CyberOps Associate Módulo 7 – Verificación de la Conectividad

16/03/2022 CyberOps Associate v1.0 Leave a comment

Última actualización: abril 1, 2022

7.0. Introducción

7.0.1. ¿Por qué Debería Tomar este Módulo?

¿Las redes se rompen? Por supuesto que lo hacen. Afortunadamente, los desarrolladores de los protocolos IP incluyeron un protocolo de prueba llamado ICMP. Las herramientas ICMP crean paquetes especiales que prueban redes. Los analistas de ciberseguridad deben comprender la red por la que viajan los datos normales para que puedan detectar comportamientos anormales. ICMP puede ayudarle a comprender el comportamiento normal y anormal de la red.

Este módulo proporciona una visión general de cómo utilizar las herramientas de verificación de conectividad de red ICMP ping y traceroute.

7.0.2. ¿Qué Aprenderé en este Módulo?

Título de Módulo: Verificación de Conectividad

Objetivo del Módulo: Utilizar herramientas de verificación de conectividad ICMP

Título del Tema Objetivo del Tema
ICMP Explique la forma en que se usa ICMP para probar la conectividad de red.
Utilidades de ping y traceroute Utilice las herramientas de Windows, Ping y Traceroute para verificar la conectividad de la red.

7.1. ICMP

7.1.1. Mensajes de ICMPv4

Si bien IP es solo un protocolo de máximo esfuerzo, el paquete TCP/IP permite que los mensajes se envíen en caso de que se produzcan determinados errores. Estos mensajes se envían mediante los servicios de ICMP. El objetivo de estos mensajes es proporcionar respuestas acerca de temas relacionados con el procesamiento de paquetes IP en determinadas condiciones, no es hacer que IP sea confiable. Los mensajes de ICMP no son obligatorios y, a menudo, no se permiten dentro de una red por razones de seguridad.

El protocolo ICMP está disponible tanto para IPv4 como para IPv6. El protocolo de mensajes para IPv4 es ICMPv4. ICMPv6 proporciona estos mismos servicios para IPv6, pero incluye funcionalidad adicional. En este curso, el término ICMP se utilizará para referirse tanto a ICMPv4 como a ICMPv6.

Existe una gran variedad de tipos de mensajes de ICMP y de razones para enviarlos. Analizaremos algunos de los mensajes más comunes.

Los mensajes ICMP comunes a ICMPv4 y a ICMPv6 incluyen lo siguiente:

  • Confirmación de host
  • Destino o servicio inaccesible
  • Tiempo superado
  • Redireccionamiento de ruta

Confirmación de host

Se puede utilizar un mensaje de eco ICMP para determinar si un host funciona. El host local envía una solicitud de eco ICMP a un host. Si el host se encuentra disponible, el host de destino responde con una respuesta de eco. En la figura, haga clic en el botón Reproducir para ver una animación de la solicitud de eco/respuesta de eco de ICMP. Este uso de los mensajes de eco ICMP es la base de la utilidad ping.

Destino o Servicio Inaccesible

Cuando un host o gateway recibe un paquete que no puede entregar, puede utilizar un mensaje ICMP de destino inalcanzable para notificar al origen que el destino o el servicio son inalcanzables. El mensaje incluye un código que indica el motivo por el cual no se pudo entregar el paquete.

Estos son algunos de los códigos de destino inalcanzable para ICMPv4:

  • 0 – Red inalcanzable
  • 1 – Host inalcanzable
  • 2 – Protocolo inalcanzable
  • 3 – Puerto inalcanzable

Note: ICMPv6 tiene códigos similares pero ligeramente diferentes para los mensajes de Destino Inalcanzable.

Tiempo Excedido

Los routers utilizan los mensajes de tiempo superado de ICMPv4 para indicar que un paquete no puede reenviarse debido a que el campo de tiempo de duración (TTL) del paquete se disminuyó a 0. Si un router recibe un paquete y disminuye el campo TTL en el paquete IPV4 a cero, descarta el paquete y envía un mensaje de tiempo superado al host de origen.

ICMPv6 también envía un mensaje de tiempo superado si el router no puede reenviar un paquete IPv6 debido a que el paquete caducó. IPv6 no tiene un campo TTL. Por lo que utiliza el campo de límite de saltos para determinar si el paquete caducó.

7.1.2. Mensajes de RS y RA de ICMPv6

Los mensajes informativos y de error que se encuentran en ICMPv6 son muy similares a los mensajes de control y de error que implementa ICMPv4. Sin embargo, ICMPv6 tiene nuevas características y funcionalidad mejorada que no se encuentran en ICMPv4. Los mensajes ICMPv6 están encapsulados en IPv6.

ICMPv6 incluye cuatro mesajes nuevos como parte del protocolo de detección de vecino (ND o NDP).

Mensajería entre un router IPv6 y un dispositivos IPv6:

  • Mensaje de Solicitud de Router (RS)
  • Mensaje de Anuncio de Router (RA)

Mensajería entre dispositivos IPv6:

  • Mensaje de Solicitud de Vecino (NS)
  • Mensaje de Anuncio de Vecino (NA)
  • Solicitud de Router
  • Resolución de Dirección
  • Detección de Direcciones Duplicadas (DAD)
1. Los routers envían mensajes de RA para proporcionar información de direccionamiento a los hosts que utilizan configuración automática de dirección independiente del estado (SLAAC). El mensaje RA puede incluir información de direccionamiento para el host, como el prefijo, la longitud del prefijo, la dirección DNS y el nombre de dominio. Un router envía un mensaje de RA periódicamente o en respuesta a un mensaje de RS. Un host que utiliza SLAAC establecerá como su gateway predeterminado la dirección link-local del router que envió el RA.

2. Cuando un host está configurado para obtener la información de direccionamiento automáticamente mediante SLAAC, el host envía un mensaje de RS al router que solicita el mensaje de RA.

Envío de mensajes entre un router IPv6 y un dispositivo IPv6

1. Los mensajes de NA se envían cuando un dispositivo conoce la dirección IPv6 de un dispositivo, pero no la dirección MAC. Esto equivale a una solicitud de ARP para IPv4.

2. Los mensajes de NA se envían en respuesta a un mensaje de NS y coinciden con la dirección IPv6 de la NS. El mensaje de NA contiene la dirección MAC de Ethernet del dispositivo. Esto equivale a una Respuesta de ARP para IPv4.

Mensajería Entre Dispositivos IPv6

Detección de Direcciones Duplicadas

Cuando se asigna una dirección de unicast global o link-local a un dispositivo, se recomienda realizar una operación DAD en la dirección para garantizar que sea única. Para verificar la unicidad de una dirección, el dispositivo enviará un mensaje NS con su propia dirección IPv6 como la dirección IPv6 objetivo, como se muestra en la figura. Si otro dispositivo de la red tiene esta dirección, responde con un mensaje NA. Este mensaje NA notifica al dispositivo emisor que la dirección está en uso. Si no se devuelve un mensaje NA correspondiente dentro de determinado período, la dirección de unicast es única y su uso es aceptable.

Nota: No se requiere DAD, pero RFC 4861 recomienda que DAD se realice en direcciones de unicast.

Detección de Direcciones Duplicadas (DAD)

7.2. Utilidades de Ping y Traceroute

7.2.1. Demostración de video: Prueba y Verificación de Redes con Comandos de la CLI de Windows

7.2.2. Ping: Prueba de Conectividad

En el tema anterior, se le presentó a las herramientas ping y traceroute (tracert). En este tema, aprenderá acerca de las situaciones en las que se usa cada herramienta y cómo usarlas. Ping es una utilidad de prueba de IPv4 e IPv6 que utiliza la solicitud de eco ICMP y los mensajes de respuesta de eco para probar la conectividad entre los hosts.

Para probar la conectividad a otro host en una red, se envía una solicitud de eco a la dirección del host utilizando el comando. ping Si el host en la dirección especificada recibe la solicitud de eco, responde con una respuesta de eco. A medida que se recibe cada respuesta de eco, ping proporciona comentarios sobre el tiempo entre el momento en que se envió la solicitud y el momento en que se recibió la respuesta. Esto puede ser una medida del rendimiento de la red.

El comando ping tiene un valor de tiempo de espera para la respuesta. Si no se recibe una respuesta dentro del tiempo de espera, el comando ping proporciona un mensaje que indica que no se recibió una respuesta. Esto puede indicar que hay un problema, pero también podría indicar que las funciones de seguridad que bloquean los mensajes de ping se han habilitado en la red. Es común que el primer ping se agote si es necesario realizar la resolución de direcciones (ARP o ND) antes de enviar la solicitud de eco ICMP.

Después de enviar todas las solicitudes, la ping utilidad proporciona un resumen que incluye la tasa de éxito y el tiempo promedio de ida y vuelta al destino.

Los tipos de pruebas de conectividad que se realizan con ping son los siguientes:

  • Hacer ping al loopback local
  • Hacer ping a la puerta de enlace predeterminada
  • Hacer ping al host remoto

7.2.3. Hacer ping al loopback

Ping se puede usar para probar la configuración interna de IPv4 o IPv6 en el host local. Para realizar esta prueba, ping a dirección de bucle de retorno local de 127.0.0.1 para IPv4 (:: 1 para IPv6).

Una respuesta de 127.0.0.1 para IPv4 (o ::1 para IPv6) indica que IP está instalado correctamente en el host. Esta respuesta proviene de la capa de red. Sin embargo, esta respuesta no indica que las direcciones, las máscaras o los gateways estén configurados adecuadamente. Tampoco indica nada acerca del estado de la capa inferior de la pila de red. Simplemente, prueba el protocolo IP en la capa de red de dicho protocolo. Un mensaje de error indica que TCP/IP no funciona en el host.

  • Hacer ping al host local permite confirmar que el protocolo TCP/IP se encuentra instalado en el host y que funciona.
  • Hacer ping a 127.0.0.1 ocasiona que un dispositivo se haga ping a sí mismo.

7.2.4. Hacer ping al gateway predeterminado

También puede usar para ping probar la capacidad de un host para comunicarse en la red local. Esto generalmente se hace haciendo ping a la dirección IP de la puerta de enlace predeterminada del host. Un éxito en la ping puerta de enlace predeterminada indica que el host y la interfaz del router que sirve como puerta de enlace predeterminada están operativos en la red local.

Para esta prueba, la dirección de puerta de enlace predeterminada se usa con mayor frecuencia porque el router normalmente siempre está operativo. Si la dirección de la puerta de enlace predeterminada no responde, ping se puede enviar a la dirección IP de otro host en la red local que se sabe que está operativa.

Si la puerta de enlace predeterminada u otro host responde, entonces el host local puede comunicarse con éxito a través de la red local. Si la puerta de enlace predeterminada no responde pero otro host sí, esto podría indicar un problema con la interfaz del router que funciona como la puerta de enlace predeterminada.

Una posibilidad es que se haya configurado una dirección de puerta de enlace predeterminada incorrecta en el host. Otra posibilidad es que la interfaz del router puede estar en funcionamiento, pero se le ha aplicado seguridad, de manera que no procesa o responde solicitudes de ping.

El host hace ping a su puerta de enlace predeterminada, enviando una solicitud de eco ICMP. La puerta de enlace predeterminada envía una respuesta de eco confirmando la conectividad.

7.2.5. Hacer ping a un Host Remoto

También se puede utilizar el comando ping para probar la capacidad de un host local para comunicarse en una interconexión de redes. El host local puede hacer ping a un host IPv4 operativo de una red remota, como se muestra en la ilustración. El router utiliza su tabla de enrutamiento IP para reenviar los paquetes.

Si este ping se realiza correctamente, se puede verificar el funcionamiento de una amplia porción de la interconexión de redes. Un éxito en ping toda la red confirma la comunicación en la red local, el funcionamiento del router que sirve como puerta de enlace predeterminada y el funcionamiento de todos los demás routers que podrían estar en la ruta entre la red local y la red del host remoto.

Además, se puede verificar la funcionalidad del host remoto. Si el host remoto no pudiera comunicarse fuera de su red local, no habría respondido.

Nota: Muchos administradores de redes limitan o prohíben la entrada de mensajes ICMP a la red de la empresa; por lo tanto, la falta de una **ping** respuesta de ping puede ser por razones de seguridad.

7.2.6. Traceroute: Prueba el Camino

El comando ping se usa para probar la conectividad entre dos hosts, pero no proporciona información sobre los detalles de los dispositivos entre los hosts. Traceroute (tracert) es una utilidad que genera una lista de saltos que se alcanzaron con éxito a lo largo de la ruta. Esta lista puede proporcionar información importante sobre la verificación y la solución de problemas. Si los datos llegan al destino, el rastreo indica la interfaz de cada router que aparece en la ruta entre los hosts. Si los datos fallan en algún salto a lo largo del camino, la dirección del último router que respondió al rastreo puede indicar dónde se encuentra el problema o las restricciones de seguridad.

Tiempo de Ida y Vuelta (RTT)

El uso de traceroute proporciona tiempo de ida y vuelta para cada salto a lo largo del camino e indica si un salto no responde. El tiempo de ida y vuelta es el tiempo que tarda un paquete en llegar al host remoto y que la respuesta del host regrese. Se utiliza un asterisco (\ *) para indicar un paquete perdido o no respondido.

Esta información se puede usar para localizar un router problemático en la ruta o puede indicar que el router está configurado para no responder. Si aparecen en pantalla tiempos de respuesta elevados o pérdidas de datos de un salto específico, esto indica que los recursos del router o sus conexiones pueden estar sobrecargados.

TTL de IPv4 y Límite de Saltos de IPv6

Traceroute utiliza una función del campo TTL en IPv4 y el campo Límite de Salto en IPv6 en los encabezados de Capa 3, junto con el mensaje de ICMP Tiempo Excedido.

Reproduzca la animación en la figura para ver cómo traceroute aprovecha el TTL.

La primera secuencia de mensajes enviados desde traceroute tiene un valor de 1 en el campo TTL. Esto hace que el TTL agote el tiempo de espera del paquete IPv4 en el primer router. Este router responde con un mensaje ICMPv4 Tiempo Excedido. Traceroute ahora tiene la dirección del primer salto.

A continuación, Traceroute incrementa progresivamente el campo TTL (2, 3, 4…) para cada secuencia de mensajes. Esto proporciona el rastro con la dirección de cada salto a medida que los paquetes caducan más adelante en la ruta. El campo TTL sigue aumentando hasta que se alcanza el destino, o se incrementa a un máximo predefinido.

Una vez que se alcanza el destino final, el host responde con un mensaje de puerto inalcanzable ICMP o un mensaje de respuesta de eco ICMP en lugar del mensaje de tiempo excedido ICMP.

7.2.7. Formato de Paquetes ICMP

ICMP se encapsula directamente en paquetes IP. En este sentido, es casi como un protocolo de capa de transporte, porque se encapsula en un paquete; sin embargo, se considera un protocolo de capa 3. ICMP actúa como una carga útil de datos dentro del paquete IP. Tiene un campo de datos de encabezado especial, como se ve en la figura.

ICMP utiliza códigos de mensaje para diferenciar entre distintos tipos de mensajes ICMP. Los siguientes son algunos códigos de mensaje comunes:

  • 0 : Respuesta de eco (respuesta a un ping)
  • 3 : Destino inalcanzable
  • 5 : Redireccionamiento (utilizar otra ruta al destino)
  • 8 : Solicitud de eco (para ping)
  • 11 : Ttiempo Excedido (TTL se convirtió en 0)

Como se verá más adelante en el curso, un analista de ciberseguridad sabe que el campo de carga útil opcional de ICMP se puede utilizar en un vector de ataque para extraer datos.

Datagrama IP

7.2.8. Packet Tracer: Identificación del Direccionamiento IPv4 e IPv6

En esta actividad de Paquet Tracer, verificará la configuración de direccionamiento IPv4 e IPv6 y probará la conectividad con Ping y Tracert.

7.3. Resumen de Verificación de Conectividad

7.3.1. ¿Qué Aprendí en este Módulo?

ICMP

El conjunto TCP/IP envía mensajes ICMP cuando los paquetes IP encuentran problemas de reenvío. Los mensajes de ICMP no son obligatorios y, a menudo, no se permiten dentro de una red por razones de seguridad. ICMPv4 es el protocolo de mensajes para IPv4, ICMPv6 proporciona estos mismos servicios para IPv6, pero incluye funcionalidad adicional. Los mensajes ICMP comunes a ICMPv4 e ICMPv6 son: Accesibilidad del host, Destino o Servicio inalcanzable, tiempo excedido y ruta de direccionamiento. ICMPv6 incluye los cuatro mensajes ICMPv6 adicionales para el Protocolo de detección de vecinos (NDP). Estos mensajes son mensajes de solicitud de router (RS) y anuncios de router(RA) que se envían entre enrutadores IPv6 y hosts IPv6, y mensajes de solicitud de vecino (NS) y anuncios de vecino (NA) que se envían entre dispositivos IPv6.

Utilidades de Ping y Traceroute

Ping es una utilidad de prueba de IPv4 e IPv6 que utiliza la solicitud de eco ICMP y los mensajes de respuesta de eco para probar la conectividad entre los hosts. Algunos de los tipos de pruebas de conectividad que se realizan con ping incluyen hacer ping al bucle de retorno local, hacer ping a la puerta de enlace predeterminada y hacer ping a un host remoto. Traceroute (tracert) es una utilidad que genera una lista de saltos que se alcanzaron con éxito a lo largo de la ruta. Esta lista proporciona información importante sobre la verificación y la solución de problemas. Traceroute utiliza una función del campo TTL en IPv4 y del campo límite de saltos de IPv6 en los encabezados de capa 3, junto con el mensaje de Tiempo Excedido de ICMP. ICMP se encapsula directamente en paquetes IP como la carga útil de datos. La carga útil de datos ICMP contiene campos de datos de encabezado especiales.

 

Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments
© Copyright 2024, All Rights Reserved
0
¿Tienes otra pregunta? Por favor comentax