Instituto Tecnológico de Santo

Domingo
Comunicación avanzada I
INL-318

Tema:

Dynamic Host Secure Protocol (DHSP)

Integrantes:

Alina De los Santos ID: 1065370

Profesor:
Reiner Campillo
Fecha de entrega:

17 de abril 2018

1
 Índice

Introducción ……………………………………………………………………………… pág. 4

Definición de protocolo ……………………………………………………………. Pág. 5
Características …………………………………………………………………………. Pág. 5
Protocolos equivalentes……………………………………………………………. Pág. 5
Criterios técnicos ……………………………………………………………………… Pág. 6
Funcionalidades del protocolo …………………………………………………. Pág. 6
Sub protocolos ………………………………………………………………………… Pág. 9
Técnicas de cifrado DHSP ………………………………………………………. Pág. 12
Conclusión ………………………………………………………………………………. Pág. 13
Bibliografía ………………………………………………………………………………. Pág. 14

2
3
 Introducción

El protocolo DHCP es muy usado en protocolos que proveen el servicio de

redes IP. Este protocolo provee las configuraciones al servidor DNS
automáticamente como las direcciones IP, default Gateway, y dirección del
servidor DNS que definen como un host/cliente se comunica con la red. Este
servicio es muy comprometido por los atacantes.

Porque DHCP corre sobre UDP y porque UDP como comunicación no tiene una
dirección IP durante una conversación, DHCP es muy inseguro. Cualquier host
puede causar un daño e interferencia, comprometiendo la seguridad de
protocolo actuando como host o servidor maligno.

Tomando en cuenta las vulnerabilidades que se observan y aprecian en DHCP,

he diseñado el protocolo Dynamic Host Secure Protocol (DHSP). En este
informe planteo las posibles soluciones mediante el protocolo DHSP de las
soluciones para asegurar la comunicación y prevenir ataques como DoS al
servidor DNS. Además, de poner en practica todo los conocimientos
aprendidos en la materia.

4
 Dynamic Host Secure Protocol (DHSP)

Definición del protocolo

Dynamic Host Secure Protocol (DHSP) es un protocolo de seguridad que se

encargara de proteger la conexión entre el cliente y servidor (DHCP). DHCP
se encarga de configurar de forma automática, al establecer conexión con el
servidor, la conexión de red. Este protocolo DHCP está presente en todos los
routers para asignar los datos como dirección IP, máscara de subred, puerta
de enlace predeterminada y direcciones DNS.

Entonces ya que DHCP corre sobre el protocolo UDP, que de por si es bastante
inseguro, la función del protocolo DHSP será proteger a DHCP de ataques y
comprometimiento inseguro al servidor, protegiendo la interfaz de conexión
y comunicación que se realiza en UDP para que la red no se comprometida
por ataques malignos, como DoS.

DHSP trabajara en la capa de red (capa III) para el protocolo DHCP y sobre
la capa IV, donde DHCP se conecta con UDP para realizar las configuraciones
de dirección IP, default Gateway y servidor DNS para que un host en la red
pueda establecer conexión.

Características

DHSP proporcionara las siguientes características:

 Uso de temporizadores al momento de la solicitud IP address de un

servidor DNS por parte de un host (cliente), para la protección de
ataques DoS.
 Autentificación hash asimétrico entre cliente/servidor para establecer
una conexión segura en el envío de paquetes por UDP.
 Bloqueo de los puertos UPD 67 y 68 con firewall separándolo de la
conexión de red, ya que estos ocurren mayor probabilidad de ataque.

Protocolos equivalentes

Actualmente no existe un protocolo encargado de la protección de DHCP sino

propuestas como tipo extensiones de autentificación para el protocolo, que
aún no han sido aceptadas por la forma en que DHCP funciona que es en
UDP, por eso creo que mi diseño puede ser efectivo y una solución para por
solución para proteger el protocolo DHCP. Los métodos de autentificación que
tiene el protocolo y existentes utilizan una clave de texto para establecer
conexión por lo que de por sí, cualquier hombre en el medio puede ver la
clave (siendo inseguro) o comprometiendo los servidores del host en la red,
ya sea congestionándolo o estableciendo conexión con un servidor DHCP falso
e inseguro. Por ende, este protocolo establece una comunicación de hash
asimétrico en la estructura y dentro del handshake del DHCP al momento de
solicitar una dirección IP para establecer conexión con el servidor, además de
la implementación de temporizadores en la conexión DHCP.

5
Criterios Técnicos

El único criterio técnico del protocolo DHSP será implementar switches en vez
de hubs para evitar una falsificación de direcciones MAC, haciendo más
segura la comunicación. Requiere conexión asíncrona para la autentificación
de claves hash con DHCP. Los paquetes dentro del protocolo DHSP requerirán
compresión para asegurar la encriptación de los datos y claves asimétricas.

Requerirá de un flujo de datos real por lo que el protocolo podrá ser apreciado
en una captura WireShark. Su comunicación será cliente – servidor en base
a sub protocolos que serán definidos más adelante. Manejara los errores
mediante handshake de cada protocolo.

Los protocolos que le darán soporte son:

 IP y UDP.

Parámetros por defectos

 Firewall puerto 67 y 68.

 Utilización de switches para los servidores.

Funcionamiento del protocolo

El protocolo DHSP funcionara de la siguiente manera:

1. El cliente manda un DGCPDISCOVER en broadcast para descubrir los

servidores DHCP.
2. El servidor manda un DHCPOFFER al host cliente para establecer
conexión.
3. En este momento, es que entrara el protocolo DHSP, al momento del
servidor mandar el DHCPOFFER se iniciara un temporizador de OFFER
que mida el tiempo entre el DHCOFFER del request del host/cliente
para solicitar la dirección IP del servidor DNS y el del servidor DHCP.
Si el temporizador determina que no es un ataque DoS se iniciara el
siguiente paso.
4. Junto con el timer se bloqueará automáticamente con firewall los
puertos 67 y 68 de UDP.
5. Luego se manda un DHCPREQUEST de autentificación asimétrico hash
entre el servidor y el cliente.
6. Si coincide, el servidor manda un paquete por UPD para la conexión
del servicio DNS y así entrar a la red.

DHSP estará organizado por 4 sub protocolos:

 Timer requestOFFER protocol: Parecido al temporizador de rip, es

el primero que se ejecutara para prevenir ataques DoS, con una
cantidad mínima de DHCPOFFER por parte del usuario y midiendo la
diferencia entre el mensaje de llegada del DHCPOFFER del servidor al
cliente con el paquete de request y el DHCPOFFER del cliente al
servidor.

6
  Transport Layer Protocol: Proporciona autenticación de servidor,
confidencialidad e integridad de datos con seguridad.

 Protocolo de autenticación de usuario: Autentica al usuario al

servidor.

 Protocolo de conexión: Mediante el protocolo UDP se direcciona el

IP del servidor DNS al cliente.

DHSP User DHSP Connection

Authentication Protocol
Protocol

DHSP Transport Layer

Protocol
DHSP Timer RequestOFFER
Protocol

UDP

IP

Figura 1. Protocolo DHSP (capa de transporte)

La autenticación del servidor y el cliente se produce en la capa de transporte,

en función del servidor que posee claves públicas y privadas que solo en
cliente posee al tratar de acceder al servidor DNS ofrecido por DHCP. El
servidor compartirá claves asimétricas públicas y privadas tipo hash. Esta
clave de host del servidor se utiliza durante el intercambio de claves para
autenticar la identidad del host y el correcto servidor DHCP.

En la siguiente figura la compresión de paquetes para el envío de claves y el

servidor DNS. Primero el cliente establece conexión con el servidor DHCP

7
mediante el protocolo UDP. Al iniciar el envío de paquete dentro del protocolo
de seguridad DHSP, cada paquete enviado tiene el siguiente formato:

Carga

Compresion

Tamaño Tamaño Carga comprimida Relleno

paquete relleno

Encryptacion MAC

Ciberpaquete

Figura 2. Formación de paquetes de protocolo DHSP.

 Tamaño del paquete. es la longitud del paquete en bytes, sin incluir

la longitud del paquete y los campos del código de autenticación de
mensajes (MAC).

 Tamaño de relleno. La longitud de relleno es la longitud del campo

de relleno aleatorio.

 Carga. La carga útil constituye el contenido útil del paquete.

 Relleno aleatorio. Contiene bytes aleatorios de relleno de modo que

esa longitud total del paquete (excluyendo el campo MAC) es un
múltiplo del tamaño del bloque de cifrado u 8 bytes para un cifrado de
flujo.

 Código de autenticación de mensaje (MAC). Este campo contiene

el valor MAC.

Como es protocolo UDP en la capa de transporte que corre DHCP los paquetes
se enviaran en el formato de este protocolo. Lo que hace la diferencia es que
DHSP crea una trama de seguridad antes del envío de paquete para la
solicitud del IP del servidor DNS.

8
 Sub protocolos

Protocolo Timer RequestOFFER DHSP

Este protocolo se ejecutará luego de establecer conexión con DHCP.

Timer RequestOFFER
Protocol

DHSP

El objetivo de este protocolo es establecer determinar que el host/cliente que

establece conexión segura no es un host falso o para que un host/cliente que
quiere establecer conexión no entre a un DHCP falso. También se utilizará
para prevenir ataque DoS.

El timer RequestOFFER constara de un timer (parecido a rip). Este constara

de dos timer que analizara la conexión real entre cliente – servidor.

1. Timer Request. Determinará que tanto el host o servidor DHSP que

establezca el DHSCPDISCOVER en el reconocimiento en servidores no
comprometa mediante congestión un DoS. Tendrá un límite de 10
cantidad de solicitud de dirección IP por host y servidor.
2. Timer OFFER. Previene como el Timer request, de un ataque DoS,
establece que tan rápido el host está solicitando la dirección IP del

9
 servidor DNS para establecer conexión, sin este poder enviar el ACK
del DHCPOFFER.

Si una de estas condiciones sobre pasa el límite de control el protocolo DHSP

mandara a suspender su conexión a ese host o servidor. Y DHCP cerrara
teniéndose que establecer otra vez la conexión.

DHSP Transport Layer Protocol

Esta parte del sub protocolo consta de dos más:

Autentificación DHSP del usuario y conexión segura para UDP para en envío
de la dirección IP del servidor DNS.

Luego de ejecutado el protocolo Timer RequestOFFER DHSP, para establecer

que no es un ataque o host o servidor comprometido. El DHSP Transport layer
Protocol se iniciará antes del DHCPACK (envío del paquete de dirección del
servidor DNS por UDP).

DHSP Transport
Layer Protocol

Antes de enviar el paquete DHCPACK, entrará el protocolo DHSP Transport

Layer donde se determinará la autentificación del cliente – servidor mediante
una clave asíncrona hash (pública – privada) para determinar que el host/
cliente no es falso, ni tampoco el servidor DHCP.

10
Para este paso el DHSP realizara el siguiente handshake de autentificación de
claves.

Cliente Servidor

Inicio de la negociación de clave encriptada (cliente)

Inicio de la negociación de clave encriptada (servidor)

Diffie-Hellman Key Exchange Init

Diffie-Hellman Key Exchange Reply

Intercambio de claves

Intercambio de clave terminado

Sesión cerrada

Luego de la autentificación del usuario, el paquete con la dirección DNS es

enviada al host y se inicia la conexión segura a la red.

Si algo falla en el intercambio de llaves se tendrá que reiniciar la conexión

con el servidor.

11
Técnicas de cifrados ofrecidas por DHSP

Cifrado asimétrico hashing

Este cifrado utiliza dos claves separadas para el cifrado y el descifrado. Estas
dos claves se conocen como la clave pública y la clave privada; con ambas
claves se forma una clave público – privada. Esto se hace usando códigos de
autenticación de mensajes basados en hash. Esto asegura que el comando
recibido no se altere de ninguna manera.

12
 Conclusión

El protocolo DHSP como se vio en este proyecto se encargará de proteger la

interfaz de conexión DHCP antes de conectarse al servidor DNS. Mediante sub
protocolos de autentificación y verificación de ataques contra el servidor. En
este proyecto se quiso plasmar mi interés en el área de la ciberseguridad
además de los conocimientos aprendidos en esta materia de comunicación
avanzada I.

13
 Bibliografía

Cora Hussey, Glenn Glazer, Roy Shea. (2003). Certificate-Based

Authentication for DHCP. Reserch Gate: Paper, Reserch Gate

Delfino Rosales. (2016). Proceso de Conexión al Servidor DHCP. 2018, de

Blogspot Sitio web: https://delfirosales.blogspot.com/2012/02/proceso-de-
conexion-al-servidor-dhcp.html

Ruben Sanchez. (2017). Temporizadores protocolo RIP. 2018, de Blog Sitio

web: http://rubensm.com/temporizadores-protocolo-rip/

Sergio De Luz. (2011). La capa de red. Volumen VIII: DHCP. 2018, de REDES
ZONE Sitio web: https://www.redeszone.net/2011/09/01/la-capa-de-red-
volumen-vii-dhcp/

14