AS
puerta de enlace de frontera
OSPF
sistemas jerarquicos
area troncal
enrutamiento en base al tipo de servicio
algoritmo de dijkstra
estado de enlace
IS-IS
ruteo jerarquico
grafos de enlaces y pesos
muy empleado en las redes los ISPs
basado en estado de enlace
RIP
funciona bien en sistemas pequeños
basado en vector de distancia modificado
ej la uncuyo
Enrutamietno jerarquico
dividir los enrutadores en regiones
cada enrutador sabe como llegar a las regiones
Enrutamiento por estado del enlace
con toda la informaicon cada nodo construye las rutas mas cortas por ejmplo con dijsktra
si falla un enrutador, puede comenzar de 0 y sus paquetes se recharazan por viejos
solucion: num sec iniciales en funcion del reoloj
numeros de secuencia se puede agotar
muchos bits para numeros de secuencia
si se arega un nuevo enlace o se quita uno, se cera un nuevo paquete
recibe paquetes de los demas de estado de enlace
construye paquetes con costos y los envia a los demas enrutadores
calcula costos de en lace a sus vecinos
Algoritmo de ruteo por vector de distancia
problemas
converge muy lento si desaparece un nodo
conteo al infinito
Los nodos comparten periódicamente tablas de distancias con los nodos vecinos
Algoritmo de innundacion
Algoritmo de la ruta mas corta
elige la menor distancia segun
trafico
ancho de banda
distancia en km
numero de saltos
Bellman ford
Dijkstra
expiran cada cierto tiempo
si se conoce la direccion mac
si no
se pregunt apor difusion y la maquina dueña contesta con su mac
se envia el paquete
Cuando ip entrega el paquete a la capa de enlace, la capa de enlace no emplea direcciones IP, en una red por difusion, se necesita conocer la direccion mac para el destino inmediato
traduccion
doble pila
: Cada host y router posea pilas IPv4 e IPv6.
IPV6
descubrimiento de MTU
no hay checksum
fragmentacion solo en el origen
jumbogramas
mas campos de direcciones, mejoras en seguridad y calidad de servicio
NAT
se aprovecha de TCP o UDP
tabla de traducciones de entrada
IP dinamica
direccionamiento sin clases(CIDR)
SUPERREDES
CIDR (Classless InterDomain Routing): traslape de prefijos
direcionamiento basado en clases
subredes
mascara de red
permite obtener el prefijo(direcion de la red)
los ruters trabajan con la ip de red
ultimos bits identifican el hots
primeros bits identifican la red
prioridades oro plata bronce y regular
paquetes regualres
paquetes expeditos
Se tratan los paquetes segun clase
Negociacion entre caminos que respeten los parametros que el fluijo requiera
en servicios orientados a conexion
reservar recursos
descargar en transferencia los paqeutes mas nuevos
descartar en voz y tiempo real los paquetes mas viejos
funciona bien con tcp
descartar paquetes segun calidad de servicio
Los ruteadores detectan una congestión inminente o ya se está produciendo y envían mensajes a las fuentes de datos para que disminuyan el tráfico que generan cuando una congestión es inminente
Algoritmo ECN
funciona con tcp
Etiquetar paquetes que producen congestion y notificar
notifacion
detecion de congestion
solo servicios con conexion
echazar nuevas conexiones de circuitos virtuales si la red no los va a poder manejar.
Los routers reconocen congestión y desvían el tráfico por otras rutas
se encarga de direccionamiento global
a nivel datos, el paquete se encapsula dentro de tro
Fragmentacion no transparente
usado por ip
solo ensambla el destino final
Fragmentacion transparante
El router de entrada fragmenta y el de salida reensambla
oriantada a conexion(circuitos virtuales)
sin conexion(datagramas)
algoritmo de enrutamiento
tablas de ruteo
sin almacenamiento
: No puede verificarse la integridad del paquete .
Menor latencia y costo (No es necesario almacenar el paquete completo).
con almacenamiento
: Se puede verificar la integridad del paquete (luego puede pedirse reenvío o descartarse)
: Mayor latencia y costo en memoria.
ISPs
ethernet clasica
inalambrica
adsl
inundacion
aprendizaje hacia atras
Problema bucles
Arboles de expansion como solucion
para transoportar paquetes ip sobre capa fisica
PPP sobre ADSL
PPP Sobre sonet
ad hoc
infraestructura
full duplex
par trenzado
4B/5B
Switch
Usa buffers de memoria para las tramas simultaneas
Menor ruido
Sin colision
Full duplex
manchester
lenta y half duplex
hub
problemas aislados
mucho ruido
satelital
Wifi: dificultades
liecenia para algunas bandas
interferencia
atenuacion
seguridad
medio sobrecargado de redes
colisiones
Multipath
OFDM
QAM
por fase
fm
am
Codificacion bipolar
5 volts o -5 volts para un 1, 0 volts para un 0
Manchester
usada por ethernet
Siempre hay transición a mitad del bit. Si es un uno, la transición es ascendente, si es un cero, es descendente.
NRZI
dificil de recuperar el reloj si hay muchos 0
usada por USB
cuando hay un cambio a 1, hay cambio a mitad de periodo
I de invertido
NRZ
pocas transiciones, dificil recueprar el reloj
5 volts o otro valor para 1 y 0 para 0
no retorno a cero
Basados en algoritmos hash
Redundancia ciclica
codigos 4B/5B
se cambian grupos de bits por o otro grupo con mas bits redundantes
Paridad
si se cambian 2 valores puede no detectarse el error
se agrega un 0 o 1 para hacerlo par
Checksum
hash
rafaga
aislados
flags
TERMINADORES
mensajes de confirmación de recepción (ack o nack).
Permite detectar y/o corregir errores y control de flujo
Con diferentes tipos de servicios:
No confiable sin conexion(ethernet)
Confiable sin conexion(canal ruidioso)
Confiable con conexion(canal muy ruidoso)
ventana receptora
conjunto de números de secuencias de tramas que el receptor tiene permitido recibir.
ventana emisora
conjunto de números de secuencias de tramas que el emisor tiene permitido enviar o reenviar. Conjunto de tramas que el emisor puede tener “en tránsito” en la red al mismo tiempo.
voy amndando los numeros de secuencia de lo que voy a recibir
para mas latencia
paro hasta que reciba todo
acks y seguimos transmitiendo
para baja latencia
NFC
RFID
modulacion ask(amplitud y mod de fase)
aloha ranurado
4G
prtocolo LTE
basada en conmutacion de paqeutes IP
3G
HSPA
UMTS
2G
1G
FDMA
canales
celdas
modulacion OFDM
LTE
OFMD y TDM en cada portadora
long term evolution
WiMax
velocidad de redes inalambricas
seguro aun con claves debiles
claves
secreta compartida o de cliente
encriptamiento con AES
enterprise
personal
el servidor ap envia un mensaje de texto plano el cliente lo encripta y devuelve el texto encriptado
versiones
los paquetes se encriptan con la clave compartida.
autenticacion de sistema abierto
encriptacion de clave de sesion secreta compartida
wired equivalent privacy